351 TRIBUNAL CANTONAL 730 PE24.011614-JMU C H A M B R E D E S R E C O U R S P E N A L E
Arrêt du 21 octobre 2024
Composition : M. K R I E G E R , président Mme Fonjallaz et M. Perrot, juges Greffière:MmeFritsché
Art. 143bis al. 1 CP ; 310 et 393 ss CPP Statuant sur le recours interjeté le 4 juillet 2024 par X.________ contre l’ordonnance rendue le 20 juin 2024 par le Ministère public de l’arrondissement de Lausanne dans la cause n° PE24.011614-JMU, la Chambre des recours pénale considère : E n f a i t : A.Par acte du 28 mai 2024, X.________ a déposé plainte pénale contre l’un de ses anciens employés, S., encore en poste au moment des faits, pour gestion déloyale, abus de confiance, soustraction de données et accès indu à un système informatique. Dans sa plainte, X. expose notamment ce qui suit :
2 - « a) M. S.________ s’est procuré la carte SIM (IMSI [...]) d’une manière inconnue, l’a insérée dans l’un des téléphones de test du magasin [...] (IMEI [...]) et a ensuite demandé à sa sœur, Mme B., de se faire passer pour Mme Z. et d’appeler le Call center en utilisant le téléphone de Mme B.en mode masqué, ce que Mme B.a fait. b) Cette dernière a demandé à l’agente du Call center d’activer la carte SIM (IMSI [...]) sur le n° +[...]. Devant l’hésitation de l’agente du Call center à procéder à l’activation, M. S. est intervenu agressivement dans la conversation afin de l’agente s’exécute. c) Pendant tout le temps de l’appel (de 10 :44 à 10 :52), M. S. était connecté (de 10 :40 à 11 :00) au compte de la cliente depuis un ordinateur dont l’adresse IP correspond au magasin [...]. Nous supposons donc que M. S.________ et Mme B.________ étaient dans le back-office du magasin lors de l’appel au Call center. d) La carte SIM (IMSI [...]) a donc été activée sur le n° +[...] attribué à Mme Z.________ mais comme la carte SIM était insérée dans un téléphone qui n’était pas dans ses mains, mais très probablement dans les mains de M. S.________ (le téléphone de test), Mme Z.________ ne pouvait plus ni téléphoner ni recevoir d’appel (perte de réseau) ; tous les appels entrant sur le n° +[...] ainsi que toutes les éventuels SMS nécessaires à une double identification – réseaux sociaux, e-banking, etc...) ont été reçu sur le téléphone très probablement dans les mains de M. S., ceci entre le 13 février 2024 à 11 :02 jusqu’au 14 février 2024 vers midi (quand Mme Z. s’est rendue au magasin de [...] pour activer sa nouvelle carte SIM). (...) ». Le 14 juin 2024, le Procureur du Ministère public de l’arrondissement de Lausanne (ci-après : le procureur) a informé X.________ que la plainte déposée le 28 mai 2024 avait été enregistrée sous n° PE24.011614-JMU et l’a invitée à faire valoir ses éventuelles prétentions civiles, pièces justificatives à l’appui. B.Par ordonnance du 20 juin 2024, le procureur a refusé d’entrer en matière (I), a dit que la clé USB, enregistrée sous fiche n° 39970, contenant l’enregistrement au Call Center du 13 février 2024 était restituée à la partie plaignante une fois l’ordonnance définitive et exécutoire (II), et a laissé les frais à la charge de l’Etat (III). S’agissant de l’infraction relative à l’art. 143bis CP, soit l’accès indu à un système informatique au moyen d’un dispositif de transmission de données, le procureur a relevé ce qui suit : « (...) En l’espèce, en sa
3 - qualité d’employé de X., S. était autorisé à accéder au système informatique de la société. L’accès n’est donc pas indu. De plus l’accès s’est fait en se connectant physiquement au système informatique dans le magasin [...]. Il n’a donc pas accédé au système informatique au moyen d’un dispositif de transmission de données. L’accès indu à un système informatique n’est donc pas réalisé. (...) ». C.Par acte du 5 juillet 2024, X.________, par l’intermédiaire de son conseil de choix, a recouru contre cette ordonnance en concluant à son annulation, à ce qu’il soit ordonné au Ministère public de l’arrondissement de Lausanne d’ouvrir une procédure d’instruction en vue d’instruire les faits dénoncés et à ce que les frais soient laissés à la charge de l’Etat. Elle a également conclu à l’allocation d’une indemnité d’un montant de 5'334 fr. 75, liste des opérations à l’appui, pour les dépenses occasionnées par la présente procédure de recours. Le 8 octobre 2024, le Ministère public a indiqué qu’il renonçait à se déterminer. Cette correspondance a été transmise à la recourante le lendemain. E n d r o i t :
1.1 Les parties peuvent attaquer une ordonnance de non-entrée en matière rendue par le Ministère public en application de l’art. 310 CPP dans les dix jours devant l’autorité de recours (art. 310 al. 2, 322 al. 2 et 396 al. 1 CPP ; cf. art. 20 al. 1 let. b CPP) qui est, dans le Canton de Vaud, la Chambre des recours pénale du Tribunal cantonal (art. 13 LVCPP [loi vaudoise d’introduction du Code de procédure pénale suisse du 19 mai 2009 ; BLV 312.01] ; art. 80 LOJV [loi vaudoise d’organisation judiciaire du 12 décembre 1979 ; BLV 173.01]). 1.2 La recourante, en sa qualité d’exploitante d’un système de traitement de données et de fournisseur de télécommunications, est titulaire du bien juridiquement protégé par l’art. 143bis al. 1 CP. Elle a
5 - 3.1La recourante conteste uniquement le raisonnement du Ministère public relatif à l’infraction d’accès indu à un système informatique au sens de l’art. 143bis al. 1 CP. Elle invoque à cet égard que les prévenus se sont introduits, d’une part, dans le compte client [...] de l’ex-compagne du prévenu par le biais d’un ordinateur et, d’autre part, dans les données de l’utilisatrice en raccordant son numéro de téléphone portable à une carte SIM en leur possession. Ils auraient eu ainsi accès à toutes les données privées de la cliente et auraient notamment été en mesure d’intercepter les communications qu’elle recevait, empêchant en outre celle-ci de bénéficier des prestations liées à son abonnement (téléphone, messagerie, accès aux réseaux sociaux). Dans la mesure où le numéro de téléphone attribué à un client serait relié à une carte SIM protégée par un code et que le compte-client serait sécurisé par un mot de passe, les prévenus auraient délibérément franchi des barrières d’accès au traitement des données par une tromperie opérée auprès d’une employée du Call Center de l’entreprise, en vue d’obtenir le transfert du numéro de téléphone de la cliente sur une nouvelle carte SIM. Un tel comportement n’entrerait manifestement pas dans les attributions de S.________ lorsqu’il était au service de la plaignante, de sorte qu’il y aurait bien un accès indu aux données privées de la cliente. 3.2 Aux termes de l’art. 143bis al. 1 CP, quiconque s’introduit sans droit, au moyen d’un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part est, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. Cette disposition protège la paix informatique et plus particulièrement le droit du titulaire du système informatique d’en maîtriser l’accès et de le contrôler à sa guise (Dupuis et al. [éd.], Petit commentaire, Code pénal, 2 e éd., Bâle 2017, n. 2 ad art. 143bis CP et les références citées). Elle protège ainsi les systèmes de traitement de données contre les intrus (appelés pirates informatiques) qui cherchent à déjouer les systèmes de sécurité pour s’introduire dans des systèmes de données sécurisés et dont l’activité s’est révélée être la source de perturbation et de danger considérables pour le bon fonctionnement des grandes installations notamment. Le
6 - législateur a délibérément subordonné la punissabilité en vertu de l’art. 143bis al. 1 er CP au fait qu’un système de protection de l’accès ait été contourné. En tant qu’acte préparatoire à une soustraction de données au sens de l’art. 143 CP, l’infraction d’accès indu à un système informatique au sens de l’art. 143bis al. 1 CP suppose déjà – de manière d’ailleurs analogue à la violation de domicile (art. 186 CP) – une intrusion dans un système informatique appartenant à autrui. Font l’objet de l’attaque les systèmes ou installations de traitement de données et non pas les données qui y sont stockées. C’est la liberté qu’a l’ayant droit de décider qui peut accéder à une installation informatique sécurisée et aux données qui y sont stockées qui est protégée (ATF 145 IV 185 consid. 2.1 et les références citées, JdT 2019 IV 312). Tombe sous le coup de cette disposition la personne qui parvient à pénétrer dans un système informatique protégé contre tout accès indu. Il faut donc qu'il existe une protection de nature informatique et non physique, comme un codage, un cryptage ou un mot de passe (TF 6B_241/2015 du 26 janvier 2016 consid. 1.3.3 ; Dupuis et al., op. cit., n. 11 ad art. 143bis CP et n. 13 ad art. 143 CP). La notion de protection spéciale est analogue à celle prévue à l'art. 143 CP : si la barrière consiste uniquement dans une interdiction morale ou contractuelle d'utiliser un code dont on dispose ou dont on a disposé légitimement, l'art. 143 CP ne sera pas applicable ; celui qui outrepasse les limites de son droit de disposer des données ou utilise abusivement des données accessibles, à savoir "l'abus de confiance informatique", n'est pas punissable (Dupuis et al., op. cit., n. 11 ad art. 143bis CP et n. 14 ad art. 143 CP et les références citées). Selon le Tribunal fédéral, celui qui se connecte à un compte de courrier électronique à l’aide d’un mot de passe accède aussi en même temps au système informatique en tant que tel. Le mot de passe permet ainsi au titulaire de définir l’accès non seulement au compte de courrier électronique, mais également à l’installation de traitement de données en tant que telle (TF 6B_456/2007 du 18 mars 2008 consid. 4.1).
7 - 3.3En l’espèce, il est vrai, comme le relève le Ministère public, qu’à l’époque des faits, S.________ était employé chez X.________ et disposait ainsi de certains accès informatiques au réseau de l’entreprise. Toutefois, il apparaît qu’il n’aurait pas agi dans le cadre autorisé, et aurait franchi non pas de simples obstacles moraux, légaux ou contractuels, mais de véritables barrières de sécurité, puisque les codes et mots de passe des clients ne sont en principe pas connus du personnel. Selon la plaignante, l’intrusion aurait été rendue possible par une tromperie menée de concert par le prévenu et sa sœur, cette dernière s’étant fait passer pour Z.________ auprès d’une collaboratrice travaillant au call center de X.________ dans le but de transférer le numéro de la prénommée sur une autre carte SIM afin de pouvoir accéder à ses données. En outre, la condition de l’utilisation d’un dispositif de transmission de données paraît également réalisée, le comportement incriminé étant intervenu par le biais d’un téléphone et d’un ordinateur. En effet, il semble que S.________ et sa sœur B.________ se soient introduits, d’une part, sur le compte client [...] de Z.________ par le biais d’un ordinateur et auraient, d’autre part, accédé aux données de Z.________ en raccordant son numéro de téléphone portable à une carte SIM en leur possession. Ce faisant, ils auraient eu accès à toutes les données privées de la cliente de la plaignante et auraient été en mesure d’intercepter les communications qu’elle recevait. Par ailleurs, cette manière de procéder aurait empêché Z.________ de se connecter à différents services en ligne qui nécessitaient la double identification par le biais d’un envoi de SMS (e- banking, messagerie électronique, Paypal, etc.). A cela s’ajoute que le compte client d’un fournisseur de télécommunication et le raccordement téléphonique attribué à celui-ci constituent des systèmes de transmission de données visés par l’infraction de l’art. 143bis al. 1 CP (cf. consid. 3.2 supra). Au regard de ce qui précède et en application du principe in dubio pro duriore, le Ministère public ne pouvait, à ce stade, rendre une ordonnance de non-entrée en matière s’agissant de l’infraction à l’art. 143bis CP. Il lui appartiendra donc d’ouvrir une instruction pénale à
8 - l’encontre de S.________ et de B., d’identifier les manipulations effectuées par les parties ayant mené au résultat dénoncé, et de bien circonscrire le rôle exact joué par B., celle-ci étant totalement extérieure à l’entreprise et ne pouvant de toute manière pas se prévaloir d’un quelconque droit d’accès aux données électroniques des clients de la recourante.
9 - du 23 novembre 2010 ; BLV 270.11.6], applicable par renvoi de l’art. 26a al. 6 TFIP), par 30 fr., plus la TVA au taux de 8,1 % sur le tout, par 123 fr. 95, soit à 1’654 fr. au total en chiffres arrondis. Par ces motifs, la Chambre des recours pénale prononce : I. Le recours est admis. II. L’ordonnance est annulée en tant qu’elle vaut non-entrée en matière sur l’infraction d’accès indu à un système informatique (art. 143bis al. 1 CP), d’une part, et restitution de la clé USB enregistrée sous fiche de pièce à conviction n° 39970, d’autre part. L’ordonnance est maintenue pour le surplus. III. Une indemnité de 1'654 fr. (mille six cent cinquante-quatre francs) est allouée à X.________ pour la procédure de recours, à la charge de l’Etat. IV. Les frais d’arrêt, par 880 fr. (huit cent huitante francs), sont laissés à la charge de l’Etat. V. L’arrêt est exécutoire. Le président : La greffière : Du Le présent arrêt, dont la rédaction a été approuvée à huis clos, est notifié, par l'envoi d'une copie complète, à : -Me Pascal de Preux, avocat (pour X.________), -Ministère public central,
10 - et communiqué à : -M. le Procureur de l’arrondissement de Lausanne, par l’envoi de photocopies. Le présent arrêt peut faire l'objet d'un recours en matière pénale devant le Tribunal fédéral au sens des art. 78 ss LTF (loi du 17 juin 2005 sur le Tribunal fédéral ; RS 173.110). Ce recours doit être déposé devant le Tribunal fédéral dans les trente jours qui suivent la notification de l'expédition complète (art. 100 al. 1
LTF). La greffière :