03
 
 
  LE CABINET
 
02
02
02
 
LES SERVICES
 
02
02
02
02
02
 
LES BULLETINS 02
01
 
02
02
02
02
02
02
02
02
02
02
 
 
 
02
02
02
02
02
Le Droit de l'Entreprise

DROIT DE L'INFORMATIQUE
L'accès ou le maintien non autorisé dans un système informatique
Publié le 09/02/2009
Partager sur FacebookPartager sur LinkedinPartager sur Viadeo separateur version imprimable 

L'accès ou le maintien non autorisé dans un système informatique

Contrairement à une idée largement répandue, le fait de "visiter" un système informatique sans aucune intention de le modifier, ni de porter atteinte aux données qui y sont enregistrées peut avoir des conséquences graves pour le visiteur indiscret.

Selon l'article 323-1, alinéa 1er, du nouveau Code pénal : " Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de 15.000 euros d'amende. ".

L'accès frauduleux

L'incrimination vise notamment les "white hackers" ou, plus généralement les "curieux", dépourvus d'intention de nuire ou de modifier le système.

Elle suppose que la personne qui accède au système y accède "frauduleusement", à savoir :

- volontairement (l'accès n'est pas accidentel)

- et sans disposer d'aucun droit ni d'aucune autorisation afin d'accéder au système.

Dans une décision du 4 décembre 1992, la Cour d'appel de Paris a écarté les délits d'accès et de maintien dans un système de traitement automatisé de données informatiques en constatant que l'appropriation d'un code d'accès avait pu être le résultat d'une erreur de manipulation sur les fichiers, cette circonstance excluant le caractère intentionnel exigé par la loi.

La protection du système

La protection du système est-elle une condition d'application de l'article 323-1, alinéa 1er, du nouveau Code pénal ? A priori, une réponse négative s'impose. La protection du système n'est pas une condition de l'incrimination.

Dans une décision du 5 avril 1994, la Cour d'appel de Paris a précisé que "pour être punissable, cet accès ou ce maintien doit être fait sans droit et en pleine connaissance de cause, étant précisé à cet égard qu'il n'est pas nécessaire pour que l'infraction existe que l'accès soit limité par un dispositif de protection...". La Cour a encore précisé qu'il suffit, pour que l'accès ou le maintien soit "punissable" que "le maître du système ait manifesté l'intention d'en restreindre l'accès aux seules personnes autorisées".

De sorte que, contrairement à une idée répandue, l'absence de système de sécurité, voire une réelle facilité d'accès ne met pas obstacle à l'infraction, sauf si cet accès est accidentel et que la personne qui accède au système ne cherche pas à s'y maintenir volontairement sans droit.

L'obligation de sécurité des données personnelles

Selon les termes de l’article 29 de la loi du 6 janvier 1978 dite "Informatique et Libertés" :

" Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. ".

Il s'agit d'une "obligation de sécurité des données personnelles", dont le non-respect est sanctionné par l'article 226-17 de nouveau Code pénal :

" Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 2.000.000 francs d'amende. ".

L'affaire TATI

Le 30 octobre 2002, dans une affaire célèbre opposant la société TATI à un journaliste, spécialisé en informatique, administrateur du site internet KITETOA.COM, la Cour d'appel de Paris est venue nuancer sa jurisprudence antérieure. Sur appel à l'encontre du jugement de condamnation du Tribunal de grande instance de Paris en date du 13 février 2002, le prévenu a été relaxé. La Cour a considéré qu'on ne pouvait pas reprocher à un internaute d'accéder ou de se maintenir dans les parties d'un site accessible par la simple utilisation d'un logiciel de navigation, et que " ces parties de site, qui ne font par définition l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès (…). La détermination du caractère confidentiel et des mesures nécessaires à l'indication et à la protection de cette confidentialité relevant de l'initiative de l'exploitant du site ou de son mandataire " .

Cette jurisprudence conduit à exiger la mise en place d'une protection adaptée du système ou, lorsqu'il s'agit d'un serveur internet, de codes et mots de passe en restreignant utilement l'accès. En l'absence de toute mesure de protection, l'accès ou le maintien pourrait ne pas être considéré comme "frauduleux" au sens de la loi.

Tester la sécurité informatique d'un système

Il convient de garder à l'esprit que le mobile de l'accès ou du maintien indu dans le système est, sur le plan juridique, parfaitement indifférent et que l'existence de failles de sécurité, voire le non-respect des règles de base de la sécurité informatique ne permet pas au "testeur" de bénéficier de la jurisprudence KITETOA.

Les règles dégagées par cette jurisprudence ne trouvent à s'appliquer que lorsque les quatre conditions suivantes sont réunies :

  1. Absence de toute protection (à différencier de la protection insuffisante) ;
  2. Accès à des données nominatives "réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès" (notamment par code et/ou mot de passe) ;
  3. Au moyen d'un "un logiciel (...) grand public" ;
  4. Absence de toute diffusion ou utilisation des données.

Le contournement d'un dispositif de sécurité, même insuffisant ou défaillant, justifie toujours l'application de l'article 323-1, alinéa 1er, du nouveau Code pénal.

Pascal ALIX
Avocat à la Cour



  CONTACTS :01Tél. : 09 61 45 85 24 (demander maître ALIX) 02 e-mail : alix@virtualegis.com  

  © Pascal Alix - 1999 à 2024 - Tous droits réservés - Virtualegis ®