L’usage d’un keylogger constitue-t-il une intrusion dans un système automatisé de traitement de données ?
Un keylogger est un dispositif ayant pour objet de capturer les caractères frappés sur le clavier d’un ordinateur. S’il ne permet pas en soi une intrusion dans les données contenues dans la machine cible, il peut être utilisé à cette fin : son utilisateur encourt-il alors les sanctions au titre de la répression des intrusions dans les systèmes informatiques ? La Cour de cassation, par un arrêt du 16 janvier 2018, répond de manière franche par l’affirmative.
En l’occurrence, un médecin avait installé un keylogger sur les ordinateurs de deux autres praticiens afin de pouvoir accéder à leur messagerie électronique, dans le but de récupérer des courriels susceptibles de lui être utiles dans le cadre d’un litige qu’il avait porté devant l’Ordre des médecins.
Après découverte du keylogger par le service informatique de l’hôpital, une perquisition avait été effectuée au domicile du médecin. Nous ne nous attarderons pas sur les circonstances de la perquisition, les juges du fond ayant pu souverainement estimer que la « forte émotion et les tremblements manifestés par le prévenu ne [suffisaient] pas à établir qu’il n’[avait] pas librement consenti à la perquisition et qu’il [avait] rédigé le document attestant de son consentement sous la contrainte des enquêteurs ou sous l’effet d’un état de confusion mentale tel qu’il l’aurait privé de tout discernement ». La responsabilité pénale du médecin avait par suite été recherchée.
Pour rappel, le dispositif de répression des fraudes informatiques, institué par la loi n°88-19 du 8 janvier 1988 dite « loi Godfrain », vise à sanctionner toute intrusion non autorisée dans les systèmes informatiques ; la gradation des peines est fonction de l’incidence de l’intrusion sur le système (auj., articles 323-1 et 323-3 du Code pénal). Ce dispositif a été complété par la loi n°2004-575 du 21 juin 2004 : est également puni le fait notamment de détenir un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour s’introduire frauduleusement dans un système informatique, sauf cas de motif légitime (article 323-3-1 du Code pénal).
L’argumentation du pourvoi était à cet égard intéressante. D’une part, il était soutenu que l’élément matériel des infractions visées faisait défaut, le keylogger ne permettant pas, en lui-même, l’accès aux données contenues dans l’ordinateur, mais seulement la capture des caractères frappés sur le clavier. D’autre part, le prévenu faisait valoir sa bonne foi pour justifier son acte, le keylogger répondant à un motif légitime puisqu’il devait lui permettre de défendre sa situation professionnelle et sa réputation devant l’Ordre des médecins.
La Cour de cassation, confirmant en ce sens la solution d’appel, rejette l’ensemble de l’argumentaire, de manière sèche : « se rend coupable de l’infraction prévue à l’article 323-1 du Code pénal la personne qui, sachant qu’elle n’y est pas autorisée, accède à l’insu des victimes à un système de traitement automatisé de données » (Cass. crim., 16 janvier 2018, n°16-87.168).
On regrettera cependant que la notion de motif légitime n’ait pas davantage retenu l’attention de la Haute juridiction, les juges du fond ayant estimé que l’autorisation de détention prévue par l’article 323-3-1 devait « se [limiter] aux seules personnes habilitées à assurer la maintenance et la sécurité d’un parc informatique ». Une telle lecture semble restrictive au regard de la lettre du texte ; une jurisprudence claire sur ce sujet serait opportune (v. également sur cette notion Cass. crim., 27 octobre 2009, n°09-82.346).
Auteurs
Anne-Laure Villedieu, avocat associée, droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Alexandre Ghanty, juriste au sein du département de doctrine juridique