Ethiques et lois de « IT »

Introduction :

La notion des lois :

Le droit est l'ensemble des règles juridiques qui
définissent les droits et les devoirs ainsi que la
responsabilité de chacun. Ces règles sont contraignantes,
c'est-à-dire qu'on est obligé de les respectées sous peine
de sanction.
On distingue traditionnellement le droit, conçu comme
un mode d’organisation de la vie en société, et les droits ,
entendus comme prérogatives individuelles qui en
résultent. Le premier, défini par son objet, l’organisation de
la vie sociale , est qualifié de droit objectif. Les seconds
envisagés par rapport à leurs sujets, sont appelés droits
subjectifs.
Quant à la loi elle est toute règle de droit écrite, formulée
par un organe étatique compétant dans l’exercice du
pouvoir législatif ou exécutif.
En tant que règle de droit, la loi est générale,
permanente et abstraite. Cela ne signifie pas que toutes les
lois s’appliquent à tous les membres du corps social.il faut
que l’individu soit dans les conditions légales pour que la
règle lui soit appliquée. Certaines dispositions par exemple,
ne concerne que les commerçants .mais la règle est
générale dans la mesure où elle vise toute une catégorie
de personnes définie de façon abstraite. Elle est
permanente car elle a vacation à s’appliquer à cette
catégorie de personnes jusqu’à son abrogation.
La loi est donc une source de droit , une forme de
réalisation du droit.
La loi émane de sources diverses qui sont organisées
en un système hiérarchisé de normes de règles. Toutefois,
elle doit être appliquée quelle que soit sa source.
Cette hiérarchie est déterminée selon la source de la loi
constitutionnelle, émanant du pouvoir constituant,
convention internationale, les lois du pouvoir législatif et le
règlement du pouvoir exécutif.
Elle est ordonnée selon le pyramide de « Kelsen ».

La notion d’éthique informatique :

Quant à l’éthique on peut la définir comme étant la
science de la morale. Ensembles des conceptions morales
de quelqu’un, d’un milieu. Alors que la morale définit des
principes ou des lois en générales, l’éthique est une
disposition individuelle, dans un contexte et cadre bien
déterminé.
 La notion du droit de l’informatique
Dans la mesure où nul n'est censé ignorer la loi, toute
personne utilisant un ordinateur doit connaître les grands
principes du droit de l'informatique, de la même manière
que tout usager de la route (qu'il soit piéton, conducteur de
deux roues ou automobiliste) a l'obligation de connaître le
code de la route.
Le droit de l'informatique n'est donc pas une science à
réserver aux juristes, mais il doit être compris et assimilé
par tous les utilisateurs de l'outil informatique.
A noter également que connaître et appliquer le droit de
l'informatique ne suffit pas pour autant : il faut
également apprendre les règles de bon usage qui sont
en vigueur sur Internet. En tant qu'internaute et usager
des technologies de l'information et de la communication, il
est important que vous ayez connaissance de vos droits
afin de les faire valoir et de ceux d'autrui afin de les
respecter.
L’informatique a toujours eu des rapports conflictuels
avec le droit et il y a plusieurs raisons à ce phénomène.
La 1ère raison est que la technologie évolue beaucoup
plus vite que le droit.
La 2ème raison est que le droit de l’informatique est par
nature complexe si bien que les utilisateurs d’ordinateur ne
font pas toujours la différence entre ce qui est permis et ce
qui est interdit.
 Enfin on peut arriver à un double constat : le droit de
l’informatique est méconnu et peu appliqué. Nous ne le
répéterons jamais assez : Internet n'est pas une zone de
non droit et il existe désormais de nombreuses lois
nationales et internationales qui encadrent la pratique de
l'outil informatique. Il y a par conséquent un risque juridique
réel à utiliser un ordinateur en méconnaissant les lois
traitant de l'informatique dont l'expérience montre qu'elles
sont très mal connues ; cette méconnaissance de la loi
pose de nombreux problèmes et nous allons donc tenter de
faire un survol rapide de toutes les lois qu'il faut
absolument connaître, si ce n'est par coeur, du moins dans
les grands principes, afin d'améliorer votre sécurité
juridique quand vous utilisez un ordinateur.
Si le droit de l'informatique a pu paraître balbutiant au
début des années 1980, l'arsenal juridique s'est étoffé au fil
des ans, les avocats et les juristes se sont formés et on
commence aujourd'hui à avoir une jurisprudence
conséquente.
Dans la pratique, connaître la loi permet :
♦ de vous empêcher de commettre une infraction ;
♦ de demander réparation en justice si vous êtes victime
d'une infraction

Cet ensemble de règles on le trouve éparpillé parfois

dans le code des obligations et des contrats,
 . Code de télécommunication
· Le code des obligations et des contrats, y compris
la loi N°57 du 13/6/2000 modifiant et complétant certains
articles du Code des obligations et des contrats.
· La loi N°83 du 9/8/2000 relative aux échanges et
au commerce électroniques.
· Loi n° 2005-51 du 27 juin 2005, relative au
transfert électronique de fonds.
- Sécurité informatique :
· Loi n° 99-89 du 2 aout 1999, modifiant et
complétant certaines dispositions du code pénal relative au
Cybercriminalité, Articles : 199 bis et 199 ter.
· Loi n° 5 - 2004 du 3 février 2004, relative à la
sécurité informatique et portant sur l'organisation du
domaine de la sécurité informatique et fixant les règles
générales de protection des systèmes informatiques et des
réseaux.
· Décret n° 1248 - 2004 du 25 mai 2004, fixant
l'organisation administrative et financière et les modalités
de fonctionnement de l’A.N.S.I.
· Décret n° 1249 - 2004 du 25 mai 2004, fixant les
conditions et les procédures de certification des experts
dans le domaine de la sécurité informatique.
· Décret n° 1250 - 2004 du 25 mai 2004, fixant les
systèmes informatiques et les réseaux des organismes
soumis a l'audit obligatoire périodique de la sécurité
informatique et les critères relatifs a la nature de l'audit et a
sa périodicité et aux procédures de suivi de l'application
des recommandations contenues dans le rapport d'audit.
· Loi organique n° 63 - 2004 du 27 juillet 2004,
portant sur la protection des données à caractère
personnel.
· Circulaire n° 19 - du 11 avril 2007, relatif au
renforcement des mesures de sécurité informatique dans
les établissements publiques (Création d'une Cellule
Technique de Sécurité, nomination d'un Responsable de la
Sécurité des Systèmes d'Information RSSI ; et mise en
place d'un Comité de pilotage).
· Circulaire n° 22 - 2004, portant sur la sureté des
locaux appartenant aux ministères et aux entreprises
publiques.
· Circulaire n° 19 du 18 juillet 2003, relatif aux
mesures de sécurité et de prévention des bâtiments des
ministères et des collectivités locales et des entreprises
publiques.
· Loi organique du 27 juillet 2004, relatives à la
protection des données à caractère personnel.
· Convention européenne sur la cybercriminalité du
23 novembre 2001, entrée en vigueur le 01 juillet 2004.
 · Convention des Nations Unies sur l’utilisation de
communications électroniques dans les contrats
internationaux du 23 novembre 2005.
Il ya une tendance et volonté émanant des intervenants
dans le domaine informatique et cette volonté s’est traduite
par l’élaboration d’un projet de loi « un projet du code
numérique ».
Cette volonté est traduite par un projet de loi élaboré en
30 octobre 2018 est n’est pas encore soumis à
l’approbation du pouvoir législatif.
Pour assurer une bonne application des règles édictées
par le droit de l’informatique le législateur a énoncé des
dispositions pénales donc il a incriminé certains actes qui
présentent un danger pour les intervenants du domaine de
l’informatique et une stratégie de sécurité informatique.
 Article I. Les infractions citées dans le droit
informatique :

Notion de cybercriménalité :
La « criminalité informatique » équivalent de la notion
« fraude informatique», « délinquance assistées par
ordinateur», « criminalité liée à l'informatique» qui sont
presque sur toutes les lèvres aujourd'hui ne recouvre pas une
catégorie d'infractions clairement définies, mais un ensemble
flou d'activités illicites liées à l'informatique.
La criminalité informatique est un vaste domaine, dont les
frontières ne sont pas toujours faciles à définir. Chaque pays
a une législation différente à ce sujet, et a réagi plus moins
vite face a ces problèmes. Dans les ouvrages et documents
qui traitent la criminalité informatique, on trouve de très
nombreuses définitions, dont certaines sont restreintes et
précises, et d'autres larges et générales
Il existe une certaine confusion entre les différents
groupes d’individus qui commettent, ou semblent
commettre, des cyber crimes.
Un premier groupe, les white hat hackers, travaillent
pour des sociétés de sécurité ou encore dans le milieu
académique. Leur objectif est de tester la sécurité de
logiciels et d’équipements avec l’autorisation de leurs
propriétaires. Ils n’ont donc aucune intention malicieuse,
bien au contraire. Ils utilisent les mêmes outils que les
cybercriminels aussi connus sous le nom de black hat
hackers ou encore de crackers.
Les black hat hackers sont les individus qui commettent
des crimes pour leur gain personnel ou pour leur plaisir.
Le troisième et dernier groupe d’individus forme un
hybride et est connu sous le nom de grey hat hackers. Ces
derniers cherchent aussi à tester la sécurité des logiciels et
d’équipements, mais sans l’autorisation de leurs
propriétaires .Ils utilisent leur sens éthique pour défendre
leurs crimes en affirmant agir avant tout pour avertir les
individus et compagnies des problèmes dans leur sécurité.
On distingue à ce niveau deux sortes de crimes dans le
domaine informatique.
Des crimes dont l’informatique est la cible.
Des crimes dont l’informatique est l’instrument.

Partie 1 : les crimes dont le système informatique

est l’instrument :
Ce type d'infraction relève de ce qu'on peut appeler la
délinquances assistée par ordinateur, elle comprend les
cas ou l'ordinateur facilite le travail des criminels mais n'est
pas essentiel. Et leur qualification pénale se rattache a
celle des infractions classiques.
 La societe contemporaine est à l'ère de la révolution
dans la domaine de la technologie de l'information. Les
ordinateurs sont maintenant à la portée de la plupart des
individus, au double point de vue de l'accessibilité et du
cout. Un système informatique qui, il y a quelques années
aurait occupé une grande salle peut aujourd'hui ne pas
prendre plus de place qu'une machine a écrire et être d'un
prix modeste.
Du fait de la multiplication de ces petits systèmes
informatiques, il n'est guère surprenant qu'ils commencent
a être utilises dans le cadre d'activités criminelles par les
malfaiteurs.
L'utilisation à grande échelle des ordinateurs a rendu
certains domaines de la vie moderne tributaires de
l'informatique. Le commerce, la banque, les transports, les
archives publiques, les sources d'énergie nucléaire et les
procédés automatises de fabrication ne constituent que
quelques exemples de domaines vitaux dans lesquels les
systèmes informatiques jouent un rôle important.
Dans de nombreux cas, tels que le contrôle du trafic
aérien et les appareils de traitement médicaux
sophistiqués, la protection des ordinateurs est directement
liée a la protection de la vie humaine.
La liste des délits commis sur Internet, qui s'enrichit de
jour en jour de nouveaux délits, comprend des actes qui
entrent dans la typologie classique et délits spéciaux en
droit des affaires, délits d'atteinte aux droits de la propriété
intellectuelles et industrielles, jeux de hasard, opération de
vente pyramidale, détournement de fonds, etc.
En plus des activités criminelles traditionnelles, tels que
racket , trafic de drogue et corruption qui l'accompagne, le
blanchiment de d’argent et le délit d'initie, Internet a fait
fleurir une multitude d'infractions liées a la circulation de
l'information telles que les violations du droit d'auteur, les
violations de la vie privée et du secret des
correspondances, les délits de presse et de diffamation, la
publicité mensongère, la diffusion de messages
extrémistes ou contraires aux bonnes mœurs susceptibles
d'être vus ou perçus par des mineurs, etc.
A ces infractions, il convient d'ajouter des infractions qui
mettent gravement en jeu le respect des libertés et droits
fondamentaux de l'individu, comme le commerce illicite de
base de données à caractère personnel et la pédophilie.
A ce stade on peut procéder à une classification comme
suit
-crimes portant atteintes aux biens (vol , droit d’auteur
,propriété intellectuelle etc…)
Crimes portant atteintes aux individus
(On va etudier dans ce cadre la protection de la vie
privée des individus )
Crimes portant atteintes aux individus
L’atteinte à la vie personnelle

Fondement juridique de la protection de la vie

personelle :

Les lois internationales :

La réclamation des défenseurs de la théorie de la vie

privée et l’appel à assurer sa protection, n’a pu se
concrétiser, qu’avec la proclamation par les Nations
Unis de la Déclaration Universelle des Droits de
l’Homme le 10 décembre 1948 qui affirma dans son
article 12 que : « Nul ne sera l’objet d’immixtions
arbitraires ou illégales dans sa vie privée, sa famille,
son domicile ou sa correspondance, ni d’atteintes
illégales à son honneur et à sa réputation.
Toute personne a droit à la protection de la loi contre
telles immixtions ou telles atteintes. » Le droit à une vie
privée fut alors expressément consacré et sa protection
universellement reconnue comme un droit de l’Homme.
En 1966 le pacte International des droits civils et
politiques reconnaît la protection de la vie privée dans
son article 17.
L’article 21 de la Charte Arabe des Droits de
L’Homme garantit à son tour une protection de la vie
privé.
 Les lois nationales :

En droit Tunisien, la protection de la vie privée

apparaît à travers plusieurs dispositions légales

L’article 24 de la constitution : « Droits et Libertés »

prévoit que : « l’Etat protège la vie privée et
l’inviolabilité du domicile et la confidentialité des
correspondances, des communications et des données
personnelles. »

L’adoption de la convention 108 qui s’intègrent dans

le système juridique tunisien.

Et des diverses lois organiques notamment la loi

organique du 27 juillet 2004 relative à la protection des
données à caractère personnel.

L’article 1er de la loi de 2004 prévoit que: « Toute

personne a le droit à la protection des données à
caractère personnel relatives à sa vie privée comme
étant l’uns des droits fondamentaux garantis par la
constitution..»

La notion de la vie privée :

« La vie privée » est communément admise comme

l’opposé de « la vie publique » Il a été admis que le
domicile, les correspondances et les communications,
les données personnelles, la vie familiale, d’une
personne relèvent de sa vie privée.

Les dispositions pénales :

-Considéré comme l’un des aspects de la vie privée

relevant du droit au secret, la violation du secret des
correspondances est réprimée par les dispositions de
l’article 253 du code pénal qui prévoit que : « Celui qui
sans y être autorisé divulgue le contenu, d’une lettre
d’un télégramme, ou de tout autre document
appartenant à autrui, est puni de l’emprisonnement
pendant 3 mois. »
Sont ainsi considérés comme un détournement de
correspondances et une révélation de secret, toutes les
divulgations d’actes qui sont de nature à permettre
l’accès au contenu d’une lettre ou d’un document
appartenant à autrui.
(L’acte constitutif de la violation se matérialise par une divulgation, celle-ci peut être faite par
n’importe quel moyen. Il s’agit dans ce cas de porter à la connaissance des tiers une information
personnelle, voire confidentielle contenue dans la correspondance)

La protection pénale du secret des correspondances

telle que prévue par l’article 253 du code pénal se
trouve consolidée par les dispositions de l’article 85 du
code des télécommunications qui étend la protection
aux communications et aux échanges effectués par le
biais d’un réseau de télécommunication.
L’article 253 a alors une portée plus large que celle
qu’on lui avait attribuée, il englobe toute sorte de
 communications téléphoniques, électroniques ou autres
puisque le législateur le prévoit expressément.

La protection des données personnelles

La protection des données personnelles est

étroitement liée à celle de vie privée parfois confondue
avec elle. Elle est synonyme d’intimité, de confidentialité
et de sécurité.

Notion des données personnelles :

Le législateur a donnée une définition législative des
données personnelles dans l’article 4 de la loi 2004
« toutes les informations quelle que soit leur origine ou leur
forme et qui permettent directement ou indirectement
d’identifier une personne physique ou la rendre identifiable,
à l’exception des informations liées à la vie publique ou
considérées comme telles par la loi. »
Peuvent dans ce sens être considérées comme données
personnelles : tout identifiant tel que le numéro de la
sécurité sociale, l’identifiant fiscal, le numéro de la carte
bancaire, le numéro de compte, ainsi que la photo…
La protection de ces données définies par la loi apparaît
à travers plusieurs articles, elle se rapporte essentiellement
aux autorisations nécessaires au traitement des données,
aux droits des personnes concernées, ainsi qu’à
l’engagement de la responsabilité de tous ceux qui
accomplissent les opérations de traitement.
Il s’agit d’abord du consentement de la personne dont
les données font l’objet d’un traitement, en effet l’article 27
de la loi exige un consentement exprès et écrit de la
personne concernée pour le traitement de ses données. La
collecte des données doit être faite à des fins licites
déterminées et explicites.
Le législateur soumet par ailleurs le traitement des
données nominatives à l’autorisation de l’instance nationale
de protection des données à caractère personnel.
Outre la nécessité de donner son consentement au
traitement, la personne concernée dispose d’un droit
d’accès et d’un droit d’opposition afin de préserver, de
modifier et de s’opposer à toute utilisation illicite de ses
données ; dans ce contexte elle a le droit d’interdire toute
communication à des tiers, à des fins publicitaires.
Cette protection se trouve renforcée par
l’engagement de la responsabilité civile et pénale de
ceux qui traitent ou sous-traitent les données
personnelles et de leur soumission au secret
professionnel.
C’est dans ce contexte que la loi prévoit dans son
-article 20 l’engagement de la responsabilité civile en cas
de violation des dispositions de la loi de 2004 et la
responsabilité pénale dans le cadre de l’article 97 de la
même loi.
 - l’article 23 soumet à une obligation de confidentialité ; à
défaut la personne concernée lésée a droit de demander
réparation du préjudice subi.
- L’article 89 prévoit aussi des sanctions pénales en cas
d’atteinte à la personne concernée, par la communication
intentionnelle de ses données nominatives.
-l’article 93 retient des sanctions lorsque la diffusion
intentionnelle des données aurait porté atteinte à la
personne elle-même ou à sa vie privée.
Celle-ci est alors expressément et doublement protégée
par l’action en réparation c’est à dire la responsabilité civile
et par la condamnation pénale du contrevenant.
L’énumération des crimes :
-L’incrimination relative à l'enregistrement ou à la
conservation illicite d'informations nominative.
-L'obtention et le stockage d'informations sont
soigneusement réglementés et l'on comprend l'attitude
du législateur car il ne servirait à rien de lutter contre les
fichiers clandestins si ces derniers pouvaient contenir
n'importe quelle information. C'est pourquoi le législateur
a prévu :
— que la collecte ne doit pas être opérée par des
moyens frauduleux, déloyaux ou illicites
— que toute personne physique peut s'opposer, pour
des raisons légitimes, à ce que des informations
nominatives la concernant soient recueillies.
 _ incrimine encore la divulgation volontaire ou par
imprudence, à des tiers d'informations nominatives,
lorsque cette divulgation aurait pour effet de porter
atteinte à la réputation ou à la considération de la
personne ou à l'intimité de sa vie privée.

Partie 2 : les crimes dont le système informatique

est la cible :
Article 199-bis (Ajouté par la loi n°99-89 du 2 août
1999)
« Est puni d'un emprisonnement de deux mois à un an
et d'une amende de mille dinars ou de l'une de ces deux
peines seulement, quiconque, frauduleusement, aura
accédé ou se sera maintenu dans tout ou partie d'un
système de traitement automatisé de données.
La peine est élevée à deux ans d'emprisonnement et
l'amende à deux mille dinars lorsqu'il en résulte, même
sans intention, une altération ou la destruction du
fonctionnement des données existantes dans le système
indiqué.
Est puni d'un emprisonnement de trois ans et d'une
amende de trois mille dinars, quiconque aura
intentionnellement altéré ou détruit le fonctionnement du
traitement automatisé.
Est puni d'un emprisonnement de cinq ans et d'une
amende de cinq mille dinars, quiconque aura
frauduleusement introduit des données dans un système
de traitement automatisé de nature à altérer les données
que contient le programme ou son mode de traitement ou
de transmission.
La peine est portée au double lorsque l'acte susvisé est
commis par une personne à l'occasion de l'exercice de son
activité professionnelle. La tentative est punissable. »
L’article 199 bis du code pénal tunisien énumère les
infractions commises sur le système informatique sans
nous donner la définition législatif de chaque crime.
1. Accès et interception non autorises.
2. Modification de logiciels ou de données.
3. Fraude informatique.
4. Reproduction illicite.

Pour bien discerner ces crimes on se réfère aux

techniques informatiques utilisées pour commettre ce
genre de crimes.
les statistiques nationales et internationales et sur les
informations officieuses qui circulent, on constate que les
cas les plus connus et les plus fréquents sont les piratages
informatiques (activités des« hackers »), les piratage
telephonique, les modifications des logiciels et des
données.
 Piratage informatique

Le piratage informatique est également appelé souvent

«intrusion » et « hacking ».
C'est une pratique consistant a entrer par effraction dans
un réseau informatique, et forgeant ou en contournant les
dispositifs de sécurité d'un ordinateur. Le piratage n'est pas
à prendre a la légère, la plupart des principaux systèmes
informatiques dans le monde étant connectes à des
réseaux.
Le monde de la technologie a donné à cette infraction la
définition suivante « accès non autorise a un système ou
un réseau informatique. »
« Accès » signifie « intrusion dans tout ou partie d'un
système et des programmes ou données qu'il contient».
La méthode de communication importe peu : l'accès
peut être local et direct ou a distance et indirect, par
exemple via une liaison satellite ou d'autres systèmes
informatiques.

Modification de logiciels ou de données

II s'agit des insertions des programmes malveillants.

L'objectif est d'altérer des données ou des programmes, ou
de gêner leur utilisation, en mettant de ce fait en péril
l'intégrité ou la confidentialité du système lui-même ou de
ses sorties.

Les virus informatiques

Dans le manuel de criminalité informatique, on en donne

la définition suivante : « altération non autorisée de
données ou de programmes informatiques par l'insertion ou
la propagation d'un virus »
Les virus informatiques sont des programmes
informatiques qui se reproduisent jusqu'à paralyser le
fonctionnement normal de l'ordinateur. Ils infectent
discrètement les programmes sur disques et peuvent être
difficiles a déceler. Les conséquences d'un virus peuvent
aller de la simple farce a la destruction complète des
données.

Cheval de Troie

La définition de cet infraction : « altération non autorisée

de données ou de programmes informatiques par l'insertion
d'un Cheval de Troie .»
Le Cheval de Troie est un programme dissimulé dans un
système informatique.
 Contrairement aux virus informatiques, le Cheval de
Troie ne se multiplie pas nécessairement. II consiste a
ajouter quelques lignes d'instructions dans un programme
existant qui ont pour résultat de faire exécuter par
l'ordinateur des opérations non programmées.
Tres souvent, une «trappe » est pratiquée, permettant
l'accès non autorise a un programme ou un ordinateur.
Les pirates l'utilisent fréquemment pour se ménager une
entrée dans les systèmes en mettant les mécanismes de
protection en échec et en se servant un accès au moyen
d'un code secret.

Bombe logique
La définition : « altération non autorisée de données ou
de programmes informatiques par l'insertion d'une Bombe
logique.»
La Bombe logique est un mécanisme logique introduit
par les malfaiteurs, qui se déclenche lorsque l'ordinateur
exécute une tache donnée. Une fois déclenche, le
mécanisme lance un petit programme dont l'exécution
affecte le fonctionnement de l'ordinateur ou du réseau de
différentes manières : arrêt complet de l'ordinateur,
affichage de pages d'écrans vierges, destruction de
données, etc.
II s'agit du nom donné à la pratique illicite consistant a
introduire une simple modification dans le code source du
programme, qui déclenchera un processus de destruction.
La bombe logique sera activé par une date ou par un
événement particulier. Les auteurs de la bombe logique
sont généralement eux-mêmes programmeurs.

Les vers
Sa définition est la suivante : « Altération non autorisée
de données ou de programmes informatiques par l'insertion
ou la propagation d'un ver informatique dans un réseau
informatique. »
Les vers sont des programmes destructeurs analogues
aux virus, qui sont crées pour les réseaux informatiques. et
altérer des données. Ils se reproduisent intégralement en
créant des copies conformes .
On les trouve dans les réseaux informatiques et les
ordinateurs sur lesquels travaillent plusieurs utilisateurs. II
se déplacent en utilisant les communications inter-
ordinateurs