Dans les requêtes que tu indiques, ce sont des GET.
Donc si un fichier existe et est mal protégé, des secrets peuvent être récupérés, donc c'est limite.

S'il s'agissait de HEAD, là oui ce serait purement un scan.

ça c'est la vision cybersécu.

là vision "juridique" : y a t il une victime ? Si oui quel est le préjudice ? Un principe du droit est bafoué (ex consentement préalable) ?
   
S'il veut faire rompre le contrat, sans être victime de préjudice, il va devoir se palucher les conditions d'usage (attention "perturber le reseau"  c'est celui de l'hébergeur pas d'un tiers) Prouver que ces conditions sont bafouées, ou n'importe quel autre élément du contrat n'est pas suivi. Et envoyer son courier à l'hébergeur qui vera avec son client.

La jurisprudence évoquée concerne bien plus, à mon avis, les troubles à l'ordre public liés aux sites internet et aux noms de domaines que le trafic ip.

le spam a des éléments de droit différents pour coincer un gros spammeur Et c'est jamais attaqué par l'angle préjudice dans lequel le FAI calcule le coût d'un spam ou d'un spameur. Une fois y a un spameur serré sur le le 1194 https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032041309