Droit d’accès aux logs de connexion incluant des adresses IP

Par une ordonnance en référé du 17 juillet 2014, le TGI de Paris a fait droit à la demande d’une cliente d’un établissement bancaire d’accéder à l’historique des logs de connexion à ses comptes. En l’espèce, la cliente avait été mise en copie d’un email de la banque l’informant que son compte était débiteur, alors que le destinataire principal était un tiers. Suspectant une intrusion frauduleuse dans ses comptes en ligne, elle a demandé à la banque de lui fournir les logs de connexion, incluant les adresses IP. Toutefois, la banque estimait que les données en cause étaient celles du tiers et refusait donc d'accéder à sa demande. Le TGI a considéré "qu'en sollicitant la communication des logs de connexion de ses comptes en ligne, [la cliente] interroge[ait] sa banque sur l'accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles, et l’éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit que lui confère l’article 39-1 de la loi du 6 janvier 1978 d’obtenir que lui soient communiquées les données personnelles qu’elle sollicite".

Pour lire l'ordonnance sur Legalis.net

Rejet de la QPC sur l’article 323-3 du Code pénal

Dans un arrêt du 10 avril 2013, la Cour de cassation a dit ne pas avoir lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité posée sur l’article 323-3 du Code pénal relatif à l’infraction d’accès et de maintien frauduleux dans un système de traitement automatisé de données. Suite à sa condamnation dans une affaire de fraude informatique, un prévenu avait soulevé une QPC considérant que les dispositions de cet article allaient à l’encontre du principe de définition des délits et des peines. La Cour de cassation a jugé que la question ne présentait pas de caractère sérieux, les termes de cet article étant  « suffisamment clairs et précis pour que son interprétation et sa sanction, qui entrent dans l’office du juge pénal, puissent se faire sans risque d’arbitraire ».

Pour lire l’arrêt sur Legifrance.

Pas d’accès frauduleux à un système non sécurisé

Dans un jugement du 23 avril 2013, le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à l’extranet d’une agence nationale et y avait récupéré des documents dont l’accès n’était pas sécurisé. En effet, le Tribunal a retenu que « même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, (…), en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées (…) aux seules personnes autorisées ». Le prévenu a donc pu légitimement penser que les données qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système. Le Tribunal retient également que le fait d’avoir téléchargé et enregistré des fichiers informatiques sur plusieurs supports ne constituait pas une soustraction frauduleuse de la chose d’autrui, ces données étant restées disponibles et accessibles à tous sur le serveur.

Pour lire le jugement sur Legalis.net.

Intrusion frauduleuse dans un STAD : relaxe d’EDF

Dans un arrêt du 6 février 2013, la Cour d’appel de Versailles a relaxé, pour manque de preuve, le responsable de mission du groupe EDF, condamné en première instance pour recel et complicité d’accès et de maintien frauduleux dans un système de traitement automatisé de données (STAD). L’arrêt retient en revanche la culpabilité de son adjoint, chargé de mission de la sécurité du parc nucléaire. Or, ce dernier n’ayant pas agi comme organe ou représentant de son employeur, la Cour d’appel a jugé que la responsabilité pénale du groupe ne pouvait être engagée et a donc relaxé EDF pour les faits reprochés.

Pour lire l’arrêt sur Legalis.net

EDF condamné pour intrusion frauduleuse dans un STAD

Par jugement du 10 novembre 2011, le Tribunal correctionnel de Nanterre a condamné EDF à une amende de 1.5 millions d’euros et l’un des responsables de la sécurité du groupe à trois ans de prison dont deux avec sursis pour recel et complicité d’accès et de maintien frauduleux dans un système de traitement automatisé de données. En l’espèce, le responsable de la sécurité d’EDF avait fait appel à une société d’intelligence économique afin de placer sous surveillance les ordinateurs et systèmes de messagerie électronique de Greenpeace. Pour accéder à la décision sur Legalis.net