Les atteintes au système de traitement automatisé de données : droit pénal de la cyberattaque ou du hacking
Un système de traitement automatisé de données (STAD) est un ensemble de moyens matériels et logiciels permettant de collecter, stocker, traiter et diffuser des données de manière automatique, c’est-à-dire sans intervention humaine directe pour chaque opération. Les STAD sont largement utilisés dans de nombreux domaines tels que les entreprises, les administrations, les banques, les réseaux sociaux, etc. Les atteintes au STAD sont des infractions pénales qui peuvent être sanctionnées par la loi.
- Droit pénal spécial
- La prise illégale d’intérêts
- La concussion (article 432-10 du code pénal)
- L’usage de faux (articles 441-1 à 441-4 Code pénal)
- La sanction du faux et de l’usage de faux
- Faux et usage de faux : définition, condition, sanction…
- Atteintes au système de traitement automatisé de données
- Les destructions, dégradations, tags (L322-1 Code pénal)
- Le blanchiment d’argent (art. 324-1 Code pénal)
- Le recel, définition et sanctions (art. 321-1 du code pénal)
Ce sont des infractions qui ont vocations à s’appliquer à la fraude et au piratage informatique. Avec le développement de l’informatique, il est apparu que certaines atteintes susceptibles d’être portées à l’informatique ne pouvaient que difficilement être réprimées sur le fondement du droit commun.
En effet, les fraudes informatiques portent sur des biens incorporels ce qui rend impossible de leur appliquer le vol. Par ailleurs, le piratage informatique ne se réduit pas à la seule destruction des données.
Dans les années 80 est apparue la nécessité de créer des infractions spécifiques. Les atteintes sur les biens informatiques reproduisent les éléments de la criminalité traditionnelle , des actes de dégradations, un élément moral. Par ailleurs la répression pénale a été d’autant plus réclamée que la criminalité informatique a eu un coût considérable.
C’est une loi du 5 janvier 1988 qui a créé les infractions applicables dans ce domaine. Cette loi a été intégrée dans le Code pénal de 1992 et les infractions ainsi prévues figurent dans le chapitre relatif aux autres atteintes aux biens. Ce classement traduit l’idée que la fraude informatique n’est pas une criminalité d’appropriation. C’est pourquoi le législateur a créé des infractions spécifiques et a refusé de modifier les autres infractions. La donnée informatique est une information qui n’est pas susceptible de donner lieu à une appropriation.
Trois infractions ont été créé et ont un objet commun de l’infraction au traitement automatisé des données. Cela pourrait constituer leur condition préalable. La difficulté est que le législateur n’a pas défini cette notion de système de traitement automatisé des données. Il s’agissait de donner une définition générique qui s’adapterait à toutes les évolutions en la matière.
La définition de « système de traitement automatisé de donnée »:
Les données, selon un texte gouvernemental de l’époque, sont des chaînes de caractères magnétiques qui traduisent l’information enregistrée. Les données sont donc des informations formalisées. Ce n’est pas l’information proprement dite, mais la forme qu’elle va prendre dans un système de données.
Le système de traitement est quant à lui un programme d’opération sur des données qui permet notamment leur manipulation, leur tri, leur assemblage, leur compilation, leur fusion, leur enregistrement… Ou toutes opérations qui vont porter sur ces données par le système qui est le programme luimême.
Les systèmes était initialement le minitel, les ordinateurs qui permettent d’accéder directement ou indirectement à un système automatisé de données.
L’avantage de cette définition qui porte sur le programme et non sur le vecteur qui permet d’accéder à ce système. Il y a maintenant les téléphones, les assistants personnels… Le législateur a défini trois formes d’atteintes :
&1 : Modalités des atteintes au système de traitement automatisé de donnée :
A) Première modalité : l’accès ou maintien frauduleux dans un système de traitement automatisé de données
A l’article 3231 du Code pénal. Il a permis de punir un fait qui est résolument impunissable au titre des infractions contre les meubles.
Ce délit punit l’accès et le maintien.
Ces deux faits sont alternatifs et n’ont pas a être cumulatif. En règle générale, le maintien suit l’accès. Les faits sont punissables en eux-mêmes, en dehors de toute captation informatique.
Cet acte matériel d’accès ou de maintien tire son caractère punissable de sa nature frauduleuse. Ce caractère frauduleux s’entend du caractère indu de l’accès ou du maintien que l’on détermine par rapport aux conditions d’utilisation posées par le titulaire des droits du système, le maître du système.
C’est une infraction intentionnelle qui suppose que l’individu à connaissance des conditions posées pour l’accès ou le maintien et qu’il sait qu’il accède ou se maintient en dehors de ces conditions.
L’illustration jurisprudentielle de ce délit est l’utilisation de terminaux de minitel mis à disposition dans un service public pour accéder à des receveurs télématiques non autorisés au titre de cette mise à disposition. La neutralisation du procédé d’identification à l’accès à un site pour éviter d’en payer le coût (il peut y avoir un concours avec l’escroquerie). La neutralisation de la déconnexion automatique pour se maintenir sur un receveur télématique.
L’un des principaux cas d’application est le « vol de temps machine ». C’est l’utilisation sans droit des moyens informatiques d’autrui.
C’est un fait difficilement punissable au titre des infractions normales. Si un salarié fait l’usage d’un minitel dans le but autre que celui pour lequel il lui a été remis.
Le critère des atteintes aux biens est toujours bien limité à l’avance. Si dans le cadre du contrat de travail, c’est un abus de confiance, mais si en dehors du contrat de travail, c’est un vol.
B) L’entrave au fonctionnement d’un système de traitement automatisé de données :
Délit prévu à l’article 3232 du Code pénal. Il punit l’entrave et le fait de fausser son fonctionnement.
Ce sont des résultats et non pas des actes, peu importe le moyen, le résultat qui en est à l’origine.
L’entrave, c’est la neutralisation du système de traitement automatisé des données, mais aussi tout acte qui a pour effet de ralentir son fonctionnement. L’intérêt du délit est qu’il ne se confond pas avec les destructions.
Le moyen est résolument indifférent de sorte qu’il y a deux types d’entraves :
Les entraves externes qui rejoignent les destructions, la dégradation extérieure du système. On est en conflit de qualification avec les destructions, mais ce délit est plus fortement puni, il a donc vocation à s’appliquer.
Les entraves internes au fonctionnement. Ce sont les virus informatiques, le « spaming » massif. C’est empêcher la fonction régulière de fonctionner par la création de nouveau automatisme quifausse le fonctionnement. Par exemple, les « cookies ».
Il faut commettre le délit sciemment dans le but de troubler le fonctionnement.
Il faut souvent une grande portée. Par exemple, un virus diffusé par un magazine informatique. Mais cela peut être aussi une société de maintenance qui a introduit un programme lors de sa première intervention, cela se mêle à l’escroquerie.
C) Introduction, suppression ou modification de données :
Ce délit est puni à l’article 3233 du Code pénal. Il complète le précédent, il ne punit pas une atteinte au système, mais au contenu du système. C’est une atteinte aux écritures informatiques. Toute altération de ces écritures relève de ce délit, c’est une sorte de faux informatique qui est punissable en lui-même, c’est à dire qu’il n’est pas exigé qu’il puisse causer un préjudice. Or le faux dans sa version de droit commun n’est punissable que s’il est préjudiciable.
Par exemple, le délit a été appliqué dans une modification d’écritures informatiques comptables.
&2 : La répression des atteintes au système automatisé de données :
Les peines :
Pour le premier délit de l’article 3231 du Code pénal, 1 an de prison et 15 000 Euros d’amende. Aggravation à 2 ans et 30 000 Euros si l’accès ou le maintien à entraîner une modification ou une suppression des données ou bien une altération du fonctionnement du système et il n’est pas exigé que le résultat soit intentionnel.
Pour les deux autres délits des articles 3232 et 3233 du Code pénal, c’est 3 ans de prison et 45 000 Euros d’amende.
Les poursuites n’ont lieu qu’en raison d’atteintes d’une certaine ampleur.
Le régime :
Il est commun à toutes les infractions :
La tentative est toujours punissable.
Ce sont des délits qui peuvent être punis par des personnes morales.
Enfin, il existe un délit d’association de malfaiteurs spécifique à ces atteintes à l’article 3234 du Code pénal et qui punie toute entente ou association à un groupement destiné à la commission de l’un de ces trois délits. Cette participation doit se manifester par un ou plusieurs actes matériels préparatoires.
Sur le cumul ?
Si la réponse est positive, on cumule les infractions, mais si les deux infractions protègent la même valeur sociale protégée, on ne cumule pas, on prendra la plus importante. En matière informatique, il doit y avoir un cumul entre l’information magnétique dont on ne sait pas si elle s’approprie. C’est le cumul des qualifications et non pas le cumul des peines.