Sony est, à nouveau, victime d’un piratage de données appartenant à ses utilisateurs. En un mois, ce sont pas moins de trois attaques successives à l’encontre de la firme japonaise. Au cours de la même période, les données de Facebook, Google et de la sainte-Hadopi ont connu de pareilles déconvenues. Mais que risquent les Hackers ?
Le droit français connait depuis très longtemps des incriminations spécifiques en cette matière. Ainsi dès 1988, par une loi Godfrain, le législateur s’est saisi de la question en y apportant des réponses pénales, supposées dissuader les hackers et, par suite, sécuriser le patrimoine informatique des entreprises françaises.
C’est ainsi qu’a été institué un article 323-1 (alinéa 1er) dans le Code Pénal. Depuis lors :
« Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende »
I - Qu’est ce qu’un système de traitement automatisé de données (STAD)?
Il n’existe pas, à proprement parlé, de définition du STAD.
Toutefois, la jurisprudence française accepte très facilement qu’un système soit considéré comme un STAD.
A titre d’exemple, le Système de carte bleue a été qualifié de traitement automatisé de données.
Dans l’idée on s’en doutait, mais reste le « pourquoi » !
En effet, les magistrats refusent d’affiner leur analyse et tranchent tout net :
« le système CB est, au sens de l’article 323-1 du Code pénal, un système de traitement automatisé de données » (TGI Paris, 25 février 2000)
Au revoir et merci. « Pourquoi ? Mais parce que ! »
On s’entendra pour conclure qu’une telle jurisprudence n’est pas favorable aux Hackers.
Selon l’humeur des magistrats, tel ou tel système sera, ou ne sera pas, un STAD.
II - L’accès frauduleux
S’agissant de l’accès frauduleux, les magistrats ont réalisé un effort supérieur à celui fourni précédemment à propos des STAD. Ainsi :
« l’accès frauduleux (...) vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données » (TGI Paris, 5 avril 1994).
Autant se le dire, c’est très large comme définition. Mais elle a au moins le mérite d’exister !
Aux termes de cette même décision, l’accédant (le méchant dans l’histoire) sera coupable qu’il soit sur place ou chez lui (en local ou à distance).
Point très important : « peu importe le mobile de l’accès frauduleux et notamment de mettre à jour les failles des sites gouvernementaux ». (TGI Paris, 12ème chambre)
Cette dernière décision rend caduque, avant même d’avoir été avancée, la justification que sont susceptibles d’apporter les anonymous et autres Bluetouff...
Reste cependant quelques moyens d’échapper à cette incrimination :
- D’une part, « En l’absence de mise en place d’une protection ou de manifestation de volonté par les dirigeants d’une entreprise, de restreindre l’accès au système informatisé de données, le délit n’est pas constitué ». (TGI Paris, 8 décembre 1997)
Avec une telle jurisprudence et compte tenu des maigres moyens mis en place par SONY, on peut presque imaginer que les Hackers n’ont rien à craindre dans cette affaire.
En tout état de cause, ca se plaide...
- D’autre part « le prévenu parfaitement habilité par ses fonctions à accéder à la partie du système informatique contenant les données sensibles, doit être relaxé ». (TGI Grenoble, 4 mai 2000)
Logique !
Par Thomas Adhumeau
Par Thomas Adhumeau
