Académique Documents
Professionnel Documents
Culture Documents
C’est au cours d’un conseil des ministres en date du 23 janvier 2003 qu’un
projet de loi n°07-03 a été approuvé afin de lutter contre les atteintes au STAD.
Et ce à la suite d’un projet de loi sur le terrorisme passé en conseil des ministres
le 16 janvier 2003 lequel prévoit ces atteintes comme une infraction terroriste.
Ainsi, la loi n°07-03 fut promulguée par un dahir du 11 novembre 2003. Ses
dispositions ont été intégrées dans le code pénal où on a rajouté un chapitre 10
intitulé « De l’atteinte aux STAD= article 607-3 à 607-11) ». Les articles de ce
chapitre répriment l’accès ou le maintien dans un système de traitement
automatisé des données (CHAPITRE I), l’atteinte à l’intégrité du système
(CHAPITRE II), celle à l’intégrité des données (CHAPITRE III), les atteintes
relatives à la mise à disposition des équipements d’atteinte aux STAD
(CHAPITRE IV) et le faux ou la falsification de documents informatisés
(CHAPITRE V).
Mais avant de traiter ces différentes atteintes, il est nécessaire de s’interroger sur
ce qu’il faut entendre par « système » car cette expression conditionne toutes les
incriminations contenues dans la loi.
§I : L’infraction d’accès dans tout ou partie d’un STAD (délit d’action)
En outre, pour que l’infraction soit constituée, il faut que l’accès au système ne
soit pas ouvert au public. L’interdiction d’accès peut se présumer par un
faisceau d’indices. A titre d’exemple, l’attribution nominative de codes d’accès
à des personnes déterminées matérialise leur droit d’accès au système.
De même, l’utilisation d’un code d’accès exact par une personne non habilitée à
accéder à un STAD constitue l’infraction d’accès frauduleux ex : le salarié qui
se connecte à l’intranet de son employeur avec ses identifiants personnels après
son licenciement.
En outre, l’élément matériel est constitué uniquement par l’accès en tant que tel,
indépendamment du résultat, de sorte que même en l’absence de préjudice,
l’auteur d’un tel accès peut être condamné.
Par ailleurs, l’élément moral doit être caractérisé c'est-à-dire que le délinquant
doit avoir eu connaissance d’accéder anormalement et sans droit dans le
système.
L’accès dans un STAD est constitutif d’une infraction seulement lorsqu’il a été
effectué frauduleusement. Le terme « frauduleux » suppose que l’intrusion ait
été volontaire et que son auteur ait eu conscience de commettre une action
illicite. En ce sens, l’infraction ne serait pas caractérisée lorsque l’intrusion est
susceptible d’être imputée à une erreur. En revanche, le fait d’accéder sans
autorisation dans un système informatique, sous le prétexte de tester le niveau de
sécurité, pourrait entrer dans le cadre de l’incrimination d’accès frauduleux. Il
n’est pas nécessaire pour autant que le délinquant ait eu l’intention de nuire. Les
mobiles sont indifférents à la répression de l’accès frauduleux
Pour que l’infraction soit constituée, il faut que l’accès dans le STAD soit
interdit. En effet, si l’accédant est en situation d’accès normal à un STAD, son
maintien dans celui-ci n’est pas répréhensible. Tel est le cas d’une personne qui
accède par erreur à des informations rendues accessibles au public par le maître
du système.
L’élément matériel est constitué uniquement par le maintien en tant que tel,
indépendamment du résultat, de sorte que même en l’absence de préjudice,
l’auteur d’un tel maintien peut être condamné.
Les peines principales prévues pour les infractions d’accès et de maintien dans
un STAD figurent dans les alinéas 1 et 2 de l’article 607-3 du code pénal. Ce
sont l’emprisonnement d’un mois à trois mois et d’une amende de 2.000 à
10.000 dirhams ou l’une de ces deux peines seulement. Les délits d’accès et
de maintien dans un STAD sont donc ordinairement des délits correctionnels.
Les infractions d’accès et de maintien dans un STAD ainsi que celles commises
avec des circonstances aggravantes sont sanctionnés qu’elles aient été
consommées ou seulement tentées (l’art.607-8). Les peines prévues pour ces
infractions ainsi que pour celles de leur tentative étant identiques.
L’article 607-11 du code pénal prévoit que, sous réserve du tiers de bonne foi, le
tribunal peut prononcer la confiscation des matériels ayant servi à commettre les
infractions d’accès frauduleux et de maintien sans droit dans un STAD ainsi que
de la chose qui en est le produit.
En outre, le coupable peut être frappé pour une durée de deux à dix ans de
l’interdiction d’exercice d’un ou de plusieurs des droits civiques, civils ou de
famille visés à l’article 26.
L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux
à dix ans ainsi que la publication ou l’affichage de la décision de condamnation
peuvent également être prononcés.
Cet article vise donc deux comportements volontaires, d’une part, le fait
d’entraver et d’autre part, le fait de fausser le fonctionnement d’un système.
*des attaques par déni de services consistant soit à lancer plusieurs requêtes vers
un serveur afin de le bloquer soit à envoyer massivement des mails identiques
afin de bloquer et de saturer la messagerie.
Toutefois, on peut dire d’ores et déjà que le but de cette altération est de faire
produire au système de traitement un résultat différent de celui attendu ou prévu
initialement.
Les personnes qui se sont rendues coupables des atteintes à l’intégrité d’un
STAD encourent aussi bien des peines principales (Section I) que
complémentaires (Section II).
L’article 607-5 du code pénal prévoit à l’encontre des auteurs des atteintes à
l’intégrité d’un STAD une peine d’emprisonnement d’un an à trois ans et
d’une amende de 10 000 à 200 000 dirhams ou l’une de ces deux peines
seulement.
Les atteintes à l’intégrité d’un STAD sont sanctionnés qu’elles aient été
consommées ou seulement tentées (l’art.607-8). Les peines prévues pour ces
infractions ainsi que pour celles de leur tentative étant identiques.
L’article 607-11 du code pénal prévoit que, sous réserve du tiers de bonne foi, le
tribunal peut prononcer la confiscation des matériels ayant servi à commettre les
atteintes à l’intégrité d’un STAD ainsi que de la chose qui en est le produit.
En outre, le coupable peut être frappé pour une durée de deux à dix ans de
l’interdiction d’exercice d’un ou de plusieurs des droits civiques, civils ou de
famille visés à l’article 26.
L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux
à dix ans ainsi que la publication ou l’affichage de la décision de condamnation
peuvent également être prononcés.
CHAPITRE III : LES ATTEINTES A L’INTEGRITE DES DONNEES
L’atteinte à l’intégrité des données est définie est réprimée par l’article 607-6 du
code pénal.
Le délit n’est constitué que si ces opérations sont faites avec une intention
délictueuse et hors de l’usage autorisé. L’intention frauduleuse est constituée dès
le moment où l’introduction (la manipulation ou l’altération) des données
s’effectue avec une volonté de modifier l’état du système et ce, quelles qu’en
soient les conséquences sur celui-ci.
Les personnes qui se sont rendues coupables des atteintes à l’intégrité d’un
STAD encourent aussi bien des peines principales (Section I) que
complémentaires (Section II).
L’article 607-5 du code pénal prévoit à l’encontre des auteurs des atteintes à
l’intégrité d’un STAD d’une peine d’emprisonnement d’un an à trois ans et
d’une amende de 10 000 à 200 000 dirhams ou l’une de ces deux peines
seulement.
Les atteintes à l’intégrité des données d’un STAD sont sanctionnés qu’elles
aient été consommées ou seulement tentées (l’art.607-8). Les peines prévues
pour ces infractions ainsi que pour celles de leur tentative étant identiques.
L’article 607-11 du code pénal prévoit que, sous réserve du tiers de bonne foi, le
tribunal peut prononcer la confiscation des matériels ayant servi à commettre les
atteintes à l’intégrité d’un STAD ainsi que de la chose qui en est le produit.
En outre, le coupable peut être frappé pour une durée de deux à dix ans de
l’interdiction d’exercice d’un ou de plusieurs des droits civiques, civils ou de
famille visés à l’article 26.
L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux
à dix ans ainsi que la publication ou l’affichage de la décision de condamnation
peuvent également être prononcés.
Ces atteintes sont définies est réprimées par l’article 607-10 du code pénal.
Cet article réprime désormais tout acte de manipulation d’outils pouvant servir à
commettre des actes de piratage, comme la fabrication, la détention, la cession,
l’offre ou toute mise à disposition des outils spécialement conçus pour
commettre les infractions informatiques. Il en est ainsi des virus informatiques
ou des logiciels de prise de contrôle à distance qui permettent de commettre les
infractions informatiques.
Ces atteintes peuvent consister aussi bien en un acte unique qu’en deux ou
plusieurs actes.
Il est certain que l’appréhension de tous ces agissements s’explique par le souci
louable du législateur de lutter efficacement contre le développement important
des virus sur les réseaux numériques.
Toutefois, alors que le législateur français prévoit que ces actes ne sont pas
constitués lorsqu’il existe des motifs légitimes justifiant par exemple la
détention des outils d’atteinte aux STAD. Le législateur marocain n’a,
malheureusement, prévu aucune échappatoire pour les personnes de bonne foi
qui fabriqueraient ou détiendraient ces équipements comme par exemple dans le
cadre de la recherche scientifique et par les sociétés spécialisées dans la
sécurisation des réseaux.
Les personnes qui se sont rendues coupables de ces atteintes encourent aussi
bien des peines principales (Section I) que complémentaires (Section II).
L’article 607-10 du code pénal prévoit à l’encontre des auteurs des atteintes de
fabrication, de détention, d’offre, de cession ou de mise à disposition des
équipements d’atteinte aux SATD une peine d’emprisonnement de deux à
cinq ans et d’une amende de 50 000 à 2.000 000 dirhams.
L’article 607-11 du code pénal prévoit que, sous réserve du tiers de bonne foi, le
tribunal peut prononcer la confiscation des matériels ayant servi à commettre les
atteintes à l’intégrité d’un STAD ainsi que de la chose qui en est le produit.
En outre, le coupable peut être frappé pour une durée de deux à dix ans de
l’interdiction d’exercice d’un ou de plusieurs des droits civiques, civils ou de
famille visés à l’article 26.
L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux
à dix ans ainsi que la publication ou l’affichage de la décision de condamnation
peuvent également être prononcés.
Ces atteintes sont définies est réprimées par l’article 607-7 du code pénal.
Cet article a pour mérite de combler le vide juridique laissé par l’article 351 du
code pénal qui ne vise pas les supports informatiques. Ainsi, les juges n’auront
plus à se livrer à des acrobaties juridiques. Tel fut le cas dans une espèce où un
individu avait réussi à accéder à la base de données de l’administration
marocaine de douanes et s’était livré à la modification de plusieurs données.
Poursuivi pour falsification de documents administratifs sur la base des articles
360 et 361 du code pénal, il soutenait fermement que la qualification de faux en
écriture supposait l’existence d’un écrit et que s’agissant en l’espèce de données
immatérielles, l’infraction n’était pas constituée. La cour d’appel de Casablanca,
consciente du fait qu’elle se heurtait effectivement au principe de l’interprétation
stricte de la loi pénale, mais qui se trouvait en même temps devant un
comportement inadmissible qui ne pouvait rester impuni sous peine de causer un
trouble social, a condamné le prévenu, en se fondant sur le fait qu’il avait avoué
les faits qui lui étaient reprochés. Cependant, elle a soigneusement éludé
l’épineuse question de la qualification juridique de ces actes, eu égard au
caractère immatériel des données modifiées (CA. Casablanca, crim., 7 avr. 2000,
GTM, n°sp.2002, n°96, p.143, note SALEH).
Par ailleurs, cet article réprime trois infractions : d’abord, le faux ensuite la
falsification et enfin l’usage fait de ces documents fabriqués ou altérés.
Les personnes qui se sont rendues coupables des dites-atteintes encourent aussi
bien des peines principales (Section I) que complémentaires (Section II).
L’article 607-7 du code pénal prévoit à l’encontre des auteurs des atteintes de
faux, de falsification de documents informatisés ainsi que de leur usage, une
peine d’emprisonnement d’un à cinq ans et d’une amende de 10 000 à
1.000 000 dirhams.
L’article 607-11 du code pénal prévoit que, sous réserve du tiers de bonne foi, le
tribunal peut prononcer la confiscation des matériels ayant servi à commettre les
atteintes de faux, de falsification de documents informatisés ainsi que de leur
usage et de la chose qui en est le produit.
En outre, le coupable peut être frappé pour une durée de deux à dix ans de
l’interdiction d’exercice d’un ou de plusieurs des droits civiques, civils ou de
famille visés à l’article 26.
L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux
à dix ans ainsi que la publication ou l’affichage de la décision de condamnation
peuvent également être prononcés.
Dans cette optique, peut-on considérer une adresse IP comme une donnée à
caractère personnel et par conséquent soumise à la loi 09-08 ce qui implique des
formalités déclaratives auprès de la commission.
Compte tenu du fait que la loi marocaine n’est qu’une reproduction de la loi
française, il apparaît opportun d’apporter les précisions émises par la
jurisprudence française concernant l’adresse IP.
Une adresse IP est une série de chiffres attribuée par un fournisseur d’accès
Internet à l’ordinateur de ses clients lorsqu’ils se connectent à Internet. Il est
possible donc de remonter à un abonné via son adresse IP. C’est le même
raisonnement suivi en ce qui concerne le numéro d’immatriculation d’une
voiture qui constitue bien une donnée personnelle au sens de la loi alors que
seule la préfecture détient l’identité de la personne.
A cet égard, la cour de cassation dans un arrêt du 13 janvier 2009 a estimé que le
fait de relever l’adresse IP pour pouvoir localiser le fournisseur d’accès et
partant l’auteur de l’infraction ne constitue pas un traitement de données
personnelles (par le simple rapprochement avec la base des abonnés détenue par
le fournisseur d’accès à internet).
Par ailleurs, la loi 09-08 a institué dans un chapitre IV une commission nationale
de contrôle de la protection des données à caractère personnel (équivalent du
CNIL en France cad commission nationale informatique et libertés). Elle est
instituée auprès du premier ministre et se compose d’un président nommé par le
Roi et de 6 membres nommés par le Roi sur proposition du premier ministre, du
pdt de la chambre des représentants ou de celui de la chambre des conseillers.
-reçoit les plaintes, les instruits, leur donne suite en ordonnant la publication de
rectificatifs ou la saisine du procureur aux fins de poursuite ;
-dotée des pouvoirs d’investigation et d’enquête. Ainsi, elle ordonne que les
documents lui soient communiquées, le verrouillage, l’effacement ou l’accès
aux locaux ;
Ces atteintes sont appréhendées par l’article 52 de la loi sur la protection des
personnes physiques à l’égard des traitements des données à caractère personnel.
Celui-ci prévoit « sans préjudice de la responsabilité civile à l’égard des
personnes ayant subi des dommages du fait de l’infraction, est puni d’une
amende de 10.000 à 100.000 dirhams, quiconque aura mis en œuvre un
fichier de données à caractère personnel sans la déclaration ou l’autorisation
exigée à l’article 12 ci-dessus ou aura continué son activité de traitement de
données à caractère personnel malgré le retrait du récépissé de la déclaration
ou de l’autorisation ».
Selon les personnes voulant mettre en œuvre le traitement de ces données, les
formalités préalables varient, elles consistent en une autorisation préalable ou
une déclaration préalable.
-Une simple déclaration préalable est exigée dans les autres cas.
Le législateur prévoit les mêmes peines d’amende à l’encontre des personnes qui
auraient continué leurs activités de traitement de données à caractère personnel
malgré le retrait du récépissé de la déclaration ou de l’autorisation.
La loi accorde des droits aux personnes physiques au moment de la collecte des
informations les concernant dont la violation constitue une infraction punissable.