Accueil > Agences & Marques > Actualités > La Cour de Cassation rappelle l’interdiction de principe d’utiliser un keylogger
Actualités

La Cour de Cassation rappelle l’interdiction de principe d’utiliser un keylogger

Logiciel espion employeur
Partager

« Sur internet, personne ne sait que tu es un chien ». Cette phrase culte est la légende d’un dessin de Peter Steiner publié dans le New Yorker en 1993. Elle n’a plus lieu d’être.

25 ans plus tard, de l’eau a coulé sous les ponts. Désormais, « tout le monde sait que tu es un chien » et pas seulement. Que soit le pelage, la race, le contenu des croquettes ou le design de la niche, rien n’échappe à internet. Chaque mois apporte son lot d’affaires qui nous rappelle à quel point notre vie privée numérique (paradoxe ?) ne tient qu’à un fil : de la collecte (surveillance ?) massive de données par des appareils d’États à celle des GAFA, en passant par les actes de piratage et autres leaks, l’homo numericus ne sait plus où donner de la tête. Mais cette actualité visible ne doit pas nous faire oublier qu’une part de la violation de la « Privacy » est le fait de Monsieur tout le monde. À ce jeu, personne n’est vraiment innocent comme le rappelle un arrêt rendu en début d’année par la Cour de Cassation.


Un keylogger pour défendre sa situation professionnelle


Les faits commencent le 12 novembre 2013 lorsque le service informatique du CHU de Nice découvre qu’un keylogger a été installé sur les ordinateurs de deux praticiens hospitaliers titulaires. Un keylogger est un logiciel espion ou un périphérique qui permet d’espionner électroniquement un ordinateur en enregistrant les frappes de l’utilisateur sur le clavier. Après enquête, un médecin contractuel est poursuivi pour des délits d'accès frauduleux à tout ou partie d'un système de traitement automatisé de données, d'atteinte au secret des correspondances émises par voie électronique et de détention sans motif légitime d'équipement, d'instrument de programme ou données conçus ou adaptés pour une atteinte au fonctionnement d'un système de traitement automatisé.

À cette occasion, le prévenu a reconnu les faits. Il s’était procuré ledit matériel « pour un prix modique » afin de surveiller la correspondance de deux docteurs. L’objectif : dénicher des courriels susceptibles de l’aider dans un litige qui l’opposait à un Professeur devant l’Ordre des médecins. Il a été démontré que son ordinateur portable et une clé USB contenaient des captures d’écran des ordinateurs des deux docteurs. La Cour d’appel d’Aix-en-Provence a condamné le prévenu à quatre mois d’emprisonnement avec sursis. Il s’est pourvu en cassation.


Mauvaise foi et motif légitime


Ce dernier conteste notamment le délit d’accès frauduleux à un système de traitement automatique de données au motif que le keylogger ne lui permettait pas « en lui-même l’accès aux données contenues dans un ordinateur mais seulement la capture des caractères frappés sur le clavier ». En outre, il soulève que les deux ordinateurs en question étaient « à la disposition de tous les employés du service ». Résultat : le caractère frauduleux de l’accès à des données non confidentielles ne peut pas être constitué. Si le prévenu reconnaît l’emploi d’un enregistreur de frappe, il plaide la bonne foi et avance un motif légitime. Cela aurait été le seul moyen selon lui de se défendre contre les « manoeuvres » du Professeur qui voulait l’évincer de son poste.

La juridiction suprême de l’ordre judiciaire rejette ces arguments. D’une part, les mobiles soulevés sont indifférents à la caractérisation de l’infraction. Le simple fait d’installer un dispositif d’espionnage pour, entre autres, récupérer des codes d’accès suffit à démontrer la mauvaise foi du prévenu. D’autre part, l’article 323-3-1 du Code pénal définit le périmètre du « motif légitime ». Il doit avoir pour objet la « recherche » ou la « sécurité informatique ». La Cour de cassation précise : seules les « personnes habilitées à assurer la maintenance et la sécurité d’un parc informatique et agissant aux seuls fins prévues par leurs missions » sont autorisées à recourir à un tel outil. Cela exclut les « simples utilisateurs des ordinateurs ». Autrement dit, la défense de sa réputation et de sa situation professionnelle devant l’Ordre des médecins ne constituent pas un motif légitime. Par conséquent, la Cour de cassation confirme sur ce point l’arrêt de la Cour d’appel.

En définitive, nul doute que la portée de cette arrêt va bien plus loin que la seule situation professionnelle. Par exemple, les sociétés proposant ce type de service pour surveiller un proche sont bien dans le collimateur de cette décision de la Cour de cassation.

Article rédigé par Thierry Randretsa

Nous contacter
Les champs indiqués par un astérisque (*) sont obligatoires
Nous contacter
Les champs indiqués par un astérisque (*) sont obligatoires