Etude de droit :comparaison entre la législation américaine et la législation française en matière d’atteintes aux systèmes auto

8 mar 2008

Les AIS (Automated Information System) désignent tous les équipements de nature matérielle, logicielle ou « firmware », permettant l’acquisition automatique, le stockage, la manipulation, le contrôle, l’affichage, la transmission, ou la réception de données.
L’encadrement juridique des atteintes aux « systèmes de traitement automatisés » de données est prévu dans le Code Pénal aux articles 323-1 et suivant et résulte de la Loi Godfrain du 5 janvier 1988.
Depuis, la jurisprudence française n’a cessé de s’adapter aux évolutions de cette notion en élargissant sans cesse sa définition. Ainsi, la jurisprudence a considéré que un disque dur (CA Douai 7 octobre 1992) ou encore le réseau carte bancaire ( TC Paris 25 février 2000) étaient considérés comme des « systèmes de traitement automatisés ».

Comment le législateur américain a-t-il défini ces incriminations ? Quelles sont les similarités, si elles existent, avec la législation pénale française?Qu’est ce que la Convention Cybercrime a apporté?

 

I. L’état de la législation américaine en matière de « criminalité informatique »

La législation US en matière « criminalité informatique» n’est pas nouvelle et a été le fruit de nombreuses modifications et adaptations (A). Au final, le législateur américain a fait des atteintes aux systèmes informatisés de données son fer de lance par un encadrement très clair et d’une répression assez lourde (B).
 

A. L’état actuel de la législation US en matière d’atteintes à la « criminalité informatique »

Contrairement au législateur français, le législateur américain n’incrimine pas spécifiquement la violation des systèmes informatisés/automatisés de données.
Il a préféré le terme beaucoup plus large de « criminalité informatique », dans lequel il inclut évidemment cette notion, plus ou moins fondu.

On trouve ces incriminations dans « The United States Code » (U.S.C) au titre 18, concernant la criminalité et la procédure pénale « Crimes and Criminal Procedure » et plus spécifiquement, au chapitre 47 relative actes de fraude et les faux et usages de faux « Fraud and false statements ».

C’est le paragraphe 1030 du chapitre 18 du Code américain qui incrimine spécifiquement ce que le législateur a qualifié de « Computer Fraud and Abuse Act ».

1. Petit historique de la naissance de l’introduction dans le Code américain du paragraphe 1030

C’est au début des années 1980 que le législateur américain s’est vite aperçu de la défaillance de textes pénaux réprimant les infractions du domaine informatique. Le législateur piochait jusqu’alors, en fonction des situations, dans les dispositions des Codes fédéraux. Mais ce n’était pas suffisant.
Face à ce vide juridique en la matière, le Congrès a adopté en 1984 « the Comprehensive Crime Control Act » dont les dispositions portent sur l’utilisation et l’accès aux systèmes informatisés de données.
Ce nouveau statut permet d’incriminer, c’est-à-dire d’ériger en délits et en crimes un certain nombre d’actions touchant au réseau informatique sur le sol américain.
Cette Loi pénale va donner lieu à la création du paragraphe 1030 dont les différents alinéas vont encadrer ces délits et crimes.

Ce paragraphe va connaître au fil des ans des évolutions pour s’adapter aux nouvelles menaces, à l’évolution des technologies et des comportements des pirates informatique
Il sera notamment amendé par « the Computer Fraud and Abuse Act » (CFAA) en 1986 en coordonnant les intérêts du gouvernement américain et ceux des Etats fédéraux en matière de lutte contre la « criminalité informatique ».
Cette nouvelle Loi va apporter de nombreuses modifications aux dispositions antérieures en créant notamment de nouveaux délits et incriminations.
De nombreux amendements (1990/1994/1996/2001/2002) vont apporter de la précision et de la clarté à ce paragraphe 1030.

Depuis le CFAA de 1986, le paragraphe 1030 contient 7 types d’atteinte à des « systèmes de traitement automatisés de données » :

- Obtention d’information de sécurité nationale (a)(1)

- Compromettre la « confidentialité » d’un système informatisé de données (a)(2)

- Accès non autorisé dans un système informatisé de données du gouvernement (a)(3)

- Accès frauduleux dans un système informatisé de données dans le but de détourner/obtenir des informations/fonds (a)(4)

- Accès frauduleux et intentionnel dans un système informatisé de données dans le but d’endommager le système (a)(5) :
Accès intentionnel dans un système informatisé de données dans le but d’y causer des dégâts par des actes d’imprudence/de négligence + Accès intentionnel dans un système informatisé de données dans le but d’y causer des dégâts de façon délibéré

- Trafic de mots de passe (a)(6)

- Menace d’extorsion d’argent/biens de valeur contre la non violation d’un système informatisé de données (a)(7)

Le code incrimine de la même façon les tentatives concernant ces atteintes que les atteintes elles-mêmes.


2. Les dispositions sanctionnant les atteintes aux systèmes de traitement automatisés de données

Avant d’énumérer les différents types d’incrimination en la matière, le législateur s’est attaché à définir précisément la notion de « Protected Computer » et de « Without or in Excess of Autorisation ».

- La notion de « protected computer » : cette notion renvoie selon le CFAA de 1986 à tout système informatisé de données utilisé par le gouvernement fédéral, entre les Etats fédéraux, par des institutions financières ou utilisé dans le cadre de commerce international.
« The USA Patriot Act » de 2001 désigne aussi les systèmes informatiques basés à l’étranger dès lors qu’il touche les domaines fédéral, fédéraux, commerciaux, financiers.

- La notion de « Without or in Excess of Autorisation » : cette notion désigne selon le CFAA, le fait qu’un intrus peut accéder à un système informatisé de données soit en ayant l’autorisation mais en excédant cette dernière, soit en n’ayant aucune autorisation du tout à procéder a tout traitement automatisé de données. L’intrus qui excède son pouvoir dans son accès dispose au moins d’une autorité que l’autre intrus n’a pas. Cette distinction est importante car elle ne se retrouve pas forcément dans toutes les atteintes et elle peut alourdir ou non certaines incriminations posées par l’article 1030.

• 1ère atteinte : L’obtention d’une information de sécurité nationale

Les caractéristiques de cette incrimination sont les suivantes : Il s’agit d’avoir accès en pleine connaissance de cause d’un système informatisé de données, que ce soit en excédant son autorisation d’accès ou sans aucune autorisation, dans le but d’obtenir des informations de sécurité national qui, par leur traitement, pourrait porter préjudice aux Etats-Unis ou bénéficier à un Etat étranger.
Cette information de défense nationale auquel le pirate aura accès peut prendre différentes formes : communication délibéré, transmission délibéré ou tentative de communication ou de transmission de l’information à une personne non autorisée à la recevoir. Cela peut prendre aussi la forme d’une rétention d’information à un officier ou employé américain autorisé à la recevoir.

Quelles sont les sanctions ? Cette atteinte est considérée comme un délit punissable d’une amende et d’une durée d’emprisonnement de 10 ans maximum. En cas de récidive d’une atteinte contenu dans le paragraphe 1030, cette peine est de 20 ans.

Cependant, cette atteinte reste rare, tant par la particularité de ses caractéristiques que par le fait qu’il existe d’autres fondements incriminant cette atteinte « d’Etat » et de « sécurité nationale » : le paragraphe 793 qui sanctionne les individus faisant le trafic de ces informations « secrètes » aux puissances étrangères ou encore le paragraphe 2332 qui l’assimile à un « crime terroriste ».

• 2ème atteinte : Compromettre la « confidentialité » des informations d’un système informatisé de données

Les caractéristiques de cette incrimination sont les suivantes : Il s’agit d’avoir accès intentionnellement à un système informatisé de données, que ce soit en excédant son autorisation d’accès ou sans aucune autorisation, en vue d’obtenir des informations relatives :
- à des rapports/sources/données d’une institution financière/commerciale US
- au gouvernement fédéral US
- à un système informatisé de données utilisé entre les Etats fédéraux et le gouvernement fédéral US, entre les Etats fédéraux /gouvernement fédéral US et des pays étrangers.

Ces informations peuvent prendre différentes formes : de la simple lecture au téléchargement/copie.
En revanche, cette information revêt un sens large : elle peut prendre une forme monétaire et dans cette hypothèse, le législateur n’a pas fixé de seuil.
Mais quelque soit la forme/nature de l’information, le juge prend surtout en considération la valeur de l’information pour déterminer si la violation constitue un délit ou un crime.

Quelles sont les sanctions ? Cette atteinte est considérée comme un délit sauf si des facteurs aggravants existent.
C’est un délit si la violation (ou la tentative) porte sur une information dont la valeur est inférieure à 5000 $. Au delà, le législateur américain qualifie cette infraction de crime.
En revanche, cette atteint est considéré comme un crime si l’information porte sur un « avantage commercial/gain financier d’ordre privé » et que la valeur de cette information excède 5000 $.
Le délit/crime est passable de 1 à 5 années d’emprisonnement.

• 3ème atteinte : Accès non autorisé dans un système informatisé de données du gouvernement US

Les caractéristiques de cette incrimination sont les suivantes : Il s’agit d’avoir accès intentionnellement et sans autorisation à un système informatisé de données « non public » du gouvernement US exclusivement réservé à l’utilisation du gouvernement américain et du personnel compétent et qui abouti à « affecter » l’utilisation du système .
La notion de système informatisé de données « non public » du gouvernement US renvoie à la plupart des systèmes utilisés par le gouvernement hormis les serveurs Internet qui par nature offre des services au public. Le système informatisé de sonnées doit être sous le contrôle et la propriété d’un « department » ou d’une « agency » des Etats-Unies.
La notion « affecter » porte sur la confidentialité et l’intégrité du réseau du gouvernement : Il implique que des mesures soient mises en œuvre après l’intrusion dans le réseau pour « reconstituer » celui-ci (remettre en place un dispositif de sécurité, scanner le système …).

A la différence de la 1ère atteinte, nous sommes dans l’hypothèse ou l’intrus qui a eu un accès non autorisé dans un système informatisé de donnée du gouvernement, est pénalisé même s’il n’a obtenu aucune information durant l’accès et le maintien frauduleux. L’intrus vise particulièrement tous les individus qui n’appartiennent pas au personnel des employés fédéraux…ces derniers étant sanctionnés « en interne » en cas de commission de cette infraction.

Quelles sont les sanctions ? Cette atteinte est considérée comme un délit puni par une amende et d’une peine d’emprisonnement de 1 à 10 ans en cas de récidive.

• 4ème atteinte : Accès frauduleux dans un système informatisé de données dans le but de détourner/obtenir des informations/fonds

Les caractéristiques de cette incrimination sont les suivantes : Il s’agit d’avoir accès en pleine connaissance de cause à un système informatisé de données que ce soit en excédant son autorisation d’accès ou sans aucune autorisation, en vue de commettre une fraude consistant à détourner des fonds (du « cash », des biens/services) et à les utiliser si leur valeur excède 5000 $.
Contrairement à la 2ème atteinte, le pirate en l’espèce ne va pas seulement obtenir des informations mais va commettre une fraude caractéristique consistant à détourner pour son compte une somme d’argent (ce que l’on pourrait qualifier de recel en droit français). Il en va de même s’il « fait le trafic » ou le commerce de logiciels/programmes de « hacking » qui tendent à la commission de cette infraction frauduleuse.
La jurisprudence a ainsi considéré comme une fraude rentrant dans cette catégorie :

- Le fait d’altérer ou de supprimer des données d’un système informatisé de données et de recevoir en échange de cet acte une somme d’argent (United States v. Butler, (4th Cir. 2001))

- Le fait d’obtenir des informations d’un système informatisé de données et de les utiliser ultérieurement pour commettre une fraude telle que obtenir des numéros de carte téléphonique pour appeler gratuitement (United States v. Lindsley, (5th Cir. 2001))

- Le fait d’utiliser un système informatisé de données pour produire des documents falsifiés qui seront utilisés ultérieurement pour commettre une fraude telle que la production de tickets de loterie gagnants.( United States v. Bae (D.C. Cir. 2001))

Note au sujet des jurisprudences : « Cir » pour circuits et « D.C Cir » pour «District de Colombie : Les cours d’appel des États-Unis sont divisées géographiquement en 12 circuits, ou juridictions – 11 circuits couvrant chacun au moins trois États, plus la Cour d’appel pour le District de Colombie (Washington), qui a également compétence sur les dossiers concernant le gouvernement fédéral. Chaque circuit coiffe les tribunaux de district situés sur son territoire.

Quelles sont les sanctions ? Cette atteinte est considérée comme un crime car contrairement à la 2ème atteinte considéré comme un délit, le pirate va utiliser les informations pour obtenir des avantages d’ordre pécuniaire. Elle est punie d’une amende et d’une peine de 5 à 10 ans d’emprisonnement en cas de récidive.

• 5ème atteinte : Accès frauduleux et intentionnel dans un système informatisé de données dans le but d’endommager le système

Les caractéristiques de cette incrimination sont les suivantes : Il s’agit d’avoir accès de manière intentionnelle à un système informatisé de données et sans autorisation dans le but de causer des dégâts, que ce soit par la modification/suppression ou tout autre entrave à un code/programme/ensemble de données/ensemble de commandes.
Les dégâts/dommages renvoient à la violation de l’intégrité/disponibilité d’une donnée, d’un programme, d’un système ou d’une information.

Le législateur distingue cependant 2 manières d’agir et pour lesquels la qualification et les sanctions diffèrent :

- Le pirate agit de façon délibéré dans la commission de son infraction en s’introduisant dans un système automatisé de données : le pirate en exploitant la vulnérabilité d’un système pour y introduire un virus, installer des spywares/malwares, prendre le contrôle d’un ordinateur, modifier ou détruire des données le fait en ayant connaissances des conséquences de son acte et du préjudice qu’il fera subir à sa victime. C’est l’exemple de l’installation par un pirate d’un keylogger sur l’ordinateur d’un individu en vue d’obtenir ses codes bancaires/mots de passe et avoir accès à des informations confidentielles ou détourner son compte.

- Le pirate agit avec négligence/imprudence dans la commission de son infraction en s’introduisant dans un système automatisé de données : le pirate exploite la vulnérabilité d’un système dans le but de causer un préjudice à la victime mais sans prendre réellement en considération les conséquences de son infraction sur la victime : c’est par exemple l’hypothèse ou « l’administrateur système » d’un hôpital se fait licencier. Pour se venger, il insert un « malicious program » dans le système informatique de l’hôpital qui les mots de passe de tous les docteurs/infirmières des différentes unités. L’intrus a souhaité juste « handicaper » les médecins et infirmières dans leur travail sans prendre en considération que par son acte, ces derniers n’ont pu permettre un bon suivi des patients de l’hôpital grâce à l’accès de leur dossier sur le réseau, ce qui a conduit à des décès qui auraient pu être évité.

Quels sont les types de « damage » causés ? Il en existe plusieurs :

- la perte d’une somme de 5000 € par an
- la modification de l’état de santé d’un individu
- causer un préjudice physique à un individu
- causer la mort d’un individu
- menacer un système public de santé ou de sécurité
- dommages causés dans un système informatisé de sonnées appartement au gouvernement US, à une « administration of justice, national defense or national security »
- Une extension jurisprudentielle a même considéré qu’une atteinte à la réputation d’un individu/société/institution rentrait dans cette catégorie d’infraction

Quelles sont les sanctions ? Quelque soit la manière d’agir du pirate, l’accès frauduleux et intentionnel dans un système informatisé de données dans le but d’endommager le système est considérée comme un crime passible d’une peine d’emprisonnement de 10 ans maximum, 20 ans en cas de récidive voir une peine d’emprisonnement à perpétuité en cas de préjudice physique ayant entraîné la mort.
Le juge cumulera la peine ensuite en fonction de la manière d’agir du pirate :

- Si celui-ci a agi de façon délibérée, il encourt une peine de 10 ans supplémentaire

- Si celui-ci a agi avec négligence/imprudence, il encourt une peine de 5 ans supplémentaire pouvant monter jusqu’à 20 ans en cas de récidive

Le juge adaptera évidemment la sanction en fonction de la particularité de l’hypothèse visée.
Aux Etats-Unis comme en France, le juge dispose d’un pouvoir souverain d’appréciation.

• 6 ème atteinte : Le « trafic » de mots de passe

Les caractéristiques de cette incrimination sont les suivantes : Il s’agit de « faire le trafic » de mots de passe ou d’une information similaire d’un système informatique de données en pleine connaissance de cause et dans l’intention de commettre ultérieurement une fraude qui affecterait le commerce/business à l’étranger, entre Etats fédéraux américains ou visant le gouvernement fédéral US.

Le législateur US définit la notion de « trafficking » comme le fait de transférer ou d’utiliser les mots de passe/ information similaire dans le but de commettre une fraude. Il exclut donc la simple détention d’un mot de passe/information similaire.
La notion d’information similaire désigne toute « instruction » qui permet d’assurer la sécurité de ses données sur un système informatique : des codes, des surnoms, des « pass phrase » donc toute combinaison/méthodes permettant à l’utilisateur d’un réseau/ordinateur de s’authentifier.

Cette atteinte vise un cadre assez large : le commerce/business à l’étranger, entre Etats fédéraux américains ou visant le gouvernement fédéral US
Ainsi, le juge a condamné un pirate américain de la possession et de l’utilisation illicite de numéro de compte et codes de cartes de crédit étrangère (United States v. Rushdan (9th Cir. 1989)).

Quelles sont les sanctions ? Cette atteinte est considérée comme un délit punissable d’une amende et d’une peine d’emprisonnement compris entre 1 et 10 ans en fonction de la gravité de la fraude (10 ans en cas de récidive)

• 7ème atteinte : Menace d’extorsion d’argent/biens de valeur contre la non violation d’un système informatisé de données

Les caractéristiques de cette incrimination sont les suivantes : Il s’agit d exercer un chantage par la menace en ayant l’intention d’extorquer à une personne une somme/biens ou objets de valeur contre la non violation/atteinte de son système informatisé de données. La menace d’extorsion doit porter sur des données impliquant le commerce/business avec des Etats étrangers ou entre Etats fédéraux.

Ici, le législateur US ignore si le pirate a obtenu au final l’argent/biens de valeur tant convoitée.
Dès lors que l’intention d’extorquer et donc d’exercer son chantage est prouvé, l’atteinte est formée.
La menace porte aussi bien sur la possibilité de fermer l’accès à un système informatisé de données, effacer, endommager ou encrypter des données/informations/programmes.

Quelles sont les sanctions ? Cette atteinte est considérée comme un délit puni d’une amende et d’une peine d’emprisonnement compris entre 1 et 10 ans en fonction de la gravité de la fraude (10 ans en cas de récidive).

 

B. la distinction avec la législation française en matière d’atteintes aux systèmes automatisés de données

Force est de constater la différence flagrante de dispositions en la matière entre le législateur américain et le législateur français.
En effet, en France, c’est la Loi Godfrain du 5 janvier 1988 relative à la fraude informatique qui a introduit les dispositions suivantes aux atteintes aux systèmes informatisés de données que l’on trouve dans le Code Pénal aux articles 323-1 à 323-5.
On note ainsi que si la France semble « pionnière » en matière de lutte contre la « criminalité informatique » avec celle loi vieille de 19 ans, il faut observer aussi que l’état de ces dispositions n’a pas changé. En revanche, les américains ont su faire preuve de clairvoyance en encadrant beaucoup mieux dans la pratique les atteintes aux systèmes informatisés de données et en ayant une législation plus fourni et une jurisprudence en évolution constante.
Cela s’explique sans doute en partie sur la place qu’occupent les nouvelles technologies aux Etats-Unis depuis des années qui pour le coup, restent pionnière dans ce domaine.

C’est pourquoi nous distinguerons les différences entre ces deux législations en matière d’atteintes simples (1) et d’atteintes avec dommages (2) aux systèmes informatisés de données.


1. Les différences substantielles en matière d’atteintes simples

La loi LCEN du 21/06/04 a alourdi de façon conséquente les sanctions dans ce domaine par rapport au texte initial.
L’article L. 323-1 du Code Pénal prévoit ainsi que « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de 2 ans d’emprisonnement (1 an auparavant) et de 30 000 euros d’amende (15 000 Euros auparavant) » . Ces systèmes comprennent, entre autre, les sites web.

Cette disposition incrimine l’accès frauduleux dans le système qui doit être

- volontaire (non accidentel)

- sans disposer d’aucun droit ou autorisation dans l’accès du système

Cet accès ne peut être répréhensible si on a accès à un système dans lequel existe des failles de sécurité et si cet accès est possible à partir de son simple navigateur, sans employer de moyens frauduleux (CA Paris 30 octobre 2002).

Elle incrimine également le maintien frauduleux/irrégulier dans le système, ainsi que le fait d’être rentré régulièrement mais de s’y maintenir frauduleusement (CA Paris 5 avril 1994)

En matière d’atteintes simples à un système de traitement automatisé de données, les dispositions du paragraphe 1030 du U.S.C sont les suivantes :

- Obtention d’information de sécurité nationale (a)(1)

- Compromettre la « confidentialité » d’un système informatisé de données (a)(2)

- Accès non autorisé dans un système informatisé de données du gouvernement (a)(3)

Plusieurs observations :

- Tout d’abord, il est intéressant de souligner la valeur que le législateur américain apporte en matière de répression d’atteinte à un système informatisé de donnée. En effet, le législateur considère dans ce domaine qu’il existe aussi bien des crimes et des délits alors qu’en France, il ne peut y avoir que des délits.
L’utilisation du terme « crime » montre bien la volonté du législateur US de rendre la « Loi pénale » plus répréhensible et plus dure. Cela s’explique sans doute par une conception culturelle différente et par la grande place occupée actuellement par les nouvelles technologies au Etats-Unis et la crainte de menaces éventuelles.
Ainsi, alors que le Code pénal français considère que les atteintes au secret de la défense nationale précisées aux articles 413-9 et suivants revêtent la qualité de délit, en revanche, le législateur américain qualifie ce type d’atteinte de « felony » (crime).

- Le législateur américain accorde énormément d’importance aux systèmes de traitement automatisé de données du gouvernement américain, des institutions fédérales et aux institutions financières.
C’est d’ailleurs pourquoi et ce contrairement en France, le législateur accorde des dispositions exclusivement réservées à des institutions.
On note aussi que les sanctions à la violation de ces entités « étatiques » sont bien plus lourdes en terme d’emprisonnement qu’en France.

-Le législateur américain, contrairement au législateur français, accorde beaucoup plus d’importance à la distinction entre un accès frauduleux sans autorisation et un accès excédant son autorisation (particulièrement pour les atteintes du paragraphe 1030 (a)(1) et (a)(2) )
Le législateur « tempère » ainsi le degré cette atteinte ce qui permettra d’adapter sa sanction en fonction des circonstances, en prenant en considération que l’accès en outrepassant son autorisation sera moins lourdement sanctionné pour le pirate dans la mesure ou il avait une once d’autorité.
Le législateur française est plus strict et ne fait pas du tout cette distinction en partant du postulat qu’il y a soit accès autorisé, soit accès non autorisé au système informatisé de données.

-Le législateur français en revanche, apporte plus de précision que le législateur US en distinguant l’accès frauduleux à un système au maintien frauduleux au système (distinction jurisprudentielle).
Le législateur US s’arrête uniquement à « l’accès » frauduleux du système.
On retrouve en revanche l’importance de l’élément intentionnel dans l’accès frauduleux dans les 2 législations.


2. Les différences substantielles en matière d’atteintes/d’entraves avec dommages

La loi LCEN du 21/06/04 a aussi alourdi de façon conséquente les sanctions dans ce domaine par rapport au texte initial.

Le législateur français distingue 2 formes d’atteintes :

- Les atteintes avec dommages lorsque l’intrusion et le maintien frauduleux dans le système ont certaines conséquences : L’alinéa 2 de l’article 323-1 du nouveau Code pénal dipose que « Lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de 3 ans d’emprisonnement (au lieu de 2 ans) et de 45 000 euros d’amende (au lieu de 30 000 euros) »

- Les entraves volontaires au système ou aux données s’y trouvant :

- L’article 323-2 du Nouveau Code pénal définit l’entrave volontaire au système comme « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données « La peine encourue est de 5 ans d’emprisonnement (au lieu de 3 ans) et de 75.000 euros d’amende (au lieu de 45 000 euros). Cette infraction vise, notamment, l’introduction des programmes susceptibles d’entraîner une perturbation au système, tels que les virus, le ralentissement du système avec le mail bombing les bombes logiques …

- L’article 323-3 du Nouveau Code pénal sanctionne l’introduction, la suppression ou la modification frauduleuses de données dans un système informatique. Les applications illicites visées par cet article sont nombreuses et dispose que « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de 5 ans d’emprisonnement (au lieu de 3 ans) et de 75 000 euros d’amende (au lieu de 45 000 euros) ». Elles peuvent aller de la réduction du prix des marchandises sur un site de commerce électronique, la modification ou la suppression du contenu des bases de données à la modification du statut fiscal d’une entreprise…

- L’article 323-3-1 du Nouveau Code pénal punit de des peines respectivement conçu par les articles 323-1 à 323-3 le fait d’importer/détenir/offrir/céder tout instrument ou programme informatique adapté pour commettre les infractions prévus par ces articles.

Plusieurs observations :

- Encore une fois, on note que le législateur américain, beaucoup plus pragmatique que le législateur français, a beaucoup mieux défini des infractions en matière de criminalité informatique, si bien que l’on ne les retrouve pas forcément dans les dispositions des articles 323-2 et suivants de Nouveau Code pénal. Le juge devra sans doute condamner en conséquences ces infractions spécifiques sous d’autres fondements, beaucoup moins adapté, ce qui est regrettable :
C’est ainsi le cas de l’infraction américaine de menace d’extorsion d’argent/biens de valeur contre la non violation d’un système informatisé de données que l’on retrouve au paragraphe 1030 (a)(7).
Cette forme de chantage exercé par le pirate pourrait probablement être réprimée sous le fondement de l’article 312-10 du Nouveau Code pénal consacré au chantage encore que cette disposition ne prend pas en considération la pratique d’une menace « d’atteinte à un système de traitement informatisé de données ». Aucun cas de jurisprudence en la matière n’a été consacré.

- Le législateur américain apporte une nouvelle fois beaucoup plus de précision dans les modalités de la commission de ces atteintes avec dommage, à travers cette notion importante « d’imprudence/négligence » que l’on retrouve dans le paragraphe 1030 (a)(5) relative à l’accès frauduleux et intentionnel dans un système informatisé de données dans le but d’endommager un système informatisé de données : Accès intentionnel dans un système dans le but d’y causer des dégâts par des actes d’imprudence/de négligence + Accès intentionnel dans un système informatisé de données dans le but d’y causer des dégâts de façon délibéré .
Il est dommage que le juge français soit obligé d’exercer son interprétation souveraine pour adapter la sanction du pirate en fonction d’un acte commis en pleine connaissance de cause des dégâts qu’il engendre ou d’un acte dont le pirate n’a pas prévu toutes les conséquences préjudiciables.
Le législateur dans ses textes ne fait pas cette distinction importante, qui n’est pourtant pas absente du Code pénal car on la retrouve par exemple à l’article 221-6 du Code en matière d’homicide involontaire, et qui apporterait sans doute une solution plus « équitable » en matière de répréhension de l’acte frauduleux du pirate.

En conclusion, il faut aussi rappeler la distinction fondamentale entre le système pénal américain et le système pénal français relatif au principe de non cumul des peines.
Aux Etats-Unis, ce principe n’existe pas. Les peines ainsi se cumulent en fonction du nombre d’atteintes commises, ce qui rend la Loi pénale américaine en la matière beaucoup plus sévère qu’en France.

II. Les aspects internationaux concernant les Etats-Unis en matière de « criminalité informatique »

La volonté des Etats-Unis de s’allier avec d’autres pays dans la lutte contre la « criminalité informatique » n’est pas nouvelle. Mais il faut attendre 2001 et l’initiative du Conseil de l’Europe avec la rédaction et la ratification de la Convention Cybercrime pour que cette idée se concrétise (A).
Quels sont les apports des dispositions de cette convention dans le droit pénal US ? (B)

A. Historique et engagement des Etats-Unis dans la « Cybercrime Convention »

 

1. Les « challenges » visés par le législateur US

L’émergence de l’Internet dans le monde entier a irrémédiablement conduit à une augmentation de ce que les américains ont qualifié de « computer crime » traduit par criminalité informatique.
Le législateur américain a souhaité lutter en la matière en cassant sa tradition isolationniste par une politique tant national qu’international.
Parmi les « challenges » dont les objectifs tendent à assurer un meilleur encadrement juridique des atteintes à l’égard des « computer crimes », on trouve :

- Une volonté d’harmonisation des lois avec d’autres pays en matière de criminalité informatique

- Une meilleure coordination entre pays pour localiser les auteurs d’actes frauduleux en la matière

- Permettre une meilleure recherche et conservation des preuves en cas de criminalité informatique entre les Etats-Unis et d’autres pays.

 

« The Department of Justice » s’est engagé depuis plusieurs années à travailler avec des gouvernements étrangers dans la lutte contre la criminalité informatique

Tout a commencé par la participation des Etats-Unis en tant « qu’observateur » en 1989 et 1995 à des interventions, des études et des recommandation tenus par le Conseil de l’Europe dans ce domaine.
Face aux menaces sans cesse croissantes et à la vulnérabilité de ses systèmes informatisés, les Etats-Unis ont compris l’intérêt de se joindre à un instrument de coopération internationale en la matière.
Cet observateur à alors acceptée l’invitation du Conseil de l’Europe à participer à la rédaction du projet de la Convention et aux négociation quant à l’élaboration finale du texte avec les autres Etats parties à la future Convention.
Dans la recherche de la protection de leurs intérêts, les Etats-Unis ont obtenu surtout durant des réunions en 2000 et 2001 de nombreuses révisions du texte de la Convention ainsi que la possibilité de rendre public les différents brouillons et avant projet de la Convention.

2. Introduction de la Convention Cybercrime dans la législation US

C’est la Convention Cybercrime « Cybercrime Convention » ratifiée par les Etats-Unis à Budapest le 23 novembre 2001 qui va fonder les bases de la lutte contre la prolifération des activités criminels sur les réseaux informatiques.
Le 3 août 2006, le Sénat américain vote la ratification de la Convention Cybercrime.
Le 22 septembre 2006, le président Bush signe définitivement la Convention. Les Etats-Unis deviennent ainsi membre de la Convention qui est rentrée en vigueur dans la législation nationale le 1er janvier 2007.

Les Etats-Unis reconnaissent qu’ils sont très dépendants des systèmes de réseaux informatiques, surtout la mesure où ces outils de nouvelle technologie sont très utilisés dans le domaine militaire, les réseaux satellite, les moyens de transport, les systèmes de communication.
Des éventuelles atteintes à l’ensemble de ces systèmes informatisés constituent une menace très grande en matière de sécurité et des intérêts nationaux.
La menace est d’autant plus pernicieuse qu’elle peut provenir des « cybercriminels » agissant en dehors du sol américain, en utilisant la faiblesse des systèmes de sécurité dans d’autres pays ou en jouant sur leur défaillance en matière de répression par les législations locales

En effet, Les acteurs économiques sont des cibles de choix pour la cybercriminalité, mais les administrations publiques ou les citoyens ne sont pas plus à l’abri. Au pays de l’Oncle Sam, le Pentagone a enregistré à lui seul, en 2001, plus de 22 000 agressions électroniques contre ses systèmes et le FBI a recensé 5 000 infrastructures "extrêmement vulnérables" à la criminalité informatique capable "de déstabiliser l’économie entière d’un pays", selon Ronald L. Dick, directeur du Centre de la protection des infrastructures nationales
De plus, La fraude et l’escroquerie en ligne prennent de plus en plus d’ampleur. En 2001, des groupes organisés en Ukraine et Russie ont piraté plus de 40 sites américains, détournant les numéros d’au moins un million de cartes de crédit.

La Convention constituerait ainsi un formidable outil de coopération et d’harmonisation des législations en matière de lutte contre la cybercriminalité.

Sean McCormack, porte-parole du département d’État américain, a d’ailleurs déclaré en 2007 en guise de synthèse, que la convention aurait comme dessein d’aider «à protéger les citoyens contre le piratage informatique et la fraude en ligne, ainsi que contre les crimes pour lesquels existent des preuves électroniques, notamment l’exploitation sexuelle des enfants, le crime organisé et le terrorisme».

 

B. Les conséquences pratiques des dispositions en matière de lutte contre les attentes aux systèmes informatisés de données sur la législation US

 

1. Synthèse de l’esprit de la Convention

La Convention Cybercrime vise à :

• harmoniser les éléments des infractions ayant trait au droit pénal matériel national et les dispositions connexes en matière de cybercriminalité,

• fournir au droit pénal procédural national les pouvoirs nécessaires à l’instruction et à la poursuite d’infractions de ce type ainsi que d’autres infractions commises au moyen d’un système informatique ou dans le cadre desquelles des preuves existent sous forme électronique,

• mettre en place un régime rapide et efficace de coopération internationale.

Le texte classe les infractions commises sur les réseaux électroniques en quatre catégories distinctes :

• les infractions à l’encontre de la confidentialité, de l’intégrité, de la disponibilité des données et des systèmes,

• les infractions informatiques: falsification et fraudes informatiques,

• les infractions concernant le contenu: acte de production, diffusion, possession de pornographie enfantine, propagation de thèses racistes et xénophobes,

• les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes.

La Convention précise également certains points essentiels en matière de procédure dans les affaires de cybercriminalité. En effet, lorsque des preuves existent sous forme électronique, il convient d’établir des règles permettant d’assurer la sauvegarde de celles-ci pour les besoins de l’enquête. Cette exigence concerne plus particulièrement:

• la conservation rapide de données stockées dans un système informatique,

• la conservation et la divulgation rapide de données relatives au trafic,

• les injonctions de produire,

• les perquisitions et les saisies de données informatiques stockées,

• la collecte en temps réel des données relatives au trafic,

• l’interception de données relatives au contenu.

Enfin, la convention aborde également les problèmes de compétence juridictionnelle ainsi que la question essentielle de la coopération entre les autorités policières et judiciaires.

 

2. Les conséquences de l’application de la Convention sur le paragraphe 1030, chapitre 18 du U.S.C

La convention en matière notamment de lutte contre les atteintes aux systèmes informatisés de données, énumère 3 types de mesures qui ont pour dessein d’endiguer les comportements criminels «criminal behaviour ». Quels sont les apports de ces mesures par rapport au paragraphe 1030 relatives aux dispositions du « Computer Fraud and Abuse Act » ?

• La Convention engage les parties à « criminaliser » les délits/attaques informatiques « classiques » et notamment les atteintes aux systèmes informatisées de données telles que les attaques par virus/vers, le vol de mots de passe/code d’accès… Ces atteintes doivent être sanctionnées en particulier si leur caractère est intentionnel et en violation d’autorisation. La seule exception en la matière demeure les secteurs de la recherche et de sécurité informatique seules compétentes à utiliser ces outils informatiques sanctionnés par la Convention et dorénavant les législations nationales des pays signataires de celle-ci. Cependant, force est de constater que la pénalisation de toutes ces catégories d’infraction existe déjà aux Etats-Unis. En revanche, l’assistant adjoint du ministre de la justice américain Bruce Swartz se réjouit que l’engagement de dizaines de pays à la Convention permettra de mieux endiguer les potentielles menaces à la sécurité et aux intérêts financier des Etats-Unis, notamment si les atteintes visés sont commis hors du sol américain.

• La Convention consacre une partie de ses dispositions à la procédure dans les affaires de cybercriminalité, notamment concernant les preuves existant sous forme électronique et toutes les règles permettant d’assurer la sauvegarde de celles-ci pour les besoins d’une enquête. Grâce à ce dispositif, Les Etats-Unis obtiennent un gain de temps précieux dans la localisation et la conservations de ces preuves, évitant la détérioration/perte/suppression de celles-ci, en coopération avec les pays parties à la Convention. La coopération entre Etats va même jusqu’au « suivi » rapide et efficace de l’enquête 7/7j et 24/24h dans la lutte contre la cybercriminalité, assuré par un réseau spécifique et entouré de services d’enquête spécialisé composés de professionnels – disposant de moyens techniques et maîtrisant la procédure pénale- dans chaque pays.
Ces procédures et leurs applications étaient déjà mises en pratique par les services d’enquêtes américains en matière d’investigation et d’opération. Mais le grand intérêt de cette Convention repose sur l’harmonisation par les autres pays de la procédure de conservation de ces preuves en cas d’attaques contre les intérêts américains en dehors du sol US et leur transfert au pays « touché » par l’atteinte.

• La Convention contient d’importantes dispositions concernant la coopération internationale. Les moyens de télécommunication modernes facilitent la divulgation entre Etats des atteintes en matière de « criminalité informatique » .La Convention améliore notamment les régimes d’extradition entre pays parties dans l’hypothèse de la détention d’un « cybercriminel », et oblige les parties à s’apporter une assistance mutuelle dans ce domaine. C’est un atout qui profitera notamment aux Etats-Unis, en n’ayant plus à se soucier des difficultés d’application de ses traités bilatéraux antérieurs en terme d’extradition.

• En revanche, alors qu’ils avaient approuvé en 2001 la Convention et ses protocoles additionnels réglementant la cybercriminalité, les États-Unis se sont opposés le 15 novembre 2002 à un avenant condamnant les actes à motivation raciste et xénophobe. Ce protocole visait à criminaliser la diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques, ainsi que les menaces et l’insulte à motivation raciste et xénophobe, la négation, la minimisation grossière, l’approbation ou la justification du génocide ou des crimes contre l’humanité. Les Etats-Unis ont refusé de signer ce protocole dans la mesure ou ses dispositions violent le sacro-saint principe de la liberté d’expression consacré par le 1er amendement de la Constitution américaine.

Ainsi, alors que les chances de réussite de retracer le parcours « criminel » en matière de fraude informatique était mince lorsque le cybercriminel n’était pas localisé aux Etats-Unis, la Convention fourni de nombreux outils permettant une coopération dans ce domaine efficace, rapide basé sur l’assistance mutuelle. Cela renforce le système juridique et procédurier américain dans la lutte contre les atteintes précisés au paragraphe 30, chapitre 18 de U.S.C.

BIBLIOGRAPHIE :

- http://www.usdoj.gov/
Site du « United States Department of Justice »
Nombreuses déclarations, informations, recommandations en matière de législation pénale US et sur la Convention Cybercrime

- http://www.zdnet.fr
Site d’actualité générale

- http://www.01net.com
Site d’actualité relative à l’informatique, nouvelles technologies

- http://www.diplomatie.gouv.fr/
Site du gouvernement français en matière de cybercriminalité

 

Pas encore de commentaires.

Laisser une réponse