1 LA MISE EN PERIL DES DONNEES COMME RESULTAT D’UN ACCES ILLICITE A UN STAD

199. - Avec le développement des réseaux informatiques, l’infraction consistant en un accès illégal à un STAD est devenue un phénomène de masse595_{. En 2013, 2735 atteintes aux STAD}

ont été recensées par la police et la gendarmerie, selon le rapport de l’Obsevatoire National de la Délinquance et des Réponses pénales596_{. Entre 2012 et 2013, le nombre d’atteintes aux STAD}

constatées a augmenté de 20%. Les chiffrent démontrent, par ailleurs, qu’il s’agit essentiellement des accès ou maintiens frauduleux dans un STAD, sachant que 27% de ces atteintes sont des accès avec altération du fonctionnement ou modification ou suppression de données. Dans ce dernier cas, les attaques ont pour but l’altération, la détérioration ou la suppression des contenus des systèmes. De cette manière, il devient de plus en plus difficile de faire respecter le caractère confidentiel des données contenues dans les systèmes.

200. - Alors qu’en termes techniques, les attaques visant les STAD sont, dans la plupart des cas, réalisables depuis l’extérieur des systèmes, celles ciblant les données nécessitent la plupart du temps une intrusion dans le système de stockage de ces données. Ainsi, la répression de l’infraction d’accès illicite au STAD doit souvent s’analyser comme une première étape vers la sanction des infractions comme la modification ou l'interception des données. Ainsi, la loi n° 88-19 du 5 janvier 1988 dite « loi Godfrain » distingue selon que l’accès ou le mantien a entraîné ou non une altération sur le fonctionnement du système et sur les données qui’il contient. En application de l’art. 323-1 du Code pénal, il est donc, dans un premier temps, interdit « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de

traitement automatisé de données ». Cette infraction est, dans un second temps, aggravée dans

les hypothèses où une modification ou une suppression de données résulte de l’accès ou du maintien frauduleux. Enfin, la peine est la plus lourde lorsqu’il s’agit d’une atteinte portée aux données à caractère personnel dont le traitement est mis en œuvre par l’Etat. Il en ressort que quand bien même les dégâts relatifs aux données causés par un accès ou un maintien illicite dans un STAD ne soient pas une condition d’application de l’article 323-1, ils sont néanmoins érigés en circonstances aggravantes, ce qui permet de sanctionner les hypothèses où de l’accès ______________________________

595 S. White, J. Kephart, D. Chess, « Computer viruses: a global perspective », 5th Virus Bulletin International Conference, Boston, 20-22 sept. 1995, Virus Bulletin Ltd, Abingdon, England, p. 165-181.

596 S. Lollivier, Ch. Soullez, « La criminalité en France », synthèse du rapp. de l’Observatoire National de la Délinquance et des Réponses pénales, 2014, p. 41, adresse : http://www.inhesj.fr/sites/default/files/ra-2014/synthese_ra-2014.pdf.

171

ou du mantien résulte la suppression ou la modification de données ou encore l’altération de son fonctionnement.

201. - Par ailleurs, le simple fait de pénétrer dans le système permet de caractériser l’infraction, y compris lorsque le cyberpirate « sniffe » le STAD avec un logiciel d’interception de fichiers ou de messages électroniques ou encore de récupération d’adresses IP, tels qu’un cheval de Troie ou un cookie. Grâce à cette qualification large, l’exploitation d’une faille logicielle ou matérielle peut également être constitutive d’infraction. Or, en l’absence de protection, les données contenues dans un STAD sont réputées être non confidentielles. En réalité, alors qu’il n’est pas exigé que le STAD soit protégé pour que l’infraction d’accès ou maintien illicite puisse être constituée, toute protection facilitera la démonstration du caractère frauduleux du comportement du cyberdélinquant. En effet, quelques exemples de jurisprudences montrent que cette question n'est pas complètement tranchée et relève d'une appréciation des faits de l'espèce. Pour le juge, l’accès irrégulier suppose que son auteur « n’a pas respecté la « règle

du jeu » » qui procède de la loi, du contrat « ou de la volonté du « maître du système » » de

restreindre l’accès au STAD597_{. Seul un accès qui résulte d’une consultation des parties d’un}

STAD rendues accessibles au public, via, par exemple, une simple requête faite avec un moteur de recherche, est exempt de condamnation sur le fondement de l’article 323-1, et ceci à condition d’absence de toute indication du caractère confidentiel des données contenues et de tout obstacle à l’accès598_{. Par conséquent, ne peut pas être sanctionné sur ce fondement celui}

qui accède au STAD auquel l'accès et libre, public, ou qui y accède avec l'autorisation du propriétaire ou autre détenteur de droit599_{. Il en résulte que, faute de protection ou de}

manifestation de volonté de restreindre l’accès au système, les dirigeants d’entreprises exposent leurs structures à des risques d’intrusions qui ne pourront pas être sanctionnées sur la base de l’article 323-1 du code pénal600_.

202. - Le terme d’altération doit être, par ailleurs, intérprété de façon large pour envoyer à toute forme de dégradation – telle que la perturbation, la suppression ou la modification, y compris survenue involontairement. L’élément intentionnel ne s’applique pas ici et l’altération des données entraine des sanctions quand bien même elle soit involontaire, étant donné que les mêmes faits mais commis volontairement sont réprimés par l’article suivant – 323-2 du code ______________________________

597 CA Paris, 11 ch. corr., sect. A, 5 avr. 1994, Assistance Génie Logiciel et Geste c/ Niel et a., LPA n° 80, p. 13, 5 juill. 1995, chron. J. Huet (dir.), « Dossier Télécommunications » ; JCP E 1995, I, 461, obs. M. Vivant et C. Le Stanc. Cet arrêt affime qu'il n'est pas nécessaire pour que l'infraction existe que l'accès soit limité par un dispositif de protection, mais qu'il suffit que le maître du système ait manifesté l'intention d'en restreindre l'accès aux seules personnes autorisées. V. ég. TGI Créteil, 11e ch. corr., 23 avr. 2013, ANSES c/ Olivier L. E.A. Caprioli, « Le caractère frauduleux de l’accès et du maintien dans un STAD non protégé », Comm. comm. électr., n° 9, sept. 2013, comm. 96 ; et TGI Paris, 17e ch. corr., 26 janv. 2009, Forever Living Products c/ Damien B ; et CA Paris, 9 sept. 2009, Damien B. c/ Forever Living Products France, E.A. Caprioli, « Accès frauduleux aux données à caractère personnel et préjudice d’image », Comm. com. électr. n° 12, déc. 2009, comm. 120.

598 CA Paris, 12e ch., sect. A, 30 oct. 2002, Antoine C. c/ Min. public, Sté Tati ; Comm. com. électr. 2003, comm. 5, obs. L. Grynbaum ; Expertises, n° 266, janv. 2003, p. 27-31, C. Morel. En relevant uniquement le caractère libre de l'accès pour relaxer le prévenu, cette décision semblait signifier qu'en l'absence de mesures de sécurité, l'accès illicite au STAD n'était pas caractérisé.

599 V. Rapport explicatif sous la Convention sur la cyberciminalité, n° 47. 600 CA Paris, 8 déc. 1997, Gaz. Pal. 1998. 1, chron. Crim.

172

pénal. Ainsi, dans le cadre de l’article 323-1 al. 2, l’altération des données pourrait, par exemple, résulter, d’une maladresse, comme dans le cas d’un pirate qui, après avoir frauduleusement pénetré dans un STAD, sans vouloir en altérer l’état, supprime non intentionnellement des données essentielles à son bon fonctionnement, en tentant de masquer les traces de son passage ou de rester anonyme601_.

203. - En France, les sanctions d’un maintien frauduleux dans un STAD viennent en complément à un accès illégal à celui-ci. Cette incrimination présente un intérêt non négligeable, car elle permet de sanctionner des situations dans lesquelles, quand bien même l’accès au système s’effectue de manière régulière, le fait de s’y maintenir ne soit plus légitime du fait d’absence d’autorisation. Ceci est le cas lorsque, par exemple, le délinquant accède au STAD en y étant habilité, ou encore par erreur et donc sans intention illicite, mais y demeure pour atteindre les données auxquelles il n’a pas le droit d’accéder. L’infraction peut alors être caractérisée dès lors que, une fois l’accès obtenu, le cyberpirate procède à des manipulations (connexions, visualisations, etc.) dans le but d’accéder aux informations réservées. La condamnation d’un militant français Olivier L. pour « piratage » en raison de l’accès et de copie de fichiers non protégés stockés sur un serveur web constitue une illustration particulièrement pertinente de cette problématique. Dans cette espèce, le prévenu, aquitté des faits d’accès illicite dans le STAD de l’Agence nationale de la sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES)602_{, s’est vu sanctionné pour le maintien frauduleux dans}

le même système. En effet, alors qu’il a été effectivement retenu que l’accès au système a été rendu possible du fait d’une « défaillance technique concernant l'identification existant dans

le système » (il s’est avéré qu’une défaillance du système de protection par mot de passe du site

extranet de l’agence française avait eu pour effet de rendre ses fichiers librement accessibles sur Internet pour tous les internautes, y compris les moteurs de recherche), et que l’ANSES n’a pas clairement manifesté son intention de restreindre l’accès à son STAD, Olivier L. a parcouru les documents contenus après avoir « constaté la présence de contrôle d'accès et la nécessité

d'une authentification par identifiant et mot de passe », ce qui démontrait « qu'il avait conscience de son maintien irrégulier »603_{. D’autres jurisprudences vont dans le même sens,}

face aux cas de plus en plus nombreux d’attaques d’initiés (« insiders attacks »), à savoir d’attaques réalisés par des personnes habilitées à accéder au STAD (ex. les esmployés détenants le mot de passe) mais qui ne sont pas en droit d’effectuer les manipulations résultant de cet accès.

Précision importante s’agissant du système français, l’élément matériel de l’infraction du maintien illicite est constitué indépendamment du résultat du comportement de son auteur, celui-ci encourant des sanctions même en l’absence de préjudice quelconque. En revanche, l’analyse des différentes façons d’envisager la pénalisation des accès aux STAD démontre la ______________________________

601 CA Toulouse, 3e ch., 21 janv. 1999.

602 TGI Créteil, 11e ch. corr., 23 avr. 2013, E.A. Caprioli, « Le caractère frauduleux de l’accès et du mantien dans un STAD non protégé », Comm. comm. électr., n° 9, sept. 2013, comm. 96.

603 E.A. Caprioli, « Relaxe pour accès au STAD non protégé mais condamnation pour maintien dans le STAD et vol de fichiers informatiques », Comm.comm.électr., n° 4, avr. 2014, comm. 40.

173

diversité d’approches. Alors que certaines législations peinent à faire une distinction entre les délits d’accès et de maintien604_{, d’autres sanctionnent uniquement l’accès frauduleux en cas de}

violation grave (par exemple en cas de contournement de mesures de sécurité605_{, où l’auteur}

d’attaque a l’intention de nuire), lorsqu’un niveau de dommage minimum est atteint, ou encore lorsqu’un STAD particulièrement important est attaqué ou lorsque les données contenues dans le système sont atteintes606_{. Ce manque d’harmonisation parmi les Etats européens est en partie}

du au contenu de la décision cadre 2005/222/JAI607 _{et de la Convention sur la cybercriminalité}

qui laissent aux pays signataires la liberté d’exiger des conditions pour la caractérisation des infractions d’accès et de maintien frauduleux dans des STAD. Ainsi, par exemple, conformément à l’article 42 de la Convention, les pays signataires peuvent uniquement ériger en infraction le fait d’accéder à un STAD qui est lié au réseau – en ne criminalisant donc pas les hypothèses où le pirate a obtenu un accès physique au terminal, sans avoir besoin de lancer une attaque par Internet. Par ailleurs, certains juges, comme le juge allemand, vont même jusqu’à introduire une gradation dans le type de mesures de sécurité dont la trangression peut caractériser l’infraction. En Allemagne, sont assimilés à une absence de violation les cas où la mesure de sécurité peut être contournée facilement et sans effort, ou est inefficace pour des noninitiés.