En août 2012, un blogueur expert en sécurité informatique, Monsieur O.L. alias « Bluetouff », a effectué une recherche complexe sur Google. Au hasard de sa recherche, il a découvert des documents scientifiques sensibles, en principe confidentiels, de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). Il a alors décidé de télécharger près de 8 Go de données disponibles, depuis un VPN lui appartenant au Panama, puis d’en publier une infime partie (250 Mo) sur le site Reflets.info pour les besoins d’un article sur la légionellose. En effet, une erreur de paramétrage du serveur hébergeant l’extranet de l’ANSES avait rendu possible le téléchargement de l’ensemble desdits fichiers présents sur ce serveur.
L’ANSES a alors décidé de porter plainte. Cette dernière étant considérée par l’Etat comme un Opérateur d’Importance Vitale (OIV), l’enquête a été confiée à la Direction Générale de la Sécurité Intérieure (DGSI), laquelle a saisi le matériel informatique du blogueur et l’a placé en garde à vue pendant 30 heures.
Par jugement en date du 23 avril 2013, le Tribunal de Grande instance de Créteil a relaxé le blogueur jugeant que ce dernier n’avait pas commis de piratage. Le Procureur de la République a alors interjeté appel de cette décision, l’ANSES s’étant finalement désistée de sa plainte.
Par suite, la Cour d’appel de Paris a, dans un arrêt du 5 février 2014, condamné le blogueur à une peine d’amende de 3.000 euros pour maintien frauduleux dans un système de traitement automatisé de données (STAD) et vol de fichiers informatiques, avec inscription de la condamnation au bulletin n°2 de son casier judiciaire. Ce dernier s’est alors pourvu en cassation.
La Chambre criminelle de la Cour de cassation a, dans son arrêt du 20 mai 2015 (publié au Bulletin), confirmé la condamnation prononcée par la Cour d’appel à l’encontre du blogueur. Pour la Cour, ce dernier s’était maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire. En conséquence, les Haut Magistrats ont estimé que la Cour d’appel, qui a caractérisé les délits en tous leurs éléments, a correctement justifié sa décision.
D’une part, la Cour de cassation a estimé qu’il y a bien eu maintien frauduleux dans un STAD, même s’il n’y a eu aucune manœuvre frauduleuse de la part du blogueur. Malgré la reconnaissance d’une faille technique dans un STAD de cet organisme, opérateur d’importance vitale (OIV), la Cour a adhéré à la position des juges du fond selon laquelle le blogueur avait eu conscience de s’être maintenu sans droit dans le système, après avoir constaté l’existence d’un contrôle d’accès et la nécessité d’une authentification par identifiant et mot de passe.
La Cour de cassation a ainsi précisé la définition de la fraude informatique en retenant qu’il suffit que le pirate ait eu connaissance de la présence d’un système de protection (par identifiant et mot de passe) pour que soit retenu le délit de piratage informatique, même si ledit système a été contourné par la simple utilisation d’un moteur de recherche.
D’autre part, elle a également approuvé la Cour d’appel qui avait estimé que le prévenu s’était rendu coupable de vol de fichiers informatiques, en copiant des fichiers normalement inaccessibles au public et à l’insu de l’ANSES, faisant dès lors une interprétation extensive de l’article 311-1 du Code pénal qui dispose que le vol est la soustraction frauduleuse de la chose d’autrui.
L’avocat du blogueur a depuis annoncé son intention de saisir la Cour européenne des droits de l’homme (CEDH).