Nos anciens articles (novembre 2014) – Une donnée est un bien selon la Cour de cassation : et si l’intérêt de la décision était ailleurs ?

La décision de la Chambre criminelle de la Cour de cassation du 22 octobre 2014 fait couler un peu d’encre (virtuelle) depuis qu’elle est rendue publique, celle-ci ayant validé la répression, par le biais de l’abus de confiance, de « l’exfiltration » de données professionnelles par un salarié démissionnaire.

A cette occasion, les commentateurs ont mis en avant le fait que la Cour de cassation avait qualifié de « biens » des données informatiques.

Mais avant d’y revenir, rappelons dans le détail les faits de l’affaire : un salarié démissionnaire s’apprêtant à rejoindre une société concurrente s’était envoyé depuis sa messagerie professionnelle vers sa messagerie personnelle 305 fichiers informatisés entre le 5 et le 10 octobre 2011, le tout scindé en 54 messages. Par la suite, une perquisition amenait à la découverte à son domicile de 13 clés USB portant la dénomination de son ancien employeur et refermant 9824 fichiers et documents de la société. Il  avait avoué à cette occasion vouloir alimenter un fonds documentaire personnel, mais également actualiser de chez lui un certain nombre de documents (en travail à domicile, une pratique selon lui généralisée dans l’entreprise).

Or, il avait signé le 22 mai 2003 une « charte pour l’utilisation des ressources informatiques et des services Internet » lui rappelant l’interdiction d’extraire ces données ou de les reproduire sur d’autres supports informatiques sans l’accord préalable d’un responsable de service et de les détourner enfin de leur utilisation normale à des fins personnelles.

Poursuivi pour abus de confiance, mais également pour vol, il fut relaxé en première instance. Condamné par la Cour d’appel de Bordeaux pour abus de confiance, il s’était alors pourvu en cassation, ce qui a donné lieu à la présente décision de rejet.

Une donnée est un bien au sens de l’article 314-1 : une nouveauté ? une surprise ?

A bien y regarder, l’affirmation de la Cour de cassation selon laquelle une donnée est un bien au sens de l’article 314-1 du Code pénal, c’est-à-dire susceptible de faire d’un abus de confiance, n’est en rien une découverte, ni une nouveauté. On est ainsi très loin d’une qualification de la donnée – donc de l’information – comme bien susceptible d’être volé, qualification que beaucoup attendent par ailleurs.

C’est notamment la raison pour laquelle la décision n’est pas publiée au bulletin de la Cour de cassation. Ainsi, si l’on regarde à la fois le texte et les décisions de jurisprudence concernant l’abus de confiance, la décision du 22 octobre 2014 mentionnée ici, s’inscrit en parfaite harmonie :

– rappelons que le texte de l’article 314-1 du Code pénal réprime « le fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé » ;

– et que la chambre criminelle de la Cour de cassation a eu l’occasion de déterminer que ces dispositions ne s’appliquent pas seulement qu’à des biens corporels.  Ainsi, par ce « bien quelconque », on peut entendre un numéro de carte bancaire (arrêt du 14 novembre 2000 publié au bulletin), un fichier de clientèle (arrêt du 16 novembre 2011 publié au bulletin) ou encore une connexion internet (arrêt du 19 mai 2004 publié au bulletin).

Un apport : la charte comme preuve de l’intention frauduleuse

La décision révèle pourtant tout son intérêt lorsque l’on s’intéresse non pas à la nature même de ce qui a été détourné, mais à la manière dont ces informations étaient protégées. Les fichiers en effet provenaient de l’intranet de la société et formaient une bonne part de son patrimoine informationnel. Raison pour laquelle cette base n’était accessible que depuis l’interne et que son utilisation était strictement encadrée par une « charte pour l’utilisation des ressources informatiques et des services Internet » rappelant l’importance de la confidentialité de ces informations.

La Cour d’appel, se livrant à la qualification juridique des éléments de fait présentés devant elle, avait déterminé que la « consultation de ces données sur un site commun ou sécurisé par différents mots de passe rend chaque utilisateur détenteur précaire des informations confidentielles qui y sont diffusées« .

A ce titre, la charte, en précisant les conditions strictes d’utilisation des données de cette base et des conditions de leur reproduction, renforce la connaissance par le salarié de cette possession précaire et de son usage purement professionnel, qu’il ne peut plus nier.

Compte tenu de ces éléments, la copie par le salarié de fichiers professionnels pour alimenter un fonds documentaire personnel constitue un détournement à son profit, puisqu’il se comporte comme propriétaire de ces données et non plus comme détenteur précaire : l’utilisation des données est donc contraire aux finalités de sa remise.

Qu’importe que les informations n’aient pas été divulguées et donc n’aient pas entraîné de préjudice financier immédiat : le préjudice naît du seul constat du risque d’utilisation contraire aux finalités spécifiées pour la Cour d’appel. On ne peut qu’approuver si l’on dresse le lien avec les règles applicables aux données à caractère personnel : si des données à caractère personnel avaient été détournées ainsi par le futur ex-salarié (devenu tiers non autorisé), l’employeur aurait été responsable en tant que responsable de traitement du défaut de sécurité lié à cette divulgation.

Le fait que le salarié envoie par sa messagerie, assimilé à des « captations clandestines » par la Cour d’appel, caractérise dès lors les éléments matériel et intentionnel de l’abus de confiance et justifie sa condamnation à une amende de 10 000 euros.

Pour la Cour de cassation, la messe est dite : « la cour d’appel, qui a caractérisé en tous ses éléments, tant matériel qu’intentionnel, le délit d’abus de confiance, a justifié sa décision« .

L’élément à retenir de cette décision sera donc qu’une fois encore, la charte pour l’utilisation des ressources informatiques et des services Internet apparaît comme un document préalable fondamental pour fonder la preuve d’agissements délictueux d’un salarié et permettre sa sanction. Mise en avant aussi bien par la CNIL, qui en fait un instrument nécessaire pour la régulation de la sécurité des systèmes d’information, que par nombre de décisions de jurisprudence, la charte reste donc un document essentiel dont la rédaction doit être soignent soupesée.

La Cour de cassation a en effet rappelé que toute restriction de contrôle que se serait imposée l’employeur dans ce document (audit de certains messages, etc.) s’applique dans toute sa rigueur… et rend illicite tout contrôle qui ne respecterait pas les limites prévues.

En conclusion, la présente décision de la chambre sociale de la Cour de cassation n’apporte rien de neuf… mais elle a le mérite de mettre en lumière une décision d’appel largement passée inaperçue et qui mentionne quelques éléments intéressants pour la protection des informations confidentielles (donc du patrimoine informationnel) de l’employeur.

Crédits photo : © eldeiv – Fotolia.com