Anne SMAL Droit : criminalité info Juin 2016

Criminalité informatique
Loi du 28 novembre 2000

Intro
Les infractions conventionnelles sont punies par le code pénal.

 Principe de légalité des infractions et des peines :

• nullum crimen sine lege : pas d’infraction sans législation

• nulla pœna sine lege : pas de peine sans légilation

• droit pénal => interprétation STRICTE (pas extensive ou analogique)

Mais interprétation évolutive possible sous condition :

- respect de l’intention du législateur

- Compatibilité avec la lettre du texte

QUID Infractions nouvelles via informatique ? vide juridique  loi du 28 nov. 2000
(Affaire Bistel et Red Attack) PS : vol suppose substitution d’1 bien matériel… dc pas ici

Principe territorial du droit pénal

Les juges BELGES incriminent selon loi BELGE des infractions commises en BELGIQUE
Ou commises à l’étranger SSI appréhendé en Belgique et double incrimination

Loi du 28 novembre 2000 : deux volets

1. Nouvelles infractions informatiques (introduites dans le Code pénal)
Le faux en informatique (art 210bis)

Dissimulation intentionnelle de la vérité…

- Elément matériel : manipulation (introduction, modification ou effacement) de données
électroniques… pertinentes sur le plan juridique
- Elément moral : dol spécial1 (intention frauduleuse ou dessein de nuire) =/= dol général2
Exemples :
- falsification/contrefaçon de cartes de crédit
- faux contrats numériques
- inscription de créances fictives
- falsification de données salariales
- falsification d’une signature électronique

En général : pas de différence entre « réelle » et « virtuelle »

Mais ici : pour le faux en informatique, pas de distinction entre l’auteur et la nature
(contrairement aux faux papiers)
(PS : si +eur infractions :
Faire un faux et l’utiliser est différent mais tous les deux punis peine la plus lourde. Pas
Tentative est punie aussi somme des peines)
en cas de récidive : peine doublé

1
But de nuire
2
Simple prise de conscience du fait que ce n’est pas bien

1
Anne SMAL Droit : criminalité info Juin 2016

La fraude informatique (art 504quater)

vise : celui qui cherche à se procurer un avantage économique illégal par le biais d’une manipulation
illicite de données informatiques

Exemples :
- utilisation de carte de crédit volée à un distributeur automatique de billets
- manipulation par un employé de banque sur les comptes des clients
- détournement à des fins lucratives de fichiers ou programmes confiés dans un but spécifique

C’est vague… Quid des cookies ?

Tentative est punie aussi.
Peine doublée si récidive.

L’accès non autorisé à un système

Accès non autorisé ou maintien dans un système

- externe : dol général suffit mais si intention fraudeuse -> peine aggravée
- interne : dol spécial
Circonstances aggravantes (§ 3) :

 reprendre, de quelque manière que ce soit, les données stockées, traitées ou transmises

(cf. espionnage industriel : vol de secrets d’entreprise)

 faire un usage quelconque d’un système appartenant à un tiers ou s’en servir pour accéder au
système d’un tiers

 cause un dommage quelconque, même non intentionnellement (?), au système ou aux données ou au
système d’un tiers ou aux données y stockées, traitées ou transmises

Tentative 550bis p5  Tentatives punies par même peines

commerce des hackers Tools, trafic codes…

Peine doublée si récidive.

Commanditaire sévèrement punissable

Le sabotage informatique (art 550ter)

vise des actes de destruction

Exemples :
 destruction de fichiers
 fait de rendre inutilisable un système
 conception / diffusion de virus

Circonstances aggravantes :
 sabotage cause un dommage effectif (§ 2)
 sabotage entrave le bon fonctionnement du système concerné (§ 3)

Tentatives punies
Peine doublées si récidive
Commanditaire pas forcement sanctionné

2
Anne SMAL Droit : criminalité info Juin 2016

2. Adaptation des règles de procédure pénale à la lutte contre la cybercriminalité

(modifications dans le Code d’instruction criminelle)
La saisie de données informatiques (39bis)

Quid des concepts de saisie et de perquisition appliqués à des données immatérielles ?

Le Code d’instruction criminelle n’autorisait pas la saisie de données immatérielles

Art 39bis : Code d’instruction criminelle autorise :

- la copie des données (saisie = copie rue support de l’autorité)
- le fait de rendre inaccessibles et de retirer des données stockées dans un système informatique
Nouveau mode de saisie « sans dépossession » !

• données copiées sur des supports de l’autorité

• urgence ou raisons techniques : données copiées sur des supports de l’entreprise
perquisitionnée
• copie des « données nécessaires pour les comprendre » : logiciels, clés de décryptage
• procureur du Roi peut empêcher l’accès aux données copiées (not. par chiffrement)
• élimination de données contraires à OP ou BM
• information sur les données « saisies » dans le système d’un tiers (ou résumé)

La recherche sur les réseaux

Art. 88ter : autorisation d’une extension de la recherche vers d’autres systèmes

Conditions :
 extension nécessaire pour la manifestation de la vérité à l’égard de l’infraction
 autres mesures disproportionnées ou risque de perte des éléments de preuve
Limite :
 « L’extension de la recherche sans un système informatique ne peut pas excéder les
systèmes informatiques ou les parties de tels systèmes auxquels les personnes autorisées à
utiliser le système informatique qui fait l’objet de la mesure ont spécifiquement accès » (art.
88ter, § 2)
 Limites raisonnables assignées à la couverture géographique de l’extension de la recherche

 données recueillies par l’extension de la recherche peuvent être « saisies » (§ 3)

 données localisées à l’étranger peuvent seulement être copiées (§ 4)

Obligations d’information et de coopération

Cryptosystèmes… = obstacle pour les enquêteurs

 art. 88quater : ils peuvent ordonner de fournir les informations sur fonctionnement du
système et sur manière d’y accéder (craquer les protections, déchiffrer les données codées…)
Réserve : l’inculpé et ses proches (droit au silence)

Personnes tenues de coopérer :

- responsable du système informatique concerné
- principaux utilisateurs
- gestionnaire du réseau
- concepteur / fournisseur du logiciel de décryptage
- tiers de confiance (PSC…)
- experts en cryptographie…

3
Anne SMAL Droit : criminalité info Juin 2016

Peut-on exiger les clés de chiffrement ? Danger car peut accéder à d’autres infos et les clés peuvent
tombées dans de mauvaises mains

Art. 90quater, § 4, CIC : devoir de coopération pour faciliter le déchiffrement des données transmises
• débiteurs : opérateurs de réseaux, fournisseurs de services de télécoms + FAI, fournisseurs
de services de messagerie, de forums de discussion, de chat, d’outils de cryptographie…
• actes de coopération visés : faciliter le branchement des autorités sur le réseau pour écoutes
et interceptions + fournir des informations sur le fonctionnement du système, l’accès aux
données et le déchiffrement de celles-ci

L’interception des télécommunications

Écoute téléphonique SSI il y a enquête en cours  pareil en écoute électronique