délit

Piratage de site internet

Avec la création d’internet, et plus particulièrement des sites internet, une nouvelle criminalité a émergé, en effet il est maintenant possible de s’introduire dans un site, d’y introduire des virus,… il a alors fallu adopter la législation face à ce nouveau type de criminalité.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

I. Quelles sont les réponses légales en matière d’infractions (intrusions, défacement, contaminations virales) de sites Internet ?

La plupart des infractions informatiques sont sanctionnées au niveau pénal. La loi Godfrain du 5 janvier 1988 relative à la fraude informatique est la première loi française qui réprime les actes de criminalité informatique et de piratage. Elle a par la suite été complétée par la loi pour la confiance dans l’économie numérique du 21 juin 2004 puis par la loi LOPPSI II du 14 mars 2011. Ces différentes lois permettent de sanctionner les atteintes aux systèmes de traitement automatisé de données (STAD) prévu aux articles 323-1 à 323-7 du Code pénal.

Parmi elles on retrouve l’accès frauduleux dans tout ou partie d’un système de traitement automatisé de données, puni de deux ans de prison et de 60 000 € d’amende. Dans le cas où il en résulte une altération, soit des données contenues (suppression ou modification), soit du fonctionnement même du système, les peines prévues sont de trois ans de prison et de 100 000 € (article 323-1 du Code pénal).


Besoin de l’aide d’un avocat pour un problème de cybercriminalité?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Il est également possible de citer le maintien frauduleux dans un système informatique. Les causes d’aggravation retenues (altération des données) sont identiques à celles prévues pour l’accès frauduleux. En effet, bien que le maintien dans un système suppose un préalable accès, celui-ci peut-être autorisé tandis que le maintien, ne l’est pas selon un arrêt de la Cour d’appel de Paris 11° chambre, section. A du 14 janv. 1997.

Par ailleurs, les juges prennent en compte le degré de négligence dans la sécurisation du système. En effet, afin de caractériser un accès ou un maintien frauduleux il semble nécessaire d’établir l’existence d’une faute. L’intrusion consiste en l’utilisation sans droit et contre la volonté du propriétaire du système informatique. Pour ce faire, « le propriétaire doit avoir manifesté son intention de restreindre l’accès aux données aux seules personnes autorisées ». (CA de Paris, 1994)

Est également sanctionnée toute atteinte volontaire au fonctionnement d’un système de traitement automatisé de données, autrement dit le fait de le fausser ou l’entraver est puni de cinq ans de prison et de 150 000 € d’amende (Article 323-2 du Code pénal).

Ainsi une attaque par déni de service peut constituer une entrave au fonctionnement d’un STAD (T. Correctionnel de Nancy, 23 novembre 2015). Il s’agit d’une atteinte au système par saturation. Les entraves au système sont également retenues lorsqu’est déposé un virus ou une bombe logique.

Dans une autre affaire du 15 décembre 2015, les juges ont qualifié d’entrave au fonctionnement d’un STAD, le fait pour un associé de faire cesser le développement du site internet de la société. Pour ce faire, les juges relèvent que « B, qui était le responsable du bureau mauricien où était développé le contenu du site Uptoten.com, licenciait l’ensemble du personnel de ce bureau, faisant de facto cesser le développement du site, et remisait le matériel de la société Uptoten. » (TGI de Paris, 13e chambre correctionnelle, 15 décembre 2015, Uptoten et autres c.J.B).

Est aussi incriminé par l’article 323-3 du Code pénal, le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende (T. Correctionnel de Paris, 25 février 2000).

De plus le droit civil s’applique, ce qui permettra de rechercher la responsabilité de l’individu à l’origine de l’infraction pour qu’il puisse être condamné à des dommages et intérêts pour le préjudice subi par la victime (perte de clients, de commandes, de notoriété, etc.)

II. Sont-elles suffisantes ?

Le système est assez complet, il serait éventuellement possible d’ajouter des infractions pénales plus spécifiques. De plus les cybercriminels innovent constamment ce qui demande un effort constant de la part du législateur.  Mais les différentes actions contre les sites Internet peuvent être sanctionnées par les articles du Code pénal cités.

Les peines semblent assez dissuasives. En effet, les peines vont de 1 an à 5 ans d’emprisonnement et entre 60 000 € et 150 000 € d’amende. Cependant, elles sont aggravées lorsque les infractions visent un STAD mis en œuvre par l’Etat et peuvent aller de 5 ans à 7 ans d’emprisonnement. Elles le sont également lorsqu’elles sont commises en bande organisée.

En outre, comme le précise l’article 323-7 du Code pénal, la tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.

De plus, des peines complémentaires accompagnent régulièrement ces condamnations. Il peut s’agir d’une confiscation de matériel, ou d’une privation de droits civique et familiaux pour une durée de 5 ans ou plus, etc. (Article 323-5 du Code pénal).

Enfin, la récente adoption de la loi LOPMI prévoit d’aggraver les peines encourues en cas de cyberattaques contre un réseau informatique ou bancaire, les hôpitaux et les services de numéros d’urgence.

Cela dit, il semble que les entreprises hésitent à engager des poursuites pénales contre les pirates.

III. Les moyens mis en œuvre pour poursuivre et découvrir les auteurs de ces infractions sont-ils aujourd’hui pertinents ? Je fais notamment référence à l’OCLCTIC.

Des organismes chargés de la recherche et la sanction des infractions informatiques existent : OCLCTIV, BEFTI, SEFTI, BCRCI notamment, mais ce ne sont pas les seuls, on peut aussi noter que la DST (service de renseignement national) s’occupe des affaires de piratages importantes.

Ils sont compétents techniquement pour effectuer la recherche des infractions et des responsables des différents délits informatiques.

On peut éventuellement noter un manque de moyens matériels et financiers pour contrer des pirates qui ont souvent des moyens puissants. Mais aussi un problème de temps, lorsqu’un groupe de pirates peut passer 24h sur 24 à agir, les différents organismes chargés de la répression sont limités par leur nombre et leurs horaires.

C’est pourquoi les stratégies en la matière tentent de s’axer sur la prévention et la sensibilisation des utilisateurs et des entreprises. Aujourd’hui nombreux sont les sites dédiés à ce sujet et édités par les autorités compétentes en la matière. Il est à ce titre possible de citer le site internet de l’ANSSI ou encore de la CNIL qui regorgent de recommandations et de guides.

Depuis mars 2017, le gouvernement a également mis en place la plateforme « cybermalveillance.gouv.fr ». Cette plateforme est un dispositif national de sensibilisation, prévention et d’assistance aux victimes d’actes de cybermalveillance pour les particuliers, entreprises et collectivités territoriales.

Des points de contact et la création de certifications (SecNUM Cloud) permettent d’identifier les prestataires qualifiés afin de répondre aux besoins des entreprises. Il est possible de trouver la liste des prestataires qualifiés de réponses aux incidents de sécurité aussi appelés PRIS.

IV. Lorsqu¹une entreprise est victime de ce type de délit doit-elle déposer une plainte ? Si oui auprès de qui ?Est-ce que cette démarche ne l’expose pas plus encore ?

La plainte doit être déposée soit auprès d’un organisme de la police nationale ou de la gendarmerie nationale soit spécialisé, soit auprès du commissariat ou de la gendarmerie ou directement auprès du procureur de la république par le biais d’un avocat.

Je conseillerais dans un premier temps de saisir directement les services de police compétents.

C’est une démarche qui ne devrait pas exposer plus l’entreprise, sauf bien sur si le pirate retrouvé fait partie d’un groupe et donne des consignes d’attaques postérieures…..

Il est assez curieux de constater que paradoxalement il y a beaucoup plus de plaintes pour escroquerie à la carte bancaire que pour défacement de site Internet. Bien sûr dans ces cas de figure, ce sont le plus souvent les banques qui portent plainte. En général si le pirate est en France, il est souvent retrouvé par les services de police compétent en une semaine….

V. Quels autres dispositifs ou mesures sont à la disposition des entreprises victimes de cyberattaques ?

En outre, l’outil « cybermalveillance.gouv.fr » a pour missions d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de malveillance en ligne. Elle pourra les orienter sur la marche à suivre en cas d’attaque et les informer sur le dépôt de plainte.

La récente loi LOPMI du 24 janvier 2023 a donné naissance à un numéro d’urgence, le « 17 cyber », qui sera destiné aux particuliers, aux entreprises, mais aussi aux administrations victimes de cyberattaques.

De plus, au regard des obligations imposées par les articles 33 et 34 du RGPD, dès lors que les violations de données représentent un risque pour les personnes concernées, celles-ci faire l’objet d’une notification auprès l’autorité de contrôle compétente (en l’occurrence la CNIL) dans un délai de 72 heures. Lorsque cette violation présente un risque élevé pour les personnes concernées, il sera nécessaire d’alerter les personnes concernées par cette dernière.
Enfin, il vous sera également demandé d’indiquer cette violation dans votre registre de violation des données.

VI. Lorsqu’elle est victime d’une infraction depuis un pays étranger, quelle loi s’applique-t-elle. Existe-t-il d¹ailleurs un dispositif légal au niveau international ?

Les tribunaux répressifs français sont compétents pour connaître de toute infraction commise sur le territoire français, quelle que soit la nationalité de son auteur ou de sa victime. Cette compétence territoriale se justifie aisément : juridiquement, elle découle du pouvoir souverain de la France de protéger l’ordre public sur son territoire contre les infractions qui y sont commises.

En revanche, beaucoup de cyberattaquants se jouent des frontières et des accords d’extradition conclus entre les différents pays, ce qui peut rendre leur arrestation complexe. On dit qu’ils se domicilient dans des « cyber paradis ». Le principe de la territorialité de la loi pénale fait parfois obstacle aux poursuites en cas d’enquêtes transnationales. Il est à ce titre possible de citer l’exemple de Gregory Chelli aussi connu sous le pseudonyme « Ulcan ».

Malgré tout, on trouve des dispositifs de coopération policière comme INTERPOL (qui délivre des notices rouges) ou des conventions telles que la Convention internationale de cybercriminalité Budapest. Ces dispositifs permettent d’harmoniser la lutte contre la cybercriminalité à une échelle internationale et d’émettre des définitions juridiques communes.

Au niveau européen on retrouve les agences EUROPOL et EUROJUST qui facilitent la coopération entre les services répressifs et judiciaires nationaux. On peut également évoquer l’ENISA, qui vise à garantir un niveau commun en cybersécurité dans toute l’Europe.

Cette coopération a encore été étendue à l’échelle européenne. En effet, la révision de la directive « sécurité des réseaux et des systèmes d’information » initiée en juillet 2020, a permis d’actualiser les notions et les objectifs face à l’évolution du paysage des cybermenaces qui pèsent sur les états, les entreprises ou encore les particuliers. Puisque la cybercriminalité se joue des frontières nationales, le déploiement d’une stratégie de coopération entre les États membres a également été prévu à travers la désignation de différentes autorités compétentes en la matière.

En France, l’adoption de la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) le 24 janvier 2023 promet également le déploiement de 1 500 cyberpatrouilleurs.

VII. En cas de piratage d’un site, le tiers par exemple le client ayant subi un préjudice quelconque doit-il se retourner contre la société elle-même victime de l¹infraction ?

Le tiers peut se retourner contre la société à l’unique condition qu’elle soit responsable du préjudice par une faute de sa part par exemple, sinon il devra agir contre l’auteur de l’infraction

Il pourra se constituer partie civile par exemple dans un procès contre le pirate même s’ il n’est pas à l’origine de ce procès, par exemple dans un procès engagé par d’autres victimes ou par l’entreprise victime.

VIII. Si le prix d’un produit a été modifié sur le site à l¹insu de l’entreprise, le client peut-il exiger de régler le prix affiché ? Comment l¹entreprise peut-elle prouver sa bonne foi ?

La jurisprudence considère que le client peut exiger de régler le prix affiché, l’erreur d’étiquetage n’entraînant pas la nullité de la vente.

Cependant, il existe une exception à cette règle lorsque le prix présenté est erroné et dérisoire (article 1169 du Code civil). Autrement dit, lorsque le prix est sous-estimé, on considère que le consommateur normalement avisé ne peut pas avoir interprété le prix affiché comme étant la valeur réelle de l’article. Dans cette hypothèse, le client ne peut réclamer le prix affiché et la vente peut être annulée pour erreur. Si l’entreprise ne peut pas prouver sa bonne foi, elle peut éventuellement prouver la mauvaise foi du client pour obtenir la nullité de la vente ou le paiement des sommes non perçues.

Ce cas d’erreur de prix sur Internet s’est produit il y a quelques années. Des internautes ont profité d’un bug du prix sur le site Micromania pour acheter des consoles à 40 euros alors que le prix réel des consoles était compris entre 300 et 400 euros. Micromania a donc été en droit d’annuler la vente ou bien de réclamer la différence de prix entre le prix affiché et le prix payé.

IX. En matière d’infraction, l’employeur peut-il rechercher une responsabilité auprès d¹un salarié (par exemple, son directeur informatique), de son hébergeur (lorsque son système est externalisé) ou de l¹intégrateur pour manquement professionnel (par exemple, défaut de précaution quant à la protection du site ou manque d’information sur sa vulnérabilité ) ?

La société pourra agir en responsabilité civile contre tous ces tiers si elle peut prouver une faute ayant entraîné pour elle un préjudice. Ainsi, l’entreprise pourra intenter un procès contre un hébergeur qui devait assurer la sécurité du site si celle-ci n’était pas assurée dans la réalité. En revanche, l’entreprise devra s’être assurée que ce dernier présentait des garanties suffisantes (article 34 de la loi informatique et liberté).

Elle pourra également intenter un procès contre toute personne qui en dehors d’un contrat a commis une faute, par exemple, un membre de la société ou un tiers qui aurait fourni des informations confidentielles permettant d’accéder au système.

Le comportement fautif du salarié entraîne également des répercussions sur son contrat de travail. C’est ce que rappelle la Cour de cassation dans un arrêt en date du 26 décembre 2006. Ainsi le fait pour un salarié d’essayer de se connecter, sans motif légitime et par emprunt du mot de passe d’un autre salarié, sur le poste informatique du directeur de la société était un comportement qui violait la charte informatique de l’entreprise, rendait impossible son maintien dans l’entreprise pendant la durée du préavis et justifiait son licenciement pour faute grave.

Dans une affaire en date de 2015, le Tribunal correctionnel de Nancy a condamné un administrateur réseau pour maintien frauduleux dans un STAD et pour atteinte aux secrets des correspondances. Ce dernier avait copié, à partir des serveurs informatiques de la société dont il était salarié, des mails et des documents qui laissaient entendre que la société exerçait des pressions sur une inspectrice du travail et les avait adressés à cette dernière. (T. Correctionnel de Nancy, 4 décembre 2015).

Pour ce faire elle retient qu’« il a consulté les serveurs fichiers sans lien avec sa fonction et s’y est maintenu dans une autre intention que celle d’exécuter son travail habituel de développement du wifi. »

X. Préconisez-vous une assurance couvrant spécifiquement les risques liés à une présence sur le réseau (sous quelle forme et dans quelles conditions). À terme, pensez-vous qu’une protection de ce genre sera rendue obligatoire, et est-ce souhaitable ?

En matière de cyber attaque, l’entreprise victime peut traditionnellement invoquer plusieurs chefs de préjudice. Il peut s’agir d’un préjudice financier, d’un préjudice moral ou encore d’un préjudice matériel. En principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices subis. Cependant, elle devra être en capacité d’apporter des éléments de preuve qui corroborent l’existence d’un préjudice du fait de cette attaque.

Quel type de dédommagement peut-il espérer une entreprise lorsque qu’elle est victime d¹un sinistre de cette nature ?

En principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices subis.

Cependant, l’indemnisation est limitée par la solvabilité du responsable, or un bon nombre des pirates sont des particuliers.

Les préjudices pour une société commerciale d’une telle action peuvent être très importants et risquent par conséquent de ne pas être indemnisés totalement.

Il est dans ce cas intéressant pour l’entreprise de souscrire une assurance à cet effet. Le niveau des dédommagements est fonction du type d’assurance souscrite.

A ce propos, la loi LOPMI du 24 janvier 2023 fixe un nouveau cadre pour les clauses de remboursement des cyber-rançons par les assurances. Le remboursement sera désormais conditionné au dépôt d’une plainte de la victime dans les 72h après connaissance de l’infraction. Cette obligation est limitée aux professionnels et devrait s’appliquer 3 mois après la promulgation de la loi.

Pour lire une version plus complète de cet article sur le défacement et le piratage de site internet, cliquez

SOURCES :

https://www.ihemi.fr/articles/organisation-france-europe-cybersecurite-cyberdefense-V2
https://www.ihemi.fr/sites/default/files/inline-files/Gestion%20de%20crise%20et%20cha%C3%AEnes%20cyber%20-%20INHESJ%20-%20juillet%202020%20-%20Martial%20Le%20Gu%C3%A9dard%20-%20MAJ15juil%281%29.pdf
http://www.senat.fr/rap/r19-613/r19-6131.pdf
Le développement de l’assurance cyber risque : https://www.vie-publique.fr/rapport/286216-developpement-de-l-assurance-du-risque-cyber
Rapport sur le développement de l’assurance cyber risque : https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/286216.pdf
https://www.un.org/fr/chronicle/article/combattre-lindustrialisation-de-la-cybercriminalite

Intrusion dans un système informatique

Le piratage informatique est aujourd’hui un problème quotidien qui affecte notamment de nombreuses entreprises. Pour lutter contre ce fléau, le législateur est intervenu.  Avec la loi Godfrain du 5 janvier 1988 qui est venue créer des infractions nouvelles comme l’accès et le maintien frauduleux dans un système de traitement automatisé de données. Cependant, des problèmes nouveaux en lien avec le numérique apparaissent constamment.

NOUVEAU : Utilisez nos services pour vous défendre en cas de piratage informatique en passant par le formulaire !

A titre d’exemple, l’aspiration d’un site web est aujourd’hui une technique répandue. Elle consiste à récupérer entièrement ou en partie, le contenu d’une surface interactive et de l’archiver dans le disque dur de son ordinateur. Ainsi, l’internaute peut y avoir accès même lorsqu’il se trouve  hors connexion.

On remarque de nombreuses similitudes entre la technique d’intrusion dans un système informatique et celle de l’aspiration de site. Notamment en ce qui concerne le mode d’exécution. Pour les deux techniques, des programmes ou logiciels spécifiques sont utilisés, que ce soit pour accéder dans un système de traitement automatisé de données ou pour  » aspirer  » un site web. Néanmoins, les deux techniques ne font pas l’objet des mêmes poursuites.


Besoin de l’aide d’un avocat pour un problème de piratage informatique?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Concernant le cas de l’accès et maintien frauduleux dans un système informatique, on parle bien ici d’une infraction pénale. Elle se caractérise par le fait d’entrer dans un système informatique en forçant l’accès. Les dispositions du Code pénal permettent de lutter contre les intrusions frauduleuses (connexion pirate, appel d’un programme ou d’un fichier sans autorisation etc), le maintien frauduleux, l’entrave d’un système ou l’altération de son fonctionnement (virus, mail bombing etc), ainsi que l’altération, la suppression ou l’introduction de données pirates.

Dans le cas de l’aspiration de site, il n’existe pas de disposition légale spécifique. Cependant, copier une partie ou intégralement un site web qui ne nous appartient pas dans l’objectif de visualiser le contenu sans être connecté, peut porter atteinte aux droits d’auteur du créateur dudit site.

I. L’intrusion dans un système informatique.

Le hacker dans le monde informatique, ne cherche pas nécessairement à entrer dans un système pour y voler des données ou les supprimer. Il existe différents types de hacker, certains ont juste pour objectif de démontrer l’existence d’une faille de sécurité. Dans tous les cas, le fait de s’introduire dans un système informatique est susceptible de poursuite pénale.

Afin de s’introduire dans un système, le hacker peut utiliser un programme cachant lui-même un programme « net »  (par exemple reçu dans la boite aux lettres ou téléchargé). Il sera par exemple possible de tenter d’accéder au Back office pour pouvoir administrer l’ordinateur à distance. Également, l’objectif du hacker peut porter sur le fait d’obtenir par le biais d’un programme le mot de passe du système informatique, il pourra également utiliser des programmes de déchiffrage.

Une fois que le pirate a accès au système il pourra : modifier les données, supprimer des données, copier les données ou encore installer des programmes malveillants tels que des virus.

A) La responsabilité pénale

Dès 1988 le législateur s’est emparé de la question de l’intrusion dans un système avec la loi Godfrain du 8 janvier 1988.

Aujourd’hui les dispositions de cette loi ont été reprises et améliorées. On retrouve dans le code pénal un chapitre intitulé  » Des atteintes aux systèmes de traitement automatisé de données « ,

Ainsi, les intrusions non autorisées seront sanctionnées. Les sanctions prévues varient selon que l’intrusion a eu ou non une incidence sur le système en cause.

Il est prévu à l’article L.323-1 du Code pénal que  » le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende » « .

1) Accès frauduleux

Dans un arrêt rendu le 5 avril 1994, la Cour d’appel a considéré que  » l’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de communication « .

Mais alors, quand est-il si le système en question n’est pas protégé ? Dans un arrêt rendu le 30 octobre 2002, la Cour d’appel de Paris a énoncé que le fait de pouvoir accéder à des données qui sont stockées sur un site en utilisant un simple navigateur, dès lors que des failles de sécurité existent, n’était pas répréhensible.

Le Tribunal de grande instance de Paris avait quant à lui estimé que l’existence de faille de sécurité ne constituait  » en aucun cas une excuse ou un prétexte pour le prévenu d’accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d’une infraction pénale « .

Il est à noter que l’article 226-17 du Code pénal réprime « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures » de sécurité et toute les précautions utiles pour préserver la sécurité de ces informations.

2) Le maintien frauduleux

Également, le simple fait de se maintenir dans un système de traitement automatisé de données est réprimandé. Sur l’élément intentionnel de l’infraction, la doctrine et la jurisprudence s’accordent sur le fait que même si une personne s’est retrouvée par erreur dans un système informatique, le simple fait de s’y être maintenue constitue un maintien « frauduleux ». En effet, dès lors le délinquant à conscience qu’il n’a pas le droit de se trouver ici car ni l’accès ni le maintien ne lui a été autorisé.

En ce sens la Cour d’appel de Paris dans un jugement rendu le 5 avril 1994 a énoncé que « le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui y est entré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement »

3) Les intrusions avec dommages

L’article 323-1 du Code pénal a prévu des sanctions plus importantes lorsque l’intrusion dans le système et le maintien frauduleux à des conséquences. L’alinéa 2  prévoit un renforcement des sanctions, lorsque l’intrusion et le maintien frauduleux ont certaines conséquences :

 » Lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 euros d’amende  »

Ne sont concernées par cet article que les altérations involontaires. L’entrave volontaire au système ou l’entrave volontaire aux données sont visés par les articles 323-2 et 323-3 du nouveau Code pénal.

Les entraves volontaires au système ou aux données s’y trouvant.

L’entrave volontaire au système est définie à l’article 323-2 du Code pénal comme  » Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données « . Le peine encourue est de cinq ans d’emprisonnement et de 150 000 € d’amende. »

Est notamment visé par cette infraction : l’introduction des programmes susceptibles d’entraîner une perturbation au système, tels que les virus, les bombes logiques etc.

Est sanctionné par l’article 323-3 nouveau du Code pénal : l’introduction, l’extraction, la détention, la reproduction, la transmission dans un système informatique.

Ainsi, l’article s’applique pour des faits très nombreux. Les infractions peuvent être par exemple l’introduction afin de réduire le prix d’une marchandise sur un site de e-commerce ou de supprimer intégralement le contenu d’une base de données d’une entreprise.

Les agissements du hacker constituent généralement une perte financière très importante pour l’entreprise ciblée.

B ) La responsabilité civile

1) La responsabilité civile délictuelle

La notion de faute est au fondement du droit commun de la responsabilité civile délictuelle. On l’a retrouve à l’article 1382 du Code civil.

Pour que la responsabilité civile délictueuse soit engagée, il faut : une faute, un dommage et un lien de causalité entre la faute et le dommage.

Dans cette infraction, la faute correspond au fait de s’introduire dans un système informatique sans y avoir été autorisé préalablement. En ce qui concerne le dommage, celui-ci pourra par exemple être caractérisé par une perte financière, une altération des données ou encore par la communication d’informations privées à des tiers. Il faudra ensuite établir de manière claire le lien de causalité.

Que se passe-t-il si le hacker n’est pas de nationalité française ou si ce dernier commet l’infraction de l’étranger ? Qui dispose de la compétence juridique et quelle loi est applicable ?

En droit français, par principe le tribunal compétent est celui du domicile du défendeur. , à moins que le demandeur, s’il est français, ne souhaite invoquer le privilège de juridiction des articles 14 et 15 du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement « , puis, en 2012, le règlement  » concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale « .

S’il s’agit d’un délit ou d’un quasi délit, au regard des articles 5§3 et 7§2 de la Convention de Bruxelles et du règlement n° 1215/2012 de la Convention de Bruxelles et du règlement 44/2001 précité, il existe une règle de compétence spéciale en faveur du tribunal où le fait dommageable s’est produit ou risque de se produire.

Ce lieu peut être aussi bien celui où le dommage est survenu qui celui de l’événement causal qui est à l’origine de ce dommage (CJCE, 30 novembre 1976, aff. C-21/76, Mines de potasse d’Alsace : Rec. CJCE, p. 1735).

Si le dommage qui a été causé par l’intrusion est survenu au sein système informatique d’une société domiciliée en France, les juridictions françaises seraient sans doute compétentes pour juger le litige.

Quant à la loi applicable, le juge applique, de manière générale la lex loci delicti, c’est à dire la loi où le fait dommageable s’est produit. Dans un arrêt rendu par La Cour de Cassation en sa première chambre civile le 14 janvier 1997, il a été jugé que le lieu où le fait dommageable s’est produit s’entend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier.

2) La responsabilité civile contractuelle.

La responsabilité civile contractuelle de l’hébergeur du site peut être engagée. Tout dépendra des clauses prévues dans le contrat d’hébergement, notamment en ce qui concerne les clauses de sécurité du site et de la mise en place de systèmes informatiques de protection contre toute forme d’intrusion.

Si une telle clause existe, il convient de qualifier l’obligation de l’hébergeur. Est-ce une obligation de résultat ou seulement de moyen. Généralement, il s’agira d’obligation de moyen, ainsi le prestataire devra être en mesure d’apporter la preuve qu’il n’a pas manqué aux obligations normales qui lui incombaient, en cas d’intrusion informatique non autorisée. S’il rapporte une telle preuve, alors sa responsabilité ne sera pas retenue.

Il convient de parler de la blockchain. Il s’agit d’un outil numérique permettant de sécuriser un réseau informatique. Différentes opérations peuvent être enregistrées par le biais de cette plateforme numérique. Initialement elle était utilisée pour enregistrer toutes les opérations financières effectuées en bitcoin. Dès lors qu’une vente était réalisée à partir du Bitcoin, la transaction apparaissait automatiquement sur un registre blockchain.

Pour imager la blockchain, il suffit de penser un gigantesque livre numérique ou un tableau Excel qui liste chacune des actions entreprises dans l’ordre chronologique dans lesquelles elles ont eu lieu. Une blockchain est donc comparable à un historique de compte d’une banque sur lequel toutes les opérations financières sont recensées.

Toute la sécurité de la blockchain repose notamment sur le fait qu’elle soit décentralisée, il est donc beaucoup plus difficile de la pirater. Car pour ce faire, il faudrait déjouer le système de sécurité de tous les utilisateurs du registre en même temps. Par conséquent, à l’inverse des moyens classiques de stockage (USB, disque dur, cloud etc) qui sont gérés par un membre en particulier ou une entité (entreprise, état, banque etc), ici, la gestion de la blockchain sera partagée entre tous ses membres sans tiers intermédiaire.

Un nouveau bloc se crée à chaque nouvel utilisateur intégré à la blockchain. Ce block s’ajoutera au précédent. Ils contiennent chacun les informations partagées avec chaque utilisateur. Ces blocs sont scellés les uns aux autres ce qui forme donc une chaîne de blocs. Ainsi, dès lors qu’ un acte malveillant est détecté les autres participants appelés aussi nœuds du réseau sont immédiatement informés et peuvent empêcher cette intrusion.

Des mineurs sont nommés parmi les nœuds pour participer à la sécurisation du système. Ces derniers devront résolver des énigmes cryptographiques ce qui permet la validation des opérations.

La véracité de l’information est automatiquement garantie dès lors qu’elle est enregistrée sur un registre de la blockchain. Elle ne pourra donc plus être supprimée ou modifiée. La seule et unique possibilité sur cette base de données est donc d’ajouter des éléments.

Pour protéger des données sensibles, la blockchain s’avère particulièrement utile. C’est notamment le cas avec les données de santé. Ici, les informations pourront être protégées car elles seront décentralisées ce qui empêchera le risque lié aux données dès lors que la base de données d’un hôpital est attaquée. En effet, aujourd’hui les hôpitaux sont souvent la cible d’attaque. Actuellement, les dossiers médicaux de chaque patient, les laboratoires les résultats d’analyse, les généralistes et les pharmaciens ont aussi leurs propres données comme le dossier pharmaceutique.

Ainsi, une confiance maximale pourrait être instaurée entre le médecin et son patient avec l’utilisation de la blockchain. . Le patient peut ainsi nouer en toute quiétude un contact avec différents professionnels de santé qui représentent chacun un bloc du réseau de la blockchain. Ces derniers peuvent alors apporter des informations supplémentaires au registre du patient avec son consentement. Le consentement du patient permet d’accéder au registre, de consulter les informations qui s’y trouvent ou d’ajouter de nouveaux blocs.

En effet si la blockchain fonctionne sans intermédiaire, les données appartiennent quand même à un « propriétaire » qui doit plus être considéré comme un gestionnaire des données, en l’occurrence dans cette hypothèse c’est le patient. Pour sécuriser son dossier blockchain, le patient dispose de deux clés de sécurité, une clé publique et une clé privée.

Une clé privée permet de déchiffrer une clé publique, elles fonctionnent ensemble, mais l’inverse n’est pas possible. Cela permet une sécurité très importante du moment que la clé privée reste avec son propriétaire. La clé publique est une adresse de réception. Elle est comparable à une adresse postale permettant de recevoir du courrier dans sa boîte aux lettres. La clé privée est dans cet exemple le seul moyen d’ouvrir cette boîte.

La blockchain a d’abord été utilisée pour le bitcoin. Mais cette technologie peut servir dans bien d’autres cas. Elle possède de nombreuses qualités : Immutabilité, sécurité, traçabilité, intégrité.

Son intérêt pour les professionnels, les clients ou encore les patients n’est plus à prouver. Aujourd’hui la sécurité est essentielle et il est difficile de cacher des informations confidentielles sur internet, cet outil pourrait bien s’avérer être la meilleure solution pour lutter efficacement contre les fraudes, les cyberattaques ou le piratage de données.

D’autant que d’un côté l’utilisation d’internet et des appareils connectés s’accroît d’année en année, mais de l’autre la méfiance qu’ils suscitent aussi. Les bases de données centralisées contiennent énormément d’informations concernant leurs utilisateurs et le seul moyen de les protéger est de faire confiance au site, à l’entité qui détient toutes ces données.

Les utilisateurs leur sont donc complètement dépendants et n’ont d’autre choix que de se fier à la protection offerte par ces tiers. Si celle-ci est insuffisante, défaillante ou inexistante alors l’utilisateur ne pourra rien faire pour protéger ses données. La blockchain apparaît donc comme l’outil idoine pour remédier à toutes ces carences.

II. Les mesures préventives

Bien qu’il soit possible d’intenter une action a posteriori contre le responsable de l’intrusion existe. Est-ce, pourtant, une solution efficace ?

Toute la difficulté de l’action réside dans la preuve de l’intrusion. Surtout si celle-ci a été effectuée à partir d’un réseau ouvert de type Internet.

Bien que l’on puisse détecter l’origine de cette intrusion, identifier la personne à l’origine de celle-ci peut s’avérer particulièrement compliqué.

Il est à rappeler l’importance des dommages qu’une intrusion dans un système informatique peut causer, tant sur la crédibilité de l’entreprise que sur ses finances. Ainsi, avant tout, il convient de mettre en place des mesures de sécurité.

Il est donc nécessaire d’insérer dans tous les contrats techniques une clause concernant la sécurité du contenu du système en cause, sous le double angle de la sécurité physique et logique.

Dans le premier cas, il s’agira de déterminer les conditions d’accès au serveur en tant que matériel informatique (contrôle des personnes ayant accès dans l’espace où sera localisé le serveur, conditions d’intervention en cas de panne etc).

Dans l’hypothèse de la sécurité logique, le prestataire devra assurer la mise en place de systèmes informatiques de protection conformes aux technologies disponibles (sécurité logicielle, fire wall, anti-virus etc). A cet effet, une des solutions les plus efficaces consiste à isoler l’ordinateur connecté à l’Internet, afin d’empêcher les utilisateurs de s’en servir pour naviguer sur l’ensemble du système informatique. Les systèmes de signature électronique et de cryptologie permettent également d’assurer la sécurité des échanges.

Une entreprise pourrait souscrire une assurance contre le risque d’attaque informatique, ici, le dédommagement dépendra alors du type d’assurance souscrite.

III. L’aspiration de site

Comme expliqué précédemment, l’aspiration d’un site correspond à copier en partie ou entièrement un site web sur le disque dur de son ordinateur pour y avoir accès même hors connexion. Une fois le site « aspiré » l’utilisateur pourra l’ouvrir sans aucun problème, il n’aura plus de risque de coupure de connexion.

Certains logiciels tels que Mémoweb permettent de récupérer les images, les sons, de préserver les liens entre les pages, et offrent de multiples capacités de traitement supplémentaires (mise à jour automatique des sites et des changements éventuels, comparaison périodique de pages…).

Cette technique d’aspiration de site pose de nombreux problèmes, notamment au regard du droit d’auteur. On verra que les réponses données par l’application du droit de la propriété intellectuelle peuvent varier selon la catégorie à laquelle l’œuvre en cause s’attache.

A) L’aspiration de site face aux droits de propriété intellectuelle

1) Droit d’auteur

En France, l’auteur d’un œuvre bénéficie d’une protection importante. La protection est prévue dans le code de la propriété intellectuelle. Également, au niveau européen, la directive CE 2001/29 du 22 mai 2001 porte sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information.

Le tribunal de commerce de Paris a énoncé dans un arrêt rendu le 9 février 1998 que le contenu des pages web est protégeable au titre des droits d’auteurs. Pour cela, il faut que les critères posés par le CPI – création originale, fixée sur un support- soient remplis. Ainsi, l’art. L.122-4 du CPI dispose que  » Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur ou de ses ayants cause est illicite  » et elle est donc punie à titre de contrefaçon.

Il est à souligner que l’interdiction de reproduction intégrale ou partielle de l’œuvre réaliser dans le consentement de son auteur ne s’applique pas pour  » les copies ou reproductions réalisées à partir d’une source licite et strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective  » selon l’article 122-5 2° du CPI

Ainsi, il est tout à fait possible de considérer que l’aspiration d’un site puisse être considérée comme l’exercice par l’utilisateur de son droit de copie privée d’une œuvre déjà divulguée.

En d’autres termes, la légitimité de la technique d’aspiration d’un site, face au droit d’auteur qu’on présume applicable, dépend, comme c’est le cas pour tous les œuvres de l’esprit bénéficiant de la protection par ce dernier, de l’utilisation qu’en est faite. Ainsi, la projection d’un site aspiré devant un publique serait, sans doute, considérée comme une utilisation collective de l’œuvre et serait, donc, interdite, à moins que le titulaire des droits n’ait pas donné préalablement son accord.

2) La protection des bases de données

L’article L.341 du Code de propriété intellectuel énonce que « Le producteur d’une base de données, entendu comme la personne qui prend l’initiative et assure le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain, substantiel. Cette protection est indépendante et s’exerce sans préjudice de cesses résultant de celles du droit d’auteur ou d’un autre droit sur la base de données ou un de ses éléments constitutifs « .

L’article L.342-1 du CPI prévoit quant à lui que « Le producteur de bases de données a le droit d’interdire : 1. L’extraction, par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit ; 2.  La réutilisation, par la mise à la disposition du public de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu’en soit la forme. Ces droits peuvent être transmis ou cédés ou faire l’objet d’une licence. Le prêt public n’est pas un acte d’extraction ou de réutilisation. »

Enfin, l’article 122-4 du CPI exclu quant à lui le droit de copie privée pour les  » copies et reproductions d’une base de données électronique « .

Mais qu’entend-on par base de donnée ? L’article L. 112-3 du CPI dispose qu’  » on entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen « .

Cependant, bien que certains sites web puissent être considérés comme des bases de données, la majorité d’entre eux ne le sont pas.

Cela s’explique car ils ne répondent pas à la définition de  » recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique « .

De ce fait, un site de compilation de données tel qu’un annuaire en ligne par exemple constitue bien une base de données, un site classique de type e-commerce ne semble quant à lui pas pouvoir être assimilé à une base de données. En effet, dans le cas de ce dernier, l’assemblage d’images, de sons et de textes n’a rien ni d’une disposition systématique, ni d’un recueil de données.

Mais alors, qu’en est-il des sites commerciaux qui constituent et mettent à jour en permanence des bases des données sur leurs clients ou des sites qui proposent des modes de recherche, nécessitant le passage par une ou plusieurs bases de données ?

Il faudra considérer qu’ici l’objet de la protection ne porte pas sur le site entier, mais uniquement sur la base elle-même. Cette dernière, d’ailleurs, n’est pas visible pas les internautes et par conséquent elle ne peut pas être aspirée. L’accès à une telle base constituerait l’infraction, décrite ci-dessus, d’accès et de maintien dans un système de traitement automatisé de données.

B) L’aspiration d’un site peut-elle être considérée comme une intrusion dans un système informatique ?

L’article 323-1 du Code pénal prévoit que pour sanctionner il faut une intrusion dans un système informatique. Or, il n’y a intrusion que si la pénétration dans le système informatique en cause a été effectuée de manière irrégulière par une personne non-autorisée.

La cour d’appel de Paris a démontré qu’il ne suffisait pas que la personne n’ait pas le droit d’accès au système, il fallait pouvoir démontrer qu’elle en ait forcé l’accès, en utilisant une méthode particulière et non pas un simple navigateur.

L’aspiration d’un site s’effectue bien sûr avec des logiciels spéciaux. En plus, dans la plupart de cas, l’utilisateur ne demande pas l’autorisation préalable du créateur du site. Or, l’accès à ce dernier n’est nullement forcé !

Enfin, si des dégâts au contenu ou au système du site ont été causés, le préjudice pourra être réparé sur le fondement de la responsabilité civile délictuelle, à la condition, toutefois, de rapporter la preuve du lien de causalité entre l’aspiration et le dommage.

Finalement, l’aspiration d’un site n’est rien d’autre qu’un téléchargement simultané de tous les éléments d’une page ou d’un site web. Mis à part l’hypothèse où le site puisse être considéré en lui-même comme une base de données et supposant que l’accès à celui-ci est libre, rien a priori ne semble s’opposer à son aspiration pour des fins privés.