Cybercriminalité : le droit international et le droit civil français

By 27 December 2012

Les autres types de sanctions peuvent en effet être entreprises à l’encontre des personnes pénétrant dans un système informatique.

Section 2 : Les autres types de sanctions

§ 1 : Le droit international

La convention internationale contre la cybercriminalité a été adoptée le 23/11/2001 à Budapest. Le Conseil de l’Europe s’est attaché à mettre sur pied une convention capable de répondre aux défis que pose la criminalité informatique. Ce texte qui constitue une première au niveau mondial vise avant tout à garantir la sécurité du réseau et de ses utilisateurs.

Les Ministres ou leurs représentants des 26 Etats membres suivants ont signé le traité : Albanie, Arménie, Autriche, Belgique, Bulgarie, Croatie, Chypre, Estonie, Finlande, France, Allemagne, Grèce, Hongrie, Italie, Moldova, Pays-Bas, Norvège, Pologne, Portugal, Roumanie, Espagne, Suède, Suisse, ” l”ex-République yougoslave de Macédoine “, Ukraine et Royaume-Uni.

De plus, le Canada, le Japon, l’Afrique du Sud et les Etats-Unis, qui ont participé à son élaboration, ont également signé la Convention.

La Convention détermine trois principaux axes de réglementation : l’harmonisation des législations nationales concernant la définition des crimes, la définition des moyens d’enquêtes et de poursuites pénales adaptés à la mondialisation des réseaux et la mise en place d’un système rapide et efficace de coopération internationale.

A) Les infractions répertoriées

Les infractions retenues sont toutes soumises à deux conditions générales : les comportements incriminés doivent toujours être commis de façon intentionnelle et « sans droit » pour que la responsabilité pénale soit engagée. Elles sont répertoriées selon quatre grandes catégories:
– les infractions contre la confidentialité, l’intégrité et la disponibilité des données et systèmes : accès illégal, interception illégale, atteinte à l’intégrité des données, atteinte à l’intégrité du système, abus de dispositif
– les infractions informatiques : falsification et fraude informatiques
– les infractions se rapportant au contenu : actes de production, diffusion, possession de pornographie enfantine. Un protocole additionnel devrait inclure la propagation d’idées racistes et la xénophobie à travers les réseaux
– les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes : la distribution à grande échelle de copies illégales d’œuvres protégées etc…

B) De nouvelles procédures

La convention prévoit des règles de base qui faciliteront la conduite d’enquêtes dans le monde virtuel et qui représentent de nouvelles formes d’entraide judiciaire. Ainsi sont prévues : la conservation des données stockées, la conservation et divulgation rapide des données relatives au trafic, la perquisition des systèmes et la saisie de données informatiques, la collecte en temps réel des données relatives au trafic et l’interception de données relatives au contenu.

Ces dispositions sont soumises aux conditions légales des pays signataires mais doivent garantir le respect des Droits de l’homme et l’application du principe de proportionnalité. En particulier, les procédures ne pourront être engagées que sous certaines conditions, telle que, selon le cas, l’autorisation préalable d’un magistrat ou d’une autre autorité indépendante.

C) Les règles de la coopération internationale

A côté des formes traditionnelles de coopération pénale internationale prévues notamment par les conventions européennes d’extradition et d’entraide judiciaire en matière pénale, la nouvelle Convention exigera des formes d’entraide correspondant aux pouvoirs définis préalablement par la Convention et, en conséquence, que les autorités judiciaires et services de police d’un Etat puissent agir pour le compte d’un autre pays dans la recherche de preuves électroniques, sans toutefois mener d’enquêtes ni de perquisitions transfrontalières. Les informations obtenues devront être rapidement communiquées.

§2 : Le droit civil

Alors que la responsabilité pénale vise à sanctionner une personne qui commet une infraction, la responsabilité civile est l’obligation légale qui incombe à une personne de réparer le dommage causé à autrui.

La responsabilité constitue donc l’obligation de réparer le préjudice résultant soit de l’inexécution d’un contrat (responsabilité contractuelle : Art. 1147 du Code civil), soit de la violation du devoir général de ne causer aucun dommage à autrui par son fait personnel (Art. 1382 du Code civil), ou du fait des choses dont on a la garde, ou du fait des personnes dont on répond (Art. 1384 du Code civil). Lorsque la responsabilité ne résulte pas d’un contrat, elle est dite délictuelle.

Le problème rencontré sur Internet est lié au problème de l’identification. En effet, comment identifier de manière certaine l’auteur d’un site Web qui aurait commis divers actes malveillants (spamming, troyens…) et comment le sanctionner ?

Devant la difficulté à identifier l’internaute, il a été convenu de sanctionner l’intermédiaire à défaut de l’internaute : il s’agit bien entendu du fournisseur d’accès à Internet. L’enjeu étant l’indemnisation, la jurisprudence a décidé d’opter pour une sensibilisation des intermédiaires, mêmes passifs, sur leur responsabilité.

L’hébergeur ne verra sa responsabilité engagée qu’à la triple condition :
• qu’il ait la faculté technique d’intervenir
• qu’il ait eu connaissance du site critiquable
• qu’il ait choisi de ne rien faire

Ce type de responsabilité se rencontre principalement dans des affaires liées au droit d’auteur telle que l’affaire

Estelle Hallyday rendue par la Cour d’Appel de Paris en date du 10 février 1999.

En matière de logiciel indiscret, il paraît difficile d’engager la responsabilité civile du fournisseur d’accès à Internet. En effet, ce dernier n’aura pas connaissance des actes ainsi pratiqués, compte tenu de leur nature invisible.

Ainsi, un fournisseur d’accès à Internet ayant comme client un internaute envoyant délibérément des troyens, ne pourra pas voir sa responsabilité civile mise en cause par la personne ayant reçu lesdits fichiers puisque le fournisseur d’accès Internet pourra établir très facilement ne pas avoir eu connaissance des agissements. Cet exemple montre l’absurdité d’une telle action en matière de logiciel indiscret.

De plus, dans l’exemple pris ci-dessus, la victime des troyens sera également confrontée à des problèmes de preuve, encore faut-il qu’elle sache que son ordinateur soit infecté !

En revanche, la responsabilité civile, telle qu’envisagée précédemment, sera plus facilement envisageable mais pas complètement justifiée dans l’exemple suivant : un internaute, titulaire d’un site Internet, envoie des cookies aux internautes s’y connectant.

Le fournisseur d’accès Internet, connaissant la pratique de l’ensemble des sites Web et l’usage qu’ils font des cookies, serait dans une situation tout à fait différente que dans l’exemple précédent. Toutefois, d’autres conditions devraient être apportées afin que ce dernier soit condamné à verser des dommages-intérêts à la victime de son abonné.

Après avoir envisagé les méfaits des logiciels indiscrets comme relevant d’une atteinte aux biens, il convient désormais de les envisager sous la forme d’une atteinte aux personnes.

Lire le mémoire complet ==> (Les problèmes juridiques des logiciels indiscrets
Mémoire de D.E.A Informatique et Droit – Formation Doctorale : Informatique et Droit
Université MONTPELLIER 1 – Faculté de Droit