L’acces et le maintien frauduleux dans un systeme d’information

Publié le 01/04/2006 - lacces-et-le-maintien-frauduleux-dans-un-systeme-dinformation

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un « système de traitement automatisé de données » constitue une infraction punie de deux ans d’emprisonnement et de 30.000 euros d’amende (CP., art. 323-1, al 1) et toute tentative est punie des mêmes peines (CP., art. 323-7). Cette disposition vise à sanctionner ceux qui cherchent à prendre connaissance d’informations, confidentielles ou non, figurant dans des systèmes de traitement automatisé de données dont l’accès leur est interdit. Il conviendra donc de faire la preuve, d’une part, du caractère frauduleux de l’accès, d’autre part, du caractère intentionnel de la pénétration illicite.

La preuve du caractère frauduleux de l’accèsSi le caractère protégé ou non du système n’est pas une condition requise pour la mise en œuvre de l’article 323-1 du Code pénal, il faci¬lite à l’évidence la démonstration du caractère frauduleux de l’accès. La preuve pourra en effet résulter, par exemple, du contournement ou de la violation d’un dispositif de sécurité (comme la suppression délibérée des instructions de contrôle), de l’insertion d’un fichier espion enregis¬trant les codes d’accès des abonnés (« cookies », « cheval de Troie » …), d’une connexion pirate visant à interroger à distance un système, de l’appel d’un programme ou d’une consultation de fichier sans habilita¬tion. En revanche, la preuve ne sera pas rapportée si l’accédant est en situation d’accès normal, par exemple s’il a procédé à une consultation d’informa¬tions rendues accessibles au public ou encore si l’accès n’est que le résultat d’une erreur.

La preuve de l’élément intentionnelLorsque l’intrusion est effectivement le fait d’une erreur, le simple fait de se maintenir dans le système pourra être constitutif d’une fraude. En effet, une prolongation indue de la présence de l’accédant, par exemple au-delà du temps autorisé, et son intervention dans le système pour visualiser ou réaliser une ou plusieurs opérations sont autant d’indi¬ces qui concourent à la démonstration du caractère intentionnel de l’intrusion et du maintien anormal dans le système de l’accédant.

Lorsque l’accès ou le maintien frauduleux a provoqué « soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45.000 euros d’amende » (CP., art. 323-1, al. 2). Dans l’esprit du texte, les dégradations provoquées sont alors involontaires : elles sont la conséquence de l’accès ou du maintien frauduleux dans le système, sans que leur auteur ait voulu délibérément lui porter atteinte. Il conviendra toutefois et comme précé¬demment d’en rapporter la preuve : la suppression, la modification d’une donnée, l’altération du fonctionnement du système sont ici encore des indices significatifs.

Autres publications