Accueil > intrusion, hack et loi en France

intrusion, hack et loi en France

La loi Godfrain du 8 janvier 1988, bien qu’élaborée à une époque où on ne parlait pas encore d’Internet et dont les dispositions ont été reprises par le Code pénal dans un chapitre intitulé ” Des atteintes au système de traitement automatisé de données “, permet de sanctionner toutes les intrusions non autorisées dans un système informatique. Les sanctions prévues varient selon que l’intrusion a eu ou non une incidence sur le système en cause.
L’article L.323-1 du Nouveau code pénal prévoit que ” le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 euros d’amende “. Ces systèmes comprennent, entre autre, les sites web.

Accès frauduleux

La Cour d’appel de Paris a considéré dans un arrêt du 5 avril 1994 que ” l’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de communication “.

Quid, pourtant, si le système n’est pas protégé ?

La Cour d’appel de Paris, dans un arrêt en date du 30 octobre 2002, a jugé que la possibilité d’accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n’est pas répréhensible.

Elle a, ainsi, reformé le jugement du Tribunal de grande instance de Paris, qui avait estimait que l’existence des failles de sécurité ne constituait ” en aucun cas une excuse ou un prétexte pour le prévenu d’accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d’une infraction pénale “.

En effet, l’article 226-17 du Code Pénal réprime le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment d’empêcher qu’elles ne soient communiquées à des tiers non-autorisés.

Le maintien frauduleux

La loi incrimine également le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui y est entré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement ( Cour d’appel de Paris, jugement du 5 avril 1994 précité).

Quant à l’élément intentionnel de cette infraction, la doctrine et la jurisprudence s’accordent à admettre que l’adverbe ” frauduleusement ” n’est pas le dol général de l’attitude volontaire, ni le dol très spécial de l’intention de nuire, mais la conscience chez le délinquant que l’accès ou le maintien ne lui était pas autorisé.

Les intrusions avec dommages

L’alinéa 2 de l’article 323-1 du nouveau Code pénal prévoit un renforcement des sanctions, lorsque l’intrusion et le maintien frauduleux ont certaines conséquences :

” Lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de 2 ans d’emprisonnement et de 30 000 euros d’amende

Ne sont concernées par cet article que les altérations involontaires. L’entrave volontaire au système ou l’entrave volontaire aux données sont visés par les articles 323-2 et 323-3 du nouveau Code pénal.

Les entraves volontaires au système ou aux données s’y trouvant.

L’article 323-2 du Nouveau Code pénal définit l’entrave volontaire au système comme ” Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données “. “La peine encourue est de 3 ans d’emprisonnement et de 45.000 euros d’amende.
Cette infraction vise, notamment, l’introduction des programmes susceptibles d’entraîner une perturbation au système, tels que les virus, les bombes logiques etc.

L’article 323-3 du Nouveau Code pénal sanctionne, par ailleurs, l’introduction, la suppression ou la modification frauduleuses de données dans un système informatique. Les applications illicites visées par cet article sont nombreuses. Elles peuvent aller de la réduction du prix des marchandises sur un site de commerce électronique, la modification ou la suppression du contenu des bases de données à la modification du statut fiscal de l’entreprise.

Source : http://m.murielle-cahen.fr/2012-07-17/p-intrusion

Sauvez un dauphin albinos, partagez !!!