2 DIFFERENTES INFRACTIONS RELATIVES AUX DONNEES

204. - L’article 323-3 du code pénal français qui dispose que « le fait d’introduire

frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende », permet de réprimer toute manipulation, suppression ou

modificationn de données contenues dans un STAD, quelles qu’en soient les conséquences. L’exigence d’introduction frauduleuse établit, quant à elle, un élément du dol spécial qui se ______________________________

604 J.R. Reidenberg, « States and Internet Enforcement », University of Ottawa Law & Technology Journal, vol. 1, n° 213, 2004, p. 213, adresse: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=487965.

605 Tel est le cas du système allemand, par exemple, où l’art. 202a 1° du code pénal incriminant l’espionnage informatique dispose que « celui qui, sans autorisation, obtient accès pour lui ou une autre personne, à des données qui ne lui sont pas destinées et qui sont protégées spécialement contre les accès non autorisés, en contournant cette protection, est puni d’une peine d’emprisonnement allant jusqu’à trois ans ou d’une peine d’amende ». De même, la loi brésilienne n°12.737/2012 exige que le STAD soit protégé pour que l’infraction d’accès illicite puisse être constituée. Enfin, en application de l’art. 615 ter du code pénal italien, il n’y a accès frauduleux que si le système est protégé par des mesures de sécurité. En revanche, un défaut technique ayant pour effet de faciliter le contournement des mesures mises en place n’est pas considéré comme un défaut de mesures de sécurité. Pour une analyse de la législation américaine applicable dans ce contexte, v. H.M. Jarrett, M.W. Bailie, « Prosecuting computer crimes », Office of Legal Education Executive Office for United States Attorneys, adresse : http://www.justice.gov/criminal/cybercrime/docs/ccmanual.pdf.

606 A ce titre, la loi brésilienne n°12.737/2012 introduit un système de gradation dans la répression d’infractions informatiques en distinguant selon la gravité de leurs consequences ou de la qualité des victimes. L’appréciation des faits ne sera donc pas la même slon que l’accès entraîne des pertes économiques, qu’il concerne des informations confidentielles, telles que des communications privées, des secrets commerciaux ou industriels, ou des informations qualifiées de confidentielles par la loi, ou est réalisé au moyen d’un contrôle à distance de l'appareil, que l’auteur divulgue ou commercialise les informations auxquelles il a accédé, ou encore que l’accès est commis à l’encontre d’agents de l’Etat.

607 Décision cadre 2005/222/JAI du 24 févr. 2005 relative aux attaques visant les systèmes d’information, adresse : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2005:069:0067:0071:FR:PDF. V. notamment son art. 2.

174

manifeste par la conscience et « la volonté de causer un préjudice à autrui ». Les pratiques incriminées sur ce fondement correspondent donc à toute altération de données, de fichiers ou encore de bases de données. L’altération peut prendre la forme soit de l’introduction de nouvelles données soit de l’effacement des données existantes. En revanche, ne sont pas incriminés par l’article 323-3 les comportements consistants en la copie, la transmission ou l’interconnexion des données tant que les données-mêmes ne subissent aucune modification608. Le texte protège, en effet, les données en tant que composante des STAD qui ne doivent pas être manipulées sans autorisation et non pas leur contenu, les informations qu’elles portent et leur valeur609.

Ainsi, l’introduction de données est l’infraction la plus souvent constatée en connexion avec un accès frauduleux au STAD. Les exemples de condamnations sont nombreux, comme celle de Jérôme Kerviel en 2010610. Dans cette affaire mettant en cause l’ancien trader de la Société Générale, pour l’introduction frauduleuse de données, l’abus de confiance (art. 314-1 du code pénal) et le faux et l’usage de faux (art. 441-1 du code pénal), le prévenu a été sanctionné par une peine d’emprisonnement de cinq ans, l'interdiction définitive d'exercer toute activité professionnelle relative aux marchés financiers et le paiement de dommages et intérêts d’un montant de 4,0 milliards d’euros. Ce jugement a été, par la suite, confirmé en appel611 _pour

enfin se voir partiellement modifié par la Cour de cassation612 qui, en applicant le principe de la répartition intégrale du préjudice causé à la victime, a uniquement annulé la condamnation du prévenu au paiement de dommages et intérêts aussi exorbitants.

205. - S’agissant de l’effacement des données, celui-ci constitue une circonstance aggravante du délit d’accès au STAD et peut conduire à entraver le fonctionnement de celui-ci (art. 323- 3), auquel cas les trois délits peuvent être retenus613. Concrètement, la contamination par un virus présente l’hypothèse la plus répandue de la suppression des données numériques. Autrefois introduit dans le STAD à l’aide d’un support matériel (ex. une disquette), aujourd’hui le virus est diffusé plutôt par le réseau (ex. messages électroniques ou fichiers téléchargés contaminés). Dans ce contexte, alors que certains programmes malveillants procèdent automatiquement à l’effacement de données, d’autres fonctionnent sur la base de chiffrement et sont, par exemple, en mesure de rendre les données d’utilisateurs indisponibles sans la clé de déchiffrement, sans pour autant les supprimer définitivement. En effet, suivant les instructions prévues initialement par ses concepteurs, le virus écrase, propage, efface, copie, ajoute ou modifie les données cibles. Sur ce point, la Cour d’appel de Paris a considéré que

______________________________

608 E. Bailly, « L'entreprise face aux risques informatiques : les réponses du droit pénal », RLDA 2011, n° 64.

609 H. Croze, « L'apport du droit pénal à la théorie générale du droit de l'informatique [à propos de la loi no 88-19 du 5 janvier 1988 relative à la fraude informatique] », JCP 1988. I. 3333.

610 V. TGI Paris, 11e ch., 3e sect., 5 oct. 2010, E.A. Caprioli, « Introduction frauduleuse de données », Comm. Comm. Electr., n°2, févr. 2011, comm. 16.

611 CA Paris, 12e ch., 24 oct. 2012, n° 11/00404. 612 Cass. crim. 19 mars 2014, n° R 12-87.416.

175

l'introduction d'un virus dans un système informatique démontre de façon évidente la volonté délibérée du délinquant en caractérisant donc l’élément intentionnel de l’infraction614_.

En réalité, en termes de sécurité et d’économie, les pertes et les enjeux relatifs aux atteintes aux données numériques sont énormes et les cyberpirates qui parviennent à les déstabiliser peuvent causer des pertes très lourdes615_{. Il arrive par ailleurs que ces atteintes soient utilisées comme}

des procédés de pression économique et de chantage616, conduisant ainsi au développement de nouveaux moyens de mise en œuvre de la concurrence déloyale617_{. Enfin, dans le contexte de}

l’e-réputation, des enjeux majeurs sont liés aux incidents de piratage de données, comme cela démontrent des récentes affaires concernant la divulgation de photos privées hébergées sur le Cloud et dont la publication a porté atteinte à l’intimité des personnes.