Gérer les risques
Aujourd'hui et demain

Cybersécurité

Antoine Cheron (ACBM) : « Les dispositifs juridiques à l’encontre des pirates informatiques sont inefficaces »

Interview d'Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC au barreau de Paris et au barreau de Bruxelles, fondateur du cabinet d'avocats ACBM.

Selon l’éditeur de logiciels de sécurité informatique Kaspersky Lab, les internautes sont de plus en plus exposés au rançongiciel « Locky ». Quelles sont, en pratique, les sanctions que risquent les contrevenants ? Les pirates ne peuvent-ils être poursuivis pour vol, tromperie ou abus de confiance ?
L’utilisation de ce logiciel malveillant permet aux hackers de chiffrer les fichiers d’un ordinateur, avant d’exiger une rançon en contrepartie de leur décryptage. En principe, il est possible d’agir à l’encontre des pirates informatiques sur le fondement des articles 323-1 et suivants du Code pénal. Le législateur a souhaité réprimer largement ces pratiques en faisant de cet article un délit obstacle. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60.000 euros d’amende. De même, le fait d’entraver le fonctionnement d’un système informatique est puni de cinq ans d’emprisonnement et 150.000 euros d’amende. Enfin, est puni des mêmes peines, le fait d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données d’un tel système. Malgré tout, la question paraît légitime eu égard au manque d’effectivité des dispositifs juridiques mis en place en vue de lutter contre le piratage.
Et pourquoi ?
Jusqu’à une période récente, le vol de données était, en la matière, systématiquement écarté par les juges. Il a été admis pour la première fois par un arrêt de la Cour de cassation du 20 mai 2015. Il est toutefois plus dangereux d’agir sur ce fondement au regard de la jurisprudence antérieure. De plus, les infractions figurant aux articles 323-1 et suivants du Code pénal apparaissent plus adaptées à la pratique du piratage informatique. De son côté, l’abus de confiance est à écarter en ce cas d’espèce. Bien que l’article L 314-1 du Code pénal fasse désormais référence aux « biens quelconques », lesquels renvoient aux biens immatériels, l’objet du détournement doit préalablement avoir été remis volontairement. En l’occurrence, tel n’est pas le cas. A titre indicatif, l’abus de confiance en matière détournement d’informations a été reconnu dans les cas suivants : détournement d’un projet par un employé, détournement de clientèle (Cass crim 16 novembre 2011), détournement de temps de travail.
Comment peut-on dire que ces textes ne sont pas appliqués ?
En pratique, les juges ont une interprétation restrictive de ces textes, ce qui permet à un certain nombre de pirates informatiques d’y échapper. Pour que le délit soit constitué, les magistrats prennent en compte le niveau de sécurité du système informatique en cause. Ils s’attachent à rechercher la présence ou non d’un dispositif de sécurité ou d’une limite d’accès. Ce faisant, dans l’affaire Tati (Kitétoi), la Cour d’appel de Paris a relaxé un individu en relevant qu’il ne pouvait lui être reproché d’accéder ou de se maintenir dans les composantes logiciels du site internet de Tati en l’absence d’un dispositif de sécurité limitant l’accès aux données (CA Paris 30 octobre 2002). Cette appréciation est d’autant plus contestable qu’en principe l’élément intentionnel s’analyse du côté de l’auteur des faits.
L’action des forces de police ne serait-elle, à l’heure actuelle, pas au niveau attendu ?
Concernant les forces de police, ces dernières ont tendance à en minimiser les impacts notamment pour les particuliers du fait du caractère immatériel des données. Il faut renforcer le sérieux de ces enquêtes et les dispositifs policiers permettant de lutter contre le piratage informatique. La tendance qui semble se dessiner actuellement s’éloigne de cet objectif. Dans le contexte actuel où la lutte contre le terrorisme est la priorité, la protection des données personnelles est passée au second plan.
Qu’entendez-vous par là ?
Suite aux attentats de Paris, le gouvernement a eu la volonté d’adapter le dispositif législatif au travers de ce projet de loi afin de lutter contre le crime organisé et le terrorisme. Ainsi le projet de loi de réforme pénale autorise-t-il notamment le recours à l’utilisation de l’IMSI (International Mobile Subscriber Identity) Catcher au cours d’une enquête. Dans ce cadre, les officiers de police judiciaire sont habilités, après autorisation du juge des libertés et de la détention ou du juge d’instruction, à collecter les métadonnées des téléphones mobiles nécessaires à leur identification dans un secteur géographique précis. Cette technique avait déjà été autorisée pour le renseignement par la loi du 24 juillet 2015. Les mises sur écoute permettent alors d’intercepter les communications téléphoniques des personnes impliquées dans des affaires de terrorisme ou de criminalité organisée.
Sur ce terrain, les peines devraient être aggravées…

Oui. A cet égard, l’amendement n°90 au projet de loi, déposé par le groupe les Républicains et adopté contre l’avis du gouvernement, prévoit d’aggraver les peines des opérateurs qui refuseraient de coopérer à une enquête, en les portants à 3.750 euros et 15.000 euros d’amende et deux ans d’emprisonnement. Il complète également l’article L 230-1 du Code pénal qui permet aux autorités judiciaires de désigner toute personne morale ou physique en vue d’accéder à des données chiffrées. Ce faisant, il disposera désormais en son dernier alinéa que « le fait, pour un organisme privé, de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes (…) des données protégées par un moyen de cryptologie dont il est le constructeur, est puni de cinq ans d’emprisonnement et de 350.000 euros d’amende », l’amende étant portée au quintuple concernant les personnes morales.
La France s’affirme plus sécuritaire que les Etats-Unis…
En effet, l’adoption d’une telle disposition n’est pas sans faire écho à la décision du 16 février dernier dans laquelle le juge américain Sheri Pym a voulu contraindre Apple à fournir au FBI « une assistance technique raisonnable » afin de lui permettre d’accéder au contenu crypté de l’iPhone d’un des auteurs présumés de la fusillade de San Bernadino. Nul doute que ce jugement ait influencé les députés. Tim Cook avait déploré cette mesure, considérant que « concevoir une version d’iOS qui contourne la sécurité de cette manière créerait sans contestation possible une backdoor » engendrant par la même un certain nombre de dérives. A ce titre, lors des débats du projet de loi pour une République numérique devant l’Assemblée nationale, Axelle Lemaire, secrétaire d’État au Numérique avait d’ailleurs fait rejeter un amendement déposé par Nathalie Kosciusko-Morizet visant à imposer aux concepteurs de systèmes de communication la création d’une backdoor.
Il y a un véritable enjeu : assurer la sécurité du pays ou bien protéger nos libertés…
Le successeur de Steve Jobs avait affirmé vouloir renforcer le chiffrement des données des iPhone estimant que la protection des données des utilisateurs devait primer, même en présence d’une menace terroriste. Ce qui était également la volonté du gouvernement français qui, au travers du projet de loi pour une République numérique, confère pour mission à la Commission nationale Informatique et Libertés (CNIL) la promotion du chiffrement des données. Guillaume Poupard, président de l’Agence nationale de sécurité des systèmes d’information (ANSSI), confirme que le chiffrement est « un outil indispensable » à la protection des données commerciales, personnelles et stratégiques, et qu’en ce sens il est nécessaire de le promouvoir.
N’y a-t-il pas là une contradiction ?
En réalité, il y a une prise de position des députés qui est en demi-teinte au regard du niveau peu élevé de l’amende eu égard au poids économique de ces multinationales. L’application d’une telle peine aurait davantage de conséquences en termes d’image qu’en termes économiques. Les députés ont rejeté l’amendement au projet de loi déposé par Eric Ciotti et qui visait à sanctionner les entreprises d’une amende de deux millions d’euros et d’une interdiction de commercialisation d’un an. Cet élargissement des pouvoirs dans le cadre des enquêtes de lutte contre le terrorisme s’inscrit dans la difficile conciliation entre le droit au respect de la vie privée, protégé par l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés, et ses restrictions nécessaires à la paix publique. Contrairement à ce qu’a pu affirmer le Conseil d’État à propos notamment de l’article 2 du projet de loi, dans un avis du 28 janvier 2016 estimant que cette disposition ne se heurte pas à un obstacle constitutionnel ou conventionnel.

Propos recueillis par Erick Haehnsen

Commentez

Participez à la discussion