Le piratage informatique commis par des salariés : le cas EDF / Greenpeace

Publié le 15/04/2013 - CIO Online - E. Papin

Cette jurisprudence récente vient placer des limites dans la responsabilité de la hiérarchie et de l’entreprise en cas de délits commis par des salariés. Tribune réalisée en collaboration avec Stéphanie Foulgoc, avocate au cabinet Cabinet Feral-Schuhl / Sainte-Marie.

Quel moyen plus efficace pour contrôler l’activité de ses concurrents ou de ses opposants qu’une intrusion, à leur insu, dans leur système informatique, permettant la consultation de documents et d’emails ? Faut-il rappeler que de tels actes sont constitutifs d’une infraction pénale. Le cas EDF / Greenpeace est exceptionnel et mérite que l’on s’y intéresse.

Le tribunal correctionnel de Nanterre avait condamné deux employés du service de sécurité des parcs nucléaires d’EDF à de la prison ferme, et la société à une amende civile. En appel, la Cour de Versailles, par un arrêt du 6 février dernier, a finalement condamné uniquement le chargé de mission, mais relaxé son supérieur hiérarchique et EDF. L’affaire est riche en enseignements, tant sur les moyens mis en oeuvre pour appréhender les actes de piratage informatiques, que sur la responsabilité d’une société pour ce type d’actes commis par des salariés.

Le piratage informatique, une infraction pénale dont la sanction est peu fréquente

L’article 323-1 du Code pénal dispose que « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 € d’amende. (…) ». Cette infraction créée par la loi Godfrain de 1988 est connue sous le nom d’intrusion ou maintien dans un STAD.

Mais les condamnations sur ce fondement restent rares en raison des difficultés à constater une telle intrusion, et surtout à en identifier les auteurs, ces derniers étant équipés de programmes performants rendant difficile, voire quasi-impossible, la possibilité de remonter jusqu’à eux.

Pour lutter contre ce phénomène massif, une structure nationale apportant un soutien technique aux enquêteurs en charge des perquisitions informatiques a été mise en place en 2002 : l’office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

Dans ce contexte, sans la négligence d’un hacker, combinée à la persévérance de l’OCLCTIC et à une coopération internationale efficace, l’affaire EDF aurait donc pu rester sous silence ; Greenpeace ne s’étant en effet jamais aperçue d’un quelconque piratage de son système informatique.

Tout a commencé en 2006, lorsque l’agence française de lutte contre le dopage (AFLD) portait plainte à l’OCLCTIC. Suite à l’annonce du dopage du vainqueur du Tour de France, un email remettant en cause la fiabilité des dépistages effectués auprès de ce dernier avait été communiqué à l’Agence Française de Lutte contre le Dopage, email auquel étaient joints des documents internes qui n’avaient jamais été divulgués. L’enquête diligentée permit de constater qu’une personne de l’AFLD avait ouvert la pièce jointe d’un mail infectée d’un logiciel de type « keylogger », permettant d’enregistrer les frappes effectuées sur un clavier, et donc d’obtenir les mots de passe d’utilisateurs à partir desquels il est ensuite possible d’ouvrir des sessions. Les enquêteurs remontèrent jusqu’à l’entraineur du coureur cycliste en Californie – qui s’avéra avoir reçu des documents obtenus par le piratage d’ordinateurs de l’AFLD – et surtout jusqu’à un informaticien installé au Maroc.

Par la suite, sur des ordinateurs perquisitionnés ayant appartenu à ce dernier, les enquêteurs relevèrent la présence de nombreux logiciels destinés au piratage informatique, ainsi que des fichiers relatifs à l’activité de Greenpeace. Le hacker, mis en examen, révèlera par la suite avoir agi sur demande d’un consultant, intervenant lui-même dans le cadre d’une mission de veille stratégique des activités de l’ONG pour le service de sécurité nucléaire d’EDF.

EDF avait dû faire face, à plusieurs reprises, à des intrusions de militants écologistes sur des sites de production nucléaire et disposait donc d’un service dédié à la sécurité de ces sites. Le responsable de ce service assurera tout au long de la procédure n’avoir jamais autorisé, ni été informé du recours à des procédés illicites par le consultant sous-traitant, consultant qui était, dans le cadre de sa mission, en relation avec un chargé de mission d’EDF. Les compétences reconnues de ce dernier en intelligence économique lui permettaient de jouir d’une grande indépendance dans son travail. Or, à l’égard de ce dernier, les preuves étaient nombreuses : aveux d’une rencontre avec le hacker et saisie dans son bureau d’un CD-rom sur lequel étaient stockés des documents de Greenpeace.

Le hacker, le consultant, le chargé de mission sécurité d’EDF, son supérieur hiérarchique et la société EDF furent alors mis en examen.

Dans un jugement du 10 novembre 2011, le Tribunal correctionnel de Nanterre déclarait EDF coupable des délits de recel et de complicité d’accès et maintien frauduleux aggravé dans un STAD et condamnait la société au paiement d’une amende de 1,5 million d’euros. Les deux salariés impliqués, ainsi que le consultant et le hacker, étaient quant à eux condamnés à de la prison ferme et au paiement d’amendes de quelques milliers d’euros.

La Cour d’appel de Versailles a partiellement infirmé ce jugement, ne retenant que la responsabilité du chargé de mission. La Cour a relaxé son supérieur hiérarchique, le responsable de la mission sécurité EDF, au motif que, bien qu’ayant signé le contrat de mission de veille stratégique, il n’était pas apporté la preuve que ce dernier ait donné instruction de recourir à des procédés illégaux, ni eu connaissance de ces agissements. La Cour a également relaxé EDF, en tant que personne morale, retenant que ce responsable de mission relaxé en appel « était la seule personne susceptible d’apparaître comme un organe ou représentant de la société, pouvant, à ce titre, engager la responsabilité pénale de celle-ci » et que le chargé de mission placé sous son autorité hiérarchique et ayant agi sans l’informer entièrement de ses activités et du contenu du CD Rom « ne disposant d’aucune délégation de signature ou de pouvoir, n’a pas agi comme organe ou représentant de son employeur ». La Cour en conclut que « la relaxe des chefs de complicité et recel prononcée à l’égard [du responsable de mission] doit donc profiter à la société EDF ».

Faut-il y voir une irresponsabilité d’une société pour les actes commis par ses salariés ?

Responsabilité de l’employeur pour les actes du salarié

Dès les débuts de la procédure, EDF s’essayait à démontrer que, dans cette affaire de piratage informatique, elle était victime et non pas complice de l’infraction. Sa demande de constitution de partie civile avait toutefois été rejetée, et le Tribunal correctionnel de Nanterre sanctionnait sévèrement la société au motif que les deux salariés mis en cause « dans le cadre de leur mission, ont eu en quelque sorte carte blanche pour mettre en place les moyens d’assurer la sécurité du parc nucléaire dans le contexte sensible de la construction de I’EPR. Ils n’ont évidemment pas agi pour leur compte personnel mais dans l’intérêt exclusif d’EDF qui seule en a tiré bénéfice sous la forme concrète du CD Rom frauduleux détenu dans les locaux d’EDF ».

C’est finalement en appel que les arguments d’EDF finirent par peser : les actes étant ceux d’un salarié, dont l’indépendance et « la confiance dont il bénéficiait ont sans nul doute contribué à la commission de tels faits en « solo » » et, ce dernier n’ayant pas un poste à responsabilité, la Cour juge que ces actes n’engageaient pas la société.

N’est-ce pas là contradictoire de retenir d’une part que sa hiérarchie lui laissait délibérément une grande indépendance dans son travail et lui faisait grandement confiance au vu de ses compétences, mais de juger d’autre part qu’en dépit de cette indépendance, il n’était pas susceptible d’engager la responsabilité pénale de la société ?

Ce salarié, condamné en appel à 6 mois de prison ferme, a annoncé former un pourvoi en cassation de la décision intervenue.

Au plan disciplinaire, l’arrêt du 6 février dernier précise qu’il était convoqué à l’automne 2012 à un entretien préalable à licenciement. Nul doute que ses actes soient constitutifs d’une faute grave. La chambre sociale de la Cour de cassation a déjà validé le licenciement pour faute grave d’un cadre supérieur qui avait soumis à la direction de la société l’employant un rapport visant à mettre en avant les carences de sa hiérarchie, rapport comportant « des informations confidentielles que le salarié s’était procurées, sans informer quiconque de sa démarche, par une intrusion dans des fichiers qui ne lui étaient pas accessibles » (Soc. 1er oct. 2002, n°00-43543).

Enfin, en ce qui concerne la responsabilité civile, l’employeur est en principe responsable à l’égard des tiers du fait de ses préposés, sauf à prouver l’abus de fonction de ces derniers. En l’espèce, bien qu’un tel abus ne soit pas expressément qualifié, la Cour semble le retenir. EDF et son responsable de mission étant relaxés, Greenpeace se voit en effet déboutée des demandes indemnitaires formulées à leur égard. Seuls le hacker, le consultant et le chargé de mission sont condamnés à réparer le préjudice moral et d’image subi par l’association et par son ex-représentant, cible directe des actes de piratage, à hauteur de 15 000 euros seulement. La Cour juge que Greenpeace n’a pas apporté la preuve du préjudice matériel dont elle demandait également réparation.

 

Pour lire l’article d’Etienne Papin et de Stéphanie Foulgoc du 15 mars 2013 sur CIO Online.

Autres publications