L'installation d'un keylogger, sans motif légitime, pour enregistrer les codes d'accès aux messageries à l'insu de leurs titulaires et accéder aux courriels de ces derniers, caractérise les délits d'atteinte à un système de traitement automatisé de données et d'atteinte au secret des correspondances par voie électronique.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) définit le capteur clavier ou enregistreur de frappes (Keylogger) comme un logiciel ou matériel employé par un utilisateur malveillant pour capturer ce qu'une personne frappe au clavier. L'ANSSI ajoute que cette technique permet de voler efficacement les mots de passe, les données bancaires ou encore les messages électroniques.
Dès le 20 mars 2016, la CNIL a mis en garde contre l'installation de keyloggers par des employeurs désireux d'espionner leurs salariés.
Dans l'affaire ayant fait l'objet de l'arrêt sous référence, le prévenu, un médecin contractuel au CHU de Nice, avait installé un keylogger-matériel afin d'accéder aux messages de deux de ses collègues médecins titulaires.
Pour dire établis les délits reprochés, l'arrêt d'appel retient que la détention d'un keylogger, sans motif légitime, par M. X, que celui-ci ne conteste pas avoir installé sur l'ordinateur des docteurs D et B, pour intercepter à leur insu, par l'espionnage de la frappe du clavier les codes d'accès et accéder aux courriels échangés par les deux praticiens caractérisent suffisamment sa mauvaise foi et les délits tant dans leur élément matériel qu'intentionnel ; les juges ajoutent que les motifs avancés par le prévenu pour justifier la détention d'un équipement conçu ou adapté pour une atteinte frauduleuse à un système de traitement automatisé de données, à savoir la défense de sa situation professionnelle et sa réputation, sont indifférents à la caractérisation des infractions, puisque l'autorisation de détention prévue par l'art. 323-3-1 du Code pénal autorisant un tel équipement, se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d'un parc informatique.
En l'état de ces énonciations, relevant de son appréciation souveraine des faits de la cause, la cour d'appel a justifié sa décision ; en effet, se rend coupable de l'infraction prévue à l'art. 323-1 du Code pénal la personne qui, sachant qu'elle n'y est pas autorisée, accède à l'insu des victimes, à un système de traitement automatisé de données.
- Cour de cassation, Chambre crim., 16 janvier 2018, pourvoi n° 16-87.168, F-P+B