Intervention de Isabelle Attard

Un internaute a été condamné pour avoir accédé à des documents qui étaient librement disponibles en ligne. Qui peut accéder à quel type de données ? C'est une question cruciale. Peut-on vraiment punir un internaute qui a obtenu des données accessibles et dont il ignorait qu'elles étaient protégées ?

Le cas est précis : le journaliste Bluetouff a été condamné pour s'être maintenu dans un extranet non sécurisé de l'Agence nationale de sécurité sanitaire, de l'alimentation, de l'environnement et du travail (ANSES). L'extranet était mal sécurisé, et l'ensemble des fichiers étaient accessibles, simplement, depuis un moteur de recherche. Le journaliste avait été relaxé en avril 2013 par le tribunal correctionnel de Créteil, qui estimait que l'ANSES avait manifestement mal sécurisé son réseau. La cour d'appel de Paris a pourtant condamné le journaliste, puis la Cour de cassation a rejeté son pourvoi.

Les juges ont à cette occasion renversée la jurisprudence Kitetoa – cour d'appel de Paris, 30 octobre 2002 – qui mettait à la charge du responsable de traitement une obligation de sécurisation minimale de son site. Sinon, comment peut-on savoir que l'on entre dans un endroit interdit ?

C'est pourquoi mon amendement CL247 vise à consacrer dans la loi cette jurisprudence : le responsable du traitement ne peut reprocher à un utilisateur d'accéder à un système de traitement automatisé de données s'il ne l'a pas a minima sécurisé. Cet amendement vise donc à renverser la récente jurisprudence.