aris on Fri, 11 Oct 2002 07:40:51 +0200 (CEST)


[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]

[nettime-fr] Affaire Kitetoa vs Tati


Le parquet défend un « pirate » pour une jurisprudence
favorable aux internautes


«Il semble inenvisageable d'instaurer une jurisprudence répressive dont il
résulterait une véritable insécurité permanente, juridique et judiciaire,
pour les internautes, certes avisés, mais de bonne foi, qui découvrent les
failles de systèmes informatiques manifestement non sécurisés.»

C'est par cette limpide explication que le parquet général de la cour
d'appel de Paris, représenté par l'avocat général Etienne Madranges, a
souligné pourquoi il fallait relaxer le journaliste qui administre le site
internet Kitetoa.com. Ce dernier a été condamné le 13 février 2002 pour un
«accès frauduleux» dans la vitrine web du vendeur de prêt-à-porter Tati,
laissant apparaître des données privées non protégées de 4000 personnes.
Pour le parquet général, conscient qu'une jurisprudence instable pourrait
s'instaurer, découvrir une faille de sécurité et la prouver par la suite ne
doit pas être assimilé à un acte de piratage informatique. D'où les
«réquisitions aux fins de relaxe» du substitut.

Le webmaster de Kitetoa a en effet été condamné par le tribunal de grande
instance de Paris «au bénéfice du doute» écrit l'avocat général, puisque le
juge a limité la peine à 1000 euros d'amende, alors qu'il risquait jusqu'à
un an ferme. Il n'en reste pas moins que le délit est constitué («accès et
maintien frauduleux») et qu'il fait donc jurisprudence. Après quelques
hésitations, le parquet général a décidé d'interjeter appel le 3 avril
dernier. 

Dans le rapport de police qui a servi de base à la condamnation, le
webmaster était taxé de «pirate» et accusé de «vol de bases de données»,
alors que la faille du site internet Tati.fr ne nécessitait aucune
manipulation autre que celle de cliquer avec son navigateur. Dans ses
réquisitions, l'avocat général Madranges y revient allègrement en insistant:
«En l'espèce, il apparaît clairement que le journaliste n'a utilisé aucune
méthode de piratage. Il n'a pas cherché à "craquer" (...). Il n'est même pas
établi qu'il ait cherché à tricher, à utiliser de façon abusive des
fonctionnalités d'un logiciel en vente libre. Il a utilisé les
fonctionnalités d'origine du logiciel Netscape, qui est, avec Microsoft
Internet Explorer, l'un des deux grands logiciels de navigation sur
internet, se contentant de cliquer sur les icônes apparaissant sur son
écran. Une telle manipulation est accessible à tout internaute averti, non
ingénieur, non technicien, non spécialisé, mais qui sait lire un mode
d'emploi. Le caractère frauduleux de cette manipulation n'est pas établi par
la procédure.»


Nécessité de redéfinir l'infraction d'une base de données?


Et de poursuivre: «Il s'agit en définitive de décider si l'accès par des
moyens légaux au contenu d'un système dont on n'est ni le créateur, ni le
détenteur ni l'exploitant, dans un but de curiosité, ou dans le souci d'en
tester la fiabilité, surtout quand on est journaliste d'investigation, est
punissable par la seule conscience que l'on a d'y être parvenu sans
piratage, volontairement ou involontairement.»

Le parquet général n'a pas manqué de souligner aussi ce qui ne nous avait
pas échappé: la société Tati s'est montrée très négligeante sur la
protection des données privées placées sous sa responsabilité, via son
prestataire technique, une filiale du géant de la publicité Ogilvy. Jusqu'à
cinq ans d'emprisonnement et 300000 euros d'amende: c'est ce que prévoit le
code pénal si l'on ne protège pas ses bases de données cachant des données
nominatives. «Cette infraction», poursuit le substitut général dans ses
réquisitions, est «plus grave que celle reprochée au prévenu». Il s'agit
clairement d'une «carence de la société Tati».

Lors de l'audience, l'avocate de Tati, Me Grabli, citée dans un article de
l'hebdomadaire Lesechos.net, a reconnu que le journaliste avait fait «un
travail de service public (sic) en permettant à 4000 clients de protéger
leur vie privée». Mais elle a plaidé «l'interdiction pour tout internaute,
et quel qu'en soit le mobile, d'entrer et de séjourner dans un système sans
autorisation». Quant au président du tribunal, il s'est interrogé: «N'a-t-on
pas le devoir de cesser de se connecter dès lors que l'on a connaissance du
contenu des données? Poursuivre la connexion ne revient-il pas à se
maintenir dans la base?»

Pour l'avocat général, la réponse est claire: «Lorsqu'une base de données
est, par la faute de celui qui l'exploite, en accès libre (...), le seul
fait d'en prendre connaissance (...) ne saurait constituer une infraction.»
«Il en irait autrement si l'internaute "testeur" forçait un passage,
réalisait un accès (...) par une manipulation de piratage nécessairement
volontaire, intentionnelle, frauduleuse.»

Verdict de la cour d'appel le 30 novembre.

Jerome Thorel

ZDNet France, Jeudi 10 octobre 2002, 19h00

 
 
< n e t t i m e - f r >
 
Liste francophone de politique, art et culture liés au Net  
Annonces et filtrage collectif de textes.
 
<>  Informations sur la liste : http://nettime.samizdat.net
<>  Archive complèves de la listes : http://amsterdam.nettime.org
<>   Votre abonnement : http://listes.samizdat.net/wws/info/nettime-fr
<>  Contact humain : nettime-fr-owner@samizdat.net