aris on Fri, 11 Oct 2002 07:40:51 +0200 (CEST) |
[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]
[nettime-fr] Affaire Kitetoa vs Tati |
Le parquet défend un « pirate » pour une jurisprudence favorable aux internautes «Il semble inenvisageable d'instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés.» C'est par cette limpide explication que le parquet général de la cour d'appel de Paris, représenté par l'avocat général Etienne Madranges, a souligné pourquoi il fallait relaxer le journaliste qui administre le site internet Kitetoa.com. Ce dernier a été condamné le 13 février 2002 pour un «accès frauduleux» dans la vitrine web du vendeur de prêt-à-porter Tati, laissant apparaître des données privées non protégées de 4000 personnes. Pour le parquet général, conscient qu'une jurisprudence instable pourrait s'instaurer, découvrir une faille de sécurité et la prouver par la suite ne doit pas être assimilé à un acte de piratage informatique. D'où les «réquisitions aux fins de relaxe» du substitut. Le webmaster de Kitetoa a en effet été condamné par le tribunal de grande instance de Paris «au bénéfice du doute» écrit l'avocat général, puisque le juge a limité la peine à 1000 euros d'amende, alors qu'il risquait jusqu'à un an ferme. Il n'en reste pas moins que le délit est constitué («accès et maintien frauduleux») et qu'il fait donc jurisprudence. Après quelques hésitations, le parquet général a décidé d'interjeter appel le 3 avril dernier. Dans le rapport de police qui a servi de base à la condamnation, le webmaster était taxé de «pirate» et accusé de «vol de bases de données», alors que la faille du site internet Tati.fr ne nécessitait aucune manipulation autre que celle de cliquer avec son navigateur. Dans ses réquisitions, l'avocat général Madranges y revient allègrement en insistant: «En l'espèce, il apparaît clairement que le journaliste n'a utilisé aucune méthode de piratage. Il n'a pas cherché à "craquer" (...). Il n'est même pas établi qu'il ait cherché à tricher, à utiliser de façon abusive des fonctionnalités d'un logiciel en vente libre. Il a utilisé les fonctionnalités d'origine du logiciel Netscape, qui est, avec Microsoft Internet Explorer, l'un des deux grands logiciels de navigation sur internet, se contentant de cliquer sur les icônes apparaissant sur son écran. Une telle manipulation est accessible à tout internaute averti, non ingénieur, non technicien, non spécialisé, mais qui sait lire un mode d'emploi. Le caractère frauduleux de cette manipulation n'est pas établi par la procédure.» Nécessité de redéfinir l'infraction d'une base de données? Et de poursuivre: «Il s'agit en définitive de décider si l'accès par des moyens légaux au contenu d'un système dont on n'est ni le créateur, ni le détenteur ni l'exploitant, dans un but de curiosité, ou dans le souci d'en tester la fiabilité, surtout quand on est journaliste d'investigation, est punissable par la seule conscience que l'on a d'y être parvenu sans piratage, volontairement ou involontairement.» Le parquet général n'a pas manqué de souligner aussi ce qui ne nous avait pas échappé: la société Tati s'est montrée très négligeante sur la protection des données privées placées sous sa responsabilité, via son prestataire technique, une filiale du géant de la publicité Ogilvy. Jusqu'à cinq ans d'emprisonnement et 300000 euros d'amende: c'est ce que prévoit le code pénal si l'on ne protège pas ses bases de données cachant des données nominatives. «Cette infraction», poursuit le substitut général dans ses réquisitions, est «plus grave que celle reprochée au prévenu». Il s'agit clairement d'une «carence de la société Tati». Lors de l'audience, l'avocate de Tati, Me Grabli, citée dans un article de l'hebdomadaire Lesechos.net, a reconnu que le journaliste avait fait «un travail de service public (sic) en permettant à 4000 clients de protéger leur vie privée». Mais elle a plaidé «l'interdiction pour tout internaute, et quel qu'en soit le mobile, d'entrer et de séjourner dans un système sans autorisation». Quant au président du tribunal, il s'est interrogé: «N'a-t-on pas le devoir de cesser de se connecter dès lors que l'on a connaissance du contenu des données? Poursuivre la connexion ne revient-il pas à se maintenir dans la base?» Pour l'avocat général, la réponse est claire: «Lorsqu'une base de données est, par la faute de celui qui l'exploite, en accès libre (...), le seul fait d'en prendre connaissance (...) ne saurait constituer une infraction.» «Il en irait autrement si l'internaute "testeur" forçait un passage, réalisait un accès (...) par une manipulation de piratage nécessairement volontaire, intentionnelle, frauduleuse.» Verdict de la cour d'appel le 30 novembre. Jerome Thorel ZDNet France, Jeudi 10 octobre 2002, 19h00 < n e t t i m e - f r > Liste francophone de politique, art et culture liés au Net Annonces et filtrage collectif de textes. <> Informations sur la liste : http://nettime.samizdat.net <> Archive complèves de la listes : http://amsterdam.nettime.org <> Votre abonnement : http://listes.samizdat.net/wws/info/nettime-fr <> Contact humain : nettime-fr-owner@samizdat.net