En relaxant Bluetouff, qui était poursuivi pour avoir téléchargé des données qui auraient dû rester confidentielles, le tribunal correctionnel de Créteil a indiqué qu'il n'était pas possible de sanctionner le fait d'accéder librement à des données qui n'étaient pas sécurisées.

On ne peut pas être accusé d'accéder frauduleusement à des données qui étaient librement accessibles. C'est logique, mais il fallait qu'un tribunal le dise. PC Inpact révèle ainsi que le blogueur et activiste Bluetouff, qui écrit sur le site Reflets.info, a été relaxé mardi par le tribunal correctionnel de Créteil. Il y comparaissait pour avoir publié une sélection de documents en principe confidentiels, issus de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES), auxquels il avait pu accéder sans la moindre difficulté.

Bluetouff avait en effet expliqué dans un article publié en septembre 2012 avoir mis la main au total sur 7,7 Go de données relatives à la santé publique, extraites du serveur extranet de l'ANSES. Il les avaient découvertes très simplement, sans avoir à opérer le moindre piratage, parce qu'elles étaient à ce moment-là indexées par Google, alors qu'elles auraient dû être protégées par un système d'identification obligatoire.

"Après avoir analysé les journaux de connexions du serveur extranet et du firewall de l’ANSES, la DCRI (Direction Centrale du Renseignement Intérieur) a analysé les adresses IP à partir desquelles avaient été réalisés des téléchargements de fichiers les 27 et 28 août 2012. L’une d’entre elles renvoyait au Panama, et provenait en fait d’un serveur informatique hébergeant une solution VPN qui appartenait justement à une société dirigée par Olivier Laurelli, également connu sous le nom de Bluetouff", explique PC Inpact. "S’en est suivie une perquisition ainsi qu’une garde à vue – prolongée une fois de 24 heures – au cours de laquelle l’intéressé a expliqué avoir pu accéder et télécharger ces données suite à une simple recherche Google, sans qu’il n’y ait eu quelconque notification de l’appartenance ou de la confidentialité des informations en question".

Malgré les explications fournies par l'intéressé, le parquet a tout de même souhaité poursuivre Bluetouff pour "accès et maintien frauduleux à tout ou partie d'un système de traitement automatisé de données", un délit prévu par l'article 323-1 du code pénal, puni jusqu'à deux ans de prison et 30 000 euros d'amende. Il était également poursuivi pour "vol" de données (ce qui n'a aucune cohérence juridique s'agissant d'une duplication de données), ce qui était puni de trois ans d'emprisonnement et 45 000 euros d'amende. Il est étonnant que le parquet n'ait pas préféré poursuivre sur le chef de la contrefaçon de données, qui avait beaucoup plus de chances d'aboutir.

Mais constatant qu'il n'y avait eu ni vol ni accès frauduleux, le tribunal a relaxé en toute logique.

Dans le même genre d'affaires, la société nantaise TMG, qui collecte les adresses IP des internautes avertis par l'Hadopi, avait menacé en 2011 de porter plainte – déjà contre Bluetouff, après la divulgation de données qu'elle avait négligé de sécuriser. Finalement, TMG avait retiré sa plainte, a elle-même fait l'objet d'une procédure d'enquête par la CNIL (qui n'a pas abouti à une sanction malgré la sévérité du constat).

Partager sur les réseaux sociaux

Articles liés