Le droit pénal appliqué à l’Internet

By 5 April 2012

Droit et procédure pénale relative à la criminalité informatique proprement dite – Chapitre 2:
Avec l’avènement de l’informatique, de nouvelles infractions sont apparues, telles la fraude informatique ou l’utilisation non autorisée de programmes informatiques protégés. Et le droit pénal traditionnel, avec ses incriminations de vol, d’escroquerie ou de collecte frauduleuse ou illicite de données nominatives, ne permettait que très difficilement leur répression. Le Législateur français a donc dû intervenir pour les incriminer spécifiquement, à l’instar de ses homologues, et ceci notamment sur l’appel d’Instances internationales tel l’OCDE ou le Conseil de l’Europe (1). Mais tous les pays n’ont pas encore procédé à ces modifications.

SECTION-1- LE DROIT PÉNAL APPLIQUÉ A L’INTERNET :
La loi française qui en est résultée en 1988, dite “Loi Godfrain”, du nom de son initiateur, permet aujourd’hui d’appréhender les nombreux méfaits ci-dessous énoncés, avec cette précision que les personnes morales peuvent en être aussi déclarées responsables :
– L’accès frauduleux dans tout ou partie d’un système de traitement automatisé de données, l’infraction étant aggravée lorsqu’il en est résulté une altération, soit des données y contenues (suppression ou modification), soit du fonctionnement même du système (323-1 NCP).
– Le maintien frauduleux dans ce système, avec les mêmes causes d’aggravation (323-1 NCP) : en effet, bien que le maintien dans un système suppose un préalable accès, celui ci peut-être autorisé tandis que le maintien, non (2).
– L’atteinte volontaire au fonctionnement d’un système de traitement automatisé de données, c’est-à-dire le fait de le fausser ou l’entraver (323-2 NCP).
– L’atteinte volontaire aux données contenues dans un système de traitement automatisé de données (introduction frauduleuse de nouvelles données, suppression ou modification des données stockées; 323-3 NCP).

PARAGRAPHE -1- L’INTRUSION :
Le « fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données » constitue une infraction punie d’un an d’emprisonnement et de 100000francs d’amende (article 323-1 alinéa 1 du code pénal) et toute tentative est punie des mêmes peines (articles 323-7 du code pénal ) .

Cette disposition vise à sanctionner ceux qui cherchent à prendre connaissance d’informations, confidentielles ou non, figurant dans des systèmes de traitement automatisé de données, dont l’accès leur est interdit. Il conviendra donc de faire la preuve, d’une part, du caractère frauduleux de l’accès, d’autre part, du caractère intentionnel de la pénétration illicite.

La preuve pourra en effet résulter, par exemple :
– Du contournement ou de la violation d’un dispositif de sécurité (comme la suppression délibérée des instructions de contrôle).
– De l’insertion d’un programme espion enregistrant les codes d’accès des abonnés (cookies (3), cheval de Troie…).
– D’une connexion pirate visant à interroger à distance un système.
– De l’appel d’un programme ou d’une consultation de fichier sans habilitation.

Cependant lorsque l’intrusion est effectivement le fait d’une erreur, le simple fait de se maintenir dans le système pourra être constitutif d’une fraude : « considérant … que la loi incrimine également le maintien irrégulier dans un système de la part de celui qui y serait entré par inadvertance, ou de la part de celui qui, y ayant régulièrement pénétré, s’y serait maintenu frauduleusement … » (4)

Dans tous les cas, l’infraction est constituée par l’accès ou le maintien frauduleux, indépendamment de tout dommage qui pourrait en résulter.

PARAGRAPHE -2- LES ATTEINTES AU SYSTÈME :
Le Code pénal réprime spécifiquement les atteintes et les tentatives d’atteinte aux systèmes de traitement automatisé de données, que ces atteintes soient involontaires ou non.

Lorsque l’accès ou le maintien frauduleux à provoqué « soit la suppression ou la modification de données contenues dans le système, la peine est de deux ans d’emprisonnement et de 200 000 francs d’amende » (article 323-1, alinéa 2 du Code pénal). Dans l’esprit du texte, les dégradations provoquées sont involontaires lorsqu’elles sont la conséquence de l’accès ou du maintien frauduleux dans le système, sans que leur auteur ait voulu délibérément lui porter atteinte.

Le Code pénal réprime deux types d’atteintes volontaires à un système de traitement automatisé de données. Sont sanctionnés, d’une part, le fait d’entraver ou de fausser le fonctionnement du système de traitement automatisé de données, d’autre part, le fait d’introduire frauduleusement ou de modifier les données. L’exemple le plus illustratif consiste à remplacer la page d’accueil d’un site Web par un autre écran, à l’insu du responsable du site concerné. « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 300 000 francs d’amende » (article 323-2 du Code pénal).

PARAGRAPHE -3- L’ENTRAVE AU SYSTÈME :
L’entrave peut découler de la destruction de fichiers, de programmes, d’un encombrement important de la capacité mémoire (cas du flaming (5)) qui provoque une perturbation dans le fonctionnement du système (ralentissement ou paralysie). Une illustration nous en a été donnée dans la semaine du 7 février 2000 au cours de laquelle plusieurs sites ont été pris d’assaut. Ces attaques qualifiées de « refus de service » (RDS) ou « denial of service » (DOS) se traduisent par une saturation du site en submergeant de connexions le serveur qui l’héberge. Cette vague a touché successivement des sites comme Yahoo!, eBay, Amazon.com, Buy.com ou encore CNN.com.

Ces attaques connaissent des précédents : la cour d’appel de Paris a ainsi retenu le délit d’entrave au fonctionnement d’un système de traitement automatisé de données au sens de l’article 323-2 du Code pénal dans les deux cas suivants :
– 1er cas
« […] Considérant […] que l’envoi automatique de messages ainsi que l’utilisation des programmes simulant la connexion de plusieurs minitels aux centres serveurs concernés ont eu des effets perturbateurs sur les performances des systèmes de traitement automatisé de données visés par ces manœuvres et ont entraîné un ralentissement de la capacité des serveurs.

[…] Considérant qu’en toute hypothèse de tels faits sont constitutifs du délit d’entrave au fonctionnement d’un système de traitement automatisé de données […] (6). »

– 2ème Cas
« […] Considérant […] que X a […] mis au point un système dit de sécurité… qui n’avait d’autre finalité que de paralyser à échéance régulière le fonctionnement du réseau informatique de la société, et ce aux fins de s’assurer le paiement de ses factures de maintenance aux échéances convenues … qu’une telle manipulation clandestine du système informatique dont il s’agit caractérise, l’intention délibérée de celui-ci, en l’occurrence, en introduisant au complet insu de l’utilisateur un verrouillage différé du logiciel, d’entraver le fonctionnement d’un système automatisé de données de la société par l’introduction d’une bombe logique temporisée ayant eu pour effet de bloquer l’exploitation du système informatique de ladite entreprise (7). »

Lire le mémoire complet ==> (Le piratage informatique: Définition et problèmes juridiques
)
Un mémoire pour l’obtention du diplôme D’Études Approfondies en Droit Interne et International des Affaires
Université Libanaise – Faculté de Droit et des Sciences – Politiques et Administratives
_______________________________________
(1) Recommandation n° R (89) 9 sur la criminalité en relation avec l’ordinateur et rapport final du Comité Européen pour les problèmes criminels, Conseil de l’Europe, Strasbourg, 1990.
(2) Pour un exemple de condamnation pour maintien frauduleux dans un système de traitement automatisé de données et pour entrave au fonctionnement de celui-ci : CA Paris (11° chambre, sect. A), 14 janvier 1997, Légipresse n°146, novembre 1997, Inf. d’actualité, I, 133 ; Juris-data, référence 020128.
(3) Cookies désigne des programmes espions qui ont la faculté de mémoriser des informations au sujet de l’utilisateur, permettant la constitution d’une base de données.
(4) CA de Paris 11e Ch. Corr. Section A 5 avril 1994, assistance Génie Logiciel et Geste c/ Niel et autres. Dossier Télécommunications, Les Petites Affiches, n0 80 du 5 juillet 1995, chronique sous la direction du professeur J. Huet.
(5) Flaming: provient de l’anglais “flame”, le flaming consiste à se livrer à des attaques via l’Internet en ayant la volonté de perturber le système d’information de son interlocuteur.
(6) CA Paris 11e ch.cor. Sect.A. 5 avril 1994, Assistance Génie Logiciel et Geste c/Niel et autres. Dossier Télécommunications, Les Petites Affiches, n=.80, 5 juillet 1995, chronique sous la direction du professeur J. Huet.
(7) CA Paris, 15 mars 1994, ministère public, Société OIP c/Christian C. et Jean-charles B. Expertises, décembre 1994, p.441.