Embed Size (px)
DESCRIPTION
LA REGLEMENTATION EN MATIERE DE CRIMINALITE INFORMATIQUE Première partie: La loi du 28 novembre 2000 . SPF Justice Formation de l’Ordre judiciaire Jeudi 9 novembre 2006. Romain Robert Avocats aux barreaux de Bruxelles Cabinet ULYS http://www.ulys.net. Plan. La criminalité informatique - PowerPoint PPT Presentation
Citation preview
LA REGLEMENTATION EN MATIERE DE CRIMINALITE INFORMATIQUE
Première partie:
La loi du 28 novembre 2000
SPF JusticeFormation de l’Ordre judiciaire
Jeudi 9 novembre 2006
Romain RobertAvocats aux barreaux de Bruxelles
Cabinet ULYS
http://www.ulys.net
Plan La criminalité informatique
– Sensu lato : L’informatique n’est qu’un instrument facilitant la commission d’un délit “traditionnel”
Ex: diffamation, racisme, pédopornographie, atteintes au droit d’auteur,…
– Sensu stricto : L’informatique est l’objet même du délit => Loi du 28 novembre 2000 modifiée par loi du 15 mai 2006
La protection des mineurs dans la société de l’information (Thibault Verbiest)
PARTIE 1 : LA CRIMINALITE INFORMATIQUE
SOUS SES DEUX ASPECTS
Acceptation large : les délits commisau moyen de l’informatique
Contrefaçon
– Reproduction de CD audio, de CD-ROM, de DVD (programmes d’ordinateur, jeux video, bases de données, musique, films, …)
– Téléchargement de fichiers audio, vidéo, MP3, DivX au préjudice des droits d’auteurex. : Napster, Kazaa
– Atteinte à l’intégrité d’une œuvre : logiciels de mixage audio, de graphisme, de morphing…
Extraction du contenu d’une base de données
ex. : « Pillage » de l’ensemble des petites annonces immobilières d’un site web pour les reproduire sur un autre site
Situations relevant de la législation en matière de droits d’auteur :
Loi du 30 juin 1994 relative au droit d’auteur et aux droits voisins Loi du 30 juin 1994 concernant la protection juridique des
programmes d’ordinateur Loi du 31 août 1998 concernant la protection juridique des bases de
données
Escroquerieex. : filières africaines et autres loteries “bidon”
Pornographie – pédopornographie Publicité (tompeuse, mensongère, spam…) Vie privée (condamnation française pour collecte
déloyale de données)
Diffamation ex. : via des services en ligne, chat, blogs Atteinte à l’honneur Atteinte au droit à l’image ex. : affaire Estelle Halliday Dénigrement Racisme et négationnisme Jeux de hasard
Incitation à commettre un délit (incitation à la discrimination sur base de la loi du 25 février 2003)
Délit de presse ? Civ. Bruxelles, 19 février 2004 (Diffamation sur internet => délit
de presse)
Paris, 5 mai 2004 (Diffamation sur internet => diffamation par communication audiovisuelle)
Atteinte au droit des marquesex. : utilisation de la marque d’autrui ou du nom commercial en métatags ou en nom de domaine
Atteintes aux usages honnêtes en matière commerciale, concurrence déloyale, parasitisme…
Etc…
=> L’informatique ne constitue dans ces différentes situations que le moyen de commettre des délits conventionnels
Acceptation restreinte : les délits dont l’informatique est l’objetLa loi du 28 novembre 2000, modifiée par la loi du 15 mai 2006, prévoit plusieurs catégories d’infractions :
Le faux et usage de faux en informatique (art. 210bis CP)
La fraude informatique (art. 504quater CP)
L’accès et le maintien non autorisé (art. 550bis CP)
Le sabotage de données et/ou de système (art. 550ter CP)
L’interception illégale de communications (article 259bis et 314bis CP + 124 et 125 LCE)
I. Le faux et usage de faux en informatique (art. 210bis CP)
§1er. Celui qui commet un faux, en introduisant dans un système informatique, en modifiant ou effaçant des données, qui sont stockées, traitées ou transmises par un système informatique, ou en modifiant par tout moyen technologique l'utilisation possible des données dans un système informatique, et par là modifie la portée juridique de telles données, est puni d'un emprisonnement de six mois à cinq ans et d'une amende de vingt-six francs à cent mille francs ou d'une de ces peines seulement
§2.Celui qui fait usage des données ainsi obtenues, tout en sachant que celles-ci sont fausses, est puni comme s'il était l'auteur du faux.
§3. La tentative de commettre l'infraction visée au § 1er et est punie d'un emprisonnement de six mois à trois ans et d'une amende de vingt-six francs à cinquante mille francs ou d'une de ces peines seulement.
§4. Les peines prévues par les §§ 1er à 3 sont doublées si une infraction à l'une de ces dispositions est commise dans les cinq ans qui suivent le prononcé d'une condamnation pour une de ces infractions ou pour une des infractions prévues aux articles 259bis, 314bis, 504quater ou au titre IXbis.
4 Eléments constitutifs de l’infraction : 1. Altération de la vérité
2. Introduction, modification ou effacement de données dans un système informatique ou modification de l’utilisation possible de ces données.
Terminologie large et technologiquement neutre (pas de définition légale, cfr. exposé des motifs).
Données = “les représentations de l’information pouvant être stockées, traitées et transmises par le biais d’un système informatique” Le faux doit modifier la portée juridique de ces données.
3. Modification de la portée juridique des données
4. Intention frauduleuse ou dessein de nuire (dol spécial car modification de l’art. 193 CP).
Exemples : Confection illégale ou falsification, copie (“skimming”) de cartes de crédit
Faux contrats numériques
Modification des données salariales par un employé dans la comptabilité informatique de l’entreprise
Gonfler les heures supplémentaires encodées
Falsification d’une signature électronique ou d’un email
Remarque : Absence d’harmonisation entre le faux en écriture et le faux en informatique : faux en informatique = unique et pas de distinction quant à la nature des actes falsifiés ni quant à l’auteur, peines différentes => Discrimination ? Inconstitutionnalité ?
Quid à l’heure du e-governement ?
Illustrations : Monsieur X ouvre un compte Swing au nom de Madame Y et participe, sous cette identité, à différents forums de discussion et chats dans lesquels il laisse des messages signalant Madame Y recherche des aventures amoureuses. Il laisse les coordonnées téléphoniques de Madame Y qui, bien évidemment, ignore tout. Elle est vite inondée de coups de fil.
Jugement rendu sur base de l’ancienne législation
Le tribunal interprète l’incrimination de harcèlement « téléphonqiue » pour y inclure le harcèlement via les moyens de télécommunications (infraction toujours existante, voir infra).
Le tribunal estime que l’ancienne loi permet d’inclure les faux électroniques sous l’incrimination de faux dès lors que les fausses données deviennent des écrits quand elle sont transposées sur des disques durs
=> Corr. Liège, 18 novembre 2002
II. La fraude informatique (art. 504quater CP)
§1er. Celui qui cherche à se procurer, pour lui-meme ou pour autrui, avec une intention frauduleuse, un avantage économique illégal en introduisant dans un système informatique, en modifiant ou effaçant des données qui sont stockées, traitées ou transmises par un système informatique, ou en modifiant par tout moyen technologique l'utilisation normale des données dans un système informatique, est puni d'un emprisonnement de six mois à cinq ans et d'une amende de vingt-six francs à cent mille francs ou d'une de ces peines seulement.
§2. La tentative de commettre l'infraction visée au § 1er et est punie d'un emprisonnement de six mois à trois ans et d'une amende de vingt-six francs à cinquante mille francs ou d'une de ces peines seulement.
§3. Les peines prévues par les §§ 1er et 2 sont doublées si une infraction a l'une de ces dispositions est commise dans les cinq ans qui suivent le prononcé d'une condamnation pour une de ces infractions ou pour une des infractions visées aux articles 210bis, 259bis, 314bis ou au titre IXbis.
Exemples : Utilisation d’une carte de crédit volée pour retirer de l’argent d’un distributeur automatique
Dépassement illicite du crédit octroyé par sa propre carte de crédit
Introduction d’instructions de programmation permettant d’obtenir à la suite de certaines transactions d’autres résultats en vue d’un avantage financier illicite (faux code de licence de logiciel par ex)
Manipulations illégitimes effectuées par un employé de banque sur les comptes des clients
Remarque : Dissociation entre fraude informatique et escroquerie : la fraude informatique vise les manipulations illicites de données à l’égard d’une machine, l’escroquerie, elle, vise la tromperie d’une personne.
III. L’accès non-autorisé et le maintien (art. 550bis CP)
§1er. Celui qui, sachant qu'il n'y est pas autorisé, accède à un système informatique ou s'y maintient, est puni d'un emprisonnement de trois mois à un an et d'une amende de vingt-six francs à vingt-cinq mille francs ou d'une de ces peines seulement. (hacking externe)
Si l'infraction visée à l'alinéa 1er, est commise avec une intention frauduleuse, la peine d'emprisonnement est de six mois à deux ans.
§2. Celui qui, avec une intention frauduleuse ou dans le but de nuire, outrepasse son pouvoir d'accès à un système informatique, est puni d'un emprisonnement de six mois à deux ans et d'une amende de vingt-six francs à vingt-cinq mille francs ou d une de ces peines seulement. (hacking interne)
§3. Celui qui se trouve dans une des situations visées aux §§ 1er et 2 et qui:
1° soit reprend, de quelque manière que ce soit, les données stockées, traitées ou transmises par le système informatique;
2° soit fait un usage quelconque d'un système informatique appartenant à un tiers ou se sert du système informatique pour accéder au système informatique d'un tiers;
3° soit cause un dommage quelconque, même non intentionnellement, au système informatique ou aux données qui sont stockées traitées ou transmises par ce système ou au système informatique d'un tiers ou aux données qui sont stockées, traitées ou transmises par ce système;
est puni d'un emprisonnement de un à trois ans et d'une amende de vingt-six francs belges à cinquante mille francs ou d'une de ces peines seulement. (circonstances aggravantes)
§4. La tentative de commettre une des infractions visées aux §§ 1er et 2 est punie des mêmes peines.
§ 5. Celui qui, indûment, possède, produit, vend, obtient en vue de son utilisation, importe, diffuse ou met à disposition sous une autre forme, un quelconque dispositif, y compris des données informatiques, principalement conçu ou adapté pour permettre la commission des infractions prévues au §§ 1er à 4, est puni d'un emprisonnement de six mois à trois ans et d'une amende de vingt-six euros à cent mille euros ou d'une de ces peines seulement. (actes préparatoires : hackertools)
§6. Celui qui ordonne la commission d'une des infractions visées aux §§ 1er à 5 ou qui y incite, est puni d'un emprisonnement de six mois à cinq ans et d'une amende de cent francs à deux cent mille francs ou d'une de ces peines seulement. (commanditer un hacking)
§7. Celui qui, sachant que des données ont été obtenues par la commission d'une des infractions visées aux §§ 1er à 3, les détient, les révèle à une autre personne ou les divulgue, ou fait un usage quelconque des données ainsi obtenues, est puni d'un emprisonnement de six mois à trois ans et d'une amende de vingt-six francs à cent mille francs ou d'une de ces peines seulement. (recel des données provenant des infractions précédentes)
§8. Les peines prévues par les §§ 1er à 7 sont doublées si une infraction à l'une de ces dispositions est commise dans les cinq ans qui suivent le prononcé d'une condamnation pour une de ces infractions ou pour une des infractions visées aux articles 210bis, 259bis, 314bis, 504quater ou 550ter.
a) Hacking externe Accès non autorisé au système d’un tiers
Le maintien est la conséquence logique de l’accès, il suffit de se “promener” un certain temps pour qu’il y ait maintien => même si l’accès est licite, un séjour prolongé de manière non autorisée peut être poursuivi
Le dol général suffit => la simple curiosité est un délit
En cas de dol spécial : aggravation de la peine
Quid si le système n’est pas protégé ?
Exemples : Accès licite à une base de données payante où l’on déjoue les mécanismes permettant de calculer les prix liés à la durée de connexion
Illustrations
1. ReDaTtack, qui a défrayé la chronique en 1999 pour s’être introduit dans plusieurs systèmes informatiques… et s’en être vanté. Il dit n’avoir agi que pour prouver le manque de fiabilité de certains systèmes et n’avoir jamais rien volé.
Actes commis avant la nouvelle loi
Condamnation sévère sur base de l’ancienne loi dite “Belgacom” (interception de communications électroniques etusage frauduleux des réseaux)
Quid sous l’empire de la nouvelle loi ? Quid de l’intention frauduleuse ?
=> Corr. Gand, 11 décembre 2000
2. Monsieur X, sous prétexte de savoir si les protections des serveurs informatiques de l’un de ses concurrents sont aussi mauvaises que les siennes, pénètre dans le système informatique dudit concurrent.
Première décision belge faisant application de la nouvelle réglementation
Le tribunal considère qu’il n’y a pas intention méchanteméchante au sens de l’article 550bis §1, al. 2.
Cependant, constatant que le prévenu savait le caractère illicite de son comportement, le tribunal estime que les conditions sont remplies pour la poursuite de l’infraction conformément au §1 al. 1 et §2 du même article.
=> Corr. Eupen, 15 décembre 2003
3. L’animateur du site Kitetoa.com, qui traque les sites à sécurité limitée, avait constaté une faille dans le site de la chaîne de distribution Tati. Au moyen d’un simple navigateur internet, il était possible d’accéder, puis de télécharger la base de données se trouvant sur le serveur (et notamment les données personnelles des clients de Tati).
Kitetoa a publié plusieurs articles sur le sujet en prenant cependant le soin d’avertir, à plusieurs reprises, les administrateurs du site Tati.
L’affaire a pris une dimension plus importante, relayée dans la presse traditionnelle, et Tati a porté plainte contre le webmaster de Kitetoa pour accès et maintien frauduleux dans un système de traitement automatisé de données et pour vol de base de données.
Le prévenu est condamné à 1.000 € d’amende avec sursis au premier degré mais le ministère public fait appel.
Jugement réformé, prévenu acquitté !
Pour qu’il y ait accès ou maintien frauduleux à un site internet ou à un système informatique, son exploitant doit avoir indiqué le caractère confidentiel des données ou avoir pris de mesures destinées à les protéger.
Il n’y a pas d’accès frauduleux “dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non-confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès”.
Pourtant, tout comme le droit belge, le droit français ne prévoit pas la mise en place de mesures de sécurité pour quel’infraction d’accès ou de maintien dans un système soit réputée commise.
Absence d’élément intentionnel.
Décision de bon sens.
=> Paris, 12ème chambre, 30 octobre 2002
b) Hacking interne Accès illicite à partir de l’intérieur du réseau
Jouir de droits d’accès mais outrepasser ceux-ci
Dol spécial requis
Le seul fait d’entrer illicitement n’est pas incriminé
Exemples : Employé qui accède à des fichiers confidentiels dans le but de nuire
Employé qui outrepasse ses droits quant à la manipulation de certaines données
Illustration
Monsieur C travaille comme informaticien au sein de la société Claranet. Il estime cependant que ses talents et mérites ne sont pas suffisamment reconnus et surtout, qu’il est mal rémunéré.
Via le logiciel Aenima, qui permet l’envoi en grande quantité de courriers électroniques vides et de gros fichiers par le biais d’une adresse anonyme, il accède au réseau de la société et encombre la bande passante, ce qui ralenti le système.
Altération du fonctionnement de systèmes de traitements automatisés de données
Accès frauduleux
Et en droit belge ?
=> TGI Lyon, 20 février 2001
c) Circonstances aggravantes Hypothèses dans lesquelles, en plus de l’accès et de la promenade, il y a reprise de données, usage ou accès au système informatique d’un tiers ou encore dommage au système ou aux données…
En pratique, ce sera quasi toujours le cas puisqu’il est impossible d’accéder à un système sans l’utiliser.
Malgré la différence de régime, hacker externe (avec ou sans intention frauduleuse) et interne (avec dol spécial) se voient appliquer les mêmes peines puisque les circonstances aggravantes s’appliquent.
d) Hackertools Outils ou logiciels qui facilitent le hacking
Dol spécial => ne pas entraver la libre circulation d’informations générales en matière de techniques de protection, en particulier via le web
Exemples :
Trafic de mots de passe
Trafic ou publication de n° de licence de logiciel sur le web
Commercialisation de logiciels de “craquage”
Remarque
Utilisation en matière de droit d’auteur dans l’attente de la transposition de la directive européenne d’harmonisation
IV. Le sabotage de données et/ou de système (art. 550ter CP)
§ 1er. Celui qui, sachant qu'il n'y est pas autorisé, directement ou indirectement, introduit dans un système informatique, modifie ou efface des données, ou qui modifie par tout moyen technologique l'utilisation normale de données dans un système informatique, est puni d'un emprisonnement de six mois à trois ans et d'une amende de vingt-six euros à vint-cinq mille euros ou d'une de ces peines seulement.
Si l'infraction visée à l'alinéa 1er est commise avec une intention frauduleuse ou dans le but de nuire, la peine d'emprisonnement est de six mois à cinq ans.
§2. Celui qui, suite à la commission d'une infraction visée au § 1er, cause un dommage à des données dans le système informatique concerné ou dans tout autre système informatique, est puni d'un emprisonnement de six mois à cinq ans et d'une amende de vingt-six francs à septante-cinq mille francs ou d'une de ces peines seulement.
§3. Celui qui, suite à la commission d'une infraction visée au § 1er, empêche, totalement ou partiellement, le fonctionnement correct du système informatique concerné ou de tout autre système informatique, est puni d'un emprisonnement de un an à cinq ans et d'une amende de vingt-six francs à cent mille francs ou d'une de ces peines seulement.
§ 4. Celui qui, indûmentindûment, possède, produit, vend, obtient en vue de son utilisation, importe, diffuse ou met à disposition sous une autre forme, un dispositif y compris des données informatiques, principalement conçu ou adaptéprincipalement conçu ou adapté pour permettre la commission des infractions prévues au §§ 1er à 3, alors qu'il sait que ces données peuvent être utilisées pour causer un dommage à des données ou empêcher, totalement ou partiellement, le fonctionnement correct d'un système informatique, est puni d'un emprisonnement de six mois à trois ans et d'une amende de ving-six euros à cent mille euros ou d'une de ces peines seulement
§ 5. Les peines prévues par les §§ 1er à 4 sont doublées si une infraction à l'une de ces dispositions est commise dans les cinq ans qui suivent le prononcé d'une condamnation pour une de ces infractions ou pour une des infractions visées aux articles 210bis, 259bis, 314bis, 504quater ou 550bis.
§ 6. La tentative de commettre l'infraction visée au § 1er est punie des mêmes peines.
Exemples : Introduction d’un virus
Destruction de fichiers
Rendre un disque dur inutilisable
Rendre un système d’exploitation inutilisable
Remarques : Destruction de Hardware => art. 523 (machines destinées à produire, transformer ou distribuer l’énergie motrice) et 559 CP (destruction de propriétés mobilières)
Dol spécial
Circonstances aggravantes lorsque le sabotage cause un dommage ou entrave (totalement ou patiellement) le système informatique concerné
Actes préparatoires => double élément moral : dol spécial + connaissance de la nature préjudiciable des données
Illustration : Une dame S. travaille pour une association qui met à sa disposition un ordinateur.
Son mari utilise cet ordinateur et efface des données contenues sur le disque dur en copiant des fichiers prétendument personnels à son épouse.
Un instruction est, par ailleurs, lancée contre la dame S. pour vol de livres et de tableaux.
Dans la foulée, on reproche au mari l’accès frauduleux à un système et de suppression de données.
L’affaire monte jusqu’en cassation.
=> Cass. Fr., chambre criminelle, 25 mai 2004
Pour que soit établie l’infraction de suppression frauduleuse de données, il est nécessaire d’établir l’intention frauduleuse de la personne qui porte atteinte aux données.
En l’espèce, cette intention n’est pas démontrée.
V. Interception illicite de communicationsCode pénal:
ARTICLE 259bis (fonctionnaires et agents publics)
§ 1. Sera puni d'un emprisonnement de six mois à deux ans et d'une amende de cinq cents francs à vingt mille francs ou d'une de ces peines seulement, tout officier ou fonctionnaire public, dépositaire ou agent de la force publique qui, à l'occasion de l'exercice de ses fonctions, hors les cas prévus par la loi ou sans respecter les formalités qu'elle prescrit : 1° soit, intentionnellement, à l'aide d'un appareil quelconque, écoute ou fait écouter, prend connaissance ou fait prendre connaissance, enregistre ou fait enregistrer, pendant leur transmission, des communications ou des télécommunications privées, auxquelles il ne prend pas part, sans le consentement de tous les participants à ces communications ou télécommunications; 2° soit, avec l'intention de commettre une des infractions mentionnées ci-dessus, installe ou fait installer un appareil quelconque; 3° soit, sciemment, détient, révèle ou divulgue à une autre personne le contenu de communications ou de télécommunications privées, illégalement écoutees ou enregistrées, ou dont il a pris connaissance illégalement, ou utilise sciemment d'une manière quelconque une information obtenue de cette facon.
§ 2. Sera puni d'un emprisonnement de six mois à trois ans et d'une amende de cinq cents francs à trente mille francs ou d'une de ces peines seulement, tout officier ou fonctionnaire public, dépositaire ou agent de la force publique qui, à l'occasion de l'exercice de ses fonctions, hors les cas prévus par la loi ou sans respecter les formalités qu'elle prescrit, avec une intention frauduleuse ou à dessein de nuire, utilise un enregistrement, légalement effectué, de communications ou de télécommunications privées.§ 2bis. Sera puni d'un emprisonnement de six mois à deux ans et d'une amende de cinq cents euros à vingt mille euros ou d'une de ces peines seulement, tout officier ou fonctionnaire public, dépositaire ou agent de la force publique qui, à l'occasion de l'exercice de ses fonctions, hors les cas prévus par la loi ou sans respecter les formalités qu'elle prescrit, indûment, possède, produit, vend, obtient en vue de son utilisation, importe, diffuse ou met à disposition sous une autre forme un dispositif, y compris des données informatiques, principalement conçu ou adapté pour permettre la commission de l'infraction prévue au § 1er.
§ 3. La tentative de commettre une des infractions visees aux §§ 1 ou 2 est punie comme l'infraction elle-
même.
ARTICLE 314bis§ 1. Sera puni d'un emprisonnement de six mois à un an et d'une amende de deux cents francs à dix mille francs ou d'une de ces peines seulement, quiconque : 1° soit, intentionnellement, à l'aide d'un appareil quelconque, ecoute ou fait écouter, prend connaissance ou fait prendre connaissance, enregistre ou fait enregistrer, pendant leur transmission, des communications ou des télécommunications privées, auxquelles il ne prend pas part, sans le consentement de tous les participants à ces communications ou télécommunications; 2° soit, avec l'intention de commettre une des infractions mentionnées ci-dessus, installe ou fait installer un appareil quelconque. § 2. Sera puni d'un emprisonnement de six mois à deux ans et d'une amende de cinq cents francs à vingt mille francs ou d'une de ces peines seulement, quiconque détient, révèle ou divulgue sciemment à une autre personne le contenu de communications ou de télécommunications privées, illégalement écoutées ou enregistrées, ou dont il a pris connaissance illégalement, ou utilise sciemment d'une manière quelconque une information obtenue de cette facon. Sera puni des mêmes peines quiconque, avec une intention frauduleuse ou à dessein de nuire, utilise un enregistrement, légalement effectué, de communications ou de télécommunications privées.
§ 2bis. Sera puni d'un emprisonnement de six mois à un an et d'une amende de deux cents euros à dix mille euros ou d'une de ces peines seulement, celui qui, indûment, possède, produit, vend obtient en vue de son utilisation, importe, diffuse ou met à disposition sous une autre forme un dispositif, y compris des données informatiques, principalement conçu ou adapté pour permettre la commission de l'infraction prévue au § 1er..
§ 3. La tentative de commettre une des infractions visées aux §§ 1, 2 et 2bis est punie comme l'infraction elle-même.
§ 4. Les peines prévues aux §§ 1 à 3 sont doublées si une infraction à l'une de ces dispositions est commise dans les cinq ans à compter du prononcé d'un jugement ou d'un arrêt, passés en force de chose jugée, portant condamnation en raison de l'une de ces infractions ou de l'une des infractions visées à l'article 259bis, §§ 1, 2 ou 3.
V. Interception illicite de communications
Les deux §§ 2bis ajoutent une disposition empêchant une utilisation, diffusion, utilisation des dispositifs concernés = dispositifs d’interception des communications
V. Interception illicite de communications
Loi sur les communication électroniques (13 juin 2005):
Art. 124. S'il n'y est pas autorisé par toutes les personnes directement ou indirectement concernées, nul ne peut :
1° prendre intentionnellement connaissance de l'existence d'une information de toute nature transmise par voie de communication électronique et qui ne lui est pas destinée personnellement;
2° identifier intentionnellement les personnes concernées par la transmission de l'information et son contenu;
3° sans préjudice de l'application des articles 122 et 123 prendre connaissance intentionnellement de données en matière de communications électroniques et relatives à une autre personne;
4° modifier, supprimer, révéler, stocker ou faire un usage quelconque de l'information, de l'identification ou des données obtenues intentionnellement ou non.
V. Interception illicite de communications
V. Interception illicite de communications :accès aux données à distance par les réseaux
Art. 129. L'utitisation de réseaux de communications électroniques pour le stockage des informations ou pour accéder aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final est autorisée uniquement à condition que :
1° l'abonné ou l'utilisateur final concerné reçoive conformement aux conditions fixées dans la loi du 8 décembre 1992 relative à la protection de la vie privée et à l'égard des traitements de données à caractère personnel, des informations claires et précises concernant les objectifs du traitement et ses droits sur la base de la loi du 8 décembre 1992;
2° le responsable du traitement donne, préalablement au traitement, de manière clairement lisible et non équivoque, la possibilité à l'abonné ou à l'utilisateur final concerné de refuser le traitement prévu. L'alinéa 1er est d'application sans préjudice de l'enregistrement technique des informations ou de l'accès aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final ayant pour seul but de réaliser ou de faciliter l'envoi d'une communication via un réseau de communications électroniques ou de fournir un service de la société de l'information demandé expressément par l'abonné. L'absence de refus au sens de l'alinéa 1er ou l'application de l'alinea 2, n'exempte pas le responsable du traitement des obligations de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui ne sont pas imposées par le présent article.
Loi relative à la protection des données à caractère personnel (loi “vie privée du 8 décembre 1992): collecte loyale et licite des données
infraction pénaleQuid d’une collecte illégale? Admissibilité de la preuve ?
Utilisation par l’industrie des medias de logiciels espions pour récolter des données de traçage IP sur internet. Le juge hollandais a estimé que ces preuves avaient été collectées illicitement.
Litiges de droit social: une CCT n°81 déroge au principe d’interdiction d’écoute des communications et du secret des communications.
– Recevabilité de la preuve: la jurisprudence accepte pourtant certain moyens de preuve obtenus en contrariété avec les dispositions légales pénales susvisées (ex: quand l’employeur surveille les activités internet de ses employés ou accède à ses emails).
– Quid d’une dérogation par AR à une interdiction légale ?
Illustrations:
Cour d’appel Paris 17 décembre 2001
– Surveillance de la boîte email d’un élève soupconné d’actes préjudiciables
– Condamnation au pénal des directeurs et chefs de laboratoire pour interception illégale de communicationet violation de la vie privée
Illustrations:
VI. Utilisation des réseaux de communication électronique à des fins illicites Loi sur les communications électroniques:
Art. 145. § 3. Est punie d'une amende de 500 à 50 000 EUR et d'une peine d'emprisonnement
d'un à quatre ans ou d'une de ces peines seulement :
1° la personne qui réalise frauduleusement des communications électroniques au moyen d'un réseau de communications électroniques afin de se procurer ou de procurer à autrui un avantage illicite;
2° la personne qui utilise un réseau ou un service de communications électroniques ou d'autres moyens de communications électroniques afin d'importuner son correspondant ou de provoquer des dommages;
3° la personne qui installe un appareil quelconque destiné à commettre une des infractions susmentionnées, ainsi que la tentative de commettre celles-ci.
§ 4. La confiscation d'appareils ne satisfaisant pas aux conditions prévues aux articles 32, 33, 35 et 37 est toujours prononcée.
Illustrations:
Monsieur X travaille depuis 16 ans au sein de la société Y. malheureusement, les relations avec son employeur se dégradent. Il fait l’objet d’une procédure d’avertissement en raison de manquements professionnels qu’il conteste.
Quelques mois après ce licenciement, la société Y constate que nombreux de ses clients reçoivent des courriers et des télécopies prenant la forme de notes internes ou de courriers à l’entête de la société contenant des informations inexactes ou malveillantes. Plainte contre X est déposée.
Par la suite, et de façon régulière, des employés de sociétés du groupe auquel appartient la société Y, des concurrents, voire des organes de presse reçoivent des messages très nombreux au contenu diffamatoire. Ces messages semblent émaner d’employés de la société Y.
Faux et usage de faux
Accès frauduleux (hacking interne)
Entrave au fonctionnement d’un système informatique
-> +- idem en droit belge ?
=> TGI du Mans, 7 novembre 2003
Compte tenu du nombre de messages envoyés, les serveursde messagerie de la société Y sont bloqués.
L’enquête débouche sur Monsieur X.
II. Tr. Corr. Bruxelles 18 décembre 2001
Condamnation pour propos racistes sur base de la loi du 30 juillet 1999
Les articles 114 §8, 1 et 2 et 118 de l’ancienne loi Belgacom (nouvel article 145 LCE) sont utilisés comme fondement:
« avoir utilisé l’infrastructure du provider « Infonie » pour tenir des propos racistes et xénophobes »
+ confiscation de l’objet ayant servi à commettre le délit
III. Affaire Bistel (Corr. Bruxelles 8 novembre 1990)
Introduction dans le réseau Bistel par fausse clé et moyen télématique
– A: prévention de faux en écriture établie (stockée sous forme de code constituant un écrit)
– B: prévention de vol à l’aide de fausses clé : établie: l’électricité est une perte énergétique appréciable
– C: prévention de détournement d’une communication établie– D: destruction de propriétés immobilières et autres biens
mentionnés (art 521 cp) : pas établie• Dommage à software: 559 Cp: oui mais prescrite
Vol et recel de logiciel: oui
Article 461 et 505 s’appliquent aux logiciels qui ont une valeur économique même s’ils sont des biens immatériels (Corr. Bruxelles, 24 juin 1993)
Voir aussi Appel Bruxelles, 10 mai 1989 ou Corr. Bruxelles, 31 janvier 1986 acceptant le “vol de logiciel”
IV. Cass. 06 mai 2003
“Depuis l’entrée en vigueur de l’article 504quater du Code pénal, le fait de se procurer pour soi-même ou pour autrui un avantage patrimonial frauduleux en manipulant des donnés informatiques de la manière précisée par cet article constitue un délit et n’est plus, dès lors, soumis à l’application de l’article 467, al 1 du code pénal (vol avec effraction escalade ou fausse clé)” = fin de la jurisprudence Bistel
V. Cass. 10 novembre 2004
sabotage de programme informatique:“les dommages occasionnés aux données de programme informatiques installés dans un système informatique ne portant pas sur des appareils moteurs ou mis en mouvement et ne constituent pas une infraction à l’article 523 du Code pénal”
d’autant plus que le nouvel article 550ter du code pénal sanctionne l’introduction dans un système informatique pour modifier effacer ou modifie l’utilisation possible (normale dans nouvelle version) du système
&QUESTIONS cOMMENTS
Romain RobertAvocats aux barreaux de Bruxelles
Cabinet ULYS
http://www.ulys.net
