Le 3 juin, la Cour suprême a statué dans Van Buren c. États-Unis, une affaire qui a examiné des préoccupations de longue date concernant la portée de la Loi sur la fraude et les abus informatiques (CFAA). Van Buren découle de la poursuite en vertu de la CFAA d’un (maintenant ancien) sergent de police qui, en échange d’un paiement anticipé d’environ 5 000 $, a utilisé un ordinateur des forces de l’ordre pour effectuer une recherche de plaque d’immatriculation. Bien que cette action était clairement erronée, était-ce une violation de la CFAA? Dans une décision 6-3 rédigée par le juge Barrett, la Cour suprême des États-Unis a conclu que ce n’était pas le cas.
La CFAA, qui a été promulguée en 1986 et a été modifiée par la suite, soumet toute personne (à l’exception des « activités d’enquête, de protection ou de renseignement légalement autorisées d’un organisme d’application de la loi ») qui « accède intentionnellement à un ordinateur sans autorisation ou dépasse l’accès autorisé , et obtient ainsi » certains types d’informations à la responsabilité pénale. Entre autres choses, la loi criminalise l’accès non autorisé aux informations à partir d’un « ordinateur protégé », qui à son tour est défini comme incluant un ordinateur « utilisé dans ou affectant le commerce ou la communication entre États ou à l’étranger ». Ce langage fait des « ordinateurs protégés » des systèmes auxquels les utilisateurs d’Internet quotidiens accèdent couramment, y compris les serveurs qui hébergent des sites Web gérés par des sociétés de médias sociaux, des organes de presse, des sociétés de jeux en ligne et des fournisseurs de services de télévision, de films et de musique en streaming en ligne.
Un problème majeur avec la CFAA est la nature ambiguë du libellé de la loi. Le terme « sans autorisation » n’est pas défini dans la loi. « Dépasse l’accès autorisé » est défini, mais seulement d’une manière quelque peu circulaire qui limite peu sa portée. De nombreux documents universitaires, articles de commentaires, articles de presse et mémoires d’amicus ont noté que le langage de la CFAA, lorsqu’il est interprété de manière trop large, peut être utilisé pour criminaliser les utilisations courantes des ordinateurs que la plupart des gens considéreraient comme inoffensives.
Supposons, par exemple, que la violation des conditions d’utilisation d’un site Web soit considérée comme une forme de dépassement de l’accès autorisé. Comme l’a souligné l’Electronic Frontier Foundation, cela signifierait que « partager un mot de passe sur les réseaux sociaux » pourrait entraîner une responsabilité pénale. Des préoccupations analogues concernant la surcriminalisation surviennent si les violations de la politique d’utilisation de l’ordinateur d’un employeur constituent un dépassement de l’accès autorisé. Comme la Cour suprême l’a expliqué dans Van Buren:
Si la clause « dépasse l’accès autorisé » criminalise chaque violation d’une politique d’utilisation de l’ordinateur, alors des millions de citoyens par ailleurs respectueux des lois sont des criminels. Prenez le lieu de travail. Les employeurs déclarent généralement que les ordinateurs et les appareils électroniques ne peuvent être utilisés qu’à des fins commerciales. Ainsi, à la lecture de la loi par le gouvernement, une employée qui envoie un courriel personnel ou lit les nouvelles à l’aide de son ordinateur de travail a enfreint la CFAA.
La Cour suprême a conclu qu’« un individu ‘dépasse l’accès autorisé’ lorsqu’il accède à un ordinateur avec autorisation, mais obtient ensuite des informations situées dans des zones particulières de l’ordinateur, telles que des fichiers, des dossiers ou des bases de données, qui lui sont interdites. Et parce que Van Buren, l’ancien sergent de police et requérant dans l’affaire, était autorisé à accéder à la base de données des plaques d’immatriculation, son utilisation abusive des informations contenues dans la base de données peut l’avoir rendu responsable d’autres violations, mais cela n’a pas créé de responsabilité en vertu le CFAA.
Pendant que Van Buren fournit un contrôle bien nécessaire sur le CFAA, il a laissé de nombreuses questions sans réponse. Parmi eux se trouve la question de ce qui constitue l’accès à un ordinateur « sans autorisation » ou « dépasser[ing] accès autorisé. Cela nécessite-t-il de surmonter une barrière technologique conçue pour limiter l’accès, ou cela peut-il également se produire lorsqu’un utilisateur viole les limites d’accès spécifiées dans un contrat ou une politique ? En tant que professeur de droit à l’UC Berkeley, Orin Kerr fait remarquer dans un fil Twitter, la décision est quelque peu déroutante sur ce point : une grande partie de la décision semble suggérer que « l’accès autorisé » est défini en termes technologiques, mais la décision indique également dans une note de bas de page que «[f]ou à des fins actuelles, nous n’avons pas besoin de déterminer si cette enquête ne porte que sur les limitations technologiques (ou « basées sur un code ») à l’accès, ou si elle examine également les limites contenues dans les contrats ou les politiques.
Le résultat est que les risques d’interprétations trop larges de la CFAA n’ont pas disparu. Mais, grâce à Van Buren, ils sont inférieurs à ce qu’ils étaient auparavant.
