Accueil > E-commerce, Juridique, Pénal, Web > Est-ce une infraction d’accéder à un répertoire caché sur un site Internet ?

Est-ce une infraction d’accéder à un répertoire caché sur un site Internet ?

7 avril, 2008

Il n’est pas rare qu’un gestionnaire de site Internet utilise un répertoire caché pour y stocker des informations ou pour faire des essais, notamment de mise en page. Ce répertoire n’est pas forcément protégé par un fichier htaccess pour que les visiteurs ne puisse y accéder. Dès lors, il peut arriver qu’un internaute y accède et en voit le contenu. Cet internaute commet-il pour autant une infraction ?

L’infraction qui vient à l’esprit du juriste s’appelle accès ou maintien dans un système de traitement automatisé de données (art. 323-1 c. pénal). Un site internet répond bien aux différents critères posés par le texte. Ainsi un site Internet est bien un tel système. La question qui se pose est de savoir si le fait d’accéder à des données dans un répertoire caché, éventuellement sans lien avec le reste du site Internet est constitutif d’un accès ou d’un maintien dans ce système.

La réponse à cette question a été apportée par la Cour d’appel de Paris dans un arrêt du 30 octobre 2002. Il ressort, aux termes de cet arrêt, qu »il ne peut être reproché à un internaute d’accéder aux données [dans un répertoire caché], ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font, par définition, l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ;

Les magistrats ajoutent également que « l’internaute y accédant dans de telles conditions ne peut inférer de leur nature qu’elles ne sont pas publiées avec l’accord des intéressés, et ne peut dès lors être considéré comme ayant accédé ou s’étant maintenu frauduleusement dans cette partie du système automatisé de traitement de données, la détermination du caractère confidentiel« . Dans le cas présent, l’internaute qui a accédé aux données ne pouvait pas savoir que les données auxquelles il a accédé n’étaient pas publiques.

Trois éléments ont permis aux magistrats d’écarter la commission de l’infraction :

  • les parties du site contenant les données sensibles étaient accessibles facilement avec un logiciel grand public ;
  • il n’y avait pas de protection particulière de ces données, notamment par fichier htaccess ;
  • l’internaute ne pouvait pas savoir que ces données étaient confidentielles dans le mesure où il n’y avait pas de protection.

Il va de soi que le fait de cracker un fichier htaccess permettra de prouver l’intention malveillante de l’internaute et sera un élément à retenir contre lui.

Il n’en reste pas moins que le gestionnaire de site est responsable si des données à caractère personnel sont accessibles par ce biais. Ces données peuvent être des noms, adresses, numéros de téléphones, adresses e-mail, coordonnées bancaires… Il ressort de l’article 226-17 du code pénal et de l’article 34 de la loi Informatique et Liberté du 6 janvier 1978 que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Dès lors, un gestionnaire de site Internet ne peut agir valablement contre un internaute pouvant accéder facilement à des données sensibles qu’il ne souhaite pas divulguer, s’il n’a pas pris les précautions nécessaires, élémentaires, pour protéger ces données. Ce même gestionnaire pourra par ailleurs voir sa responsabilité pénale engagée si ces données, personnelles, doivent légalement être protégées. Au delà de ça n’est-il pas du plus bel effet pour un commerçant électronique de laisser sa base de données clients en libre accès ?

  1. Sarah Haïm-Lubczanski
    14 mai, 2008 à 10:19

    Merci pour cette précision, c’est une question très pertinente.

  1. No trackbacks yet.
Les commentaires sont fermés.
%d blogueurs aiment cette page :