Les atteintes directes, indirectes, et Carences – la loi Godfrain

By 27 December 2012

§2 : Les atteintes ayant pour finalité de toucher le système

La loi Godfrain prévoit deux types d’atteintes : les atteintes directes au système et les atteintes indirectes.

A) Atteinte directe (article 323-2)

L’article 323-2 du code pénal est ainsi rédigé : « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 45000 euros d’amende. »

Il convient d’identifier les différentes atteintes pouvant entrer dans le champ d’application de cet article du code pénal et nous nous intéresserons au « spamming » ainsi qu’aux chevaux de Troie.

1- Le spamming

Le spamming ou courrier non sollicité désigne l’action d’envoyer un message non souhaité et dérangeant à une personne ou à un groupe de personnes, généralement dans un but promotionnel ou publicitaire. Sont notamment considérés comme des actes de spamming :
• le fait d’envoyer un courriel à un ou plusieurs inconnus pour leur suggérer de visiter un site Web ou d’acheter un produit ;
• le fait d’inclure un individu dans une liste de diffusion sans son consentement préalable ou de l’empêcher de se désabonner ;
• le fait de diffuser sur un forum de discussion des messages sans rapport avec le thème abordé, dans un but provocateur ou commercial.

Le spamming peut également consister à envoyer des milliers voire des dizaines de milliers de messages appelés « mailbombs » à un unique destinataire, dans le but de saturer la boîte réceptrice et d’occasionner ainsi des dommages divers. Cette technique est appelée le « mailbombing ».

Ces messages sont vides, revendicatifs voire injurieux, et potentiellement accompagnés de fichiers joints volumineux selon que l’objectif est une attaque DOS du serveur de messagerie ou la saturation de la boîte aux lettres de la victime. Certains virus comme Sircam pratiquent occasionnellement le mailbombing, et sont ainsi capables de s’envoyer en plusieurs centaines d’exemplaires à la même personne en un temps réduit.

La question est de savoir si de tels agissements sont susceptibles d’être réprimés au titre de l’article 323-2 du code pénal ?

L’élément matériel de l’infraction ne semble pas poser de problème puisque envoyer massivement des données dans le seul but de saturer la boîte de réception est un acte positif constituant une entrave.

L’élément moral pose plus de difficultés en cas de « spamming » à vocation commerciale.

Dans un arrêt rendu par la Cour d’Appel de Paris le 05/04/1994, cette dernière s’était appuyée sur l’article 323-2 du code pénal pour condamner les prévenus. Dans cette affaire, une société exploitait un service minitel accessible par le 3615, qu’un concurrent avait investi en multipliant les envois automatiques de message ce qui avait eu pour conséquence de ralentir la capacité du serveur.

Avec le recul, on peut estimer que l’application de l’article 323-2 du code pénal n’était peut être pas la meilleure façon de résoudre le litige. En effet, l’article 323-2 du code pénal exige une intention frauduleuse alors que le spamming ne constitue pas une technique destinée à frauder. L’utilisation de l’article 323-1 alinéa 2 du code pénal semble dès lors plus judicieuse concernant le « spamming » à vocation commerciale. Ainsi, l’accès sans droit au STAD serait constitué en accédant à une boîte aux lettres électronique sans l’accord de son propriétaire et le « bourrage » de cette dernière constituerait une entrave.

Il convient d’ajouter que la loi Godfrain ne constitue pas le seul texte pouvant résoudre le problème posé par le « spamming ». La Directive Européenne du 20 mai 1997 relative aux contrats à distance et la Directive du 4 mai 2000 relative au commerce électronique ont pris en compte le « spamming ». Elles ont opté pour la mise en place des systèmes de l’opt in et d’opt out prévoyant que les émetteurs devront obtenir l’accord de l’internaute préalablement à tout envoi de courriers électroniques à des fins publicitaires.

Le Parlement Européen a récemment adopté la directive sur « le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques », en date du 30 mai 2002. Cette directive s’intéresse notamment au spam et laisse le dernier mot à chaque Etat membre quant au choix des deux principes « opt-in » et « opt-out ».

2- Les chevaux de Troie

Un cheval de Troie est donc, comme vu précédemment, un programme informatique dissimulé dans un système informatique ayant pour finalité de pénétrer dans un système, en se mettant à l’abri des mécanismes de protection, afin d’y pirater les données y figurant.

Cet acte relève donc bien de l’article 323-2 du code pénal. Les chevaux de Troie peuvent être assimilés à des virus en ce sens qu’ils peuvent entraîner la destruction complète de programmes.

L’élément matériel est constaté dès lors que le délinquant provoque des dommages. Deux informaticiens ont ainsi été condamnés pour notamment escroquerie et abus de confiance, en pénétrant, à l’aide d’un cheval de Troie, dans les systèmes d’EDF, du Centre d’Etude Nucléaire de Saclay, de l’Office National d’Etudes et de Recherche Aérospatiale de Fruehauf, et d’une entreprise de pompes funèbres générales.42

L’élément moral est quant à lui lié à l’élément matériel. L’intention frauduleuse de l’auteur sera facile à démontrer et pourra même être déduite des faits.43

B) Atteinte indirecte (art 323-3)

L’article 323-3 du Code pénal vise les manipulations illicites de données et est ainsi rédigé : « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de trois ans d’emprisonnement et de 45000 euros d’amende. »

Au même titre que l’article 323-2 du code pénal, le présent article peut également s’appliquer en cas d’utilisation d’un cheval de Troie dès lors que le troyen supprimera ou modifiera les données.

Ont ainsi été sanctionnées au titre de cet article des introductions volontaires de virus ou de chevaux de Troie au lieu et place du programme normal. Ce délit suppose un dol général. L’auteur agit en ayant conscience de porter atteinte à l’intégrité des données et en sachant qu’il n’est pas habilité à les manipuler.

Ce ne sera en revanche pas le cas d’une personne fabriquant une disquette de démonstration se trouvant infectée par un virus puisque la connaissance de ce virus ne parait pas établie.

En revanche, la loi n’exige pas de dol spécial : il n’est donc pas nécessaire d’établir que ces actes délibérés sont commis avec une intention particulière, comme la volonté de causer un préjudice spécial.

La loi Godfrain constitue un bon moyen de réprimer les différentes attitudes décrites précédemment mais elle souffre de carences.

§3 : Carences

La loi Godfrain souffre de plusieurs maux. Tout d’abord, le mécanisme législatif est resté pour l’essentiel théorique car les tribunaux ne l’ont appliqué qu’en de rares occasions. Ainsi, il n’existe ni décision de justice portant condamnation pour simple accès frauduleux, ni condamnation de club de hackers. L’essentiel des jugements des juridictions du fond a porté sur les atteintes aux données ou aux systèmes informatiques dans un environnement électronique classique.

De plus, on constate que les dispositions visant à interdire de telles pratiques ne font pas l’objet d’une grande « publicité » à l’opposé des infractions relevant du droit d’auteur.

Enfin, il faut convenir qu’il ne faut pas faire de différence entre les deux types d’hackers existants. Le premier type d’hackers ne cherchera qu’à commettre des actes dommageables et percevra cela comme un jeu, un challenge et restera anonyme. Le second type d’hackers ne cherchera à pénétrer dans des systèmes qu’en vue de monnayer son savoir-faire auprès de leurs victimes et s’empressera de se faire connaître sitôt son méfait accompli.

Le projet de loi « Société de l’information » a été approuvé en Conseil des ministres le 13 juin 2001 et une de ses principales dispositions renforce les moyens de lutte contre la cybercriminalité. Ce texte comprend notamment diverses dispositions relatives au droit pénal, à la procédure pénale et à la responsabilité pénale, y compris celle des fournisseurs de services et tend à renforcer la législation actuelle en matière de répression contre le piratage.

Lire le mémoire complet ==> (Les problèmes juridiques des logiciels indiscrets
Mémoire de D.E.A Informatique et Droit – Formation Doctorale : Informatique et Droit
Université MONTPELLIER 1 – Faculté de Droit
___________________________
42 TGI Limoges, 18 mars 1994
43 Cour d’Appel de Paris, 14 janvier 1997, JurisData n°020128