La cour d'appel de Paris a jugé le blogueur Bluetouff coupable d'avoir téléchargé des documents qui étaient librement accessibles, qu'il avait découverts par hasard en utilisant Google.

Mise à jour : Numerama publie l'arrêt de la cour d'appel de Paris.

Alors qu'il avait été relaxé en première instance par le tribunal de Créteil, le blogueur et activiste Bluetouff a été condamné mercredi par la cour d'appel de Paris à 3000 euros d'amende pour "accès frauduleux dans un système de traitement automatisé de données", et "vol" de documents. Olivier Laurelli, de son vrai nom, était poursuivi pour avoir obtenu des documents internes de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES)… qu'il avait découverts par hasard grâce à leur indexation par Google.

Olivier Laurelli n'avait eu besoin d'aucune autre connaissance technique que celles de savoir se servir d'un moteur de recherche, d'un navigateur et d'une souris, pour obtenir les quelques 7,7 Go de documents téléchargés, relatifs à des données de santé publiques, tous obtenus sans effort sur le serveur extranet non sécurisé de l'ANSES. L'opération était passée inaperçue.

Mais c'est un article mis en ligne sur Reflets.info, qui exploitait l'un des 8 000 documents téléchargés par Bluetooff, qui a finalement mis en alerte les services, et fait que la Direction Centrale du Renseignement Intérieur (DCRI) fut chargée de l'affaire. Malgré le caractère simplissime du "piratage", la DCRI a voulu identifier l'auteur du méfait et remonter les adresses IP utilisées pour télécharger les fichiers en cause en août août 2012. Or l'une des adresses utilisées, domiciliée au Panama, appartenait à une société de fourniture de services de VPN dirigée par Olivier Laurelli, fondateur de Reflets.info. L'enquête a donc abouti à sa mise en garde à vue (de 30 heures !) et à sa mise en examen.

En première instance, le tribunal avait reconnu qu'il était difficile de retenir un "accès frauduleux" à un système informatique qui se laisse indexer par Google, et qui est donc librement accessible. Mais ce n'est visiblement pas la logique suivie par la Cour d'appel (mise à jour : la cour n'a retenu l'accès mais le maintien frauduleux dans un système d'information, et le vol de documents)

C'est énorme :) je suis officiellement un cybercriminel — Olivier Laurelli (@bluetouff) 5 Février 2014

Dans un reportage publié lors de l'audience d'appel en décembre 2013, Mediapart avait souligné le fait que les magistrats étaient "totalement hermétiques à toute notion technique, même les plus basiques", ce qui n'a pas aidé la défense :

En ouverture d’audience, la magistrate chargée de rappeler les faits semblait même ne pas connaître Google, prononcé à la française « gogleu », ni savoir ce que signifie un « login », prononcé « lojin ». Difficile, dans ces conditions, d’expliquer qu’il est effectivement possible de tomber sur des documents de travail par une simple recherche…« Mais il faut tout de même taper des mot-clés… », demande ainsi, dubitatif, un de juges. « Comment faites-vous pour arriver sur des questions de santé publique alors que vous cherchiez des choses sur la Syrie ? » Au fil de l’audience, on se rend compte que les magistrats ont une vision totalement fantasmée d’internet, et des documents que l’on peut y trouver… « Vous ne vous souciez pas de savoir si vous alliez tuer toute la planète ? » s’indigne ainsi une magistrate alors que l’accusé vient de lui expliquer que ces documents n’étaient, visiblement, pas confidentiels.

Rappelons que l'ANSES, un peu penaude, avait décidé de ne pas se porter partie civile. Mais le parquet, dont le représentant a confirmé à l'audience qu'il n'a "même pas compris la moitié des termes que j'ai entendus aujourd'hui", avait choisi de poursuivre coûte que coûte. Au nom de la mauvaise foi : "Vous saviez que cet extranet était normalement protégé".

Il faudra attendre la lecture des attendus, mais il est donc probable que la cour d'appel de Paris a reconnu cette mauvaise foi comme critère constitutif d'infraction.

Mise à jour : ajout du montant de l'amende de 3000 euros (merci @VincentGranier). Le premier commentaire de son avocat :

Oui, @Bluetoof relaxé pour accès fraud et condamné pour maintien fraud ( ? ?) On a pas la motivation. Délai pourvoi 5jours francs on réfléchit — Olivier Iteanu (@iteanu) 5 Février 2014