FOCUS – Le vol d’information

L’information constitue un élément majeur de la compétitivité des entreprises et est considérée comme un actif stratégique à forte valeur que les entreprises doivent apprendre à protéger.

Si l’on parle communément de vol d’information lorsqu’un ancien salarié indélicat télécharge un fichier-client pour le réutiliser auprès de son nouvel employeur, qu’un employé détourne des correspondances électroniques qui ne lui sont pas destinées ou encore qu’un tiers s’introduit dans un STAD (Système de Traitement Automatisé de Données) et copie des documents confidentiels, le vol d’information n’est pourtant pas une qualification juridique reconnue en tant que telle par le code pénal français.

De récentes évolutions jurisprudentielles et législatives ont toutefois conduit à une reconnaissance, sous certaines conditions, de cette infraction.

1. Le vol du support matériel de l’information, condition de la reconnaissance du vol d’information

Le vol est défini à l’article 311-1 du code pénal comme étant « la soustraction frauduleuse de la chose d’autrui ».

Pour que l’incrimination de vol soit retenue, il faut être en présence d’une chose matérielle susceptible d’appropriation qui doit pouvoir être soustraite à son propriétaire : le voleur doit en effet pouvoir s’emparer physiquement d’un objet pour le soustraire à la possession de son propriétaire légitime et ainsi se comporter en propriétaire de fait.

Le vol d’information n’a ainsi longtemps été possible que lorsque le support matériel de l’information avait fait l’objet d’une soustraction. En l’absence d’attente au support contenant cette information, la qualification de vol ne pouvait être retenue.

En ce sens, la jurisprudence a pu considérer la photocopie d’informations appartenant à l’entreprise comme étant un vol de documents pendant le temps nécessaire à leur reproduction puisque leur propriétaire n’était plus en possession des éléments pendant cette durée.

La qualification de vol peut-elle être adaptée à l’information qui est une chose immatérielle qui n’est pas soustraite à son propriétaire mais reproduite sans que celui-ci en soit dépossédé ? En effet, lorsqu’un hacker s’introduit dans un STAD, il reproduit les données sans en déposséder le propriétaire. Il n’y a donc ni soustraction de l’information ni dépossession du propriétaire légitime, de sorte que la qualification de vol a longtemps été considérée comme impossible par les tribunaux.

2. La reconnaissance du vol d’information sans support par la jurisprudence

S’il existe des obstacles juridiques à la reconnaissance du vol d’information du fait de l’absence de soustraction de la chose immatérielle notamment, la dématérialisation des échanges et la possibilité pour un tiers de s’approprier une information à l’insu de son propriétaire ont conduit la jurisprudence à reconnaitre le vol d’information sans support.

Par un arrêt du 20 mai 2015, la Cour de cassation reconnait le vol d’informations en retenant que le prévenu, qui s’est maintenu frauduleusement dans un STAD et y a téléchargé des fichiers puis les a fixé sur des supports avant de les diffuser, « a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire » reprenant ainsi la notion de « soustraction » exigée à l’article 311-1 du code pénal mais en supprimant la condition de dépossession du propriétaire légitime. La Cour considère toutefois que le vol d’information n’est constitué que si celui qui a téléchargé les données après s’être introduit dans un STAD les a utilisées. Dès lors, le simple téléchargement ne suffit pas à constituer le vol: si le vol d’une information sans support matériel est punissable, c’est uniquement à la condition que cette information ait été utilisée.

Pour que les tribunaux admettent le vol d’information, il ne suffit donc pas, pour que la soustraction se produise, que le prévenu accède indument à l’information et prenne connaissance de son contenu, il est également nécessaire qu’il utilise l’information.

3. La création d’un délit spécifique

Cette évolution jurisprudentielle n’aura, in fine, qu’un impact limité puisque la loi du 13 novembre 2014 relative à la lutte contre le terrorisme et la loi du 24 juillet 2015 relative au renseignement ont modifié l’article 323-3 du Code pénal qui réprime désormais le fait « d’extraire, de détenir, de reproduire, de transmettre » frauduleusement les données d’un STAD.

Il n’est dès lors plus ici question de « soustraction » de l’information ou de son support matériel, ou même d’utilisation de cette information pour que le délit soit constitué, la simple extraction frauduleuse d’une donnée pouvant désormais être punie de cinq ans d’emprisonnement et de 150 000 € d’amende.

Le législateur a ainsi entendu consacrer le vol d’information en distinguant toutefois le vol de données, qui est sanctionné par l’article 323-3 du code pénal, du vol d’une chose matérielle qui reste sanctionné par l’article 311-1 du même code.

Il est à noter que le vol de données réprimé par l’article 323-3 du code pénal est plus sévèrement sanctionné que le vol classique qui est puni de trois ans d’emprisonnement et 45 000 € d’amende

Si le « vol d’information » n’est pas reconnu en tant que tel dans notre droit, le récent délit d’« extraction de données » permet de sanctionner efficacement l’atteinte à des informations stockées dans un STAD.

Les entreprises sont en tout état de cause loin d’être démunies en matière de protection de leur patrimoine informationnel grâce, en amont, à des mesures contractuelles et techniques qui doivent être mises en place afin de prévenir certaines atteintes et grâce à un cadre juridique relativement complet (directive sur le secret d’affaires, loi Informatique et Libertés pour la protection des données personnelles, droit de la propriété intellectuelle pour la protection des œuvres de l’esprit, action en concurrence déloyale, etc.) qui permet de sanctionner les atteintes à l’information et aux données.