Du juridique au technique : la nique au hacking ! Approche juridique Par Diane MULLENEX ICHAY & MULLENEX Avocats Paris-France

La cybercriminalité et le droit La cybercriminalité est définie comme toute infraction commise sur le réseau internet et portant atteinte à des systèmes informatiques ainsi qu’aux données qu’ils contiennent. Types d’infractions de cybercriminalité : Atteintes aux droits de propriété intellectuelle. Infractions liées au contenu (à caractère raciste ou pornographique, par exemple) pour lesquelles les systèmes informatiques ne sont que les outils de l’infraction. Atteintes aux intérêts d’une entreprise : virus, fraude (interne ou externe à l’entreprise), piratage… Dans ces cas, les systèmes d’information sont l’objet même de l’infraction et ce sont ces infractions qui sont problématiques pour les entreprises.

1. Les outils juridiques en prévention d’un acte cybercriminel En complément des outils techniques de lutte contre la cybercriminalité, de bons outils de travail juridiques assurent une sécurité supplémentaire à l’entreprise.

Une protection structurelle : la charte informatique La charte informatique signée par l’ensemble des employés assure à tous un usage sécurisé des outils informatiques au sein de l’entreprise en : Etablissant des règles générales définissant précisément les droits et obligations de chacun dans l’usage des technologies de l’entreprise. Informant les employés des modes de surveillance et de contrôle utilisés pendant les heures de travail. Décrivant les sanctions applicables en cas de non respect de la charte.

La protection structurelle : la charte informatique Conditions de mise en œuvre de la charte informatique : Respect du principe de proportionnalité (L1121-1 du Code du travail). Respect de l’obligation d’information de la CNIL concernant toute collecte de données liées à l’application de la charte. Respect de l’obligation d’information du salarié des données recueillies dans le cadre des mesures de contrôle. Respect de l’obligation d’information des représentants des salariés des mesures de contrôle appliquées.

La protection contractuelle : Dans les contrats conclus avec les prestataires de services techniques, il faut que : Le périmètre d’intervention, les prestations et leur niveau de qualité soient définis très précisément pour des raisons de preuve et d’engagement de responsabilité en cas d’inexécution des obligations contractuelles. L’obligation de conseil du prestataire soit inclue au contrat et clairement définie. La confidentialité des données sensibles échangées ou manipulées dans le cadre du contrat soit garantie efficacement. L’entreprise cliente reste méfiante face aux clauses limitatives ou exonératoires de responsabilité suggérées par le prestataire. Soient envisagées l’obligation d’information et les suites du contrat en cas de signature d’un contrat équivalent par le prestataire avec un concurrent de l’entreprise cliente.

2. Les outils juridiques de l’entreprise victime d’un acte cybercriminel Quelles infractions invoquer ? Quelles sont les modalités de constitution de preuve des infractions ? Quelles procédures judiciaires suivre ?

Les infractions de cybercriminalité Des atteintes aux systèmes de traitement automatisé de données (STAD) invocables par l’entreprise victime L’accès frauduleux à un STAD (article 323-1 du Code pénal ) : Puni de 2 ans d’emprisonnement et de 30.000 € d’amende. Pour que l’infraction soit caractérisée, il faut une volonté de l’auteur de l’infraction d’accéder à un système informatique sans autorisation ainsi qu’un accès ponctuel ou un maintien au sein du système. Un préjudice n’est pas nécessaire puisque l’intrusion en elle-même constitue l’infraction (ou même la tentative d’intrusion : 323-7). La suppression des données ou l’altération du système sont des circonstances aggravantes. Le fait d’entraver ou de fausser le fonctionnement d’un STAD (article 323-2 CP) : Puni de 5 ans d’emprisonnement et de 75.000 € d’amende. L’entrave constitue l’impossibilité totale ou partielle de faire fonctionner le système correctement (ralentissement, paralysie…). Pour que l’infraction soit constituée, il faut un acte positif d’entrave et la volonté d’entraver le système.

Des atteintes aux systèmes de traitement automatisé de données invocables par l’entreprise victime (suite) L’utilisation frauduleuse de données dans un STAD (article 323-3 CP): Puni de 5 ans d’emprisonnement et de 75.000 € d’amende. L’introduction frauduleuse de données : dans ce cas, l’élément moral se déduit de l’élément matériel car l’auteur est conscient de son intrusion sans autorisation. La suppression ou modification frauduleuse des données : à nouveau l’élément moral est lié à l’élément matériel. Exemple : les virus. La détention ou la fabrication de virus informatiques (article 323-3-1 CP) : Peine variant en fonction de l’infraction visée. Dans ce cas, une intrusion dans un système informatique n’est pas nécessaire. Sauf motif légitime (apprécié par les juges), la seule détention permet de qualifier l’infraction, à condition que l’élément moral soit également constaté. La participation à un groupement formé ou à une entente établie afin de porter atteinte aux STAD (article 323-4 CP): Condamnation d’une infraction réalisée en bande organisée.

Principes gouvernant l’administration de la preuve au pénal: Validité juridique des modes de preuve employés pour contaster l’infraction Principes gouvernant l’administration de la preuve au pénal: Principe de la présomption d’innocence : article préliminaire du Code de procédure pénale. C’est au demandeur de prouver la culpabilité du défendeur. Principe de liberté de la preuve : tout mode de preuve est admissible, mais principe limité par le principe de légalité selon lequel le mode de preuve doit être prévu par la loi et règlementé par celle-ci. Article 427 Code de procédure pénale. Principe de loyauté : implicitement énoncé à l’article 6-1 de la convention européenne des droits de l’homme et dans l’article préliminaire du Code de procédure pénale.

Qu’entend-on par « loyauté de la preuve » en droit pénal ? Une administration de la preuve respectant des conditions de proportionnalité et de transparence. Une obligation de respecter les droits fondamentaux de l’ensemble des parties au litige. Une obligation d’information de ses salariés et des représentants du personnel des mesures prises au sein de l’entreprise pour apporter la preuve d’un acte cybercriminel (en cas de cybercriminalité interne). Un respect du principe du contradictoire et des droits de la défense. Un refus de production de fichiers temporaires, ceux-ci étant enregistrés automatiquement et ne pouvant donc démontrer une intention de copier de la part du délinquant (Crim. 5 janvier 2005). L’invalidité du mode de preuve tiré de la provocation à la commission de l’infraction (Crim. 7 février 2007): car est à l’origine de la commission de l’infraction, contrairement à la provocation à la preuve, légalement admise, car elle se contente de prouver une infraction déjà réalisée ou en cours. Conséquence : rejet de toute preuve ne respectant pas le principe de loyauté.

Qu’entend-on par « loyauté de la preuve » en droit civil et commercial ? Une fois que l’entreprise a obtenu la condamnation pénale du délinquant, elle peut vouloir obtenir réparation du préjudice subi devant les tribunaux civils ou commerciaux, ou procéder au licenciement du salarié délinquant : En matière civile, la preuve se rapporte différemment en présence d’actes juridiques ou de faits juridiques : Actes juridiques : soumis au système de preuve légale (acte authentique, acte sous seing privé, aveu ou le serment décisoire). Certains modes de preuve imparfaits sont laissés à la libre appréciation du juge (présomptions, témoignage, enregistrements…). Faits juridiques : soumis au principe de liberté de la preuve. En droit commercial, la preuve est libre (article L110-3 Code de commerce).

Les dangers des modes de preuve illégaux : quand l’entreprise victime devient elle-même délinquante… Responsabilité pénale : Les limites au recueil d’information pour constituer ses preuves : Le fait de procéder à un traitement automatisé de données personnelles sans prendre toutes les précautions utiles pour préserver leur sécurité est puni par l'article 226-17 du Code pénal. En cas d’attaque interne, l’entreprise a l’obligation d’informer le salarié qu’un recueil de données est réalisé à son égard. Si, pour obtenir des preuves des actes cybercriminels, l’entreprise victime a collecté des données personnelles sans le consentement des personnes concernées, elle peut se voir condamner par l’article 226-18 du code pénal. Une intrusion, même motivée, dans les données de l’attaquant reste un délit. Application des articles 323-1 et suivants du Code pénal. Responsabilité civile : L’entreprise peut voir sa responsabilité engagée pour les dommages causés à une tierce personne dans le cadre des dommages causés en raison de la faiblesse de protection des « honeypots » : pots de miels destinés à attirer les hackers dont certains font prendre le risque à l’entreprise de subir quelques dommages au prix de déceler un acte cybercriminel sur son système informatique. Engagement de sa responsabilité délictuelle sur le fondement de l’article 1382 du Code civil.

Les organes compétents pour l’enquête à mener contre un cybercriminel : l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) : enquêtes, investigations, assisté par les services de police et de gendarmerie et DGCCRF. La brigade d’enquête sur les fraudes aux technologies de l’information (BEFTI) La brigade centrale de répression de la criminalité informatique (BCRCI)

ICHAY & MULLENEX Avocats 5 rue de Monceau - 75008 Paris Tel : +33 1.42.89.19.80 Fax : +33 1.42.89.14.99 Diane Mullenex Avocat à la Cour Solicitor England & Wales mullenex@ima-avocats.com