01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Pas d’intention de nuire, pas de délit d’entrave à un STAD !

serveur1

En l’espèce, il était reproché à Cédric M. d’avoir volontairement entravé le fonctionnement d’un système de traitement automatisé de données du serveur informatique de la société C. sur le site lecomptoirsante.com.

Dans un jugement du 6 janvier 2011, le tribunal de grande instance de Bordeaux retenait que s’il est reproché au prévenu un délit d’entrave à un système de traitement automatisé de données (STAD) tel que prévu aux articles 323-2 et 323-5 du code pénal, Cédric M. reconnaissant sans difficulté avoir utilisé un logiciel pour récupérer des informations sur le site concurrent de comptoirsante.com (qui a expressément indiqué ne par vouloir se constituer partie civile) dans le cadre d’une « veille concurrentielle », avec des adresses IP anonymisées, il n’est pas démontré en l’état du dossier et des débats une intention de nuire.

Soulignons que le tribunal constatait également  que le programme utilisé était en réalité robotisé, et a multiplié les requêtes de manière automatique et répétitive, du fait de son placement en échec lors de ses tentatives d’accès au site, dont la sécurité informatique parait conséquente, ce qui a du reste amené le prévenu à vérifier avec un autre ordinateur et une adresse cette fois-ci identifiable si l’accès était en réalité possible, ce qui a permis de le localiser. Le tribunal en déduit le caractère non intentionnel du dysfonctionnement reproché en l’absence de démonstration inverse par des éléments matériels. En outre, il n’est pas rapporté la preuve effective du blocage ou du ralentissement du site invoqué à l’origine par le plaignant, les seuls éléments fournis concernant une autre tentative d’intrusion pour laquelle Cédric M. n’est pas mis en cause.

Le prévenu est ainsi renvoyé des fins de la poursuite.

Cette relaxe est confirmée par un arrêt de la cour d’appel de Bordeaux en date du 15 novembre 2011. Dans son arrêt, la cour liste les éléments qui auraient pu établir l’existence d’une entrave : « le principe du préjudice et de son importance, l’état et l’évolution de la charge du serveur et de son temps de travail lors de la période dénoncée, les capacités informatiques du serveur abritant le site par rapport au nombre et à la durée des connexions de Cédric M., la cause de la perturbation du site invoquée par la plaignante, les moyens mis en œuvre pour y remédier ».

Toutefois, la preuve d’une volonté de fausser le fonctionnement du site n’a pas été rapportée. Au contraire, la cour fait valoir que le nombre de connexions était trop faible pour impacter ce site. Elle reprend une étude fournie par le prévenu qui indique qu’une attaque efficace du site cible aurait nécessité 80 000 requêtes/heure pendant plusieurs heures à partir de plusieurs ordinateurs. Or, même si le prévenu avait les compétences informatiques pour commettre une telle infraction, il avait aussi celles pour savoir que les moyens utilisés étaient inadéquats.

Ce qu’il faut retenir :

1 569 connexions en trois salves, pendant deux heures provenant d’une personne identifiée ne suffisent pas à prouver l’attaque en déni de service, donc la perturbation, même sensible, du système.

Sources :

Cour d’appel de Bordeaux, 3ème chambre correctionnelle, 15 novembre 2011, Ministère public c/ Cédric M.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com