Valentin Boullier

Le 21 juillet 2016, la Cour suprême de l’Oregon a rendu un arrêt permettant de mieux apprécier la notion d' »autorisation » en matière de délits informatiques (computer crime).

Le dirigeant d’un magasin avait constaté des irrégularités , le fond de caisse étant anormalement bas, tandis que la vente de billets de loterie était en hausse de manière inhabituelle. Celui-ci, après avoir mené une enquête, s’aperçut que les irrégularités pouvaient être constatées lors du jour de présence d’une employée. Il vérifia les caméras de surveillance, qui montrèrent ladite employée imprimer des billets de loterie pour son usage personnel tout en omettant de payer pour les tickets. Le manager du magasin affirma avoir autorisé l’employée à utiliser le terminal de loterie, mais confirma l’existence d’une règle du magasin : aucun employé ne pouvait utiliser le terminal pour acheter des billets pour son propre compte durant le temps de travail.

L’employée fut accusée d’avoir violé l‘ORS 164.377 (Oregon Revised Statutes). Le débat se cristallisa autour des sections 2 et 4 des statuts :

(2) Any person commits computer crime who knowingly accesses, attempts to access or uses, or attempts to use, any computer, computer system, computer network or any part thereof for the purpose of:
(a) Devising or executing any scheme or artifice to defraud;
(b) Obtaining money, property or services by means of false or fraudulent pretenses, representations or promises; or
(c) Committing theft, including, but not limited to, theft of proprietary information or theft of an intimate image.

(4) Any person who knowingly and without authorization uses, accesses or attempts to access any computer, computer system, computer network, or any computer software, program, documentation or data contained in such computer, computer system or computer network, commits computer crime.

La section 4 fut longuement débattue, en raison de l’expression « sans autorisation ». En effet, l’employée disposait-elle de l’autorisation nécessaire pour utiliser le terminal ? Celle-ci était certes autorisée à l’utiliser, mais l’utilisation qu’elle en a fait, non autorisée, permettait-elle de la condamner en invoquant la section 4, si l’on détermine que le vol de tickets de loterie n’est pas autorisé ?

En première instance, le tribunal condamna l’employée pour vol – ce qui n’est pas contesté – et pour avoir accéder au terminal sans autorisation. L’employée contesta cela : selon elle, son supérieur hiérarchique lui avait donné l’autorisation d’utiliser le terminal de loterie. La Cour d’appel, dans un arrêt en date du 4 février 2015 (State of Oregon v. Caryn Aline Nascimento, In the Court of Appeals of the State of Oregon) confirma le jugement de première instance. Une petition for review fut déposée, et l‘EFF déposa un amicus curiae. La question posée à la Cour suprême de l’Oregon était simple : « une employée autorisée par son employeur à utiliser un ordinateur viole-t-elle l’ORS 164.377(4) en utilisant celui-ci pour accomplir un objectif non permis ? »

Pour l‘EFF, le danger est simple :

This case is dangerous because it gives employers—and website owners—the power to make behavior illegal just by stating in a written computer use policy that it’s not allowed. For example, a worker could be prosecuted for reading personal email or checking the score of a baseball game if her employer’s policy says that company computers may be used only for work-related purposes.
WILLIAMS (J.), www.eff.org, EFF Urges Oregon Supreme Court To Review Troubling Computer Crime Decision, publié le 13 mai 2015, consultable à l’adresse <https://www.eff.org/deeplinks/2015/05/eff-urges-oregon-supreme-court-review-troubling-computer-crime-decision>

Pour l‘EFF, l’interprétation de l’ORS 164.277(4) par l’Etat de l’Oregon pouvait engendrer des conséquences particulièrement néfastes.

La Cour suprême de l’Oregon reconnaît que l’interprétation par l’Etat de l’Oregon est extensive, et soutient les arguments de l’employée, en affirmant que l’utilisation du terminal de loterie était une utilisation autorisée par l’employeur, l’employée ayant en effet été autorisée à imprimer des tickets via ce terminal. La Cour reprend même l’argument de l‘EFF, en estimant que l’adoption de l’interprétation faite par l’Etat de l’Oregon pourrait permettre l’engagement de poursuites contre des employés ayant envoyé un courriel privé via leur ordinateur de travail, dans l’hypothèse où cette utilisation ne serait pas autorisée par l’employeur. La Cour suprême prend soin de noter qu’en l’espèce, l’employée n’avait pas contourné des mesures de sécurité : le mot de passe était entré chaque matin par un manager, laissant ainsi l’utilisation libre pour les employés devant se servir du terminal. Ainsi, l’utilisation du terminal était illicite, mais l’employée n’avait pas accédé au terminal sans autorisation. La juridiction suprême de l’Oregon souligne également que « l’histoire législative » est en faveur de l’employée.

SOURCES :

• L’arrêt du 21 juillet 2016 est librement consultable sur Justia US Law à l’adresse <http://law.justia.com/cases/oregon/supreme-court/2016/s063197.html>
• L’arrêt de la Cour d’appel est consultable à l’adresse <https://www.eff.org/document/nascimento-court-appeals-decision>
• FARIVAR (C.), www.arstechnica.com, Clerk printed lottery tockets she didn’t pay for but didn’t break hacking law, publié le 2 août 2016, consultable à l’adresse <http://arstechnica.com/tech-policy/2016/08/court-store-clerk-who-stole-lottery-tickets-didnt-violate-state-hacking-law/>
• WILLIAMS (J.), www.eff.org, EFF Urges Oregon Supreme Court To Review Troubling Computer Crime Decision, publié le 13 mai 2015, consultable à l’adresse <https://www.eff.org/deeplinks/2015/05/eff-urges-oregon-supreme-court-review-troubling-computer-crime-decision>
• WILLIAMS (J.), www.eff.orf, Victory! Oregon Supreme Court Agrees that Violating a Company Rule is Not a Computer Crime, publié le 2 août 2016, consultable à l’adresse <https://www.eff.org/deeplinks/2016/08/victory-oregon-supreme-court-agrees-violating-company-rule-not-computer-crime>