La loi Godfrain applicable aux atteintes aux biens

By 26 December 2012

Les logiciels indiscrets : une atteinte aux biens – Partie I :

Chapitre 2 : Le droit applicable et les différentes sanctions :

Plusieurs types de sanctions peuvent en effet être entreprises à l’encontre des personnes pénétrant dans un système informatique.

Des sanctions pénales sont envisageables (loi Godfrain) De plus, plusieurs Etats européens ont souhaité harmoniser leur législation nationale afin de lutter plus efficacement contre ces actes. Enfin, il est également possible de saisir les juridictions civiles (responsabilité civile).

Section 1 : La loi du 05/01/1988 ou loi Godfrain

La Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique constitue le texte majeur de la législation française en matière de lutte contre le piratage consistant à pénétrer dans un système informatique sans autorisation préalable. C’est aussi le seul texte pénal susceptible d’incriminer de tels comportements. Vieille de 14 ans, le caractère actuel de cette loi tient principalement aux comportements qu’elle incrimine ainsi qu’à la terminologie dont elle use. En effet, le succès de cette loi vient de son caractère intemporel qui lui permet de dépasser un obstacle majeur : l’évolution.

La loi du 5 janvier 1988 a été adoptée à la demande des élus de la Nation qui ont spontanément souhaité combler le vide juridique qui existait jusqu’alors en droit français. Deux initiatives parlementaires concurrentes ont eu lieu : l’une émanant du Sénat en février 1986 fut rapidement rejetée, l’autre émanant de l’Assemblée Nationale fut acceptée et est devenue la loi du 5 janvier 1988 sur la fraude informatique, plus connue sous le titre de « loi GODFRAIN », du nom de son initiateur. Cette loi a été, par la suite, intégrée dans le nouveau code pénal, entré en vigueur au 01/01/1994.

Les incriminations de la loi Godfrain se résument à deux comportements : l’accès et le maintien dans un système de traitement automatisé de données35 visé par l’article 323-1 du code pénal, d’une part, et certaines atteintes ayant pour finalité de toucher le système (article 323-2 du code pénal), d’autre part.

§1 : L’accès et le maintien dans un STAD

L’article 323-1 du Code pénal regroupe deux infractions de piratage informatique : l’accès frauduleux dans le système d’une part, et le maintien non autorisé dans le système, d’autre part.

A) L’accès frauduleux dans le système

Ce délit implique deux conditions : la pénétration matérielle dans tout ou partie du système d’une part, et l’absence d’autorisation légale, administrative ou contractuelle pour accéder aux données, d’autre part.

1- la pénétration matérielle dans tout ou partie du système

Pour qu’il y ait une pénétration matérielle dans un système, il n’est pas obligatoire que tous les éléments du système aient été utilisés et la jurisprudence semble avoir estimé que l’accès illicite est réalisé quand il existe une communication avec le système. La doctrine est divisée sur le point de savoir si la simple lecture de l’écran suffit ou non à caractériser l’infraction.

La jurisprudence est muette sur ce point précis mais, dans un arrêt du 05/04/199436, la Cour d’Appel de Paris a décidé que l’accès illicite pouvait résulter de la simple captation de signaux parasites émis par des matériels électroniques. La loi ne distingue pas selon les modes d’accès. Cela implique que toutes les modalités de pénétration irrégulières sont visées et relèvent de cet article : manipulation illicite, codes d’accès irrégulièrement obtenus, emploi d’un cheval de Troie, y compris lorsque le délinquant se borne à dénoncer les faiblesses d’un système informatique.37

2- l’absence d’autorisation légale, administrative ou contractuelle pour accéder aux données.

La personne n’a pas du tout le droit d’accéder aux données ou n’a pas le droit d’accéder aux données par les moyens qu’elle a utilisés. Cela implique le non respect des dispositions légales (par exemple les règles en matière de confidentialité ou de secret), des stipulations du contrat ou de la volonté du responsable du système.

La loi n’a pas précisé si l’accès illégal impliquait ou non la violation de dispositifs de sécurité. Ce silence est volontaire car il tient au fait que Sénat et Assemblée nationale avaient une interprétation divergente quant à la nécessité de cette condition. C’est donc au juge qu’il est en définitive revenu de trancher ce point. Dans un arrêt rendu par la Cour d’appel de Paris en 1994 (même arrêt que celui énoncé précédemment), il a été décidé que l’infraction d’accès illicite était constituée même en l’absence de dispositif de sécurité.

Au terme de l’article 323-1 du code pénal, « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30000 euros d’amende ». Les agissements ainsi réprimés n’ont comme limites que l’imagination de leurs auteurs. Ce texte trouve notamment à s’appliquer lorsque des salariés ayant perdu leur emploi vont se venger en pénétrant dans l’ordinateur de leur ancien employeur.38

B) Le maintien non autorisé dans le système

Cette seconde incrimination prévue par l’article 323-1 du Code Pénal, chronologiquement postérieure à l’accès non autorisé, présente toutefois un intérêt spécifique à l’infraction précédente dans le cas d’un accès régulier ou autorisé, alors que ce sont les opérations subséquentes qui sont illégales. La personne n’a pas le droit de demeurer dans le système ou elle s’y maintient au delà du temps autorisé. Par exemple, la personne qui a accédé régulièrement à un service informatique s’y maintient et envoie des messages pour tenter de corrompre des clients (Cour d’Appel de Paris 05/04/1994).

La jurisprudence a ajouté une condition supplémentaire, restreignant ainsi la portée de l’infraction. Il faut que la personne sache qu’elle n’avait pas le droit d’agir comme elle l’a fait.

En l’occurrence, la Cour d’Appel de Paris a estimé qu’il n’y avait pas d’infraction en cas d’ignorance par l’intéressé de l’absence d’autorisation.

En revanche, l’intention de nuire n’est pas un élément constitutif du délit et l’infraction existe même sans dommage ou sans préjudice. Simplement, les conséquences dommageables seront prises en compte au niveau de la répression. Elles constituent en effet des circonstances aggravantes, qui entraînent une multiplication par deux des peines, soit deux ans de prison.

Le terme « frauduleusement » doit donc être entendu comme étant « la conscience chez le délinquant que l’accès ou le maintien ne lui était pas autorisé et qu’il agissait contre le gré du maître du système ».39

C) Le cas du cookie et de l’espiogiciel

Nous ne reviendrons pas sur les définitions du cookie et de l’espiogiciel qui ont déjà été présentés. L’emploi des cookies n’est pas en lui-même constitutif d’un comportement frauduleux puisque leur finalité est de permettre une recherche aisée sur Internet et un gain de temps pour certains types de sites Web (commerce électronique notamment). Ce n’est pas le cas de l’espiogiciel qui agit toujours à l’insu de l’internaute.

Toutefois, le cookie peut se présenter de deux manières différentes : l’internaute est averti de la présence du cookie et l’internaute n’est pas averti de sa présence. Nous ne nous intéresserons ici qu’à la seconde hypothèse, c’est-à-dire aux cookies utilisés de manière transparente. Ces derniers sont à rapprocher étroitement des espiogiciels puisqu’ils agissent de manière similaire, en jouant le rôle d’un espion chargé de prendre des données à l’insu des internautes.

1- élément matériel de l’infraction

Au regard de l’article 323-1 du code pénal, l’infraction se déroule en deux phases. Le fait d’entrer, lors de la connexion, dans l’ordinateur de l’internaute (STAD) alors même que celui-ci l’ignore constitue la première phase de l’infraction : l’accès. On peut parler d’infraction puisque l’internaute n’a nullement autorisé cet accès.

La deuxième phase de l’infraction est réalisée dès lors que le cookie ou l’espiogiciel se maintient dans le STAD de l’internaute le temps d’y enregistrer des données pour le cookie et de les acheminer de l’internaute vers le serveur pour l’espiogiciel.

La notion de « maintien » doit être entendue de manière large et le législateur parlera tantôt de maintien « actif » ou « passif ». Le maintien actif est à envisager pour les cookies puisqu’il y a enregistrement de données sur le disque dur. Concernant les espiogiciels, compte tenu de la nature ambiguë, le maintien sera tantôt actif tantôt passif puisqu’il n’y a pas une seule catégorie d’espiogiciels mais plusieurs espiogiciels qui agissent de manière différente.

Les éléments matériels de l’accès et du maintien dans un STAD étant remplis, qu’en est-il de l’élément moral ?

2- élément moral de l’infraction

Le cookie et l’espiogiciel accèdent-ils et se maintiennent-ils de manière frauduleuse ? Nous pouvons répondre à cette question par l’affirmative. En effet, le fait de ne pas avoir obtenu d’autorisation pour accéder et se maintenir dans un STAD constitue une fraude. De plus, le cookie étant invisible aux yeux de la plupart des internautes – seul l’internaute expert sera à même de l’identifier – ces derniers sont dans l’impossibilité de s’opposer à ce type d’intrusion puisqu’elle est invisible.

L’espiogiciel ne pose pas de souci majeur puisqu’il est par nature invisible aux yeux de l’internaute. En revanche, le cookie doit être analysé de manière différente puisque l’internaute a la possibilité d’interdire tout cookie en configurant son navigateur Internet, comme nous l’avons vu précédemment.

Cette démarche n’est pas très commode pour l’internaute et rendra la navigation sur Internet insupportable puisqu’il faudra refuser les cookies à chaque ouverture d’une nouvelle page Web. De plus, la plupart des internautes novices ne connaissent pas cette manipulation et tous les navigateurs présents sur le marché autorisent par défaut les cookies.

Enfin, même si vous avez paramétré votre navigateur Internet de manière à ce que vous soyez informé de toute tentative d’installation d’un cookie sur votre disque dur, il est fort possible que vous ne puissiez pas accéder à certains sites qui n’autoriseront leur accès qu’en l’échange de l’installation d’un cookie sur votre disque dur, à l’instar d’un droit d’entrée.40 Le consentement n’est plus vraiment éclairé et Mme Mallet-Poujol41 parle même de consentement vicié.

Dès lors, on peut établir que le cookie, au même titre que l’espiogiciel, accède et se maintient dans un STAD de manière frauduleuse au sens de l’article 323-1 du code pénal.

La législation française actuelle sur les cookies repose sur « l’opt out ». En d’autres termes, les cookies sont autorisés à accéder sur l’ordinateur de l’internaute par défaut sauf stipulation contraire par l’internaute. La démarche contraire est celle de « l’opt in » et consiste à demander à l’internaute son autorisation avant tout envoi de cookie sur sa machine. Le Parlement Européen s’est récemment prononcé sur le sujet, en date 30 mai 2002, en adoptant la directive sur « le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ». Cette dernière fera l’objet d’une étude plus approfondie dans la seconde partie du mémoire.

La répression des cookies et des espiogiciels par la loi Godfrain n’exclut pas d’autres qualifications. Dans la mesure où les cookies et les espiogiciels peuvent déboucher sur un traitement automatisé de données nominatives, il est possible de s’attaquer à ce type d’agissement sur le fondement de la loi du 6 janvier 1978 à travers son volet pénal, par le biais des articles 226-16 à 226-24 du code pénal.

Lire le mémoire complet ==> (Les problèmes juridiques des logiciels indiscrets
Mémoire de D.E.A Informatique et Droit – Formation Doctorale : Informatique et Droit
Université MONTPELLIER 1 – Faculté de Droit
___________________________
35 STAD
36 CA Paris, 11e ch, 5 avril 1994, D 1994, IR p.130
37 TGI Paris, 13e ch., 13 févr. 2002
38 T. corr Lyon, 20 février 2001
39 LESTANC C : Com. Com. électr. avril. 2002
40 VIVANT M., LE STANC C., Lamy Droit de l’Informatique et des Réseaux, 2001, n°2660
41 Mallet-Poujol N., Les libertés de l’individu face aux nouvelles technologies de l’information, Cah. français n° 296, Doc. fr., 2000, p. 59, spéc. p. 65