La Cour suprême a réduit une loi controversée anti-piratage
Le Computer Fraud and Abuse Act (CFAA), une loi anti-piratage controversée qui interdit « d’excéder l’accès autorisé » sur un système informatique, a été restreint par la Cour suprême jeudi dans une décision 6-3. Le tribunal a déclaré que la loi ne devrait pas couvrir les personnes utilisant à mauvais escient les systèmes auxquels elles sont autorisées à accéder – et que prétendre le contraire criminaliserait une « quantité époustouflante » d’utilisation quotidienne de l’ordinateur.
Le procès, Van Buren c. États-Unis, concerne un ancien policier géorgien du nom de Nathan Van Buren. Van Buren a accepté 5 000 $ en échange de la recherche de la plaque d’immatriculation d’une femme dans une base de données de la police. (L’accord était en fait une opération d’infiltration du FBI, et le numéro de plaque était fictif.) Parce que l’échange violait les règles du département, les procureurs ont déclaré que Van Buren avait « dépassé l’accès » au système. Les avocats de Van Buren ont fait valoir que, qu’il ait ou non abusé de la base de données, il était autorisé à y accéder – et n’avait donc pas enfreint les lois anti-piratage.
L’opinion majoritaire de la Cour suprême, rendue par la juge Amy Coney Barrett, était d’accord. Il a soutenu une approche « porte vers le haut ou vers le bas » de l’autorisation : accéder à des parties d’un système qui sont spécifiquement interdites enfreint les règles de la CFAA, mais pas simplement accéder aux zones autorisées d’une manière non approuvée.
L’opinion de Barrett a noté que les gens enfreignent ou enfreignent régulièrement les règles des ordinateurs et des services Web. « L’interprétation par le gouvernement de la clause ‘dépasse l’accès autorisé’ attacherait des sanctions pénales à une quantité époustouflante d’activités informatiques courantes », a-t-elle écrit. « Si la clause ‘dépasse l’accès autorisé’ criminalise chaque violation d’une politique d’utilisation de l’ordinateur, alors des millions de citoyens par ailleurs respectueux des lois sont des criminels. La loi pourrait couvrir un employé qui envoie un e-mail personnel sur un ordinateur de travail, par exemple, ou « criminaliser tout, de l’embellissement d’un profil de rencontre en ligne à l’utilisation d’un pseudonyme sur Facebook ».
Les experts juridiques et les défenseurs des libertés civiles ont largement salué la décision globale. « Il s’agit d’une victoire importante pour les libertés civiles et l’application des droits civils à l’ère numérique », a déclaré Esha Bhandari, directrice adjointe du projet Speech, Privacy, and Technology de l’American Civil Liberties Union. Aaron Mackey et Kurt Opsahl, membres du personnel de l’Electronic Frontier Foundation, ont également qualifié la décision de victoire, affirmant que le tribunal « a fourni un bon langage qui devrait aider à protéger les chercheurs, les journalistes d’investigation et autres ». (Les deux organisations ont déjà déposé des mémoires soutenant Van Buren.)
Le CFAA peut être utilisé pour réprimer le piratage malveillant légitime, mais il est également notoirement vague, et différentes accusations peuvent entraîner des sanctions allant jusqu’à 5, 10 ou 20 ans de prison. Les critiques soutiennent que cette combinaison menace les chercheurs et autres personnes qui utilisent des informations librement accessibles de manière non approuvée. Les procureurs fédéraux peuvent accumuler des accusations intimidantes contre des cibles, comme ce fut le cas avec le militant Aaron Swartz, qui s’est suicidé en 2013 alors qu’il faisait face à des poursuites. Les entreprises peuvent également l’utiliser pour harceler des journalistes ou des employés qui divulguent des documents.
En théorie, les procureurs doivent désormais établir que les utilisateurs ont effectivement accédé à des parties d’un système qui leur étaient interdits. « Je pense que c’est un accord vraiment substantiel », a déclaré James Grimmelmann, professeur à la faculté de droit de l’Université Cornell. Le bord. « Cela clarifie vraiment que les employés qui utilisent des ordinateurs de manière déloyale n’est pas un problème de CFAA, et cela élimine une énorme partie de l’utilisation criminelle et civile de la CFAA. » La décision pourrait également affecter les cas impliquant le grattage ou la collecte en masse de données accessibles au public à partir de sites Web.
Les employés peuvent toujours être coupables d’autres infractions, comme le vol de secrets commerciaux, dit Grimmelmann, et les grattoirs de données pourraient faire face à des accusations de la CFAA si leurs activités rendent un site inaccessible. Mais Van Buren place la barre plus haut pour ce qui est considéré comme du piratage criminel. « Vous vous débarrassez d’une énorme quantité de choses qui ne sont pas vraiment des crimes de pirates informatiques dangereux et de haute technologie », dit-il.
La décision laisse également des questions cruciales sans réponse, cependant. La décision du tribunal ne reposait finalement pas sur l’impact global ou la validité de la loi. Il s’est concentré sur une définition du dictionnaire d’un mot (« donc ») pour décider si « dépasser l’accès autorisé » devrait être défini comme une interdiction similaire d’utiliser un ordinateur « sans autorisation » – qui utilise la métaphore de la porte. Et bien qu’il dise que les contrevenants doivent avoir contourné une « porte » métaphorique, cela ne définit pas fermement ces portes. Sur Twitter, le professeur de droit de Berkeley et expert CFAA Orin Kerr souligné une note de bas de page qui implique que les portes pourraient être des barrières techniques ou alors règles dans un contrat — selon les mots de Kerr, quelque chose d’aussi potentiellement large que « n’accédez pas à cet ordinateur à des fins malveillantes ».
« La question de savoir si la restriction d’accès doit être technologique ou contractuelle reste ouverte », déclare Hanni Fakhoury, ancien membre du personnel de l’EFF et avocat spécialisé dans la criminalité informatique. Comme le note Fakhoury, la décision dit qu’il n’est pas nécessairement « plausible » pour la CFAA de s’appuyer sur de fines distinctions sémantiques dans les contrats privés. « Il me semble certainement qu’ils sont mal à l’aise à l’idée que le CFAA devienne en quelque sorte un outil pour criminaliser les obligations contractuelles », conclut-il. Mais cela laisse cette grande question aux tribunaux inférieurs pour débattre – au moins jusqu’à ce qu’une autre affaire atteigne la Cour suprême.