Il n’est pas rare en droit qu’une loi promulguée dans l’emballement médiatique et l’émotion à la suite d’un évènement majeur produise des effets de bord qui n’étaient pas nécessairement perçus lors de son vote. Parfois, ces effets de bord sont positifs et peuvent débloquer des situations juridiques sur lesquelles les praticiens peinaient au quotidien. Ils peuvent aussi amener à reconsidérer des clauses fondées sur les textes ainsi remodelés, en l’occurrence ici des clauses de garanties d’assurance.

Il en est ainsi de la loi du 13 novembre 2014 qui, sous couvert de réprimer le terrorisme, vient de modifier l’article 323-3 du code pénal sans nécessairement avoir pris conscience de l’importance que cette modification pouvait avoir en faveur de la reconnaissance juridique du vol de données informatiques.

Le problème n’est pas nouveau. Alors que dans le langage courant on parle régulièrement aussi bien de « vols de données personnelles » de clients, commis au détriment d’opérateurs téléphoniques désormais tenus de déclarer les incidents de sécurité, que de « vols de données confidentielles » dans des grandes entreprises qui s’apparentent plutôt à de l’espionnage industriel, le terme de « vol » ne reflétait pas la réalité de la qualification juridique. En effet, la notion de vol de données n’entre pas parfaitement dans la définition du vol dans le code pénal (article 311-1) puisqu’il faut constater la « soustraction frauduleuse de la chose d’autrui ». Or dans un vol de données, celles-ci ne sont pas soustraites mais extraites, reproduites ou recopiées. En demeurant à la disposition de leur légitime propriétaire, celui-ci ne peut donc pas déposer plainte pour « vol », infraction du code Napoléon qui lie le vol à la disparition matérielle du bien.

Ce n’est pourtant pas faute pour les juridictions d’avoir tenté d’appréhender la soustraction d’un élément incorporel comme des données ou une information, et ce sous différents fondements juridiques.

Sur le fondement de l’article 311-1 du code pénal

Dans la stricte application de la loi pénale, le tribunal de grande instance de Créteil avait rappelé dans sa décision du 23 avril 2013 qu’ « en l’absence de toute soustraction matérielle de documents (…), le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques (du légitime propriétaire) qui n’en a jamais été dépossédé, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose ». Néanmoins, la cour d’appel de Paris avait infirmé ce jugement le 5 février 2014 en considérant au contraire que le vol de données était bien caractérisé par le fait de réaliser « des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ». La décision d’appel a fait l’objet d’un pourvoi en cassation.
Sur le fondement de l’article 226-17 du code pénal

Lorsque l’on est victime d’un vol de données, si les données copiées sont des données personnelles au sens de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, le recours à l’article 226-18 du code pénal (collecte frauduleuse de données personnelles) pourrait être envisageable.

Sur le fondement de l’article L341-1 du code de la propriété intellectuelle

Si c’est une base de données qui a été recopiée, son propriétaire peut réclamer la protection accordée par l’article L341-1 du code de la propriété intellectuelle, mais seulement si la constitution de la base a nécessité un investissement substantiel.

Sur le fondement de l’article 314-1 du code pénal

Le 22 octobre 2014, dans une affaire de détournement de fichiers par un salarié, la Cour de cassation a validé la condamnation pour abus de confiance. Toutefois il faut rappeler que l’article 314-1 du code pénal définit l’abus de confiance comme « le fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé ». N’étant pas des fonds ou des valeurs, on en déduit que la Cour de cassation a considéré dans cette cause que les données étaient des biens.

Mais avec la modification de l’article 323-3 du code pénal par l’article 16 de la loi antiterroriste du 13 novembre 2014, toutes ces discussions vont pouvoir enfin s’apaiser. Rappelons que cet article, créé par la loi Godfrain de 1988, réprimait jusqu’alors l’introduction frauduleuse de données dans un système de traitement automatisé de données, leur modification ou leur suppression. Désormais, sont également interdits les faits « d’extraire, de détenir, de reproduire ou de transmettre » frauduleusement des données. La sanction encourue est de cinq ans de prison et 75.000 euros d’amende, et est portée à sept ans et 100.000 euros s’il s’agit de données personnelles volées dans un système d’information de l’Etat.

La nouvelle rédaction de l’article 323-3 présente deux conséquences immédiates En premier lieu, elle permet de réprimer à l’avenir plus efficacement les vols de données informatiques et clôt les débats sur l’applicabilité ou non de l’article 311-1 sur le vol matériel. En second lieu, en intégrant le vol de données dans le chapitre relatif aux diverses atteintes aux systèmes d’information et en adoptant des sanctions supérieures à celles du vol « traditionnel » qui ne sont que de trois ans de prison et 45.000 euros d’amende (article 311-3), le nouvel article 323-3 démontre que le législateur a entendu protéger les valeurs immatérielles avec plus de force qu’il n’a jusqu’à présent protégé les biens matériels.

Reste une conséquence complémentaire qui est la question de savoir si cette modification peut avoir un impact sur les clauses des contrats d’assurance en vigueur.

En effet, jusqu’à présent les assureurs se réfugiaient derrière le code pénal pour limiter leurs garanties « fraude malveillance » aux seules atteintes aux systèmes de traitement automatisé de données au sens de la loi Godfrain à laquelle ils faisaient référence dans leurs clauses de garanties.

On peut donc s’interroger si à la faveur de ce changement législatif les contrats actuels censés garantir l’atteinte aux systèmes ne vont pas ipso facto se trouver garantir l’atteinte aux données, non seulement du fait de leur suppression, de leur introduction ou de leur modification, mais également désormais du fait de leur extraction, de leur détention, de leur reproduction ou de leur transmission frauduleuse, avec l’indemnisation des conséquences pécuniaires y attachées ou en résultant.

Une extension de garantie offerte par le législateur. Reste à veiller aux modifications des clauses d’assurance à venir.