L’accès au compte Gmail de l’ex-époux grâce au mot de passe trouvé

ATF 145 IV 185TF, 17.05.2019, 6B_1207/2018*

L’utilisation d’un mot de passe trouvé par hasard pour accéder à un compte Gmail constitue un accès indu à un système informatique au sens de l’art. 143bis CP.

Le fait de se fier à un avis d’un juriste spécialisé, de procéder à des recherches sur internet et de demander l’avis de son avocat ne permet pas de se prévaloir de l’erreur sur l’illicéité (art. 21 CP).

Faits

Après s’être séparée de son époux, une femme trouve le mot de passe du compte Gmail de son ex-époux dans l’ancien logement conjugal. Elle accède ainsi à ses données commerciales, aux échanges entre celui-ci et son avocat ainsi qu’à plusieurs photos de celui-ci avec une jeune femme.

Avant d’utiliser ce mot de passe, l’ex-épouse a d’abord demandé l’avis de son beau-frère qui exerce comme procureur général dans un autre canton, lequel lui a confirmé la licéité d’un tel acte. Elle a ensuite procédé à quelques recherches sur Internet sur des sujets tels que « l’accès au courrier à des fins criminelles », « l’adresse électronique privée pour la protection des données », « ma femme vérifie mes e-mails en Suisse », « l’accès non autorisé à un compte mail est puni par la loi ? Suisse » « Suis-je passible de poursuites si je consulte les e-mails de mon mari ». Elle a finalement consulté son avocat.

Le Bezirksgericht de Bremgarten la condamne pour accès indu à un système informatique (art. 143bis CP) à 50 jours-amende à CHF 30 le jour. Après que l’Obergericht du canton d’Aarau a confirmé le jugement attaqué, l’ex-épouse dépose un recours en matière pénale auprès du Tribunal fédéral. Celui-ci est amené à préciser si le fait d’utiliser un mot de passe trouvé remplit les conditions objectives de l’art. 143bis CP et si l’ex-épouse pouvait invoquer l’erreur sur l’illicéité (art. 21 CP).

Droit

Selon l’art. 143bis al. 1 CP, quiconque s’introduit sans droit, au moyen d’un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part est, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.

Le Tribunal fédéral souligne d’emblée que le législateur a sciemment conditionné l’application de cette disposition au contournement d’un dispositif de sécurité. Se pose alors la question de savoir si le fait d’utiliser un mot de passe trouvé constitue un tel contournement.

Le Tribunal fédéral affirme que l’utilisation d’un code d’accès ou d’un mot de passe constitue une protection suffisante d’un système informatique afin qu’il soit considéré comme « spécialement protégé contre tout accès » au sens de l’art. 143bis al. 1 CP. Le moyen par lequel la sécurité électronique est outrepassée n’est pas pertinent.

En l’espèce, le compte Gmail de l’ex-époux était protégé par un mot de passe. Ce « dispositif de transmission de données » était ainsi « spécialement protégé contre tout accès ». Dès lors que l’ex-épouse s’y est introduit sans droit, à l’aide du mot de passe trouvé, les conditions objectives de l’art. 143bis al. 1 CP sont remplies. Le fait qu’elle n’ait pas trouvé le mot de passe à l’aide d’une recherche active, mais qu’elle soit tombée dessus accidentellement, n’y change rien.

Dans un second temps, le Tribunal fédéral se penche sur la question de l’erreur sur l’illicéité (art. 21 CP).

L’ex-épouse fait valoir qu’elle pensait se comporter de manière licite en utilisant le mot de passe trouvé. En effet, bien qu’elle ait eu au premier abord certains doutes sur la licéité de son acte, elle avait demandé l’avis de son beau-frère qui exerce comme procureur général dans un autre canton. En se fiant à ses connaissances juridiques, l’ex-épouse aurait agi de bonne foi.

L’art. 21 CP dispose que quiconque ne sait ni ne peut savoir au moment d’agir que son comportement est illicite n’agit pas de manière coupable. Le juge atténue la peine si l’erreur était évitable. Le Tribunal fédéral considère que, lorsqu’une personne qui n’est pas familière avec le droit se fie aux conseils d’une personne qui connaît le droit, en particulier un avocat, une erreur de droit n’est considérée comme inévitable que si l’information a trait à une question juridique complexe et que l’examen est exhaustif.

En l’espèce, le procureur n’a pas procédé à un examen exhaustif, mais à une simple consultation de la loi. Il a ainsi partagé son opinion juridique, laquelle ne constitue pas une information contraignante d’une autorité compétente. En outre, la question juridique qui se posait n’était pas encore tranchée et était vivement débattue en doctrine. L’ex-épouse ne pouvait donc pas se contenter de l’avis juridique de son beau-frère. De plus, le fait qu’elle ait ensuite procédé à des recherches sur Internet et demandé l’avis de son avocat démontre qu’elle avait encore des doutes sur la licéité de ses actes.

Dès lors, c’est à juste titre que l’Obergericht n’a pas appliqué l’art. 21 CP.

Partant, le Tribunal fédéral rejette le recours.

Note

Même si le Tribunal fédéral affirme, de manière générale, que l’utilisation d’un mot de passe suffit à protéger de manière suffisante un « dispositif de transmission de données », il n’est, selon nous, pas anodin que tout mot de passe remplisse ce critère. En effet, un mot de passe particulièrement simple, comme « 123456 », ne suffirait probablement pas à ce que le dispositif soit considéré comme étant « spécialement protégé contre tout accès » au sens de l’art. 143bis al. 1 CP.

Concernant la protection physique du mot de passe, il était évident, dans le cas d’espèce, que l’ex-époux n’avait pas volontairement laissé son mot de passe à la disposition de son ex-épouse. Toutefois, d’autres situations peuvent être moins claires, comme celle du collaborateur qui, parti en vacances, laisse son mot de passe sur un post-it proche de son ordinateur. Dans ce cas, consent-il tacitement à l’utilisation de son ordinateur ? Si oui, par tous ses collègues ou seulement ceux qui partagent son bureau ?

Concernant l’erreur sur l’illicéité, il est intéressant de noter que les recherches sur Internet ont servi de preuve pour déterminer que l’ex-épouse avait encore des doutes sur la licéité de son acte, malgré l’avis juridique de son beau-frère. A notre avis, il n’est pas exclu que les recherches Internet permettront de plus en plus souvent de déterminer la réelle intention d’une partie à la procédure (cf. très récemment l’arrêt DG190018 du Bezirksgericht de Zurich où le tribunal souligne que le prévenu avait googlé « voler des données bancaires » et « violation de données commerciales »).

Le Tribunal fédéral a rendu récemment deux autres arrêts dans lesquels il a examiné la question de l’erreur sur l’illicéité, en l’écartant: l’arrêt 6B_77/2019*, résumé in LawInside.ch/731 (La mutilation d’organes génitaux féminins commise à l’étranger) ainsi que l’arrêt 6B_804/2018, résumé in LawInside.ch/693 (L’acte exécuté sans droit pour un État étranger (271 CP) et l’erreur sur l’illicéité (21 CP)).

Le présent arrêt a fait l’objet de plusieurs commentaires sur divers blogs (cf. celui du Prof. Sylvain Métille, de Me Miriam Mazou et de François Charlet).

Proposition de citation : Célian Hirsch, L’accès au compte Gmail de l’ex-époux grâce au mot de passe trouvé, in: https://lawinside.ch/774/