Arret Nº 6B 398/2019 Tribunal fédéral, 19-07-2019

Judgement Number6B 398/2019
Date19 juillet 2019
Subject MatterProcédure pénale Indemnité pour les frais de défense ; droit d'être entendu, etc.
Bundesgericht
Tribunal fédéral
Tribunale federale
Tribunal federal
6B_398/2019
Arrêt du 19 juillet 2019
Cour de droit pénal
Composition
MM. les Juges fédéraux Denys, Président,
Oberholzer et Rüedi.
Greffière : Mme Thalmann.
Participants à la procédure
X.________, représenté par
Maîtres Romain Jordan et Thomas Barth, Avocats,
recourant,
contre
Ministère public de la République et canton de Genève,
intimé.
Objet
Indemnité pour les frais de défense; droit d'être entendu, etc.,
recours contre l'arrêt du 6 juin 2018 (P/9462/2016 ACPR/320/2018) et l'arrêt de la Cour de justice de la République et canton de Genève, Chambre pénale de recours, du 20 février 2019 (P/9462/2016 ACPR/137/2019).
Faits :
A.
Par ordonnance du 4 décembre 2017, le Ministère public de la République et canton de Genève a classé la procédure dirigée contre X.________ (ch. 1 du dispositif), refusé de lui allouer une indemnité ou réparation pour tort moral (ch. 2) et l'a condamné au paiement des frais de la procédure arrêtés à 21'050 fr. (ch. 3).
Par arrêt du 6 juin 2018 (ACPR/320/2018), la Chambre pénale de recours de la Cour de justice de la République et canton de Genève a partiellement admis le recours interjeté par X.________, a annulé le ch. 2 de l'ordonnance du 4 décembre 2017 et a renvoyé la cause au ministère public pour qu'il statue sur l'indemnité due à l'intéressé pour la détention provisoire excessive.
B.
Par ordonnance du 23 août 2018, le ministère public a fixé à 2'300 fr. l'indemnité en raison de la détention excessive.
Par arrêt du 20 février 2019, la Chambre pénale de recours de la Cour de justice de la République et canton de Genève a admis le recours, a annulé l'ordonnance du 23 août 2018 et a fixé l'indemnité due à X.________ à titre de détention excessive au sens de l'art. 431 al. 2 CPP à 4'600 francs.
C.
Pour l'essentiel, ces deux arrêts sont fondés sur les faits suivants:
C.a. Le 25 mai 2016, la société A.________ SA, dont le siège est à B.________, a déposé une plainte pénale contre X.________ ainsi que contre inconnu pour soustraction de données, accès indu à un système informatique, détérioration des données, utilisation frauduleuse d'un ordinateur, service de renseignements économiques, subsidiairement pour vol, ainsi que pour violation du secret professionnel et violation du secret bancaire.
C.a.a. Dans sa plainte, A.________ SA exposait avoir été informée, le 20 mai 2016, par les ingénieurs informatiques de la maison mère et du bureau d'avocats C.________, établi au Panama, que des activités inhabituelles avaient été détectées sur deux de ses postes informatiques situés à B.________, à savoir une importante augmentation des connexions aux fichiers confidentiels des clients stockés au Panama - de l'ordre de 2'500 connexions par jour au lieu des 30 à 70 habituelles. Ce constat pouvait laisser entendre qu'un programme informatique avait été installé sur ces postes pour se connecter de manière automatique aux données confidentielles du bureau panaméen. Dans ces circonstances, un vol et une destruction de données sensibles étaient à craindre. Les deux postes informatiques en question étaient exclusivement utilisés par X.________, l'unique informaticien de la société à B.________. Celui-ci avait été licencié pour des motifs économiques, à l'instar d'autres collaborateurs, le 29 avril 2016. Les accès massifs aux données avaient débuté trois jours avant le licenciement dont X.________ avait pu se douter. Durant les vacances de celui-ci, du 18 au 23 mai 2016, les connexions avaient cessé pour reprendre massivement le 24 mai 2016 dès midi.
C.a.b. Redoutant que des informations confidentielles ainsi obtenues soient utilisées pour leur nuire, notamment en les transmettant à des tiers, A.________ SA a sollicité un action rapide du ministère public.
C.a.c. Sur la base de la plainte précitée, le ministère public a ordonné l'ouverture d'une procédure contre X.________, soupçonné de vol de données informatiques. Dans ce cadre, diverses mesures d'investigations ont été ordonnées, notamment une observation secrète du prévenu et une perquisition de son domicile, ainsi que l'utilisation de dispositifs techniques de surveillance.
C.a.d. X.________ a été arrêté le 31 mai 2016. Entendu en sa qualité de prévenu, il a été informé qu'il était soupçonné d'avoir, dès le 29 avril 2016, date à laquelle il avait appris son licenciement pour motifs économiques, depuis son poste de travail à B.________, extrait, manuellement ou à l'aide d'un dispositif informatique, un volume important de données de clients du serveur A.________ SA au Panama, avant de les réexpédier sur un site ou un serveur en Malaisie, agissements susceptibles d'être constitutifs d'abus de confiance (art. 138 CP), de vol (art. 139 CP), de soustraction d'une chose mobilière (art. 141 CP), de soustraction de données (art. 143 CP), d'accès indu à un système informatique (art. 143bis CP) et de détérioration des données (art. 144bis CP), ainsi que de violation du secret professionnel (art. 321 CP).
C.a.e. X.________ a été détenu préventivement du 2 au 24 juin 2016.
C.b. L'instruction a notamment révélé ce qui suit:
C.b.a. Les différents éléments extraits de la base de données de A.________ SA mettaient en évidence un comportement suspect du profil d'utilisateur " D.________ " attribué à X.________. Les connexions journalières aux données sensibles des clients stockées au Panama émanant de ce compte étaient habituellement comprises entre 0 et 75. Entre le 25 avril et le 27 mai 2018, elles avaient augmenté jusqu'à atteindre des pics de 1599 et de 2357 connexions, notamment en date du 2 mai 2016, jour exceptionnellement férié au Panama.
C.b.b. X.________ était l'administrateur unique du parc informatique de B.________ de A.________ SA et disposait de privilèges liés à cette fonction. En outre, lui seul avait accès aux postes par lesquels les données avaient transité.
C.b.c. X.________ a reconnu avoir utilisé son matériel informatique professionnel à des fins privées, à l'insu de son employeur, notamment pour administrer des sites internet privés, pour se connecter à des sites de rencontre ou en installant une plateforme PLEX, faisant office de serveur et de diffuseur multimédia, lui permettant d'accéder à son ordinateur depuis l'extérieur de l'entreprise. Il avait par ailleurs conservé une liste non protégée de mots de passe de A.________ SA sur le bureau de son ordinateur.
C.b.d. La perquisition effectuée le 29 mai 2016 à son domicile a permis de découvrir deux disques durs, qui avaient été formatés deux jours avant l'opération. De nombreux messages électroniques professionnels ont également été retrouvés sur son ordinateur portable privé.
C.b.e. Une vingtaine de programmes malveillants, respectivement leurs traces, ont été découverts sur l'un des ordinateurs professionnels de X.________. L'origine de l'infection n'a pas pu être déterminée mais remontait probablement à mars 2016. X.________ avait effectué de nombreuses recherches internet sur les logiciels malveillants en question.
En outre, l'essentiel du trafic de données de ses ordinateurs était composé de 24 GB de données sensibles provenant du Panama et de 35 GB de données envoyées vers l'adresse IP xxx en Malaise, notamment entre le 24 et le 27 mai 2017. Du trafic avait également été constaté avec une autre adresse IP malaisienne. A l'époque, celle-ci était associée aux noms de domaine " E.________ " et " F.________ ".
C.b.f. Dans un message électronique du 22 mars 2016, le responsable informatique de la maison mère avait transmis à X.________ le programme d'installation du logiciel de protection qu'ils utilisaient, à savoir " G.________ ". Le 19 mai 2016, le même interlocuteur lui avait demandé d'installer les agents de ce programme.
X.________ n'a toutefois procédé à l'installation de " G.________ " sur son ordinateur que le 25 mai 2016, date du dépôt de la plainte pénale. A cette même date, " G.________ " avait détecté et détruit le logiciel malveillant " H.________ ", qui s'était installé sur la machine dans l'intervalle et au sujet duquel X.________ avait effectué une recherche sur internet le 22 mars 2016.
Un autre logiciel malveillant, nommé " I.________ ", a été détecté par " G.________ " le 27 mai 2016. Installé sur l'ordinateur de X.________ le 11 avril 2016, ce logiciel se connectait automatiquement à l'adresse IP malaisienne correspondant au site " F.________ ", vers laquelle ont été exportées près de 35 GB de données sensibles. X.________ avait effectué des recherches internet au sujet de ce logiciel les 11 et 24 mai 2016, notamment sur le site russe " J.________ ". A la suite de la détection de l'antivirus du 27 mai 2016, il avait supprimé le fichier suspect, lancé une analyse antivirus et effectué des recherches au sujet de " F.________ ". Il n'avait pas entrepris de démarches auprès de la société mère.
Le logiciel malveillant nommé " K.________ " était également présent sur l'ordinateur de X.________ depuis le 23 mars 2016, à tout le moins. Ce " L.________ " permettait entre autres une surveillance de la machine par la visualisation de l'environnement utilisateur, la surveillance de frappes du clavier, l'enregistrement audio, le suivi de la souris, le téléchargement de différents composants vers la machine infectée et l'exfiltration de données. Il se connectait automatiquement aux domaines " F.________ " et " E.________ ", lesquels étaient associés à des cas de contrôle et de commandement par hameçonnage similaires à d'autres affaires de piratage.
Selon la "M.________ ", le " K.L.________ " et le site malaisien étaient liés à des opérations de piratage conduites ou initiées par le gouvernement du Kazakhstan contre différentes cibles.
C.c. Constatant que la poursuite de l'instruction était compromise...

Pour continuer la lecture

SOLLICITEZ VOTRE ESSAI

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT