L’utilisation d’un keylogger, à l’insu de la volonté d’un individu, pour intercepter les mots qu’il tape est un délit.
La Cour de cassation est venue préciser, par un arrêt rendu le 16 janvier 2018 (1), que l’installation sans motif légitime d’un keylogger, ou enregistreur de frappe, qui est un « logiciel espion ou un périphérique qui espionne électroniquement l’utilisateur d’un ordinateur », sur un système de traitement automatisé de données afin d’intercepter les mots tapés par les utilisateurs, constitue une atteinte à ce système.
Keylogger et atteinte au système de traitement de données
Un médecin avait installé un keylogger sur deux ordinateurs d’un hôpital afin de capter les identifiants et mots de passe d’un autre praticien avec lequel il était en conflit devant l’Ordre des médecins.
La présence du keylogger ayant été découverte par le service informatique de l’hôpital, une perquisition a été effectuée au domicile du médecin, où un keylogger a été retrouvé, ainsi que des captures d’écran extraites des deux ordinateurs visés.
La Cour d’appel d’Aix-en-Provence, devant laquelle l’affaire avait été portée, avait considéré que le prévenu avait commis le délit d’accès à un système de traitement de données, délit prévu à l’article 323-1 du Code pénal et réprimé à l’article 323-3 du même code.
Arguant qu’il n’avait pas accédé aux données du système, mais seulement capturé les caractères frappés au clavier, le prévenu a formé un pourvoi. La Cour de cassation a rejeté le pourvoi considérant que « se rend coupable de l’infraction prévue à l’article 323-1 du code pénal la personne qui, sachant qu’elle n’y est pas autorisée, accède à l’insu des victimes, à un système de traitement automatisé de donnée ».
La détention sans motif légitime d’un équipement conçus ou spécialement adaptés pour commettre ce délit
La Cour d’appel d’Aix-en-Provence a par ailleurs considéré que le médecin s’était rendu coupable du délit prévu à l’article 323-3-1 du Code pénal qui vise notamment la détention, sans motif légitime, d’« un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre » un délit d’atteinte à un système de traitement automatisé de données.
Le médecin a tenté d’argumenter en mettant en avant le motif légitime qu’il aurait eu à disposer des informations récoltées par le biais de l’utilisation du keylogger, établi selon lui à raison de la nécessité de défendre sa situation professionnelle devant l’Ordre des médecins.
La Cour de cassation n’a pas suivi cet argumentaire, considérant que le motif légitime visé par cet article « se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d’un parc informatique ».
Virginie Bensoussan-Brulé
Raphaël Liotier
Lexing Droit pénal numérique