L'INTENTION DANS LA CRIMINALITE INFORMATIQUE ?
" Il n'y a point de crime ou de délit sans intention de le commettre ", c'est le principe qui est rappelé par l'article 121-3 Alinéa 1 du Code pénal. La responsabilité pénale n'est donc engagée que lorsque l'auteur a eu l'intention de commettre un crime ou un délit, il faut donc une intention de violer la loi pénale.
Cependant la criminalité peut aussi être informatique. Le développement de l'informatique a permis l'émergence de nouveaux comportements criminels. S'est alors posé une question, l'intention dans la criminalité informatique est-elle la même que l'intention dans le monde réel ?
A priori, l'intention dans la criminalité informatique ne devrait pas être différent de la criminalité dans le monde réelle car un crime reste un crime peu importe où il est commis. Pour pouvoir etre puni, l'intention dans la criminalité informatique dois donc être caractérisée ainsi que le fait matériel. Cependant nous avons eu quelques doutes concernant l'intention dans la criminalité informatique suite à une décision des juridictions. La notion d'intention dans la criminalité informatique devra donc être analysée.
Une décision du Tribunal de grande instance de Paris rendue le 13 février 2002 semble conforter l’idée que les délits informatiques ne sont pas des délits comme les autres.
Il s’agit de l’affaire Kitetoa, dans laquelle le webmaster (qui dénonce régulièrement les sites commerciaux qui sécurisent mal les données personnelles concernant leurs clients) du site Kitetoa.com détecta, en 1999, une grosse faille de sécurité au niveau du serveur de la société Tati qui rendait possible l’accès au contenu de la base de données grâce à un simple navigateur.
Dans cette base, on pouvait trouver un fichier .mdb (extension pour les fichiers Access --logiciel de base de données édité par Microsoft). dans lequel la société Tati enregistrait les noms, adresses et autres données personnelles des visiteurs ayant répondu à un questionnaire ... et ces informations ne faisaient l’objet d’aucune protection par mot de passe ... Ce webmaster en informa la société responsable.
La 13e chambre du Tribunal de grande instance de Paris a reconnu dans une décision en date du 13 février 2002 que la société Tati n’avait pas respecté l’obligation de sécuriser un fichier de données nominatives (article 226-17 du Code pénal) et a , contre toute attente, condamné le webmestre de Kitetoa à une amende de 1000 euros avec sursis, sur le fondement de l''article 323-1 du Code pénal (accès et maintien frauduleux dans un système de traitement automatisé de données)1...
La Cour d’appel de Paris, le 30 octobre 2002, a heureusement infirmé ce jugement (les « parties de site, qui ne font, par définition, l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès », quand bien même renferment-t-elles des données personnelles).
Toutefois, le raisonnement suivi par le juge de Première instance a de quoi surprendre et mérite que l’on s’y attarde quelque peu.
Faites appel à notre cabinet d'avocats en cas de doutes ou de demande d'éclaircissements, nous sommes à votre disposition : téléphone : 01 43 37 75 63
ou contactez nous en cliquant sur le lien
Dans cette affaire, le webmaster du site a bien failli être condamné sur le fondement de l’article 323-1 du Code pénal.
(Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d''un an d''emprisonnement et de 15 000 euros d''amende à l’époque et de 60 000 euros d’amende depuis le 24 juillet 2015.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d''emprisonnement et de 30 000 euros d''amende, à l’époque, et de 100 000 euros d’amende depuis le 24 juillet 2015 également)
Or, comment un juge a- t-il pu retenir cette infraction comme constituée alors que l’élément matériel de l’infraction, c’est à dire le caractère frauduleux de l’accès ne pouvait pas être démontré en l’espèce? ( absence de dispositif de sécurité de la base de données, absence de mention du caractère confidentiel des données par le gestionnaire du site et utilisation d’un logiciel grand public pour accéder à la base de données – voir Arrêt Cour Appel de Paris du 30 Octobre 2002 Antoine . / société Tati et Expertise Janvier 2003 Page 29-31)
A la lecture de l’arrêt, il semble que ce soit le seul élément intentionnel qui ait été retenu pour affirmer que le délit était constitué.
L’article 121-3 du Code pénal stipule qu’il n’y a point de crime et de délit sans intention de le commettre. Un délit nécessite toujours la réunion d’un élément matériel et d’un élément moral. Toutefois, en vertu du principe que nul n’est censé ignorer la loi, l’intention coupable peut, dans un certain nombre de délits, être présumée lorsque la matérialité des faits est établie. Toutefois, l’inverse n’a jamais été consacré.
Dans notre affaire, le prévenu a pu accéder au système comme nous le savons du fait de l’absence de protection. Or, cette lacune empêche de qualifier l’accès de frauduleux, ce qu’a clairement affirmé la Cour d’appel. Il ne restait plus alors que l’élément intentionnel.
Or, en l’espèce, selon le juge de première instance, la conscience du caractère frauduleux confère à l’accès considéré son caractère frauduleux.
Cela revient à présumer l’élément matériel à partir de l’élément intentionnel. Y aurait-il en informatique des spécificités exigeant ce type de raisonnement ?
Il est vrai qu’en l’espèce, au départ de l’action, lorsque le prévenu a eu l’intention d’accéder au système, il ignorait son caractère non protégé. Il n’avait que des soupçons tout au plus. Donc il a pu avoir une intention de commettre l’infraction. On pense de suite à la notion de tentative punissable. Toutefois, celle-ci exige un commencement d’exécution et une stipulation expresse de la loi(en matière de délit, la tentative n’est punissable que dans les cas prévu par la loi-Art.121-4 ).
Or, en l’espèce, le texte 323-1 CP n’incrimine pas la tentative et de plus on ne peut pas parler de commencement d’exécution puisque le prévenu a pu accéder au serveur et faire une copie d’un fichier confidentiel.
Par ailleurs, l’élément intentionnel était ici marqué par la bienveillance du prévenu qui n’avait que d’autre fin que de tester le système et d’avertir les responsables gérant ce dernier afin que les lacunes de sécurité soient comblées. C’est d’ailleurs cette bienveillance qui a conduit la parquet a faire appel de la décision pour que puisse être établi clairement les conditions d’application de l’article 323-1 du code Pénal.
Il parait donc clair que l’élément intentionnel ne pouvait pas permettre de présumer l’élément matériel dans cette affaire.
Il reste à se demander ce qu’il adviendra le jour où un futur prévenu doté cette fois d’une intention malveillante, profite de la non protection d’un système pour aller subtiliser des informations ou données personnelles tout à fait légalement dans le but , cette fois de les diffuser ou les revendre...
Faudra- t - il alors présumer l’élément matériel à partir de l’élément intentionnel pour pouvoir le condamner sur le fondement de l’article 323-1 CP ?
Il semble préférable, en l’absence de consécration textuelle de ce type de présomption et compte tenu de la décision rendue en appel infirmant le jugement de première instance, de se tourner en pareil cas sur d’autres textes comme l’art. 311-1 du CP sanctionnant le vol ou encore l’article 342-1 du CPI sanctionnant l’extraction et ou la réutilisation de la totalité ou d’une partie substantielle du contenu d’une base de données.
Il est permis de citer ici Bruce Schneier qui affirme que « Les lois n’augmentent pas la sécurité des systèmes, ou évitent que les attaquants trouvent des trous. Leur rôle est de permettre à des fabricants de produits de se dissimuler derrière une sécurité imprécise, blâmant les autres pour leur propre inaptitude. Il est certainement plus simple d’implémenter de la mauvaise sécurité et de rendre hors la loi tous ceux qui le font remarquer que d’implémenter de la bonne sécurité. »Source : Bruce Schneier, Secrets et mensonges, Sécurité numérique dans un monde en réseau, Vuibert Informatique, 2001, p. 355).
ARTICLES QUI POURRAIENT VOUS INTERESSER :