Utilisation d’un keylogger : une infraction matérialisée

keyloggerL’utilisation d’un keylogger, à l’insu de la volonté d’un individu, pour intercepter les mots qu’il tape est un délit.

La Cour de cassation est venue préciser, par un arrêt rendu le 16 janvier 2018 (1), que l’installation sans motif légitime d’un keylogger, ou enregistreur de frappe, qui est un « logiciel espion ou un périphérique qui espionne électroniquement l’utilisateur d’un ordinateur », sur un système de traitement automatisé de données afin d’intercepter les mots tapés par les utilisateurs, constitue une atteinte à ce système.

Keylogger et atteinte au système de traitement de données

Un médecin avait installé un keylogger sur deux ordinateurs d’un hôpital afin de capter les identifiants et mots de passe d’un autre praticien avec lequel il était en conflit devant l’Ordre des médecins.

La présence du keylogger ayant été découverte par le service informatique de l’hôpital, une perquisition a été effectuée au domicile du médecin, où un keylogger a été retrouvé, ainsi que des captures d’écran extraites des deux ordinateurs visés.

La Cour d’appel d’Aix-en-Provence, devant laquelle l’affaire avait été portée, avait considéré que le prévenu avait commis le délit d’accès à un système de traitement de données, délit prévu à l’article 323-1 du Code pénal et réprimé à l’article 323-3 du même code.

Arguant qu’il n’avait pas accédé aux données du système, mais seulement capturé les caractères frappés au clavier, le prévenu a formé un pourvoi. La Cour de cassation a rejeté le pourvoi considérant que « se rend coupable de l’infraction prévue à l’article 323-1 du code pénal la personne qui, sachant qu’elle n’y est pas autorisée, accède à l’insu des victimes, à un système de traitement automatisé de donnée ».

La détention sans motif légitime d’un équipement conçus ou spécialement adaptés pour commettre ce délit

La Cour d’appel d’Aix-en-Provence a par ailleurs considéré que le médecin s’était rendu coupable du délit prévu à l’article 323-3-1 du Code pénal qui vise notamment la détention, sans motif légitime, d’« un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre » un délit d’atteinte à un système de traitement automatisé de données.

Le médecin a tenté d’argumenter en mettant en avant le motif légitime qu’il aurait eu à disposer des informations récoltées par le biais de l’utilisation du keylogger, établi selon lui à raison de la nécessité de défendre sa situation professionnelle devant l’Ordre des médecins.

La Cour de cassation n’a pas suivi cet argumentaire, considérant que le motif légitime visé par cet article « se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d’un parc informatique ».

Virginie Bensoussan-Brulé
Raphaël Liotier
Lexing Droit pénal numérique

(1) Cass. crim., 16-1-2018, n°16-87168.




Cyberattaques : comment réagir en cas de failles de sécurité ?

Cyberattaques : comment réagir en cas de failles de sécurité ?Face aux cyberattaques de plus en plus nombreuses et massives, les failles de sécurité sont devenues une préoccupation majeure et incontournable des entreprises en France et dans tous les pays du monde.

Les cyberattaques sont en constante augmentation et les derniers chiffres sont effrayants.

Depuis les deux dernières années, la cybercriminalité est désormais la deuxième infraction économique la plus commise.

Une étude menée par le groupe PwC en 2014 a montré que depuis 2009 « les incidents détectés ont progressé de 66 % en moyenne par an » et que le nombre de cyber-attaques recensées avait atteint « un nombre total de 42,8 millions, soit l’équivalent de 117 339 attaques par jour ».

En 2016, toujours selon une étude menée par le groupe PwC, 26% des 6337 entreprises interrogées dans le monde et 61% des 125 entreprises françaises interrogées ont répondu avoir été touchées par la cybercriminalité.

Paradoxalement, malgré l’augmentation des cyberattaques et du coût annuel moyen attribué aux incidents de cybersécurité, qui a atteint 2,7 millions de dollars en 2014, les budgets de cybersécurité sont en baisse avec un budget moyen de 4,1 millions de dollars, soit 4% de moins par rapport à 2013.

Que l’attaque provienne d’une erreur, d’une négligence ou de procédés illicites, les enjeux sont devenus cruciaux : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles, et lourds de conséquences sur le plan financier. A cet égard, l’entreprise victime devra vérifier sa police d’assurance pour vérifier si elle est couverte pour les risques informatiques.

Aussi, dès la découverte d’une faille de sécurité, et préalablement à toute action contentieuse, plusieurs actions doivent rapidement être mises en œuvre.

Identification et correction de la faille. En interne d’abord, il est recommandé au RSSI, au DSI, ou, le cas échéant, à la société d’expertise informatique, d’identifier la faille, de la corriger avant de mettre en place un audit de sécurité et de procéder aux mises à jour des procédures internes.

Constitution d’un dossier de preuve technique. Parallèlement, il est vivement conseillé au RSSI, au DSI ou à la société d’expertise informatique, de réaliser un dossier de preuve technique, comprenant a minima un rapport d’incident et les logs de connexion aux serveurs.

Qualification juridique des faits. A l’appui de ces éléments, il sera ensuite possible de qualifier juridiquement les faits et de les rattacher notamment à l’une ou plusieurs des infractions suivantes :

  • accès frauduleux dans un STAD (art. 321-1 du Code pénal) ;
  • maintien frauduleux dans un STAD (art. 321-1 du Code pénal) ;
  • introduction frauduleuse de données dans un STAD (art. 323-3 du Code pénal) ;
  • extraction, détention, reproduction ou transmission de données dans un STAD (art. 323-3 du Code pénal, modifié par la loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme) ;
  • détention de programmes informatiques conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions (art. 323-3-1 du Code pénal) ;
  • association de malfaiteurs informatiques (art. 323-4 du Code pénal) ;
  • usurpation d’identité numérique (art. 226-4-1 du Code pénal) ;
  • escroquerie (art. 313-1 et 313-3 du Code pénal) ;
  • vol d’informations (art. 311-1 du Code pénal).

Dépôt de plainte. Une plainte devra être déposée auprès du procureur de la République territorialement compétent, qui diligentera une enquête préliminaire confiée aux services de police ou de gendarmerie spécialisés que sont :

  • la Brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), service de la Police Judiciaire dévolu aux infractions informatiques sur la région parisienne ;
  • la Sous-direction de lutte contre la cybercriminalité, qui relève de la Direction centrale de la police judiciaire (SDLC), compétente pour les attaques à l’encontre d’un système d’information situé à l’extérieur du périmètre d’intervention de la Befti ;
  • l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), compétente sur tout le territoire français.

Notification à la Cnil. Si l’atteinte porte sur des traitements de données à caractère personnel mis en œuvre par une entreprise fournissant un service de communications électroniques (opérateurs de télécommunications, fournisseurs d’accès à internet), le responsable de traitement devra la notifier à la Cnil, en application de l’article 34 bis de la loi Informatique et libertés, et ce sans délai, à compter de la constatation de la violation. A la suite de cette notification, la Cnil pourra décider de procéder à une mission de contrôle, à l’issue de laquelle des recommandations (modification des durées de conservation, des mesures de sécurité, etc.) ou des sanctions pourront être prononcées (avertissement, sanction pécuniaire, etc.). Pour les autres organismes, privés ou publics, la notification de la violation des données personnelles n’est pas, à l’heure actuelle, obligatoire.

La Cnil pourra également, en cas de non-respect de l’obligation de sécurité de l’article 34 de la loi Informatique et libertés, dénoncer au procureur de la République les infractions à la loi Informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.

Règlement européen sur la protection des données. L’obligation de notification sera généralisée par le règlement européen du 27 avril 2016 qui sera applicable à partir du 25 mai 2018.

En vertu de ce règlement, les violations de données personnelles devront être notifiées par le responsable de traitement à l’autorité de contrôle nationale (la Cnil en France).

Plan média. L’entreprise confrontée à une atteinte à son système informatique ayant conduit à une violation des données personnelles devra communiquer sur cet incident en interne et auprès de toutes personnes susceptibles de la solliciter (journalistes ou clients) et réagir très rapidement pour éviter toute diffusion d’information erronée ou inexacte, toute atteinte à sa réputation, ou encore mauvaise appréciation de l’impact de l’événement sur son activité économique.

Si la répression des atteintes au système d’information a été largement renforcée par la loi 2014-1353 du 13 novembre 2014 introduisant le délit d’extraction de données dans un STAD et par l’arrêt « Bluetouff » de la Cour de cassation du 20 mai 2015 qui consacre le vol de données, la sécurisation du système d’information reste encore le meilleur moyen de lutter contre les failles de sécurité.

Virginie Bensoussan-Brulé
Marion Catier
Lexing Contentieux numérique




Failles de sécurité et violation de données personnelles

Couverture Minilex Failles de sécurité« Failles de sécurité et violation de données personnelles » la dernière publication du cabinet Alain Bensoussan Avocats Lexing aux éditions Larcier , premier ouvrage permettant aux entreprises de savoir comment réagir sur le plan juridique lorsqu’elles sont confrontées à une fuite de données.

Les médias se font régulièrement l’écho de comptes clients dérobés lors d’attaques informatiques ou dévoilées sur internet, et ce en raison d’une mauvaise configuration d’un site web, d’une « faille de sécurité ».

De la gestion à la production en passant par le marketing, quel que soit le secteur d’activité, l’informatique et plus généralement les réseaux sont omniprésents et rendent vulnérable toute organisation face aux failles de sécurité.

Qu’est-ce qu’une violation de sécurité : une faille ou un défaut ?

Cette expression a une acception très large. Elle recouvre tous les éléments qui portent atteinte à un système de traitement automatisé de données : les erreurs, les bogues, mais aussi les fraudes internes et externes. Elle traduit le fait qu’à un instant des données se trouvent avoir été corrompues.

Les risques sont importants : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles, et lourds de conséquences tant sur le plan financier qu’en termes d’image.

Comment notifier à la Cnil et informer les clients et partenaires lorsque la faille de sécurité a conduit à une violation de données à caractère personnel ? Quelles sont les organisations soumises à cette obligation de notification et d’information ? Quelles sont les mesures de protection appropriées et les actions qui doivent être mises en œuvre ? Quels sont les recours et sanctions en cas d’exploitation d’une faille de sécurité par des pirates informatiques ? Quels services spécialisés de la police ou de la gendarmerie peut-on solliciter ? Comment ce cyber risque est-il couvert par les assureurs ?

Autant de questions abordées par cet ouvrage à jour du nouveau Règlement européen sur la protection des données adopté le 27 avril 2016, qui notamment généralise à l’ensemble des entreprises, quel que soit leur secteur d’activité, l’obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées.

Second ouvrage de la collection des MiniLex qui rassemble des ouvrages traitant l’essentiel des questions juridiques d’une technologie, le MiniLex Failles de sécurité et violation de données personnelles, a été rédigé par Virginie Bensoussan-Brulé, Chloé Torres, avec la collaboration de Gérôme Billois, Senior Manager, et Vincent Nguyen, consultant senior, au cabinet Solucom.

Il est édité par les éditions Larcier dans la collection Lexing-Technologies avancées & Droit. Il est préfacé par Lazaro Pejsachowicz, Président du Clusif.

MiniLex Failles de sécurité et violation de données personnelles, Ed. Larcier, Juillet 2016 (146 p.).




Accès frauduleux au STAD et falsification de notes

accès frauduleux au STADLa Cour de cassation a condamné un étudiant pour accès frauduleux au STAD de l’université.

La Haute Juridiction a ainsi entériné la condamnation d’un étudiant pour fraude informatique pour avoir falsifié ses notes.

En effet, dans son arrêt du 9 mars 2016 (1), la Chambre criminelle de la Cour de cassation a confirmé l’arrêt de la Cour d’appel de Paris du 24 septembre 2014 qui avait condamné un étudiant de l’université de Paris 2 à six mois d’emprisonnement avec sursis et 3 000 euros d’amende pour accès frauduleux à un système automatisé de données (STAD), faux et usage de faux.

L’étudiant était poursuivi pour avoir modifié, dans le système de traitement de l’université, les notes qu’il avait obtenues au cours de ses années d’études ainsi que celles de certains de ses proches.

Il est fait grief à l’arrêt de l’avoir condamné, alors que, selon le prévenu, un accès frauduleux au STAD suppose que l’auteur ait pénétré frauduleusement dans le système de traitement automatisé de données et qu’il n’est pas établi en l’espèce que l’accès au logiciel utilisé par l’université, le logiciel Périclès, avait été forcé dans la mesure où l’accès à ce logiciel était possible sans les codes d’accès confidentiels pendant certaines périodes de saisine de note.

Il était en outre reproché à la Cour d’appel de s’être bornée à relever que le prévenu fréquentait un local possédant des ordinateurs permettant l’accès au logiciel Periclès mais sans établir que cet accès frauduleux au STAD avait eu lieu depuis l’un de ces postes.

La Cour de cassation a néanmoins confirmé l’analyse des premiers juges en estimant que, « se rend coupable de l’infraction prévue à l’article 323-1 du Code pénal la personne qui, sachant qu’elle n’y est pas autorisée, pénètre dans un système de traitement automatisé de données ».

La Haute juridiction a ainsi rappelé que le délit d’« accès frauduleux au STAD », délit prévu et réprimé par l’article 323-1 du Code pénal (2), suppose un accès par une personne « sachant qu’elle n’y est pas autorisée », peu importe les moyens d’accès employés.

Virginie Bensoussan-Brulé
Marion catier
Lexing Contentieux numérique

(1) Cass. crim. 9-3-2016 n° 14-86795 M. Floriant Y.
(2) C. pén., art. 323-1.




Failles de sécurité : quelles actions mettre en oeuvre ?

Failles de sécurité : quelles actions mettre en oeuvre ?Virginie Bensoussan-Brulé expose les actions à mettre en œuvre consécutivement à la découverte de failles de sécurité.

Qu’elles proviennent d’une erreur, d’une négligence ou de procédés illicites, les failles de sécurité représentent aujourd’hui l’une des préoccupations majeures des entreprises.

Les enjeux sont d’importance : piratage des systèmes de traitement automatisé de données, perte d’informations confidentielles et stratégiques, vol de données personnelles, et lourds de conséquences sur le plan financier. A cet égard, l’entreprise victime devra vérifier sa police d’assurance pour vérifier si elle est couverte pour les risques informatiques.

Dès la découverte d’une faille de sécurité, et préalablement à toute action contentieuse, plusieurs actions doivent rapidement être mises en œuvre :

  • en interne, identifier la faille, la corriger avant de mettre en place un audit de sécurité et de procéder aux mises à jour des procédures internes ;
  • réaliser un dossier de preuve technique, comprenant a minima un rapport d’incident et les logs de connexion aux serveurs ;
  • qualifier juridiquement les faits et les rattacher notamment à l’une ou plusieurs des infractions d’atteinte à un système de traitement automatisé de données (STAD).

Une plainte devra être déposée auprès du procureur de la République territorialement compétent, qui diligentera une enquête préliminaire confiée aux services de police ou de gendarmerie spécialisés.

Dans l’éventualité où l’atteinte porte sur des traitements de données personnelles mis en œuvre par une entreprise fournissant un service de communications électroniques, le responsable de traitement devra la notifier à la Cnil qui pourra décider de procéder à une mission de contrôle, à l’issue de laquelle des recommandations ou des sanctions pourront être prononcées.

Si la répression des atteintes au système d’information a été largement renforcée par la loi 2014-1353 du 13 novembre 2014 introduisant le délit d’extraction de données dans un STAD et par l’arrêt « Bluetouff » de la Cour de cassation du 20 mai 2015 qui consacre le vol de fichiers informatiques, la sécurisation du système d’information reste encore le meilleur moyen de lutter contre les failles de sécurité.

Virginie Bensoussan-Brulé pour IT-Expert magazine, « Fraude informatique : Comment réagir en cas de failles de sécurité ? », le 15 octobre 2015




Comment réagir en cas de failles de sécurité ?

faillesQu’elles proviennent d’une erreur, d’une négligence ou de procédés illicites, les failles de sécurité représentent aujourd’hui l’une des préoccupations majeures des entreprises.

Les enjeux sont importants : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles et lourds de conséquences sur le plan financier. A cet égard, l’entreprise victime devra vérifier sa police d’assurance pour vérifier si elle est couverte pour les risques informatiques.

Aussi, dès la découverte d’une faille de sécurité, et préalablement à toute action contentieuse, plusieurs actions doivent rapidement être mises en œuvre.

Identification et correction de la faille. En interne d’abord, il est recommandé au RSSI, au DSI, ou, le cas échéant, à la société d’expertise informatique, d’identifier la faille, de la corriger avant de mettre en place un audit de sécurité et de procéder aux mises à jour des procédures internes.

Constitution d’un dossier de preuve technique. Parallèlement, il est vivement conseillé au RSSI, au DSI ou à la société d’expertise informatique de réaliser un dossier de preuve technique, comprenant a minima un rapport d’incident et les logs de connexion aux serveurs.

Qualification juridique des faits. A l’appui de ces éléments, il sera ensuite possible de qualifier juridiquement les faits et de les rattacher notamment à l’une ou plusieurs des infractions suivantes :

  • accès frauduleux dans un STAD (art. 321-1 du Code pénal) ;
  • maintien frauduleux dans un STAD (art. 321-1 du Code pénal) ;
  • introduction frauduleuse de données dans un STAD (art. 323-3 du Code pénal) ;
  • extraction, détention, reproduction ou transmission de données dans un STAD (art. 323-3 du Code pénal, modifié par la loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme) ;
  • détention de programmes informatiques conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions (art. 323-3-1 du Code pénal) ;
  • association de malfaiteurs informatiques (art. 323-4 du Code pénal) ;
  • usurpation d’identité numérique (art. 226-4-1 du Code pénal) ;
  • escroquerie (art. 313-1 et 313-3 du Code pénal) ;
  • vol d’informations (art. 311-1 du Code pénal).

Dépôt de plainte. Une plainte devra être déposée auprès du procureur de la République territorialement compétent, qui diligentera une enquête préliminaire confiée aux services de police ou de gendarmerie spécialisés que sont :

  • la brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), service de la Police Judiciaire dévolu aux infractions informatiques sur la région parisienne ;
  • la sous-direction de lutte contre la cybercriminalité relève de la Direction centrale de la police judiciaire (SDLC), compétente pour les attaques à l’encontre d’un système d’information situé à l’extérieur du périmètre d’intervention de la Befti ;
  • l’Office Central de Lutte Contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC), compétente sur tout le territoire français.

Notification à la Cnil. Si l’atteinte porte sur des traitements de données à caractère personnel mis en œuvre par une entreprise fournissant un service de communications électroniques (opérateurs de télécommunications, fournisseurs d’accès à internet), le responsable de traitement devra la notifier à la Cnil en application de l’article 34 bis de la loi Informatique et libertés, et ce sans délai à compter de la constatation de la violation. A la suite de cette notification, la Cnil pourra décider de procéder à une mission de contrôle, à l’issue de laquelle des recommandations (modification des durées de conservation, des mesures de sécurité, etc.) ou des sanctions pourront être prononcées (avertissement, sanction pécuniaire, etc.). Pour les autres organismes, privés ou publics, la notification de la violation des données personnelles n’est pas, à l’heure actuelle, obligatoire.

La Cnil pourra également, en cas de non-respect de l’obligation de sécurité de l’article 34 de la loi Informatique et libertés, dénoncer au procureur de la République les infractions à la loi Informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.

Plan médias. L’entreprise confrontée à une atteinte à son système informatique ayant conduit à une violation des données personnelles devra communiquer sur cet incident en interne et auprès de toutes personnes susceptibles de la solliciter (journalistes ou clients) et réagir très rapidement pour éviter toute diffusion d’information erronée ou inexacte, toute atteinte à sa réputation, ou encore mauvaise appréciation de l’impact de l’évènement sur son activité économique.

Si la répression des atteintes au système d’information a été largement renforcée par la loi 2014-1353 du 13 novembre 2014 introduisant le délit d’extraction de données dans un STAD et par l’arrêt « Bluetouff » de la Cour de cassation du 20 mai 2015 qui consacre le vol de données, la sécurisation du système d’information reste encore le meilleur moyen de lutter contre les failles de sécurité.

Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique




La Journée Sécurité des Systèmes d’Information 2015

La Journée Sécurité des Systèmes d'Information 2015Chaque année, l’association OSSIR organise la Journée de la Sécurité des Systèmes d’Information (JSSI). Cette année, Alain Bensoussan est intervenu sur le thème des nouvelles atteintes aux STAD (Sytèmes de traitement automatisé de données).

Dans un contexte de lutte contre le terrorisme, l’enjeu de la protection des données pose un véritable défi en terme de qualification des actes frauduleux.

L’OSSIR est une association à but non lucratif (loi de 1901) existant depuis 1996 qui regroupe les utilisateurs intéressés par la sécurité des systèmes d’information et des réseaux. Son premier groupe de travail, le groupe SUR, a été créé antérieurement en 1987.

La JSSI 2015 s’est tenue à Paris, le 10 mars 2015 (programme).

Alain Bensoussan, « Les nouvelles atteintes aux STAD » (supports en ligne).




Cyberattaques : l’assurance Cyber Risques

Cyberattaques : l’assurance Cyber RisquesFace aux cyberattaques de plus en plus nombreuses et massives, la sécurité des réseaux et de l’information est devenue l’une des préoccupations majeures des entreprises en France et dans tous les pays du monde.

Les enjeux sont importants : piratage des systèmes de traitement automatisé de données (STAD), usurpation d’identité, perte d’informations confidentielles et stratégiques, pertes de marchés, vol de données personnelles, e-réputation etc. et lourds de conséquences sur le plan financier.

En 2014, selon une étude menée par le groupe PwC, le nombre de cyber-attaques recensées a augmenté de « 48 % dans le monde pour atteindre un nombre total de 42,8 millions, soit l’équivalent de 117 339 attaques par jour. Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an ».

Paradoxalement, malgré l’augmentation des cyberattaques et du coût annuel moyen attribué aux incidents de cybersécurité, qui a atteint 2,7 millions de dollars en 2014, les budgets de cybersécurité sont en baisse avec un budget moyen de 4,1 millions de dollars, soit 4% de moins par rapport à 2013.

Les acteurs du secteur des assurances le constatent : les assurances de dommage spécialisées dans la couverture de risques informatiques, bien que très variées et très attractives, ne rencontrent encore que peu de succès et leur souscription reste marginale en partie du fait d’une prise de conscience encore insuffisante des risques, et des difficultés pour les entreprises de définir leur besoin face aux risques cyber.

A ce jour, les assureurs proposent majoritairement des polices « tous risques informatiques » énumérant les risques garantis ou prévoyant une formule « tous risques sauf » couvrant tous les événements non expressément exclus. Adaptées aux évolutions des risques informatiques, ces assurances garantissent aujourd’hui les atteintes aux informations en proposant la couverture de l’information elle-même et celle des pertes résultant de la cyberattaque.

A titre d’exemple, le Syntec informatique (chambre syndicale des sociétés d’études et de conseils) propose une assurance « tous risques sauf » qui assure « les biens informatiques, électroniques, électriques » et « les frais de reconstitution des informations » sauf « les pertes pécuniaires résultant : de disparition inexpliquée de données, de toute utilisation de logiciels acquis illégalement, sauf si son utilisation l’est à l’insu de l’assuré (…) ».

Outre les assurances « tout risque sauf », les assureurs offrent également de nombreuses possibilités d’extensions de garantie spécifiques aux risques cyber. Il en est ainsi, lorsque le contrat d’assurance ne garantit pas les cybers risques et en contrepartie du versement d’une prime complémentaire, des dommages concernant les frais de reconstitution des informations dans l’état antérieur au sinistre, les frais supplémentaires d’exploitation et les pertes d’exploitation.

Face à l’augmentation des cyberattaques qui touchent toutes les entreprises, de toute taille et de tout secteur, il est plus que vivement recommandé de se prémunir contre le risque cyber, aussi bien en se dotant d’outils informatiques performants qu’en adaptant sa police d’assurance pour couvrir ces nouveaux risques informatiques.

Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique




Vol de données : modification de l’article 323-3 du Code pénal

Vol de données : modification de l’article 323-3 du Code pénalLa loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme opère, par son article 16, un changement de rédaction de l’article 323-3 du Code pénal, permettant de réprimer le vol de données, sans toutefois recourir à la qualification de vol.

Institués par la loi dite « Godfrain », les articles 323-1 à 323-4 du Code pénal (1) prévoyaient cinq atteintes aux systèmes de traitement automatisé de données (bien connus sous l’appellation « STAD »), lesquelles sont :

  • l’accès ou le maintien frauduleux dans le STAD ;
  • l’action d’entraver ou de fausser le fonctionnement du STAD ;
  • l’introduction frauduleuse de données dans un STAD ou la modification des données qu’il contient ;
  • l’importation, la détention, l’offre, la cession ou la mise à disposition d’un équipement, d’un instrument, d’un programme informatique ou de toute donnée conçus ou spécialement adaptés pour commettre des infractions au STAD ;
  • enfin, la participation à un groupement de pirates informatiques.

Cette troisième atteinte a été modifiée en novembre dernier afin d’intégrer dans son champ de répression l’inquiétant et récurrent vol de données, qui y échappait jusqu’alors.

L’ancien texte permettait, en effet, uniquement de condamner l’introduction, la suppression ou la modification frauduleuse de données dans un STAD… mais nullement leur copie. Pour combler ce vide juridique, plusieurs voies avaient été envisagées, parmi lesquelles la contrefaçon ou l’abus de confiance.

La qualification de vol qui semblait correspondre au mieux à la copie de données avait été, quant à elle, écartée, tant il était considéré (sans doute à juste titre) qu’il n’y avait pas soustraction frauduleuse d’une chose appartenant à autrui (2) :

  • absence de soustraction, d’une part, puisque le légitime propriétaire des données les conserve et n’en est à aucun moment dépossédé (sauf hypothèse du vol de disque dur) ;
  • absence de chose à proprement parler, d’autre part, puisque la soustraction vise un bien matériel pouvant être saisi physiquement (là où les données sont des biens immatériels).

Or, la loi pénale est d’interprétation stricte et la règle est d’or. Malgré les tentatives de la jurisprudence (3), la répression du « vol » de données se fait donc au détour de la qualification de vol (et de celle de recel), par l’ajout de quatre mots au texte de l’article 323-3 du Code pénal, en vigueur depuis le 15 novembre 2014, lequel réprime désormais, outre le fait d’introduire, de modifier et de supprimer, le fait « d’extraire, de détenir, de reproduire, de transmettre » frauduleusement des données dans un STAD.

La loi du 13 novembre 2014 vient ainsi sanctionner la copie frauduleuse de données, dans une optique de protection accrue de « l’économie de la connaissance ».

Virginie Bensoussan-Brulé
Annabelle Divoy
Lexing Droit pénal numérique

(1) L. n°88-19 du 5-1-1988 relative à la fraude informatique, insérant les articles 323-1 à 323-4 dans le Code pénal, en son Livre II « Des crimes et des délits contre les biens », Titre II « Des autres atteintes aux biens ».
(2) Comme l’exige l’article 311-1 du Code pénal, définissant l’infraction de vol.
(3) Cass. crim. 4-3-2008 n°07-84.002 Jean-Paul X Sté Graphibus.




Les atteintes au STAD par l’exploitation de failles de sécurité

Les atteintes au STAD par l'exploitation de failles de sécurité L’exploitation de failles de sécurité fait partie des atteintes au STAD par l’introduction frauduleuse de données dans le système. Un internaute qui souhaitait plaisanter l’a appris à ses dépends. Humour ou infraction ? Telle est, en substance, la question que le Tribunal correctionnel de Paris a eu à trancher dans sa décision du 18 décembre 2014. Tout est parti d’une mauvaise blague.

Ayant constaté que le site internet officiel de la députée-maire Rachida Dati comportait une faille informatique, un internaute quelque peu connaisseur s’est aperçu, non sans amusement, que celle-ci lui permettait d’injecter directement du contenu dans les différentes pages du site. Il pouvait ainsi modifier directement les dires de la députée-maire et lui prêter de faux communiqués de presse, fort parodiques.

Si l’internaute prenait plaisir à la plaisanterie, il en était toutefois le seul public, la manipulation n’emportant nullement modification ou suppression de données du site officiel de Rachida Dati. Son résultat consistait uniquement en la création d’un lien internet pouvant être diffusé : quiconque accédait donc au lien pouvait voir apparaître le contenu ainsi modifié.

Notre internaute l’avait compris, plus on est de fous, plus on rit. Décidant qu’il était temps de donner à sa blague une audience élargie, il fait alors appel à un second internaute qui lui fournit un nom de domaine (www.tweetpop.fr/le-cadeau-de-rachida), hébergeant un site internet dédié à la farce. Le site offre la possibilité à tout internaute, fût-il même novice en informatique, d’exploiter la faille de sécurité constatée et d’afficher sur son navigateur un communiqué de presse formellement semblable en tous points à ceux publiés sur le site officiel de la députée maire (identité de la mise en page générale, présence d’une photographie de Rachida Dati, similitude des couleurs utilisées, respect de la charte graphique, etc.), à l’exception, bien sûr, du contenu du communiqué, librement modifiable par quiconque a actionné le lien.

Avec la rediffusion de ce même lien sur le compte Twitter de notre premier internaute (qui ne possédait pas moins de 4 000 contacts), les faux communiqués de presse, prêtant à Rachida Dati des propos injurieux ou diffamatoires tant sur elle-même que sur d’autres, font alors légion. De nombreux internautes s’en donnent à cœur joie et la rare finesse de l’humour déployé peut, d’ailleurs être saluée, comme en atteste, par exemple, le remplacement de la mention officielle « Groupe PPE » (Parti Populaire Européen) par la mention « Groupe PIPE ».

Seulement, la blague n’est pas du goût de tout le monde. Apprenant la nouvelle, la députée-maire, quant à elle, rit jaune et dépose immédiatement plainte contre X auprès des services de police pour atteintes aux systèmes de traitement automatisé de données (STAD) et usurpation d’identité sur support numérique. Nos deux internautes ne tardent pas alors à être identifiés et la blague tourne court.

Le premier internaute (qui avait constaté la faille et l’avait rendue publique) écope, en effet, d’une amende de 3000 euros pour les chefs d’usurpation de l’identité d’un tiers et d’introduction frauduleuse de données dans un système de traitement automatisé (STAD).

Le second (qui avait fourni le nom de domaine permettant de rendre publique l’existence de la faille informatique) est, quant à lui, condamné au paiement d’une amende de 500 euros du chef de complicité d’usurpation de l’identité d’un tiers.

La relative sévérité de ces peines semble être nettement fonction de la piètre qualité de leur humour, comme le révèlent les sermons, presque paternalistes, adressés lors de l’audience par le président de la 13e chambre correctionnelle. Tant et si bien, d’ailleurs, que certains se demandent si ce niveau de qualité n’a pas été jusqu’à guider la caractérisation de l’une des infractions.

Le jugement du 18 décembre 2014 présente, en effet, un intérêt particulier au regard du droit pénal.

L’application de la loi Godfrain (loi n°88-19 du 5 janvier 1988), qui avait inséré dans le Code pénal un article 323-3 venant réprimer l’introduction frauduleuse de données dans un système de traitement automatisé (STAD), ne coulait pas de source, en l’espèce. Un doute existait, à dire vrai, sur l’application de cette infraction à notre premier internaute, dans la mesure où la faille informatique ainsi reprochée n’intervenait, comme dit plus haut, que pour lui seul, sans que le site officiel de la députée-maire n’en soit nullement altéré. Notre internaute introduisait-il alors véritablement des données dans le STAD en cause, dans la mesure où ces données n’avaient ni pour vocation ni pour effet d’y demeurer ? A tout le moins, la question méritait d’être posée.

Or, l’argumentation du parquet la laisse en suspens, affirmant en guise de réponse que le prévenu « avait manifestement cherché à tromper le serveur et faire du champ rechercher  un usage contraire à sa vocation initiale et non-souhaité par le « maître du système », ce dont il avait connaissance ». Autrement dit, à démultiplier les failles, il avait fait en sorte que le site officiel paraisse incohérent et, dès lors, s’était rendu coupable d’une introduction frauduleuse de données. Ce raisonnement, qui ne justifie nullement en quoi l’introduction de données était réellement caractérisée, a donc attisé quelques critiques, notamment celles du quotidien Le Monde, qui y voit un élargissement de l’infraction d’introduction frauduleuse dans un STAD jusqu’à en faire un « délit technique subjectif », en ce qu’il tient compte des intentions de l’auteur du site.

Le second enjeu majeur de la décision a, bien évidemment, trait à la liberté d’expression, thème brûlant de notre actualité politique. A son sujet, le tribunal affirme que « Si la liberté d’expression est une notion fondamentale de toute démocratie, celle-ci doit naturellement trouver ses limites et il est de jurisprudence constante que cette liberté ne doit en aucune mesure viser à porter atteinte à l’honneur ou à la considération d’une personne, même si celle-ci est publique ».

Derrière la reprise de cette formule classique, se devine pourtant aisément la difficulté de mise en œuvre de cette liberté et de ses limites. La solution eut-elle été la même si l’humour avait été plus fin ? Le doute demeure.

Eu égard tant à l’application contestable de la loi Godfrain au cas de l’espèce qu’à la délicate appréhension de l’humour, forme très complexe de liberté d’expression, la solution retenue le 18 décembre 2014 ne semble pas pérenne et la prudence est donc de mise.

Virginie Bensoussan-Brulé
Annabelle Divoy
Lexing Droit pénal numérique




Le réseau Lexing vous informe… sur la cybercriminalité

Le réseau Lexing vous informe... sur la cybercriminalitéDans ce numéro spécial international, les membres du réseau lexing ®, abordent la cybercriminalité, à travers les délits d’accès et de maintien frauduleux dans un système informatique.

Nos confrères européens et brésiliens commentent l’affaire « Bluetouff », dans laquelle un organisme public a rendu involontairement accessibles des contenus protégés à cause d’une faille de sécurité dans son système…

Dans cette affaire, l’internaute qui avait consulté et téléchargé, via une simple recherche Google, des documents normalement protégés d’un organisme public, les a rendus accessibles en raison d’une défaillance de son système de sécurité informatique. Il a été relaxé du chef d’accès frauduleux dans un système de traitement automatisé de donnés, mais condamné en appel pour maintien frauduleux dans ledit système et vol de fichiers  informatiques.

La sécurité des réseaux et de l’information est aujourd’hui l’une des préoccupations majeures des  entreprises et des particuliers dans tous les pays du monde. Preuve en est de la recrudescence des  attaques à grande échelle dont ont été récemment victimes Spotify, eBay, Orange, Barclays, Target,  AOL… et du séisme Heartbleed. Les enjeux sont importants : piratage des systèmes de traitement  automatisé de données (STAD), usurpation d’identité, perte d’informations confidentielles et  stratégiques, pertes de marchés, vol de données personnelles, e-réputation etc. et lourds de  conséquences sur le plan financier.

Face à ces menaces protéiformes et transnationales, la coopération internationale en matière de  lutte contre la cybercriminalité s’est organisée, notamment avec l’adoption de la convention dite de  « Budapest » en 2001 ou encore de la Directive européenne 2013/40/EU. La France dispose d’un arsenal répressif efficient pour sanctionner les actes de piratage informatique (articles 323- 1 et suivants du Code pénal) depuis 1988. Dans l’hexagone, ce domaine est d’ailleurs riche en  actualité : instauration d’un « préfet cyber », arrestations « Blackshades » et condamnation de  « Bluetouff ».

Comment l’affaire Bluetouff aurait-elle été traitée par les juridictions étrangères ? Qu’en est-il de  la législation relative au hacking dans les autres pays du monde ?

Les membres du réseau Lexing® dressent un tableau de la situation actuelle à travers le monde.

Lettre Juristendances Internationales Informatique et Télécoms n°7 Juin 2014




La manipulation de données dans un système informatique

Dans son jugement du 5 octobre 2010 à l’encontre de l’ex-trader de la Société Générale, Jérôme Kerviel, le tribunal correctionnel de Paris nous montre que l’introduction, la suppression ou la modification frauduleuse de données dans un système informatique (STAD) est un délit sévèrement réprimé par l’article 323-3 du Code pénal. Cet article permet en effet de sanctionner de cinq ans de prison et 75 000 euros d’amden maximum, toute manipulation de données contenues dans un système, quelles qu’en soient les conséquences.

Les pratiques incriminées correspondant à toute altération de données, fichiers, bases de données, sans qu’il soit nécessaire de s’interroger sur la complexité des techniques employées ou la nature des droits concernant l’information véhiculée par les données.

Alain Bensoussan, Micro Hebdo, 21 octobre 2010




Fraude informatique : condamnation d’un trader

Le Tribunal correctionnel de Paris a rendu, mardi 5 octobre 2010, son jugement dans le procès concernant un trader de la Société Générale. Parmi les infractions retenues, le jugement apporte des précisions sur l’élément matériel du délit d’introduction frauduleuse de données dans un système de traitement automatisé de données (Stad) informatique, prévu par l’article 323-3 du Code pénal. Le caractère frauduleux de l’introduction des données est indépendant :

  • du caractère innovant et complexe des techniques employées ;
  • de l’évidence de la fictivité des opérations sous-jacentes ;
  • du maintien de ces données en base tampon pendant plus de 20 jours.T. cor. Paris 05 10 2010 Extrait

 




Maintien frauduleux dans un stad

Pénal numérique

Fraude informatique

Maintien frauduleux dans un système de traitement automatisé de données

L’utilisation d’une base de données qui n’est accessible qu’aux personnes autorisées grâce à un code remis lors d’une période d’essai constitue une infraction de maintien frauduleux dans un système de traitement automatisé de données. En conséquence, doit être censuré l’arrêt qui relaxe un prévenu du chef de maintien frauduleux dans un système de traitement automatisé de données alors qu’il relève que celui-ci, quand bien même il y aurait accédé régulièrement, a utilisé pendant plus de deux ans et avec un code qui ne lui avait été remis que pour une période d’essai, une base de données qui n’était accessible qu’aux personnes autorisées.

Cass. crim. 3 octobre 2007 n°07-81045

 

(Mise en ligne Octobre 2007)

Autres brèves

Voir également Droit de l’informatique

 

 

 

 

(Mise en ligne Juin 2006)

 




atteinte aux systèmes d’information

Pénal numérique

Fraude informatique

L’atteinte aux systèmes d’information : une menace bien réelle

Un informaticien a été sévèrement condamné pour accès frauduleux et entrave au fonctionnement de systèmes informatiques. Il a pris le contrôle du serveur d’une société à partir duquel il a lancé des attaques systématiques vers des centaines de sites gouvernementaux pour soit disant « explorer leurs failles ». Pour cela, il a introduit dans le serveur divers programmes lui permettant de contrôler le serveur à distance. Il a ensuite introduit la liste des cibles choisies, ainsi que sa revendication, un message d’alerte aux administrateurs sur l’insécurité de leur système. Au total, 394 serveurs gouvernementaux (dont le serveurs du Casier judiciaire national) ont été attaqués et 63 autres serveurs publics ou privés (sites d’entreprises ou de grandes écoles). Le tribunal correctionnel de Paris a fait preuve d’une certaine exemplarité, car les faits n’ont pas eu de conséquences dramatiques. L’auteur des attaques a été condamné, au titre de la loi Godfrain, sur la fraude informatique (notamment accès frauduleux et entrave au fonctionnement d’un STAD), à quatre mois de prison avec sursis avec inscription au casier judiciaire, ainsi qu’à indemniser les parties civiles à hauteur de 1500 € chacune. Cette décision illustre la capacité des tribunaux à apporter une véritable réponse judiciaire à ce type de criminalité et doit inciter les entreprises victimes à porter plainte pour être indemnisées.

TGI Paris 12e ch. 2 juin 2006

(Mise en ligne Juin 2006)

Autres brèves

Voir également Droit de l’informatique

 




Le délit d’accès frauduleux à un STAD

Informatique
Fraude informatique

La protection d’un système informatique par un dispositif de sécurité n’est pas une condition d’application de la loi Godfrain

Le délit d’accès frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende« . La protection d’un système de traitement automatisé de données par un dispositif de sécurité n’est pas une condition de l’incrimination. C’est ce que vient de rappeler la 31ème chambre correctionnelle du Tribunal de grande instance de Paris dans un jugement du 18 septembre 2008.

 

Dans cette affaire, un internaute avait accédé sans autorisation à la partie confidentielle de la base de données d’un site d’annonces immobilières de particuliers. Le tribunal a jugé qu' »il est de jurisprudence constante que le délit [d’accès frauduleux dans un système de traitement automatisé de données] est constitué dès lors qu’une personne non autorisée pénètre dans un système informatique que celui-ci soit ou non protégé« , il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées.

 

Au cours des travaux préparatoires à la loi sur la fraude informatique du 5 janvier 1988, dite « loi Godfrain« , les parlementaires ont en effet refusé de retenir, comme condition de l’incrimination, la violation d’un dispositif de sécurité. En effet, la prise en compte d’un système de sécurité conduirait à apprécier la commission de l’élément matériel à partir des caractéristiques du système de traitement automatisé de données. Or, cette appréciation doit intervenir à partir du seul acte accompli par l’auteur, lequel peut être frauduleux alors même que le maître du système n’a pas prévu de dispositif de sécurité. La jurisprudence va très clairement en ce sens :

 

  • la Cour d’appel de Paris, dans un arrêt du 5 avril 1994, a jugé qu’ »il n’est pas nécessaire, pour que l’infraction existe, que l’accès soit limité par un dispositif de protection » ;
  • la Cour d’appel de Toulouse, dans un arrêt du 21 janvier 1999, a jugé que « l’accès à un système informatisé de données tombe sous le coup de la loi pénale dès lors qu’il est le fait d’une personne qui n’a pas le droit d’y accéder ; la présence d’un dispositif de sécurité n’est pas nécessaire » ;
  • dans son arrêt du 30 octobre 2002 , infirmant le jugement du Tribunal de grande instance du 13 février 2002, la Cour d’appel de Paris a considéré qu’ »il ne peut être reproché à un internaute d’accéder (..) aux parties d’un site qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font (…) l’objet d’aucune protection de la part de l’exploitant du site (…), devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès« .L’accès dans un système de traitement automatisé de données est donc frauduleux lorsqu’il s’effectue contre la volonté du maître du système, c’est-à-dire sans son autorisation. Ainsi, la Cour d’appel de Paris, dans l’arrêt du 5 avril 1994, a jugé qu’ »il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées« . La Cour d’appel de Toulouse, dans l’arrêt du 21 janvier 1999, a également jugé que « l’accès à un système informatisé de données tombe sous le coup de la loi pénale dès lors qu’il est le fait d’une personne qui n’a pas le droit d’y accéder (…) l’absence de droit résulte de l’absence d’autorisation (…) du maître du système« . Dans son arrêt du 30 octobre 2002, la Cour d’appel de Paris a encore considéré l’absence « de toute indication contraire« .

    TGI Paris 18 septembre 2008

     

    (Mise en ligne Novembre 2008)

    Autres brèves

    Voir également Pénal numérique

     

  • Accès non autorisé à un système informatique dépourvu de dispositif de sécurité
  •  

    (Mise en ligne Octobre 2008)

  • Aspects juridiques de la sécurité informatique : le rapport Clusif 2008
  •  

    (Mise en ligne Septembre 2008)

  • Les chartes d’entreprise : une protection efficace contre la fraude informatique !
  •  

    (Mise en ligne Février 2008)

  • La fraude informatique
  •  

    (Mise en ligne Juin 2006)

  • Cybercriminalité
  •  

    (Mise en ligne Avril 2005)

  • La cyberdélinquance en 2004
  •  

    (Mise en ligne Janvier 2005)

  • Les atteintes à système de traitement automatisé de données
  •  

    (Mise en ligne Décembre 1999)

  • Le vol d’information
  •  

    (Mise en ligne Février 1995)




Les atteintes à un STAD

Informatique
Fraude informatique

Les atteintes à un système de traitement automatisé de données

Après des opérations illicites sur les écritures comptables d’une chambre de commerce, possibles grâce à l’emploi d’un logiciel permettant d’intervenir directement sur le contenu des données, à l’inverse du logiciel comptable utilisé, qui empêche tout changement après validation de l’écriture, une chambre de commerce et d’industrie avait subi des détournements de fonds.

 

Le chef-comptable fut considéré coupable par la cour d’appel de Riom d’avoir modifié les écritures comptables, mais ne fut pas reconnu coupable du détournement de fonds. Pourtant, ce dernier contesta la décision au motif que l’interdiction d’intervenir sur les données enregistrées dans un système de traitement automatisé de données (STAD) ne visait que les tiers et non les utilisateurs légitimes et qu’en outre, il avait agi dans le but de corriger des erreurs commises lors de la saisie. La cour de cassation rejeta l’ensemble de ses arguments.

 

Premièrement, une écriture validée et introduite dans un système comptable automatisé constitue une donnée dont la suppression et la modification sont prohibées par les règles des principes comptables ; deuxièmement, il n’est pas nécessaire que les interventions sur le programme proviennent d’une personne n’ayant pas un droit d’accès au système. Pourtant, l’élément moral restait toujours contesté, mais les juges ont rappelé que cet élément ne nécessitait pas l’intention de nuire ou de causer à autrui un préjudice, dès lors que la manipulation a été effectuée en toute connaissance de cause, avec la conscience d’effectuer une opération non autorisée.

 

Une société ayant acquis un système informatique de traitement de la TVA, une salariée a établi de nombreux bordereaux manuscrits servant de base de saisie des différents éléments destinés à entrer dans ce nouveau système. Quelques temps après le départ en mauvais terme de la salariée, le directeur s’aperçut d’un certain nombre d’erreurs introduites dans le système informatique et qui avait été commises sur les fiches manuscrites aux codes fixant les taux de TVA applicable. Considérant la salariée fautive, le directeur l’a poursuivie et fit reconnaître devant la cour d’appel que le délit d’altération volontaire de données dans un STAD était qualifié.

 

Se pourvoyant en cassation, la prévenue faisait grief à l’arrêt sur deux points. Premièrement, elle considérait que de faux bordereaux manuscrits ne pouvaient caractériser le délit précédemment cité et deuxièmement, elle remettait en question les motifs hypothétiques retenus par les juges pour qualifier l’élément intentionnel. Dans cette affaire, bien qu’inachevé, le système de traitement automatisé de données fonctionnait bel et bien et la simple réalisation de la manipulation litigieuse suffisait pour démontrer l’existence de l’élément intentionnel. La cour a donc permis, grâce à cette décision, de protéger les systèmes de traitement de données en cours d’élaboration.

Cass. crim., 8 décembre 1999

Cass. crim., 5 janvier 1994

(Mise en ligne Décembre 1999)

 




STAD définition

STAD (Système de traitement automatisé de données) :

Au sens large, un système de traitement automatisé de données s’entend de l’ensemble des éléments physiques et des programmes employés pour le traitement de données, ainsi que des réseaux assurant la communication entre les différents éléments du système informatique. Il en est ainsi des ordinateurs, mais également des périphériques d’entrée/sortie et des terminaux d’accès à distance, ainsi que de tous vecteurs de transmission de données, tels que les réseaux de communications électroniques.

(Source : EFL §2512 Ed. 2008)




fraude informatique stad maintien frauduleux

Pénal numérique

Fraude informatique

Maintien frauduleux dans un système de traitement automatisé de données

L’utilisation d’une base de données qui n’est accessible qu’aux personnes autorisées grâce à un code remis lors d’une période d’essai constitue une infraction de maintien frauduleux dans un système de traitement automatisé de données. En conséquence, doit être censuré l’arrêt qui relaxe un prévenu du chef de maintien frauduleux dans un système de traitement automatisé de données alors qu’il relève que celui-ci, quand bien même il y aurait accédé régulièrement, a utilisé pendant plus de deux ans et avec un code qui ne lui avait été remis que pour une période d’essai, une base de données qui n’était accessible qu’aux personnes autorisées.

Cass. crim. 3 octobre 2007 n°07-81045

 

(Mise en ligne Octobre 2007)

Autres brèves

 

  • La protection d’un système informatique par un dispositif de sécurité n’est pas une condition d’application de la loi Godfrain

 

 

(Mise en ligne Novembre 2008)

 

 

(Mise en ligne Octobre 2008)

 

 

(Mise en ligne Septembre 2008)

 

 

(Mise en ligne Mars 2008)

 

 

(Mise en ligne Juin 2006)

 

 

(Mise en ligne Avril 2005)

 

 

(Mise en ligne Janvier 2005)

 

 

(Mise en ligne Décembre 1999)

 

 

(Mise en ligne Février 1995)