Piratage par hacker interposé : quelle responsabilité pour les entreprises ?
22 mai 2013.
L’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication a découvert, lors d’une perquisition concernant une autre affaire, que Greenpeace avait fait l’objet d’une « visite » de son système informatique : les ordinateurs perquisitionnés chez un hacker ont révélé la présence de logiciels destinés au piratage informatique et des fichiers relatifs à l’activité de Greenpeace.
Ce pirate informatique indique avoir reçu pour mission de procéder à une surveillance offensive des ordinateurs de l’association écologique et de la messagerie électronique de son directeur des programmes. Il aurait agi sur demande d’un consultant, intervenant lui-même sous contrat dans le cadre d’une mission de veille stratégique des activités de Greenpeace pour le service de sécurité nucléaire d’EDF.
Le Tribunal correctionnel de Nanterre condamne EDF en 2011 à une amende de 1,5 millions d’euros pour recel et complicité d’accès et de maintient frauduleux dans un système de traitement de données (article 323-1 du Code Pénal). Le chargé de mission et son supérieur hiérarchique du service de sécurité des parcs nucléaires, le consultant et le hacker seront également condamnés à de la prison ferme et des amendes civiles.
Mais, dans un arrêt daté du 6 février 2013, la cour d’appel de Versailles ne retient que la culpabilité du chargé de la mission sécurité EDF et le condamne à six mois de prison vu les preuves accumulées contre lui[1].
Ainsi, sont notamment relaxés :
– Le responsable de la mission sécurité EDF : même si il a signé un contrat de mission de veille stratégique, les preuves ne sont pas rapporté qu’il ait donné au hacker l’autorisation de recourir à des procédés illégaux, ni qu’il ait eu connaissance de l’accomplissement de la mission et du recel de biens.
– EDF : le responsable de mission étant relaxé, il « était la seul personne susceptible d’apparaitre comme un organe ou représentant de la société, pouvant, à ce titre, engager la responsabilité pénale de celle-ci ». De surcroit, la Cour considère que le chargé de mission placé sous son autorité n’avait pas agit comme organe ou représentant de son employeur en l’absence de délégation de pouvoir.
La personne condamnée en appel s’étant pourvue en cassation, la fin de cette saga judiciaire n’est pas encore terminée.
Face à ces menaces de plus en plus présentes et la volonté affichée des autorités de sévir face à de tels comportements, nous vous recommandons de:
– mettre en place et maintenir des dispositifs de sécurité garantissant un niveau de sécurité adéquat ;
– assurer un management axé sur la sensibilisation de vos salariés aux problèmes de sécurité et aux risques encourus ;
– prévoir contractuellement avec vos partenaires les clauses de sécurités pertinentes.
Claudia WEBER, Avocat Associée, et Arthur DUCHESNE, Elève Avocat
ITLAW Avocats
[1] Aveux de rencontre avec le hacker, possession des documents contenant les données de Greenpeace…