La cybercriminalité

La notion de cybercriminalité englobe à la fois les atteintes perpétrées à l’encontre des systèmes informatiques et les formes traditionnelles de délinquance, qui utilisent Internet comme vecteur ou comme moyen d’expansion. Quelles sont les limites du droit de l’internaute à rechercher ou à profiter des informations sur internet et quels sont les lois qui encadrent le web afin de lutter contre la cybercriminalité ?

  • Les attaques contre les systèmes informatiques

La protection des systèmes informatiques contre les attaques pirates, tant externes qu’internes, a fait l’objet de la loi Godfrain du 5 janvier 1988, qui avait inséré dans l’ancien Code pénal des articles consacrés à la répression « de certaines infractions en matière informatique

Ces articles ont été modifiés lors des refontes successives du Code pénal et en constituent désormais les articles 323-1 et suivants. Ils répriment d’une part l’accès et le maintien frauduleux dans un système de traitement automatisé de données

(STAD), avec une aggravation de peine s’il en est résulté une suppression ou modification de données ou une altération du fonctionnement, d’autre part l’entrave au fonctionnement du STAD et l’introduction, la modification ou la suppression frauduleuse de données.

Ils répriment également la simple détention ou la diffusion de moyens de piratage : logiciels spécialisés, virus, etc.

Ces articles sont évidemment applicables pour toute attaque contre un site web, qu’il s’agisse d’une intrusion dans ses bases de données (« accès frauduleux à un système »), d’une attaque en déni de service (« entrave au fonctionnement »), d’une modification pirate (« modification frauduleuse »).

En effet, la loi ne définit pas précisément ce qu’est un « système de traitement automatisé de données », mais cette ouverture autorise une application très large de ces articles.

  • La loi Godfrain (1988)

Dans les années 1980, l’augmentation du nombre des fraudes informatiques a attiré l’attention du législateur. Le droit pénal de l’époque n’était pas du tout adapté à ces nouvelles formes de délinquance.

En conséquence, pour une répression pénale plus efficace des atteintes aux systèmes informatiques, le député proposa en 1988 une loi qui instituait les délits d’accès et de maintien frauduleux dans un système, d’entrave au fonctionnement d’un système, d’action frauduleuse sur les données, de falsification de document informatisé, d’usage de documents falsifiés et enfin d’association de malfaiteurs informatiques.

  • Condamnation des accès frauduleux, même à des fins ludiques ou de test

L’accès non autorisé est pénalement condamnable, même s’il n’y a pas intention de nuire et même s’il n’y a eu aucune conséquence dommageable pour le système.

La Cour d’appel de Paris a ainsi condamné le 15 mai 2001 un prévenu qui avait pénétré dans le système informatique d’une université grâce à un logiciel de piratage, sans provoquer aucune modification des données ni aucune altération du système.

De même, le tribunal de grande instance de Vannes a condamné le 13 juillet 2005 quatre étudiants qui avaient utilisé des logiciels de piratage des mots de passe pour accéder aux comptes d’autres utilisateurs du réseau de leur université.

Les prévenus ont été condamnés à 1 000 € d’amende avec sursis chacun.

Un expert en sécurité qui « teste » la sécurité d’un site web est lui aussi passible de cet article 323-1.

C’est pourquoi, lorsqu’une société lance un audit sur ses systèmes, elle doit donner aux auditeurs une autorisation écrite de chercher à contourner ses dispositifs de sécurité.

 

  • Condamnation des accès frauduleux à des fins répréhensibles

Contrairement aux exemples précédents, de nombreux accès frauduleux à des sites web sont commis à des fins répréhensibles.

Un motif fréquent est d’accéder à des données personnelles ou à des informations confidentielles, exploitables dans un but économique ou de nuisance.

Les condamnations se multiplient et confirment le spectre très large de cette incrimination, ce qui la rend très utile dans la répression de nombreuses fraudes informatiques.

Le recours à l’article 323-1 permet par exemple une répression efficace du vol d’information, voire de l’espionnage économique.

L’utilisation d’un identifiant et d’un mot de passe obtenus régulièrement, pour continuer à accéder à un système d’information alors que l’on n’est plus censé en avoir le droit, constitue aussi un accès frauduleux à un système.

Un ancien employé d’une agence de presse a ainsi été condamné par la

Cour d’appel de Paris le 27 mars 2002, pour avoir à plusieurs reprises accédées par Internet aux bases de données de son ancien employeur après son départ, en continuant à utiliser son identifiant et son mot de passe qui étaient toujours valables.

La condamnation à une amende de 762 euros a été confirmée, plus 1 franc symbolique de dommages-intérêts.

  • Condamnation pour copie d’un site web

Le fait de recopier en totalité le site web d’une société tierce, dans le but notamment de disposer des bases de données de cette société, a également été qualifié d’accès et de maintien frauduleux à un système.

En l’espèce, le gérant d’une société, qui avait « aspiré » le site des éditions d’annonces immobilières Neressis (« De particulier à particulier »), y compris la partie confidentielle du site contenant les bases de données de la société et les coordonnées personnelles des annonceurs, a été reconnu coupable par le tribunal de grande instance de Paris d’accès et de maintien frauduleux à un STAD, et de collecte déloyale de données nominatives.

Il a été condamné le 18 septembre 2008 à une amende de 5 000 € avec sursis.

La société dirigée par cette personne a été reconnue coupable des mêmes faits et condamnée à une amende de 15 000 €, plus 50 000 € de dommages-intérêts et 3 000 € de frais de justice.

Une société dont les gérants commettent une infraction dans le cadre de leur activité peut ainsi être condamnée à une amende beaucoup plus élevée que celle qui sanctionne ses dirigeants.