[Edito] La justice française face aux cryptohackers : laxisme ou respect du principe de légalité ?

Dans un jugement rendu le 1er décembre 2023, la 13e chambre du tribunal correctionnel de Paris a relaxé deux prévenus poursuivis pour avoir soustrait plusieurs millions d’euros au protocole de finance décentralisé Platypus.

Une décision qui a suscité l’étonnement et les critiques, souvent teintées d’ironie, de la part de la communauté crypto sur le réseau social X laquelle a cru y déceler un blanc-seing donné par la justice française aux cryptohackers.

La réalité est toutefois plus nuancée à l’image de la notion de hack, laquelle peut renvoyer à des situations factuelles (et donc à des qualifications juridiques) très hétérogènes. 

Doit-on traiter de façon identique l’utilisateur d’un protocole qui active (éventuellement de mauvaise foi) une fonctionnalité prévue et codée par un smart contract et celui qui accède et altère le fonctionnement technique d’un protocole pour y détourner des fonds à son profit ?

Code is (sometimes) law 

L’interaction avec un protocole DeFi se limite bien souvent à la signature de transactions entre le portefeuille de l’utilisateur et le smart contract de l’application, sans qu’aucun document contractuel ou conditions générales d’utilisation du service ne soient formalisés entre les parties.

Dans ces conditions, il apparaît complexe de déterminer clairement les droits et obligations de l’utilisateur et du protocole. En effet, en l’absence de formalisation de ceux-ci par écrit, l’on peut logiquement considérer que ce qu’un utilisateur peut techniquement faire pour interagir avec le protocole (sans frauduleusement accéder ou en altérer le fonctionnement) entre dans le champ de la relation contractuelle. 

Autrement dit, en l’absence de contrat écrit, c’est bien le code qui détermine les droits et obligations réciproques des parties ce qui, au passage, n’exclut nullement la caractérisation de fautes ou d’exécution contractuelles de mauvaise foi.

Une ébauche de jurisprudence

Comme nous l’avons récemment relevé à propos d’un jugement rendu le 21 juin 2023 par la même formation de jugement, ce n’est pas la première fois que le juge pénal refuse de qualifier pénalement de vol ou d’escroquerie une situation dans laquelle des fonds ont été obtenus par l’utilisation d’une fonctionnalité techniquement permise par le code bien que vraisemblablement non désirée.

Il est possible de déduire de ces deux jugements récents une première interprétation jurisprudentielle selon laquelle l’instance pénale ne doit pas constituer une session de rattrapage pour des projets dont le code n’a pas été correctement conçu et audité. 

Reste à déterminer la frontière entre la manœuvre frauduleuse et la simple exploitation d’une caractéristique permise par le code. Hack ou feature telle est la question à laquelle les juges devront à nouveau se pencher lors du procès d’appel.