Pour prémunir les systèmes d’information, et systèmes de traitement automatisé des données, contre la totalité des attaques intrusives, la législation prévoit des sanctions pénales, mais peut aussi engager la responsabilité civile délictueuse et quelques fois la responsabilité civile contractuelle.

Responsabilité pénale

La loi n° 88-19 dite Godfrain du 5 janvier 1988 relative à la fraude informatique, bien qu’élaborée à une époque où l’on ne parlait pas encore de l’internet et dont les dispositions ont été reprises par le Code pénal, dans un chapitre intitulé Des atteintes au système de traitement automatisé de données, permet de sanctionner toutes les intrusions non autorisées dans un système informatique.

Les intrusions simples

La définition de l’intrusion est donnée par l’article 323-1 al. 1^er du code pénal, lequel dispose qu’il s’agit du: « Fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données « [1].

Il y a une dualité des actes incriminables: d’une part, l’accès, c’est-à-dire le simple fait d’entrer, de pénétrer dans le système, et d’autre part le maintien qui est la suite naturelle de l’accès, mais qui suppose une intervention du facteur temps.[2]

La Cour d’appel de Paris a considéré que: « L’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de communication. »[3]

Mais quand est-il alors si le système n’est pas protégé? En 2002, dans le fameux arrêt Tati[4], la Cour d’appel a jugé que la possibilité d’accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n’est pas répréhensible. Elle a reformé le jugement du Tribunal de grande instance de Paris, qui avait estimé que l’existence des failles de sécurité ne constituait « En aucun cas une excuse ou un prétexte pour le prévenu d’accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d’une infraction pénale. »[5]

La loi incrimine également le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui est entré par inadvertance, ou de la part de celui qui, ayant régulièrement pénétré, se serait maintenu frauduleusement[6]. Quant à l’élément intentionnel de cette infraction, la doctrine et la jurisprudence s’accordent à admettre que l’adverbe « frauduleusement » n’est pas le dol général de l’attitude volontaire ou de l’intention de nuire, mais la conscience chez le délinquant que l’accès ou le maintien ne lui était pas autorisé.

Les intrusions avec dommages

L’alinéa 2 de l’article 323-1 du Code pénal prévoit un renforcement des sanctions, lorsque l’intrusion et le maintien frauduleux ont certaines conséquences: « Lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30.000 euros d’amende. »

En ce qui concerne les entraves volontaires au système ou aux données s’y trouvant, l’article 323-2 du Code pénal définit l’entrave volontaire au système comme: « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ».

La peine encourue est de trois ans d’emprisonnement et de 45.000 euros d’amende. Cette infraction vise, notamment, l’introduction des programmes susceptibles d’entraîner une perturbation au système, tels que les virus, les bombes logiques, etc. Par ailleurs, l’article 323-3 du Code pénal sanctionne l’introduction, la modification ou la suppression frauduleuse de données dans un système informatique.

Responsabilité civile délictuelle

Le droit commun de la responsabilité civile délictuelle est fondé sur la notion de faute au sens de l’article 1382[7] du Code civil. Elle nécessite une faute, un dommage et un lien de causalité entre les deux. La faute consiste, ici, en une intrusion dans un système informatique à l’insu de son utilisateur. Quant au dommage, il faut savoir s’il y a eu perte et/ou altération des informations contenues dans le site ou si le pirate a communiqué les données personnelles s’y trouvant à des tiers.

Mais, à ce niveau, l’identification du pirate n’est pas une chose aisée, qui plus est s’il s’agit d’un étranger ou s’il est français agissant depuis l’étranger. Dans ce cas,   la question de la compétence judiciaire internationale se pose. En droit français, le tribunal compétent pour juger un litige international est celui du défenseur du domicile, à moins que le demandeur, s’il est français, ne souhaite invoquer le privilège de juridiction des article 14[8] et 15[9] du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement « concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale ».

Dans le cas où le dommage, causé par l’intrusion, serait survenu au sein du système informatique d’une société domiciliée en France, les juridictions françaises seraient compétentes pour juger le litige.

Le juge, de manière générale, applique la lex loci delicti[10]. La Cour de cassation a jugé que le lieu où le fait dommageable s’est produit: « S’étend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier. »[11]

Plus récemment, l’atteinte aux systèmes d’information a été sévèrement sanctionnée. Un informaticien a été condamné pour accès frauduleux et entrave au fonctionnement de systèmes informatiques[12]. Il a pris le contrôle du serveur d’une société à partir duquel il a lancé des attaques systématiques vers des centaines de sites gouvernementaux pour, soi-disant, « explorer leurs failles ». Pour cela, il a introduit dans le serveur divers programmes lui permettant de contrôler le serveur à distance. Il a ensuite introduit la liste des cibles choisies, ainsi que sa revendication[13]. Au total, 394 serveurs gouvernementaux[14] ont été attaqués et 63 autres serveurs publics ou privés[15]. Le tribunal correctionnel de Paris a fait preuve d’une certaine exemplarité, car les faits n’ont pas eu de conséquences dramatiques. L’auteur des attaques a été condamné, au titre de la loi Godfrain, sur la fraude informatique, à quatre mois de prison avec sursis avec inscription sur le casier judiciaire, ainsi qu’une indemnité de 1500€ pour chaque partie civile. Cette décision illustre la capacité des tribunaux à apporter une véritable réponse judiciaire à ce type de criminalité.

Cette position des informaticiens est dans la lignée de celle prise par le site Kitetoa dans l’arrêt de la 12^ème chambre de la Cour d’Appel de Paris a réformé la décision de première instance. Kitetoa.com a été relaxé, contrairement à l’affaire précédemment évoquée. On est donc dans une jurisprudence qui tend à plus de sévérité à l’encontre des personnes, des informaticiens « bienveillants » qui ont pour motivation de démontrer les failles d’un système informatique et non de l’introduire, le pirater.

Responsabilité civile contractuelle

Il est possible d’engager la responsabilité civile contractuelle de l’hébergeur du site. Pour cela, il faudrait examiner les clauses contenues dans le contrat d’hébergement concernant la sécurité du site et la mise en place des systèmes informatiques de protection contre toute forme d’intrusion. Il faudrait aussi qualifier cette obligation de l’hébergeur; s’agit-il d’une opération de résultat ou de moyens? Dans la plupart des cas, il ne pourra s’agir que d’une obligation de moyens qui aura pour effet de contraindre le prestataire d’apporter la preuve qu’il n’a pas manqué aux obligations normales qui l’incombaient, en cas d’intrusion informatique non autorisée.

[2] Nicoleau, P., La protection des données sur les autoroutes de l’information, rev. Dalloz, 1996, p. 111.

[3] CA. Paris, 5 avril 1994, rev. Dalloz, 1994, p. 130.

[4] CA. Paris, 12^e ch., 30 octobre 2002, Tati c/ Kiketoa, rev. Dalloz, 2003, p. 2827.

[5] Ibid.

[6] Cour d’appel de Paris, 5 avril 1994.

[7] « Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. »

[8] « L’étranger, même non résident en France, pourra être cité devant les tribunaux français, pour l’exécution des obligations par lui contractées en France avec un français; il pourra être traduit devant les tribunaux de France, pour les obligations par lui contractées en pays étranger envers des français. »

[9] « Un français pourra être traduit devant un tribunal de France, pour des obligations par lui contractées en pays étranger, même avec un étranger. »

[10] Loi où le fait dommageable s’est produit.

[11] Cass. 1^re civ., 14 janvier 1997, Bull. I, 1997, n° 14, p. 8.

[12] TGI Paris, 12^e ch., 2 juin 2006, Legifrance.

[13] Il s’agissait d’un message d’alerte aux administrateurs sur l’insécurité de leur système.

[14] Dont le serveur Casier judiciaire national.

[15] Sites d’entreprises, de grandes écoles…

Images Flickr Joriel « Joz » Jimenez