Fraude informatique - Keylogger : la détention d'un keylogger, sans motif légitime, installé sur un ordinateur pour intercepter à l'insu de l'utilisateur, par l'espionnage de la frappe du clavier, ses codes d'accès et accéder à ses courriels, caractérise la mauvaise foi du prévenu et l'infraction prévue à l'article 323-1 du Code pénal.
Cour de cassation, chambre commerciale
16 janvier 2018, pourvoi 16-87.168
LA COUR DE CASSATION, CHAMBRE CRIMINELLE, a rendu l'arrêt suivant :
Statuant sur le pourvoi formé par :
- M. Romain X...,
contre l'arrêt de la cour d'appel d'AIX-EN-PROVENCE, 5e chambre, en date du 8 novembre 2016, qui, dans la procédure suivie contre lui des chefs d'accès frauduleux à tout ou partie d'un système de traitement automatisé de données, atteinte au secret des correspondances émises par voie électronique et détention sans motif légitime d'équipement, d'instrument de programme ou données conçus ou adaptés pour une atteinte au fonctionnement d'un système de traitement automatisé, l'a condamné à quatre mois d'emprisonnement avec sursis et ordonné la confiscation des scellés et prononcé sur les intérêts civils ;
La COUR, statuant après débats en l'audience publique du 5 décembre 2017 où étaient présents dans la formation prévue à l'article 567-1-1 du code de procédure pénale : M. Soulard, président, Mme Schneider, conseiller rapporteur, M. Pers, conseiller de la chambre ;
Greffier de chambre : Mme Hervé ;
Sur le rapport de Mme le conseiller Schneider , les observations de la société civile professionnelle SPINOSI et SUREAU, de la société civile professionnelle CÉLICE, SOLTNER, TEXIDOR et PÉRIER, de la société civile professionnelle RICHARD, avocats en la Cour, et les conclusions de M. l'avocat général Quintard ;
Vu les mémoires en demande, en défense et les observations complémentaires produits;
Attendu qu'il résulte de l'arrêt attaqué et des pièces de procédure que, le 12 novembre 2013, le service informatique du CHU de Nice a découvert qu'un keylogger-dispositif permettant d'espionner la frappe du clavier et de capter des données-avait été installé sur les ordinateurs de Mme A... D... et de M. Philippe B..., praticiens hospitaliers titulaires ; que l'enquête s'est orientée vers M. Romain X..., médecin contractuel, lequel a été poursuivi des chefs susvisés ; que le tribunal est entré en voie de condamnation ; que M. X... et le ministère public ont formé appel ;
En cet état ;
Sur le premier moyen de cassation, pris de la violation des articles 8 de la Convention européenne des droits de l'homme et 56, 76, 591 et 593 du code de procédure pénale ;
"en ce que la cour d'appel a rejeté l'exception de nullité de la perquisition qu'il avait soulevée in limine litis ;
"aux motifs que contrairement à ce que soutient le prévenu, la perquisition de son domicile avait pour seule fin la recherche de preuves relatives aux faits dénoncés par les plaignants, laquelle, aux termes de l'article 56 alinéa 1er du code de procédure pénale, permet aux enquêteurs de saisir documents, données informatiques ou autres objets en possession de la personne soupçonnée ; qu'elle n'avait donc pas à être autorisée par le procureur de la République, à l'inverse de la perquisition destinée à rechercher et à saisir des biens dont la confiscation est prévue par les 5e et 6e alinéas de l'article 131-21 du code de procédure pénale ; que quant à la forte émotion manifestée par M. X... quand les enquêteurs se sont présentés à son domicile et aux tremblements dont il a été pris au moment de donner par écrit son assentiment à la perquisition, ils ne suffisent pas à établir qu'il n'a pas librement consenti sous la contrainte les enquêteurs ou sous l'effet d'un état de confusion mentale tel qu'il l'a privé de tout discernement ; que le tribunal a donc rejeté à juste titre l'exception de nullité et la cour confirmera sa décision de rejet sur ce point ;
"1°) alors que les perquisitions ne peuvent être effectuées sans l'assentiment exprès et préalable de la personne chez laquelle l'opération a lieu en cours d'enquête préliminaire ; que cet assentiment doit faire l'objet d'une déclaration écrite de la main de l'intéressé rédigée de façon libre et éclairée ; qu'en rejetant l'exception de nullité sans prendre en considération les constatations des forces qui relevaient que le prévenu était "visiblement choqué" et "qu'il était pris de tremblements lié au stress", la cour d'appel a insuffisamment motivé sa décision ;
"2°) alors que le prévenu a soulevé dans des conclusions déposées avant tout débat au fond et régulièrement visées sans qu'il ait été répondu à ce moyen péremptoire de la défense, le caractère illisible de son assentiment écrit à la perquisition qu'il subissait ;
Attendu que, pour confirmer le jugement, en ce qu'il a écarté l'exception de nullité de la perquisition, l'arrêt attaqué, par motifs propres et adoptés, constate que le prévenu ne conteste pas avoir rempli et signé le formulaire d'assentiment à la perquisition, qui demeure suffisamment lisible, puis a renouvelé oralement son acceptation ; que les juges en déduisent que la forte émotion et les tremblements manifestés par le prévenu ne suffisent pas à établir qu'il n'a pas librement consenti et qu'il a rédigé le document attestant de son consentement sous la contrainte des enquêteurs ou sous l'effet d'un état de confusion mentale tel qu'il l'a privé de tout discernement ;
Attendu qu'en prononçant ainsi, la cour d'appel a souverainement apprécié la validité de l'assentiment à perquisition réitérée à deux reprises et a fait l'exacte application de l'article 76 du code de procédure pénale, sans méconnaître les dispositions conventionnelles invoquées ;
D'où il suit que le moyen ne peut qu'être écarté ;
Sur le deuxième moyen de cassation, pris de la violation des articles 226-15, 323-1, 323-3, 323-3-1 du code pénal, 427, 591 et 593 du code de procédure pénale ;
"en ce que la cour d'appel a déclaré coupable M. X... d'atteinte à un système de traitement automatisé de données, atteinte au secret des correspondances électroniques, détention d'un équipement adapté pour des telles atteintes ;
"aux motifs que le service informatique du CHU de Nice découvrait le 12 novembre 2013 qu'un keylogger ‒ dispositif permettant d'espionner la frappe du clavier et de récupérer tous les caractères tapés ‒ avait été installé sur les ordinateurs de deux praticiens hospitaliers titulaires, les docteurs D... et B... ; que la perquisition au domicile de M. X..., praticien hospitalier contractuel, amenait la découverte d'un keylogger ; que de plus, dans une clef USB et dans l'ordinateur portable du prévenu étaient découvertes des captures d'écran réalisées sur les ordinateurs professionnels des deux médecins précités ; que M. X... reconnaissait qu'il avait acheté sur internet pour un prix modique un keylogger et qu'il l'avait ensuite installé sur les ordinateurs des docteurs D... et B... dans le but de récupérer des courriels susceptibles de lui être utiles dans le cadre du litige l'opposant au professeur C... qu'il avait porté devant l'ordre des médecins ; qu'à l'audience, le prévenu a fait plaider sa relaxe et les parties civiles ont conclu à la confirmation du jugement ; que le prévenu, faisant observer à la cour que le keylogger matériel saisi à son domicile ne permet pas en lui-même l'accès aux données contenues dans un ordinateur mais seulement la capture des caractères frappés sur le clavier, conteste tout d'abord avoir commis le délit d'accès frauduleuse à un système de traitement automatique de données ; qu'il relève par ailleurs que les ordinateurs des deux praticiens du CHU de Nice étaient à la disposition de tous les employés du service et que l'accès à des données dénuées de caractère confidentiel ne pouvait en aucun cas être frauduleux ; que M. X... a cependant reconnu que l'installation du keylogger lui avait permis, par l'espionnage de la frappe du clavier des ordinateurs des docteurs D... et B..., de prendre connaissance des codes d'accès à leur messagerie ; que sans l'usage de ce moyen frauduleux, il n'aurait pas pu accéder aux courriels échangés entre les deux praticiens concernés ; que le délit est donc caractérisé tant dans son élément matériel qu'intentionnel ; que le prévenu soutient ensuite avoir intercepté de bonne foi et pour un motif légitime les courriels à caractère professionnel échangés entre les docteurs D... et B..., seul moyen à ses dires de se défendre contre les manoeuvres du professeur M. Jacques C... destinées à l'évincer de son poste ; qu'il en conclut que les faits d'atteinte au secret des correspondances ne sont pas établis en l'absence de la mauvaise foi, élément constitutif du délit ; que les motifs avancés par le prévenu pour justifier son action délictueuse sont des mobiles indifférents à la caractérisation de l'infraction ; que l'installation d'un dispositif destiné à espionner la frappe du clavier afin d'obtenir les codes d'accès aux messageries de deux confrères puis l'interception à leur insu de certains de leurs courriels caractérisent suffisamment la mauvaise foi de M. X... ; qu'enfin, la détention sans motif légitime d'un équipement conçu ou adapté pour une atteinte frauduleuse à un système de traitement automatisé de données est établie à l'encontre du prévenu, lequel s'est procuré un keylogger précisément dans le bus d'obtenir frauduleusement les codes d'accès aux messageries de ses deux confrères et de pourvoir ensuite accéder à leur insu à leurs courriels ; que M. X... ne peut sérieusement soutenir avoir détenu le keylogger pour des motifs légitimes, à savoir la défense de sa situation professionnelle et de sa réputation, alors que l'article 323-3-1 donne du motif légitime autorisant la détention d'un tel équipement la définition suivante : « notamment de recherche ou de sécurité informatique », laquelle restreint l'autorisation aux seules personnes habilitées à assurer la maintenance et la sécurité d'un parc informatique et agissant aux seules fins prévues par leurs missions et ne bénéficie par aux simples utilisateurs des ordinateurs ; que les premiers juges ont donc à juste titre déclaré le prévenu coupable de l'ensemble des faits qui lui étaient reprochés ont choisi une peine adaptée à la personnalité du prévenu qui n'a aucun antécédent judiciaire et proportionnée à la gravité des faits ; que les dispositions pénales du jugement seront donc confirmées dans leur intégralité ;
"alors que la seule installation d'un "keylogger matériel" sur un clavier d'ordinateur, qui ne nécessite pas l'installation d'un logiciel ,ne permet que la récupération des différentes frappes réalisées sur les touches de ce clavier mais ne permet nullement d'accéder aux données du terminal informatique lui-même; que le délit d'atteinte à un système de traitement automatisé de données ne pouvait dès lors être caractérisé ;
"alors qu'en matière pénale le infractions peuvent être établies par tout mode de preuve, l'exigence de loyauté de la preuve ne concernant pas les parties privées; qu'en déclarant M. X... coupable de s'être frauduleusement introduit sur les serveurs du CHU de Nice sans apprécier sa bonne foi, ni sa légitimité de l'objectif qu'il poursuivait, celui-ci ayant indiqué vouloir utiliser les données collectées en vue de sa défense , la cour d'appel a privé sa décision de base légale ;
Attendu que, pour dire établis les délits reprochés, l'arrêt retient que la détention d'un keylogger, sans motif légitime, par M. X..., que celui-ci ne conteste pas avoir installé sur l'ordinateur des docteurs D... et B..., pour intercepter à leur insu, par l'espionnage de la frappe du clavier les codes d'accès et accéder aux courriels échangés par les deux praticiens caractérisent suffisamment sa mauvaise foi et les délits tant dans leur élément matériel qu'intentionnel ; que les juges ajoutent que les motifs avancés par le prévenu pour justifier la détention d'un équipement conçu ou adapté pour une atteinte frauduleuse à un système de traitement automatisé de données, à savoir la défense de sa situation professionnelle et sa réputation, sont indifférents à la caractérisation des infractions, puisque l'autorisation de détention prévue par l'article 323-3-1 du code pénal autorisant un tel équipement, se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d'un parc informatique ;
Attendu qu'en l'état de ces énonciations, relevant de son appréciation souveraine des faits de la cause, la cour d'appel a justifié sa décision; qu'en effet, se rend coupable de l'infraction prévue à l'article 323-1 du code pénal la personne qui, sachant qu'elle n'y est pas autorisée, accède à l'insu des victimes, à un système de traitement automatisé de données ;
D'où il suit que le moyen ne saurait être accueilli ;
Sur le troisième moyen de cassation, pris de la violation des articles 8 de la Convention européenne des droits de l'homme, 775-1, 591 et 593 du code de procédure pénale ;
"en ce que la cour d'appel a dit n'y avoir lieu à dispense d'inscription au bulletin n° 2 du casier judiciaire du prévenu ;
"aux motifs que le prévenu ne justifiant pas que sa situation professionnelle actuelle risquerait d'être compromise par la mention de la présente condamnation dans le bulletin numéro 2 de son casier judiciaire, la cour ne fera pas droit à sa demande tendant à la non- inscription de ladite condamnation ;
"alors que la cour d'appel en disant n'y avoir lieu à dispense d'inscription au bulletin n° 2 du casier judiciaire du prévenu sans plus en justifier sauf à affirmer qu'il n'a pas justifié que sa situation professionnelle risquait d'être compromise en cas d'inscription d'une telle mention, n'a pas mis la Cour de cassation en mesure de contrôler qu'il n'a pas été porté une atteinte disproportionnée à la garantie fondamentale que constitue le droit au respect de la vie privée" ;
Attendu que, pour refuser d'exclure la mention de la condamnation au bulletin numéro 2 du casier judiciaire, l'arrêt énonce que le prévenu ne justifie pas que sa situation professionnelle actuelle risquerait d'être compromise par la mention de ladite condamnation ;
Attendu qu'en prononçant ainsi et dès lors d'une part , que le refus d'exclure la mention d'une condamnation au bulletin n° 2 du casier judiciaire relève de l'exercice d'une faculté que les juges n'ont pas à motiver spécialement, d'autre part, ne conduit pas à méconnaître les dispositions conventionnelles invoquées, dès lors que le condamné peut, en application de l'article 775-1 du code de procédure pénale, solliciter ultérieurement l'exclusion de la condamnation, la cour d'appel a justifié sa décision ;
D'où il suit que le moyen n'est pas fondé ;
Et attendu que l'arrêt est régulier en la forme ;
REJETTE le pourvoi ;
FIXE à 2 000 euros chacun la somme que M. X... devra payer à Mme D... et M. B... en application de l'article 618-1 du code de procédure pénale ;
Ainsi fait et jugé par la Cour de cassation, chambre criminelle, et prononcé par le président le seize janvier deux mille dix-huit ;
En foi de quoi le présent arrêt a été signé par le président, le rapporteur et le greffier de chambre.
Retour à la liste des décisions