La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Ministère de la Justice Cour de Guelma Les atteintes aux systèmes de traitement automatisé des données. Communication présenté par : Mme Guellati Douniazed.

Présentations similaires


Présentation au sujet: "1 Ministère de la Justice Cour de Guelma Les atteintes aux systèmes de traitement automatisé des données. Communication présenté par : Mme Guellati Douniazed."— Transcription de la présentation:

1 1 Ministère de la Justice Cour de Guelma Les atteintes aux systèmes de traitement automatisé des données. Communication présenté par : Mme Guellati Douniazed Magistrat près du Tribunal de Souk Ahras

2 2 Les atteintes aux systèmes automatisé des données. Etat de la jurisprudence en France.

3 3 Les atteintes aux systèmes de traitements automatisés de données : État de la jurisprudence en France. Introduction Section 01 : La jurisprudence à travers lincrimination et la répression. I.Position de la jurisprudence sur les éléments constitutifs des infractions. 1) Accès et Maintien frauduleux. 2)Atteintes à lintégrité du système. 3)Atteinte à lintégrité des données. II.Sanctions encourues et responsabilité 1)Sanctions complémentaires. 2)Tentative et Association de malfaiteurs. 3)Responsabilité de la personne morale III.Les apports de la loi sur la confiance dans Léconomie numérique. Section 02 : Position de la jurisprudence sur des éléments indifférents : I.Sur labsence de nécessité d'un préjudice. II.Sur la nécessité de la protection du système « Affaire Kitetoa c/ Tati SA. » III.Sur lindifférence du mode daccès. Conclusion.

4 4 Définition La cybercriminalité peut être définie comme : toute action illicite associée a linterconnexion des systèmes informatiques et des réseaux de télécommunication ; ou labsence de cette interconnexion empêche la perpétration de cette action illicite. La cybercriminalité peut être définie comme : toute action illicite associée a linterconnexion des systèmes informatiques et des réseaux de télécommunication ; ou labsence de cette interconnexion empêche la perpétration de cette action illicite.

5 5 STAD ou AIS (Automated Information System) STAD ou AIS (Automated Information System) Cest une expression désignant tous les équipements de nature matérielle, logicielle, ou « firmware. » permettant lacquisition automatique, le stockage, la manipulation, le contrôle, laffichage, la transmission, ou la réception de données. Cest une expression désignant tous les équipements de nature matérielle, logicielle, ou « firmware. » permettant lacquisition automatique, le stockage, la manipulation, le contrôle, laffichage, la transmission, ou la réception de données.

6 6 Le système peut constitués un : Objet : destruction de système informatiques ;ainsi que des données ou des programmes quil contenaient ;ou encore la destruction le matériels permettant Aux ordinateurs de fonctionner. Objet : destruction de système informatiques ;ainsi que des données ou des programmes quil contenaient ;ou encore la destruction le matériels permettant Aux ordinateurs de fonctionner. Support : lieu ou support dinfractions. Support : lieu ou support dinfractions. Outil : pour des infractions complexes nécessitant lusage du système comme outil. Outil : pour des infractions complexes nécessitant lusage du système comme outil. Symbole : pour menace ou tromperie ; arnaque. Symbole : pour menace ou tromperie ; arnaque.

7 7 La problématique La problématique La jurisprudence a-t-elle adaptée la législation aux nouvelles formes datteintes aux systèmes de traitement automatisé des données ; ou bien son rôle sest limité à une application stricte de la loi ? La jurisprudence a-t-elle adaptée la législation aux nouvelles formes datteintes aux systèmes de traitement automatisé des données ; ou bien son rôle sest limité à une application stricte de la loi ?

8 8 Typologie des infractions Accès et Maintien frauduleux. Accès et Maintien frauduleux. Atteintes à lintégrité du système. Atteintes à lintégrité du système. Atteinte à lintégrité des données. Atteinte à lintégrité des données.

9 9 La fraude informatique Laccès ou le Maintien frauduleux dans un système. Laccès ou le Maintien frauduleux dans un système. Laltération ; Suppression et Modification des données. Laltération ; Suppression et Modification des données.

10 10 Laccès ou le Maintien frauduleux dans un système. Article Le fait daccéder ou de se maintenir, frauduleusement, dans tout ou partie dun système de traitement automatisé de données est puni de deux ans demprisonnement et de euros damende. Lorsquil en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans demprisonnement et de euros damende. Article Le fait daccéder ou de se maintenir, frauduleusement, dans tout ou partie dun système de traitement automatisé de données est puni de deux ans demprisonnement et de euros damende. Lorsquil en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans demprisonnement et de euros damende.

11 11 L'accès Au regard de la jurisprudence, la notion d'accès dans un STAD peut être caractérisée soit par la pénétration dans un système, soit par une manipulation informatique ou autre manœuvre, par le biais d'une connexion ou d'appel d'un programme, opérée de manière frauduleuse, c'est à dire sans autorisation de lentreprise. Au regard de la jurisprudence, la notion d'accès dans un STAD peut être caractérisée soit par la pénétration dans un système, soit par une manipulation informatique ou autre manœuvre, par le biais d'une connexion ou d'appel d'un programme, opérée de manière frauduleuse, c'est à dire sans autorisation de lentreprise.

12 12 Le maintien Lincrimination de maintien frauduleux vient compléter celle de laccès frauduleux. Elle vise les situations où laccès dans le STAD a été régulier, suivi dun maintien qui ne lest pas. Lorsque laccès a été régulier le maintien devient irrégulier lorsque son auteur se trouve privé de toute habilitation à se maintenir dans le système. Le maintien frauduleux est caractérisé par diverses situations anormales telles que les connexions, les visualisations ou toute autre opération dirigée contre un système d'information. Lincrimination de maintien frauduleux vient compléter celle de laccès frauduleux. Elle vise les situations où laccès dans le STAD a été régulier, suivi dun maintien qui ne lest pas. Lorsque laccès a été régulier le maintien devient irrégulier lorsque son auteur se trouve privé de toute habilitation à se maintenir dans le système. Le maintien frauduleux est caractérisé par diverses situations anormales telles que les connexions, les visualisations ou toute autre opération dirigée contre un système d'information. Le fait daccéder à un serveur web puis de manipuler des variables et de modifier des requêtes SQL afin davoir accès à des informations réservées peut être qualifié de maintien frauduleux. Le fait daccéder à un serveur web puis de manipuler des variables et de modifier des requêtes SQL afin davoir accès à des informations réservées peut être qualifié de maintien frauduleux.

13 13 CA de Paris 9 ch15/12/99 Caractérise le délit de maintien frauduleux dans un STAD, le fait pour des employés, de prolonger abusivement leur maintien dans le système grâce à des systèmes d'inhibition et d'écrans noirs, durant des heures, voire des nuits entières, hors leur présence et à l'insu de leur entourage dans le seul but de multiplier le nombre de 14 points leur ouvrant droit à des cadeaux. Caractérise le délit de maintien frauduleux dans un STAD, le fait pour des employés, de prolonger abusivement leur maintien dans le système grâce à des systèmes d'inhibition et d'écrans noirs, durant des heures, voire des nuits entières, hors leur présence et à l'insu de leur entourage dans le seul but de multiplier le nombre de 14 points leur ouvrant droit à des cadeaux.

14 14 La question se pose concernant la preuve du caractère frauduleux de laccès dune part et la preuve de lélément intentionnel ou du caractère intentionnel de la pénétration illicite dune autre part ? La question se pose concernant la preuve du caractère frauduleux de laccès dune part et la preuve de lélément intentionnel ou du caractère intentionnel de la pénétration illicite dune autre part ?

15 15 La preuve du caractère frauduleux de laccès La preuve du caractère frauduleux de laccès Exemples: Exemples: Le contournement ou la violation dun dispositif de sécurité (comme la suppression délibérée des instructions de contrôle). Le contournement ou la violation dun dispositif de sécurité (comme la suppression délibérée des instructions de contrôle). Linsertion dun fichier espion enregistrant les codes daccès des abonnés (cookies ; cheval de Troie ; ver informatique ; etc.). Linsertion dun fichier espion enregistrant les codes daccès des abonnés (cookies ; cheval de Troie ; ver informatique ; etc.). Une connexion pirate vissant a interroger a distance un système ; de lappel, dun programme ou dune consultation de fichiers sans habilitation. Une connexion pirate vissant a interroger a distance un système ; de lappel, dun programme ou dune consultation de fichiers sans habilitation.

16 16 Exemples de labsence du caractère frauduleux La preuve ne serra pas rapportée si laccédant est en situation daccès normal par ex : si il a procédé a une consultation dinformations rendues accessibles au public ;la cour dappel de Paris a ainsi considérée ;dans un arrêt du 30 octobre 2002 quil : « ne peut être reproché a un internaute daccéder aux données ou de se maintenir dans les parties des sites qui peuvent être atteinte par la simple utilisation dun logiciel grand public de navigation ;ces parties de site font par définition ;lobjet daucune protection de la part de lexploitant du site ou de son prestataire de services ;devant être réputées non confidentielles a défaut de toute indication contraire et de tout obstacle a laccès. » ;Les juges nont manifestement pas voulu sanctionner un utilisateur de bonne foi qui selon eux navait pas accédé de manière frauduleuse au STAD. La preuve ne serra pas rapportée si laccédant est en situation daccès normal par ex : si il a procédé a une consultation dinformations rendues accessibles au public ;la cour dappel de Paris a ainsi considérée ;dans un arrêt du 30 octobre 2002 quil : « ne peut être reproché a un internaute daccéder aux données ou de se maintenir dans les parties des sites qui peuvent être atteinte par la simple utilisation dun logiciel grand public de navigation ;ces parties de site font par définition ;lobjet daucune protection de la part de lexploitant du site ou de son prestataire de services ;devant être réputées non confidentielles a défaut de toute indication contraire et de tout obstacle a laccès. » ;Les juges nont manifestement pas voulu sanctionner un utilisateur de bonne foi qui selon eux navait pas accédé de manière frauduleuse au STAD. les juridictions considèrent que dans certains cas ; laccès nest que le résultat dune erreur. : « Le fait pour un centre serveur de sapproprier un code daccès du kiosque télématique et dy héberger un code clandestin nest pas constitutif des délits daccès ; de maintien dans un système de traitement de données informatisées et dentrave.Cet accès a pu être le résultat dune erreur de manipulation sur les fichiers. Par conséquent laction est dépourvue de caractère intentionnel. » les juridictions considèrent que dans certains cas ; laccès nest que le résultat dune erreur. : « Le fait pour un centre serveur de sapproprier un code daccès du kiosque télématique et dy héberger un code clandestin nest pas constitutif des délits daccès ; de maintien dans un système de traitement de données informatisées et dentrave.Cet accès a pu être le résultat dune erreur de manipulation sur les fichiers. Par conséquent laction est dépourvue de caractère intentionnel. »

17 17 La preuve du caractère intentionnel de la pénétration illicite La preuve du caractère intentionnel de la pénétration illicite Si lintrusion est le fait dune erreur : le simple fait de se maintenir dans un système pourra être constitutif dune fraude. Si lintrusion est le fait dune erreur : le simple fait de se maintenir dans un système pourra être constitutif dune fraude. Une prolongation indue de la présence de laccédant par ex au delà du temps autorisé ;et sans intervention dans le système pour visualiser ou réaliser une ou plusieurs opérations sont autant dindices qui concourent a la démonstration du caractère intentionnel de lintrusion et du maintien anormal dans le système de laccédant. Une prolongation indue de la présence de laccédant par ex au delà du temps autorisé ;et sans intervention dans le système pour visualiser ou réaliser une ou plusieurs opérations sont autant dindices qui concourent a la démonstration du caractère intentionnel de lintrusion et du maintien anormal dans le système de laccédant.

18 18 Laltération Suppression et Modification des données Lorsque laccès ou le maintien frauduleux a provoqué « soit la suppression ou la modification de données contenues dans le système ; soit une altération du fonctionnement de ce système ; la peine est de trois ans demprisonnement et de euros damende. » Lorsque laccès ou le maintien frauduleux a provoqué « soit la suppression ou la modification de données contenues dans le système ; soit une altération du fonctionnement de ce système ; la peine est de trois ans demprisonnement et de euros damende. » Dans lesprit du texte de larticle al 2 ; les dégradations provoquées sont alors involontaires ; elles sont conséquence de laccès ou du maintien frauduleux dans le système sans que leur auteurs ait voulu délibérément lui porter atteinte ; il conviendra toutefois den rapporter la preuve de la suppression ; la modification dune données ; laltération du fonctionnement du système sont ici encore des indices significatifs. Dans lesprit du texte de larticle al 2 ; les dégradations provoquées sont alors involontaires ; elles sont conséquence de laccès ou du maintien frauduleux dans le système sans que leur auteurs ait voulu délibérément lui porter atteinte ; il conviendra toutefois den rapporter la preuve de la suppression ; la modification dune données ; laltération du fonctionnement du système sont ici encore des indices significatifs.

19 19 Atteintes à lintégrité du système Atteintes à lintégrité du système L'entrave au fonctionnement du système : L'entrave au fonctionnement du système : Eléments constitutifs de l'infraction : Eléments constitutifs de l'infraction : Elément matériel : Il suffit d'une influence négative sur le fonctionnement du système pour que l'acte d'entrave soit matérialisé. L'entrave vise à paralyser ou à retarder le fonctionnement du système. (Exemples : bombes logiques introduisant des instructions parasitaires, occupation de capacité de mémoire, mise en place de codification ou tout autre forme de barrage). Elément matériel : Il suffit d'une influence négative sur le fonctionnement du système pour que l'acte d'entrave soit matérialisé. L'entrave vise à paralyser ou à retarder le fonctionnement du système. (Exemples : bombes logiques introduisant des instructions parasitaires, occupation de capacité de mémoire, mise en place de codification ou tout autre forme de barrage). Elément moral: l'infraction est constituée pour autant que l'individu ait Elément moral: l'infraction est constituée pour autant que l'individu ait Intentionnellement entravé le fonctionnement du système en ne respectant pas le droit d'autrui. Le fait de fausser le fonctionnement du système : Le fait de fausser le fonctionnement du système : Eléments constitutifs de l'infraction: Eléments constitutifs de l'infraction: Elément matériel : c'est le fait de "fausser" le fonctionnement d'un STAD. Le but de cette altération est de faire produire au système un effet différent de celui attendu. Elément matériel : c'est le fait de "fausser" le fonctionnement d'un STAD. Le but de cette altération est de faire produire au système un effet différent de celui attendu. Elément moral : comme pour le délit d'entrave, l'intention doit être démontrée Elément moral : comme pour le délit d'entrave, l'intention doit être démontrée

20 20 Les principales attaques La destruction de fichiers. La destruction de fichiers. Le hacking. Le hacking. Le puching. Le puching. La destruction de programmes. La destruction de programmes. La sauvegarde. La sauvegarde. Le flaming. Le flaming. Le mail bombing. Le mail bombing. Le refus de service (RDS) ou denial of service (DOS). Le refus de service (RDS) ou denial of service (DOS).

21 21 Arrêt C A Paris 05/04/94 Arrêt C A Paris 05/04/94 « Lenvoi automatique de messages ainsi que lutilisation des programmes simulant la connexion de plusieurs minitels aux centres serveurs concernés ont eu des effets perturbateurs sur les performances des systèmes de traitement automatisé de données visés par ces manœuvres et ont entrainé un ralentissement de la capacité du système ; Capacité des serveurs. »

22 22 TGI Nanterre 15 ch 10/02/2006 Lauteur des faits a été condamné sur le fondement des textes suivants : Lauteur des faits a été condamné sur le fondement des textes suivants : Accès et maintien frauduleux dans le système de traitement automatisé de données de la société BCA, avec la circonstance quil en est résulté la suppression de données, faits prévus par larticle al. 2, al. 1 du code pénal et réprimés par les articles al. 2, du code pénal. Accès et maintien frauduleux dans le système de traitement automatisé de données de la société BCA, avec la circonstance quil en est résulté la suppression de données, faits prévus par larticle al. 2, al. 1 du code pénal et réprimés par les articles al. 2, du code pénal. Accès et maintien frauduleux dans le système de traitement automatisé de données de la société BCA, avec la circonstance quil en est résulté la modification des données, faits prévus par larticle al. 2, al. 1 du code pénal et réprimés par les articles al. 2, du code pénal. Accès et maintien frauduleux dans le système de traitement automatisé de données de la société BCA, avec la circonstance quil en est résulté la modification des données, faits prévus par larticle al. 2, al. 1 du code pénal et réprimés par les articles al. 2, du code pénal. Avoir frauduleusement introduit, supprimé ou modifié des données dans le système de traitement automatisé de la société BCA, faits prévus par larticle du code pénal et réprimés par les articles 323-3, du code pénal. Avoir frauduleusement introduit, supprimé ou modifié des données dans le système de traitement automatisé de la société BCA, faits prévus par larticle du code pénal et réprimés par les articles 323-3, du code pénal.

23 23 TGI Nanterre15ch 08/06/2006 «Le "mailbombing" sanctionné par le délit dentrave » Le TGI de Nanterre a condamné une personne qui avait procédé à une opération de "mailbombing" à deux mois de prison avec sursis pour entrave au fonctionnement dun système de traitement automatisé de données. Le TGI de Nanterre a condamné une personne qui avait procédé à une opération de "mailbombing" à deux mois de prison avec sursis pour entrave au fonctionnement dun système de traitement automatisé de données. Le jugement ne précise pas en quoi le fonctionnement du système a été entravé.« Il est reproché à MM. davoir commis le délit dentrave au fonctionnement dun système de traitement automatisé de données. Suite à un différend commercial, il est établi que la société Amen a subi à plusieurs reprises des attaques de type "mailbombing" via linterface de contrat située sur le site internet Des investigations menées, il appert que Michel M. a envoyé en grand nombre un message identique ( copies) et quil a agit et réitéré alors quil avait été mis en demeure de cesser. Chaque message ainsi adressé comportait un sujet généré aléatoirement ainsi quun nom dexpéditeur différent, œuvre dun script automatisé développé aux fins de contournement déventuels filtres. » Le jugement ne précise pas en quoi le fonctionnement du système a été entravé.« Il est reproché à MM. davoir commis le délit dentrave au fonctionnement dun système de traitement automatisé de données. Suite à un différend commercial, il est établi que la société Amen a subi à plusieurs reprises des attaques de type "mailbombing" via linterface de contrat située sur le site internet Des investigations menées, il appert que Michel M. a envoyé en grand nombre un message identique ( copies) et quil a agit et réitéré alors quil avait été mis en demeure de cesser. Chaque message ainsi adressé comportait un sujet généré aléatoirement ainsi quun nom dexpéditeur différent, œuvre dun script automatisé développé aux fins de contournement déventuels filtres. »

24 24 Atteintes à lintégrité des données contenues dans un STAD Art du Code pénal : Art du Code pénal : "Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de euros d'amende." "Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de euros d'amende." Eléments constitutifs de l'infraction : Eléments constitutifs de l'infraction : Elément matériel : le texte permet de réprimer toute manipulation, suppression ou modification de données contenues dans un système, qu'elles qu'en soient les conséquences. Les pratiques incriminées correspondent à toute altération des données, fichiers, bases de données. Elément matériel : le texte permet de réprimer toute manipulation, suppression ou modification de données contenues dans un système, qu'elles qu'en soient les conséquences. Les pratiques incriminées correspondent à toute altération des données, fichiers, bases de données. L'Internet accentue les difficultés. En effet, il est extrêmement difficile de connaître l'origine de l'accès. L'Internet accentue les difficultés. En effet, il est extrêmement difficile de connaître l'origine de l'accès. Elément moral : le délit n'est constitué que si ces opérations sont faites avec une intention délictueuse et hors de l'usage autorisé. L'intention frauduleuse est constituée des le moment où l'introduction des données s'effectue avec une volonté de modifier l'état du système et ce, quelles qu'en soient les conséquences sur le système. Elément moral : le délit n'est constitué que si ces opérations sont faites avec une intention délictueuse et hors de l'usage autorisé. L'intention frauduleuse est constituée des le moment où l'introduction des données s'effectue avec une volonté de modifier l'état du système et ce, quelles qu'en soient les conséquences sur le système.

25 25 Cass Crim 8 décembre 1999 Le fait de modifier ou de supprimer intentionnellement des données contenues dans un STAD caractérise le délit, sans qu'il soit nécessaire que ces modifications émanent d'une personne n'ayant pas le droit d'accès ni que l'auteur soit animé de la volonté de nuire. Le fait de modifier ou de supprimer intentionnellement des données contenues dans un STAD caractérise le délit, sans qu'il soit nécessaire que ces modifications émanent d'une personne n'ayant pas le droit d'accès ni que l'auteur soit animé de la volonté de nuire.

26 26 TGI Paris 13 ch 02/09/2004 "Il expliquait quil avait acheté le nom de domaine « », courant 2002, en se connectant à NOOS avec un numéro de carte bancaire prêté par un ami demeurant à létranger. Il avait inséré sur ce site une page correspondant à la page daccueil du site du CREDIT LYONNAIS en réalisant une copie de la page HTML du véritable site du CREDIT LYONNAIS, afin dobtenir les numéros de compte puis les numéros de passe des clients du CRÉDIT LYONNAIS quil pensait pouvoir se trouver sur le véritable site du CRÉDIT LYONNAIS. Il aurait pu ainsi réaliser, en allant sur le véritable site de la banque, des virements au bénéfice de qui il souhaitait à son propre bénéfice. Il reconnaissait avoir procédé à deux virements, lun au bénéfice de Monsieur N. client du CRÉDIT LYONNAIS, afin de voir si son système marchait, lautre au bénéfice de son ami Monsieur K A. "Il expliquait quil avait acheté le nom de domaine « », courant 2002, en se connectant à NOOS avec un numéro de carte bancaire prêté par un ami demeurant à létranger. Il avait inséré sur ce site une page correspondant à la page daccueil du site du CREDIT LYONNAIS en réalisant une copie de la page HTML du véritable site du CREDIT LYONNAIS, afin dobtenir les numéros de compte puis les numéros de passe des clients du CRÉDIT LYONNAIS quil pensait pouvoir se trouver sur le véritable site du CRÉDIT LYONNAIS. Il aurait pu ainsi réaliser, en allant sur le véritable site de la banque, des virements au bénéfice de qui il souhaitait à son propre bénéfice. Il reconnaissait avoir procédé à deux virements, lun au bénéfice de Monsieur N. client du CRÉDIT LYONNAIS, afin de voir si son système marchait, lautre au bénéfice de son ami Monsieur K A.

27 27 Les sanctions complémentaires : · "L'interdiction, pour une durée de cinq ans au plus, des droits civiques, · "L'interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l'article " ; civils et de famille, suivant les modalités de l'article " ; · "L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction · "L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise " ; laquelle ou à l'occasion de laquelle l'infraction a été commise " ; · "La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution" ; · "La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution" ; · "La fermeture, pour une durée de cinq ans au plus, des établissements · "La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés"; ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés"; · "L'exclusion, pour une durée de cinq ans au plus, des marchés publics« · "L'exclusion, pour une durée de cinq ans au plus, des marchés publics« · "L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés " ; · "L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés " ; · "L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article · "L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article

28 28 La tentative Pour tous ces délits, la tentative est punissable en application de l'article du Code pénal qui prévoit que "la tentative est punie des mêmes peines." Pour tous ces délits, la tentative est punissable en application de l'article du Code pénal qui prévoit que "la tentative est punie des mêmes peines." Le fait que la tentative d'accès ou de maintien frauduleux soit sanctionnée au même titre que l'accès ou le maintien et ce quelle que soit la raison de l'échec, démontre le degré d'importance accordé par le législateur à toute atteinte aux STAD. Le fait que la tentative d'accès ou de maintien frauduleux soit sanctionnée au même titre que l'accès ou le maintien et ce quelle que soit la raison de l'échec, démontre le degré d'importance accordé par le législateur à toute atteinte aux STAD.

29 29 On peut distinguer deux types de tentative : La tentative achevée : il s'agit de l'hypothèse où le résultat recherché par l'auteur de la tentative ne se produit pas, bien que tous les actes d'exécution aient été accomplis, La tentative achevée : il s'agit de l'hypothèse où le résultat recherché par l'auteur de la tentative ne se produit pas, bien que tous les actes d'exécution aient été accomplis, - soit en raison de l'étourderie, de la maladresse, de l'inaptitude, etc. de l'auteur - soit en raison de l'étourderie, de la maladresse, de l'inaptitude, etc. de l'auteur (Hypothèse de l'infraction manquée)- soit en raison de l'impossibilité matérielle d'atteindre le résultat escompté, quelles qu'aient pu être par ailleurs la diligence et l'habileté de l'auteur (hypothèse de l'infraction impossible). (Hypothèse de l'infraction manquée)- soit en raison de l'impossibilité matérielle d'atteindre le résultat escompté, quelles qu'aient pu être par ailleurs la diligence et l'habileté de l'auteur (hypothèse de l'infraction impossible). Dans les deux cas, la jurisprudence considère que la tentative est punissable soit en raison de l'impossibilité matérielle d'atteindre le résultat escompté, quelles qu'aient pu être par ailleurs la diligence et l'habileté de l'auteur (hypothèse de l'infraction impossible). Dans les deux cas, la jurisprudence considère que la tentative est punissable soit en raison de l'impossibilité matérielle d'atteindre le résultat escompté, quelles qu'aient pu être par ailleurs la diligence et l'habileté de l'auteur (hypothèse de l'infraction impossible). Dans les deux cas, la jurisprudence considère que la tentative est punissable. Dans les deux cas, la jurisprudence considère que la tentative est punissable. La tentative interrompue : même si elle a fait l'objet d'un commencement mais a été interrompue, la tentative n'en reste pas moins punissable. La tentative interrompue : même si elle a fait l'objet d'un commencement mais a été interrompue, la tentative n'en reste pas moins punissable. L'article du Nouveau Code pénal pose en effet la règle selon laquelle la tentative interrompue est punissable si sont constatés : L'article du Nouveau Code pénal pose en effet la règle selon laquelle la tentative interrompue est punissable si sont constatés : - un commencement d'exécution, et l'absence de désistement volontaire. - un commencement d'exécution, et l'absence de désistement volontaire. - soit en raison de l'impossibilité matérielle d'atteindre le résultat escompté, quelles qu'aient pu être par ailleurs la diligence et l'habileté de l'auteur(hypothèse de l'infraction impossible). - soit en raison de l'impossibilité matérielle d'atteindre le résultat escompté, quelles qu'aient pu être par ailleurs la diligence et l'habileté de l'auteur(hypothèse de l'infraction impossible). Dans les deux cas, la jurisprudence considère que la tentative est punissable. Dans les deux cas, la jurisprudence considère que la tentative est punissable.

30 30 L'association de malfaiteurs L'article du Code Pénal réprime de façon particulière l'association de malfaiteurs organisée pour la préparation de l'une des infractions, punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée. L'article du Code Pénal réprime de façon particulière l'association de malfaiteurs organisée pour la préparation de l'une des infractions, punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

31 31 La responsabilité pénale des personnes morales La responsabilité pénale de la personne morale pour le compte de laquelle les La responsabilité pénale de la personne morale pour le compte de laquelle les infractions auront été commises peut être retenue (article du Code pénal). infractions auront été commises peut être retenue (article du Code pénal). Elle encoure l'amende selon les modalités de l'article ("le taux maximum de l'amende est égal au quintuple de celui pour les personnes physiques") et l'ensemble des peines complémentaires prévues à l'article comprenant notamment la dissolution ou l'interdiction d'exercice de l'activité à l'occasion de laquelle l'infraction a été commise. Elle encoure l'amende selon les modalités de l'article ("le taux maximum de l'amende est égal au quintuple de celui pour les personnes physiques") et l'ensemble des peines complémentaires prévues à l'article comprenant notamment la dissolution ou l'interdiction d'exercice de l'activité à l'occasion de laquelle l'infraction a été commise. A cette occasion, il faut évoquer la délégation pénale, procédé par lequel un dirigeant transfert à lun de ses salariés une partie de ses fonctions, ce transfert de pouvoir s'accompagnant d'un transfert de responsabilité pénale. A cette occasion, il faut évoquer la délégation pénale, procédé par lequel un dirigeant transfert à lun de ses salariés une partie de ses fonctions, ce transfert de pouvoir s'accompagnant d'un transfert de responsabilité pénale.

32 32 La responsabilité civile délictuelle La responsabilité civile délictuelle Le droit commun de la responsabilité civile délictuelle est fondée sur la nation de la faute au sens de larticle 1382 du Code civil. Elle nécessite une faute, un dommage et un lien de causalité entre les deux. La faute consiste ici en une intrusion dans un système informatique à linsu de son utilisateur. Quant au dommage, il faut savoir sil y a eu une perte et/ou une altération des informations contenues dans le site ou si le pirate a communiqué les données personnelles sy trouvant à des tiers. Enfin, le lien de causalité entre la faute et le dommage doit être clairement établi. Le droit commun de la responsabilité civile délictuelle est fondée sur la nation de la faute au sens de larticle 1382 du Code civil. Elle nécessite une faute, un dommage et un lien de causalité entre les deux. La faute consiste ici en une intrusion dans un système informatique à linsu de son utilisateur. Quant au dommage, il faut savoir sil y a eu une perte et/ou une altération des informations contenues dans le site ou si le pirate a communiqué les données personnelles sy trouvant à des tiers. Enfin, le lien de causalité entre la faute et le dommage doit être clairement établi. Quid, pourtant, si le pirate nest pas de nationalité française ou sil opère de létranger ? La question qui se pose, dans ce cas, est celle de la compétence judiciaire internationale et de la loi applicable. Quid, pourtant, si le pirate nest pas de nationalité française ou sil opère de létranger ? La question qui se pose, dans ce cas, est celle de la compétence judiciaire internationale et de la loi applicable. En droit français, le tribunal compétent pour juger un litige international est, en principe, celui du domicile du défendeur, à moins que le demandeur, sil est français, ne souhaite invoquer le privilège de juridiction des articles 14 et 15 du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement « concernant la compétence judiciaire, la reconnaissance et lexécution des décisions en matière civile et commerciale «. En droit français, le tribunal compétent pour juger un litige international est, en principe, celui du domicile du défendeur, à moins que le demandeur, sil est français, ne souhaite invoquer le privilège de juridiction des articles 14 et 15 du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement « concernant la compétence judiciaire, la reconnaissance et lexécution des décisions en matière civile et commerciale «. Sagissant dun délit ou dun quasi-délit, les articles 5§3 de la Convention de Bruxelles et du règlement 44/2001 précité, posent une règle de compétence spéciale en faveur du tribunal où le fait dommageable sest produit ou risque de se produire. Ce lieu peut être aussi bien celui où le dommage est survenu qui celui de lévénement causal qui est à lorigine de ce dommage (CJCE, 30 novembre 1976, affaire C-21/76, Mines de potasse dAlsace : Rec. CJCE, p. 1735). Sagissant dun délit ou dun quasi-délit, les articles 5§3 de la Convention de Bruxelles et du règlement 44/2001 précité, posent une règle de compétence spéciale en faveur du tribunal où le fait dommageable sest produit ou risque de se produire. Ce lieu peut être aussi bien celui où le dommage est survenu qui celui de lévénement causal qui est à lorigine de ce dommage (CJCE, 30 novembre 1976, affaire C-21/76, Mines de potasse dAlsace : Rec. CJCE, p. 1735). Dans le cas où le dommage, causé par lintrusion, serait survenu au sein du système informatique dune société domiciliée en France, les juridictions françaises seraient sans doute compétentes pour juger le litige. Dans le cas où le dommage, causé par lintrusion, serait survenu au sein du système informatique dune société domiciliée en France, les juridictions françaises seraient sans doute compétentes pour juger le litige. Quant à la loi applicable, le juge applique, de manière générale la lex loci delicti, cest à dire la loi où le fait dommageable sest produit. La Cour de Cassation a jugé que le lieu où le fait dommageable sest produit sentend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier (Cass. 1re civ., 14 janvier 1997, D. 1997, p.177). Quant à la loi applicable, le juge applique, de manière générale la lex loci delicti, cest à dire la loi où le fait dommageable sest produit. La Cour de Cassation a jugé que le lieu où le fait dommageable sest produit sentend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier (Cass. 1re civ., 14 janvier 1997, D. 1997, p.177).

33 33 La responsabilité civile contractuelle Il est possible, en effet, dengager la responsabilité civile contractuelle de lhéberger du site. Pour cela, il faudrait examiner les clauses contenues dans le contrat dhébergement concernant notamment la sécurité du site et la mise en place de systèmes informatiques de protection contre toute forme dintrusion. Il faudrait aussi qualifier cette obligation de lhéberger : sagit-il dune obligation de résultat ou de moyens ? Dans la plus part de cas, il ne pourra sagir que dune obligation de moyens qui aura pour effet de contraindre le prestataire dapporter la preuve quil na pas manqué aux obligations normales qui lui incombaient, en cas dintrusion informatique non autorisée Il est possible, en effet, dengager la responsabilité civile contractuelle de lhéberger du site. Pour cela, il faudrait examiner les clauses contenues dans le contrat dhébergement concernant notamment la sécurité du site et la mise en place de systèmes informatiques de protection contre toute forme dintrusion. Il faudrait aussi qualifier cette obligation de lhéberger : sagit-il dune obligation de résultat ou de moyens ? Dans la plus part de cas, il ne pourra sagir que dune obligation de moyens qui aura pour effet de contraindre le prestataire dapporter la preuve quil na pas manqué aux obligations normales qui lui incombaient, en cas dintrusion informatique non autorisée

34 34 Les apports de la loi sur la confiance dans Léconomie numérique. Le principe Le principe L'article 34 de la loi prévoit en effet d'insérer un article , al.1 au Code pénal qui serait rédigé comme suit : "Le fait de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles à est puni des peines prévues respectivement pour l'infraction elle même ou pour l'infraction la plus sévèrement réprimée." L'article 34 de la loi prévoit en effet d'insérer un article , al.1 au Code pénal qui serait rédigé comme suit : "Le fait de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles à est puni des peines prévues respectivement pour l'infraction elle même ou pour l'infraction la plus sévèrement réprimée." Les exceptions Les exceptions L'alinéa 2 du même article prévoit des exceptions lorsque de telles manœuvres sont justifiées par les besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes d'information. L'alinéa 2 du même article prévoit des exceptions lorsque de telles manœuvres sont justifiées par les besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes d'information. Ce nouvel article vise à sanctionner les personnes qui mettent à disposition les outils (notamment les virus informatiques ou les logiciels de prise de contrôle à distance) permettant de commettre les infractions qui sont d'ores et déjà réprimées pénalement. Ce nouvel article vise à sanctionner les personnes qui mettent à disposition les outils (notamment les virus informatiques ou les logiciels de prise de contrôle à distance) permettant de commettre les infractions qui sont d'ores et déjà réprimées pénalement.

35 35 LCEN L'aggravation des peines L'aggravation des peines La loi prévoit d'augmenter les peines prévues par les articles et suivants du Code pénal : La loi prévoit d'augmenter les peines prévues par les articles et suivants du Code pénal : · Les peines de un an d'emprisonnement et de euros d'amende se transforment en peine de deux ans d'emprisonnement et euros d'amende. · Les peines de un an d'emprisonnement et de euros d'amende se transforment en peine de deux ans d'emprisonnement et euros d'amende. · Les peines de deux ans d'emprisonnement et euros d'amende se transforment en peine de trois ans d'emprisonnement et euros d'amende. · Les peines de deux ans d'emprisonnement et euros d'amende se transforment en peine de trois ans d'emprisonnement et euros d'amende. · Les peines de trois ans d'emprisonnement et euros d'amende se transforment en peine de cinq ans d'emprisonnement et euros d'amende. · Les peines de trois ans d'emprisonnement et euros d'amende se transforment en peine de cinq ans d'emprisonnement et euros d'amende. L'introduction expresse de la terminologie informatique dans le L'introduction expresse de la terminologie informatique dans le Code de procédure pénale

36 36 Précisions de la jurisprudence sur des éléments indifférents Précisions de la jurisprudence sur des éléments indifférents Absence de nécessité d'un préjudice Absence de nécessité d'un préjudice L'accès ou le maintien frauduleux est sanctionné en lui-même, même en l'absence de tout préjudice. Ainsi, la captation d'informations ou l'utilisation du système ne sont pas requis dans la mesure où seul l'accès ou le maintien au système est incriminé l'article du Code pénal. L'accès ou le maintien frauduleux est sanctionné en lui-même, même en l'absence de tout préjudice. Ainsi, la captation d'informations ou l'utilisation du système ne sont pas requis dans la mesure où seul l'accès ou le maintien au système est incriminé l'article du Code pénal. Indifférence du mode d'accès Indifférence du mode d'accès Ainsi dans un arrêt du 5 avril 1994, la Cour d'appel de Paris a considéré que "l'accès frauduleux au sens de l'article du Code pénal issu de la loi du 5 janvier 1988 et au sens de l'article du Code pénal, vise tous les modes de pénétration irréguliers d'un système de traitement automatisé de données, que l'accédant travaille déjà sur la même machine mais à un autre système, qu'il procède à distance ou qu'il se branche sur une ligne de communication." Ainsi dans un arrêt du 5 avril 1994, la Cour d'appel de Paris a considéré que "l'accès frauduleux au sens de l'article du Code pénal issu de la loi du 5 janvier 1988 et au sens de l'article du Code pénal, vise tous les modes de pénétration irréguliers d'un système de traitement automatisé de données, que l'accédant travaille déjà sur la même machine mais à un autre système, qu'il procède à distance ou qu'il se branche sur une ligne de communication."

37 37 Absence de nécessité d'un dispositif de sécurité Il n'est pas nécessaire pour que l'infraction soit constituée, que l'accès au système soit limité par un dispositif physique ou logique de protection (exemple : firewall). Il n'est pas nécessaire de démontrer que le délinquant a "forcé" l'entrée du système. Il suffit que son exploitant ("le Maître du système") ait manifesté l'intention d'en restreindre l'accès aux seules personnes formellement autorisées. Il n'est pas nécessaire pour que l'infraction soit constituée, que l'accès au système soit limité par un dispositif physique ou logique de protection (exemple : firewall). Il n'est pas nécessaire de démontrer que le délinquant a "forcé" l'entrée du système. Il suffit que son exploitant ("le Maître du système") ait manifesté l'intention d'en restreindre l'accès aux seules personnes formellement autorisées.

38 38 Affaire Kitetoa c/ Tati SA Dans cette affaire, le responsable du site Kitetoa (site journalistique spécialisé dans la sécurité informatique) était poursuivi par la société Tati pour avoir accéder de manière répétée aux bases de données personnelles du site tati.fr. Dans cette affaire, le responsable du site Kitetoa (site journalistique spécialisé dans la sécurité informatique) était poursuivi par la société Tati pour avoir accéder de manière répétée aux bases de données personnelles du site tati.fr. Tati a poursuivi cette personne pour accès frauduleux dans son STAD. Le prévenu invoquait l'absence de protection du site. Le TGI de Paris dans une décision en date du 13 février 2002 a donné gain de cause à Tati, estimant que l'existence de faille de sécurité ne constituait "en aucun cas une excuse ou un prétexte pour le prévenu d'accéder de manière consciente et délibérée à des données dont la non protection pouvait être constitutive d'une infraction pénale." Tati a poursuivi cette personne pour accès frauduleux dans son STAD. Le prévenu invoquait l'absence de protection du site. Le TGI de Paris dans une décision en date du 13 février 2002 a donné gain de cause à Tati, estimant que l'existence de faille de sécurité ne constituait "en aucun cas une excuse ou un prétexte pour le prévenu d'accéder de manière consciente et délibérée à des données dont la non protection pouvait être constitutive d'une infraction pénale." Toutefois, bien que la loi Godfrain n'impose pas de protéger un système, son exploitant doit néanmoins prendre certaines précautions du fait d'autres réglementations, et notamment du fait de la loi "Informatique et libertés" du 6 janvier Toutefois, bien que la loi Godfrain n'impose pas de protéger un système, son exploitant doit néanmoins prendre certaines précautions du fait d'autres réglementations, et notamment du fait de la loi "Informatique et libertés" du 6 janvier En effet, l'article du Code pénal réprime le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment d'empêcher qu'elles ne soient communiquées à des tiers non-autorisés. En effet, l'article du Code pénal réprime le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment d'empêcher qu'elles ne soient communiquées à des tiers non-autorisés. Cependant dans son arrêt en date du 30 octobre 2002, la Cour d'Appel de Paris a Cependant dans son arrêt en date du 30 octobre 2002, la Cour d'Appel de Paris a réformé le jugement au motif que le fait d'accéder à des données nominatives stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n'était pas constitutif d'un accès et d'un maintien frauduleux dans un STAD. réformé le jugement au motif que le fait d'accéder à des données nominatives stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n'était pas constitutif d'un accès et d'un maintien frauduleux dans un STAD. La Cour a considéré qu'il ne pouvait être reproché à un internaute d'accéder ou ;utilisation d'un navigateur grand public". La Cour ajoute que ces parties ne faisaient pas l'objet d'une protection de la part de l'exploitant du site ou de son prestataire de service et qu'elles devaient, à ce titre, être réputées non confidentielles, à défaut de toute mention contraire. La Cour a considéré qu'il ne pouvait être reproché à un internaute d'accéder ou ;utilisation d'un navigateur grand public". La Cour ajoute que ces parties ne faisaient pas l'objet d'une protection de la part de l'exploitant du site ou de son prestataire de service et qu'elles devaient, à ce titre, être réputées non confidentielles, à défaut de toute mention contraire. On peut donc considérer que la Jurisprudence crée une présomption simple, selon laquelle l'accès et le maintien dans un STAD (en l'espèce un site) non protégé permettant ainsi son accès par l'utilisation d'outil grand public (en l'espèce un navigateur) n'est pas répréhensible car non frauduleux au titre de l'infraction de l'article du Code pénal. On peut donc considérer que la Jurisprudence crée une présomption simple, selon laquelle l'accès et le maintien dans un STAD (en l'espèce un site) non protégé permettant ainsi son accès par l'utilisation d'outil grand public (en l'espèce un navigateur) n'est pas répréhensible car non frauduleux au titre de l'infraction de l'article du Code pénal.

39 39 Conclusion les pouvoirs publics en France ont procéder a dimportantes réformes renforçant ainsi les instruments de lutte contre la cybercriminalité.le législateur est intervenu a plusieurs reprises dans ce domaine avec la loi n du 15 novembre 2001 relative a la sécurité quotidienne ;La loi n du 18 mars 2003 pour la sécurité intérieure ; Loi n du 21 juin 2004 pour la confiance dans léconomie numérique.et la loi n du 09 mars 2004 portant adaptation de la justice aux évolutions de la criminalité ;une loi du 05 mars 2007 relative a la prévention de la délinquance vient sajouter a cet arsenal juridique. les pouvoirs publics en France ont procéder a dimportantes réformes renforçant ainsi les instruments de lutte contre la cybercriminalité.le législateur est intervenu a plusieurs reprises dans ce domaine avec la loi n du 15 novembre 2001 relative a la sécurité quotidienne ;La loi n du 18 mars 2003 pour la sécurité intérieure ; Loi n du 21 juin 2004 pour la confiance dans léconomie numérique.et la loi n du 09 mars 2004 portant adaptation de la justice aux évolutions de la criminalité ;une loi du 05 mars 2007 relative a la prévention de la délinquance vient sajouter a cet arsenal juridique. La jurisprudence a son tour sest adapter a cette nouvelle forme de criminalité liée aux nouvelles technologies et a fait preuve de rigueur en ce qui concerne lapplication des textes en matière datteintes aux STAD ; tout en laissant une marge aux principes fondamentaux du droit pénal pour sappliquer ;notamment la prise en compte de la bonne foi du prévenu sous réserve de certaines conditions ;la jurisprudence a également instaurer des principe constants dans la matière tel que : labsence de nécessité d'un dispositif de sécurité ; Indifférence du mode d'accès ; Absence de nécessité d'un préjudice. Néanmoins la réussite nest pas totalement acquise ;il faut donc faire face a dautre défis ;a dautre forme de cyber délinquance la tache sannonce difficile pour la jurisprudence qui manœuvre dans un terrain dit « virtuel » qui peut se montrer comme on la déjà vu très destructif dans une société ou les réseaux et les systèmes informatiques sont devenu laxe générateur de la vie économique,sociale et politique. La jurisprudence a son tour sest adapter a cette nouvelle forme de criminalité liée aux nouvelles technologies et a fait preuve de rigueur en ce qui concerne lapplication des textes en matière datteintes aux STAD ; tout en laissant une marge aux principes fondamentaux du droit pénal pour sappliquer ;notamment la prise en compte de la bonne foi du prévenu sous réserve de certaines conditions ;la jurisprudence a également instaurer des principe constants dans la matière tel que : labsence de nécessité d'un dispositif de sécurité ; Indifférence du mode d'accès ; Absence de nécessité d'un préjudice. Néanmoins la réussite nest pas totalement acquise ;il faut donc faire face a dautre défis ;a dautre forme de cyber délinquance la tache sannonce difficile pour la jurisprudence qui manœuvre dans un terrain dit « virtuel » qui peut se montrer comme on la déjà vu très destructif dans une société ou les réseaux et les systèmes informatiques sont devenu laxe générateur de la vie économique,sociale et politique.

40 40 Merci pour votre attention. DOUNIAZED GUELLATI Décembre Décembre 2008.


Télécharger ppt "1 Ministère de la Justice Cour de Guelma Les atteintes aux systèmes de traitement automatisé des données. Communication présenté par : Mme Guellati Douniazed."

Présentations similaires


Annonces Google