Le Computer Fraud and Abuse Act (CFAA), une loi anti-piratage controversée qui interdit « dépasser l'accès autorisé » sur un système informatique, a été restreint par la Cour suprême jeudi dans une décision 6-3 . Le tribunal a déclaré que la loi ne devrait pas couvrir les personnes qui abusent des systèmes auxquels elles sont autorisées à accéder, et que prétendre le contraire criminaliserait une « quantité époustouflante » d'utilisation quotidienne de l'ordinateur.
L'affaire judiciaire, Van Buren c. États-Unis, concerne un ancien policier géorgien nommé Nathan Van Buren. Van Buren a accepté 5 000 $ en échange de la recherche de la plaque d'immatriculation d'une femme dans une base de données de la police. (L'accord était en fait une opération d'infiltration du FBI, et le numéro de plaque était fictif.) Parce que l'échange violait les règles du département, les procureurs ont déclaré que Van Buren avait “dépassé l'accès” au système. Les avocats de Van Buren ont fait valoir que, qu'il ait ou non abusé de la base de données, il était autorisé à y accéder – et n'avait donc pas enfreint les lois anti-piratage.
Les affaires devraient être jugées sur des systèmes de blocage de portes, et non sur une utilisation abusive des données
L'opinion majoritaire de la Cour suprême, rendue par la juge Amy Coney Barrett, était d'accord. Il soutenait une approche « porte vers le haut ou vers le bas » de l'autorisation : accéder à des parties d'un système qui sont spécifiquement interdites enfreint les règles de la CFAA, mais pas simplement accéder aux zones autorisées d'une manière non approuvée.
L'opinion de Barrett a noté que les gens enfreignent ou enfreignent régulièrement les règles des ordinateurs et des services Web. “L'interprétation par le gouvernement de la clause “dépasse l'accès autorisé” attacherait des sanctions pénales à une quantité époustouflante d'activités informatiques courantes”, a-t-elle écrit. « Si la clause ‘dépasse l’accès autorisé’ criminalise chaque violation d’une politique d’utilisation de l’ordinateur, alors des millions de citoyens par ailleurs respectueux des lois sont des criminels. » La loi pourrait couvrir un employé qui envoie un e-mail personnel sur un ordinateur de travail, par exemple, ou « tout criminaliser, de l'embellissement d'un profil de rencontre en ligne à l'utilisation d'un pseudonyme sur Facebook ».
Elle pourrait « tout criminaliser, de l'embellissement d'un profil de rencontre à l'utilisation d'un pseudonyme sur Facebook”
Les experts juridiques et les défenseurs des libertés civiles ont largement salué la décision globale. “Il s'agit d'une victoire importante pour les libertés civiles et l'application des droits civiques à l'ère numérique”, a déclaré Esha Bhandari, directrice adjointe du projet Speech, Privacy and Technology de l'American Civil Liberties Union. Aaron Mackey et Kurt Opsahl, membres du personnel de l'Electronic Frontier Foundation, ont également qualifié la décision de victoire, affirmant que le tribunal “a fourni un bon langage qui devrait aider à protéger les chercheurs, les journalistes d'investigation et autres”. (Les deux organisations ont déjà déposé des mémoires soutenant Van Buren.)
Le CFAA peut être utilisé pour réprimer le piratage malveillant légitime, mais il est également notoirement vague, et différentes accusations peuvent entraîner des pénalités allant jusqu'à 5, 10 ou 20 ans de prison. Les critiques soutiennent que cette combinaison menace les chercheurs et autres personnes qui utilisent des informations librement accessibles de manière non approuvée. Les procureurs fédéraux peuvent accumuler des charges intimidantes contre des cibles, comme ce fut le cas avec le militant Aaron Swartz, qui s'est suicidé en 2013 alors qu'il faisait face à des poursuites. Les entreprises peuvent également l'utiliser pour harceler les journalistes ou les employés qui divulguent des documents.
La définition du piratage par la CFAA était notoirement large
En théorie, les procureurs doivent désormais établir que les utilisateurs ont effectivement accédé à des parties d'un système auxquelles ils n'avaient pas le droit d'entrer. “Je pense que c'est un accord vraiment substantiel”, a déclaré James Grimmelman, professeur à la faculté de droit de l'Université Cornell, à The Verge. “Cela clarifie vraiment que les employés qui utilisent des ordinateurs de manière déloyale n'est pas un problème de CFAA, et cela élimine une énorme part d'utilisation criminelle et civile de la CFAA.” La décision pourrait également affecter les cas impliquant le grattage ou la collecte en masse de données accessibles au public à partir de sites Web.
Les employés peuvent toujours être coupables d'autres infractions, comme le vol de secrets commerciaux, dit Grimmelman, et les grattoirs de données pourraient faire face à des accusations de la CFAA si leurs activités rendent un site inaccessible. Mais Van Buren place la barre plus haut pour ce qui est considéré comme du piratage criminel. « Vous vous débarrassez d'une énorme quantité de choses qui ne sont pas vraiment des crimes de haute technologie et dangereux des pirates », dit-il.
Qu'est-ce qu'une porte ? C'est une question ouverte
La décision laisse également des questions cruciales sans réponse, cependant. La décision du tribunal ne reposait finalement pas sur l'impact ou la validité globale de la loi. Il s'est concentré sur une définition du dictionnaire d'un mot (« donc ») pour décider si « dépasser l'accès autorisé » devrait être défini comme une interdiction similaire d'utiliser un ordinateur « sans autorisation » – qui utilise la métaphore de la porte. Et bien qu'il dise que les contrevenants doivent avoir contourné une “porte” métaphorique, cela ne définit pas fermement ces portes. Sur Twitter, le professeur de droit de Berkeley et expert CFAA, Orin Kerr, a souligné une note de bas de page qui implique que les portes pourraient être des barrières techniques ou des règles dans un contrat – selon les mots de Kerr, quelque chose d'aussi potentiellement large que « n'accédez pas à cet ordinateur à des fins malveillantes ».< /p>
« La question reste ouverte de savoir si la restriction d'accès doit être technologique ou contractuelle », déclare Hanni Fakhoury, ancien membre du personnel de l'EFF et avocat spécialisé dans la criminalité informatique. Comme le note Fakhoury, la décision dit qu'il n'est pas nécessairement « plausible » pour la CFAA de s'appuyer sur de fines distinctions sémantiques dans les contrats privés. “Il me semble certainement qu'ils sont mal à l'aise à l'idée que le CFAA devienne en quelque sorte un outil pour criminaliser les obligations contractuelles”, conclut-il. Mais cela laisse cette grande question au débat des juridictions inférieures, du moins jusqu'à ce qu'une autre affaire atteigne la Cour suprême.