Dans une décision publiée aujourd’hui (6B_1207/2018), le Tribunal fédéral confirme que celui qui accède à une messagerie électronique au moyen d’un mot de passe trouvé se rend coupable d’accès indu à un système informatique, quelles que soient les circonstances qui entourent l’obtention du mot de passe.

Un mot de passe oublié

L’affaire est assez simple. Un couple se sépare, Monsieur laisse une carte avec le mot de passe de sa messagerie électronique (Gmail) dans un tiroir du bureau de l’appartement occupé précédemment par la couple, Madame trouve la carte, se connecte à de multiples reprises à la messagerie et télécharge notamment des images.

Condamnée par le Tribunal cantonal argovien à une peine pécuniaire de 30 jours-amende avec sursis pendant 2 ans et à une amende de 300.- pour accès indu à un système informatique (143bis al. 1 CP), elle recourt jusqu’au Tribunal fédéral, considérant qu’elle n’a pas déployé une énergie criminelle accrue, à l’image d’un « hacker », ce qui serait nécessaire pour la condamner. Au contraire, elle a obtenu le mot de passe sans la moindre manœuvre frauduleuse de sa part, dans un tiroir auquel elle avait le droit d’accéder.

La manière d’obtenir le mot de passe n’est pas importante

La question qui se pose est celle de savoir si la manière d’obtenir le mot de passe joue un rôle et si l’accès a eu lieu sans droit, ou si au contraire étant en possession du mot de passe elle n’agissait pas sans droit. Il ne fait pour le reste aucun doute que les autres conditions sont remplies, puisqu’elle s’est introduite dans un système informatique (elle s’est connectée à la messagerie à de multiples reprises), la messagerie appartient à un tiers (son mari dont elle vit séparée) et a saisi le mot de passe lui permettant de passer outre le système de protection censé lui en empêcher l’accès.

Pour le Tribunal fédéral, peu importe qu’elle n’ait pas activement cherché à obtenir le mot de passe et qu’elle l’ait découvert par hasard. L’oubli par l’époux, dans l’ancien appartement conjugal, d’une carte sur laquelle est inscrit le mot de passe ne peut pas être interprété comme un consentement de sa part à l’accès par son épouse à sa messagerie électronique. L’accès a donc bel et bien lieu sans droit.

Cette jurisprudence est importante pour les cas de pishing et toutes les arnaques visant à obtenir des mots de passe, qu’il s’agisse d’escrocs se faisant passer pour des employés de banque dans le but d’obtenir des identifiants ebanking, ou de prétendus employés en charge de la maintenance informatique ou responsables de réseaux sociaux. Celui qui transmet son mot de passe à un tiers (l’escroc) qu’il prend pour un autre (l’employé de la banque) le lui remet certes volontairement (et dans l’erreur), mais l’escroc n’est pas pour autant autorisé à accéder au système informatique et peut être condamné sur la base de l’art. 143bis al. 1 CP.

Une erreur pas très crédible

Dans une dernière tentative de se disculper, l’épouse prétend avoir agi dans l’erreur croyant que l’accès à la messagerie de son époux n’était pas illégal. Elle a pourtant admis en procédure que ses doutes avaient été écartés par une demande qu’elle a faite à son beau-frère procureur dans un autre canton. Ses recherches sur le web («protection des données d’une adresse email privée», «mon épouse contrôle mes emails Suisse», «accès indu à un compte email pénalement condamnable? Suisse», etc.) montrent bien qu’elle ne pouvait pas douter du caractère illicite de son action.

Partage