Cass. crim., 5 avril 2022, n° 21-83.590

Faits et procédure

1. Il résulte de l'arrêt attaqué et des pièces de procédure ce qui suit.

2. Le 19 novembre 2018, l'association [1], aux droits de laquelle est venue par la suite l'association [2], a déposé plainte pour des atteintes à son système de traitement automatisé de données (STAD), en suspectant M. [O] [C], prestataire qu'elle avait congédié de manière anticipée, le 5 octobre 2018.

3. A l'issue de l'enquête, M. [C] a été cité devant le tribunal correctionnel pour les infractions d'accès et maintien frauduleux dans un STAD ainsi qu'extraction frauduleuse de données contenues dans un tel système, entre le 5 octobre 2018 et le 8 octobre 2018, et modification frauduleuse de ces données le 5 octobre 2018.

4. Par jugement du 15 avril 2019, le tribunal correctionnel l'a condamné à 5 000 euros d'amende avec sursis et a prononcé sur les intérêts civils.

5. Appel a été interjeté par le prévenu, la partie civile et le ministère public.

Examen du moyen

Enoncé du moyen

6. Le moyen critique l'arrêt attaqué en ce qu'il a débouté l'association [2] de ses demandes après relaxe de M. [C] des chefs d'accès frauduleux dans un système de traitement automatisé de données, de maintien frauduleux dans un système de traitement automatisé de données, de modification frauduleuse de données contenues dans un système de traitement automatisé et d'extraction frauduleuse de données contenues dans un système de traitement automatisé, alors :

« 1°/ que se rend coupable des infractions d'accès et de maintien frauduleux dans un système de traitement automatisé de données d'une entreprise et d'extraction frauduleuse de données, la personne qui sachant qu'elle n'y est pas autorisée accède frauduleusement par quelque moyen que ce soit à ce système, s'y maintient tout aussi frauduleusement et en extrait des données, le tout à l'insu de l'entreprise victime ; qu'en l'espèce, l'information permettait de constater le comportement intentionnel de M. [C] en ce qu'elle établissait que M. [C] avait accompli des actes frauduleux à l'encontre de la société [1] sans y avoir été autorisé par cette société ; qu'en particulier M. [C] avait affirmé avoir créé un compte type administrateur « [3] » pour la raison que dès le vendredi 5 octobre 2018, il avait constaté que son accès aux données informatisées de la société [1] avait été bloqué et qu'il ne pouvait plus utiliser son compte klamouri, qu'il avait réactivé ce compte klamouri via le compte sbraxe, afin d'avoir accès à la boite mail que la société avait mis à sa disposition pour l'exécution de sa mission dans l'entreprise et téléchargé un fichier de la société, le tout sans avoir reçu la moindre autorisation de la société ; qu'en ne retenant cependant pas M. [C] dans les liens de la prévention, la cour d'appel n'a pas justifié sa décision au regard des articles 323-1, 323-3, 323-5 du code pénal, 591 et 593 du code procédure pénale ;

2°/ que le fait de se créer un accès frauduleux au système de traitement des données d'une entreprise, à son insu, pour en récupérer tout aussi frauduleusement des données, démontre l'intention chez son auteur d'agir sans le consentement de la société et en parfaite conscience de commettre une infraction ; qu'il résulte de la procédure que M. [C] dès les 6 et 7 octobre 2018 avait accédé à distance au domaine de la société [1] en ayant recours à un mode opératoire complexe et parfaitement réfléchi ayant pour but d'extraire des données du système de traitement informatisé de l'entreprise, et en particulier de récupérer sa boîte mail ; que la mise en oeuvre de ce mode opératoire démontre la volonté et la conscience du prévenu de commettre de telles infractions ; qu'en concluant cependant à l'absence de preuve de l'intention frauduleuse du prévenu pour écarter les infractions qui lui étaient reprochées, la cour d'appel n'a pas justifié sa décision au regard des articles 323-1, 323-3, 323-5 du code pénal, 591 et 593 du code procédure pénale ;

3°/ que le comportement de la société [1] le 5 octobre 2018 ne pouvait laisser aucun doute à M. [C] sur le fait qu'elle avait mis définitivement fin à sa mission dans cette société et lui avait fait interdiction d'accéder à l'entreprise comme à ses données informatiques ; qu'en jugeant cependant qu'il n'était pas démontré que le prévenu avait eu clairement conscience, lors de ses agissements, que tous ses droits d'accès au système de traitement automatisé des données de l'entreprise lui avaient été complètement retirés dès le 5 octobre 2018, pour juger que les infractions d'atteinte au système de traitement automatisé de données de cette entreprise n'étaient pas constituées, la cour d'appel n'a pas justifié sa décision au regard des articles 323-1, 323-3, 323-5 du code pénal, 591 et 593 du code procédure pénale ;

4°/ que la contradiction de motifs équivaut à une absence de motifs ; que la cour d'appel a constaté, d'une part, que M. [C] avait affirmé avoir accédé frauduleusement par des moyens détournés au système de traitement automatisé des données de la société afin de se constituer des preuves à l'encontre de la société [1], pour assurer sa défense, ce qui signifiait donc que le prévenu avait compris et avait parfaitement conscience que la fin définitive de sa mission dans cette société était intervenue dès le 5 octobre 2018 et de ses conséquences, à savoir l'interdiction d'accéder aux données de la société et retrait de tous ses droits d'accès, et que d'autre part, elle a jugé, pour écarter les infractions qui lui étaient reprochées et en particulier l'intention chez celui-ci de les commettre, que le prévenu n'avait pas conscience lorsqu'il avait accomplis les actes litigieux de ce que la société [1] avait mis fin définitivement à ses droits d'accès aux données informatiques de la société ; que ce faisant la cour d'appel a statué par des motifs contradictoires et a ainsi violé les articles 591 et 593 du code de procédure pénale. »

Réponse de la Cour

Vu les articles 2, 497 et 593 du code de procédure pénale :

6. Selon les deux premiers de ces textes, le dommage dont la partie civile, seule appelante d'un jugement de relaxe, peut obtenir réparation, doit résulter d'une faute démontrée à partir et dans la limite des faits objet de la poursuite.

7. Aux termes du dernier, tout jugement ou arrêt doit comporter les motifs propres à justifier la décision et répondre aux chefs péremptoires des conclusions des parties. L'insuffisance ou la contradiction des motifs équivaut à leur absence.

8. Pour relaxer le prévenu et débouter la partie civile, l'arrêt attaqué énonce que le secrétaire général d'[1] a brutalement notifié à M. [C], prestataire pour cette association depuis le 16 septembre 2015, la rupture de leurs relations professionnelles, le 5 octobre 2018, après réception du courrier de l'avocat de M. [C] revendiquant le statut de salarié.

9. Les juges retiennent que, si M. [C] a reçu interdiction de se connecter à son ordinateur professionnel, il a pu comprendre, comme il le soutient, dans ce contexte, qu'il était seulement interdit d'accès aux locaux de l'association et à son ordinateur fixe.

10. Ils relèvent que M. [C], depuis son domicile et postérieurement à cet entretien, a constaté que son compte « klamouri » avait été désactivé, mais que son compte d'administrateur « admlamouri » restait actif.

11. Les juges ajoutent que le prévenu a créé, par ce biais, un compte d'utilisateur à un autre nom que le sien pour se connecter à distance et réactiver son compte « klamouri » pour en extraire ses données de messagerie ainsi que l'annuaire du domaine [1].

12. Ils concluent que la notification tacite de la coupure de l'accès au système d'information de l'entreprise est insuffisante à établir son intention frauduleuse, au regard de la durée de la collaboration entre [1] et M. [C], du défaut de désactivation immédiate du compte d'administrateur du prévenu, ainsi que de l'absence de confirmation de la rupture, à la date des faits, de leurs relations par son employeur.

13. Les juges en déduisent qu'il demeure un doute sur son intention frauduleuse, s'agissant de manoeuvres ayant eu pour seul objet la récupération de données personnelles, comme moyen de preuve de son lien de subordination dans la perspective d'un éventuel litige prud'homal et dans ce contexte litigieux de rupture de collaboration assortie d'une notification imprécise de coupure des accès au système d'information.

14. En se déterminant ainsi, la cour d'appel n'a pas justifié sa décision pour les motifs qui suivent.

15. En premier lieu, après avoir relevé que le prévenu avait créé un compte au nom d'un tiers pour réactiver le sien, dissimulant ainsi sciemment son action aux autres utilisateurs du STAD, dans le contexte de rupture brutale de relations professionnelles, la cour d'appel n'a pas tiré les conséquences légales de ses propres constatations.

16. En second lieu, il ne résulte pas des constatations de l'arrêt que les comportements poursuivis étaient justifiés par l'exercice des droits de la défense.

17. La cassation est par conséquent encourue.

PAR CES MOTIFS, la Cour :

CASSE et ANNULE l'arrêt susvisé de la cour d'appel de Paris, en date du 16 avril 2021, mais en ses seules dispositions civiles, toutes autres dispositions étant expressément maintenues ;

Et pour qu'il soit à nouveau statué, conformément à la loi, dans les limites de la cassation ainsi prononcée,

RENVOIE la cause et les parties devant la cour d'appel de Paris, autrement composée, à ce désignée par délibération spéciale prise en chambre du conseil ;

DIT n'y avoir lieu à application de l'article 618-1 du code de procédure pénale ;

ORDONNE l'impression du présent arrêt, sa transcription sur les registres du greffe de la cour d'appel de Paris et sa mention en marge ou à la suite de l'arrêt partiellement annulé.