TITRE I 

: LES ATTEINTES AUX SYSTEMES DE TRAITEMENT

AUTOMATISE DE DONNEES

C’est au cours d’un conseil des ministres en date du 23 janvier 2003 qu’un
projet de loi n°07-03 a été approuvé afin de lutter contre les atteintes au STAD.
Et ce à la suite d’un projet de loi sur le terrorisme passé en conseil des ministres
le 16 janvier 2003 lequel prévoit ces atteintes comme une infraction terroriste.

Les événements ou attentats du 16 mai 2003 qui ont causé la mort de 45

personnes, vont changer la donne politique du maroc en permettant au
gouvernement de faire passer un projet de loi dont l’issue parlementaire
paraissait bien compromise à cause de l’opposition des organisations des droits
de l’homme, du parti de la justice et du développement, de la gauche socialiste
unifiée.

Ainsi, ces attentats vont précipiter l’adoption de la loi contre le terrorisme et

celle sur les atteintes aux STAD. En effet, les actes terroristes ont rappelé au
maroc la nécessité d’accélérer une législation pénale sur les fraudes
informatiques.

Ainsi, la loi n°07-03 fut promulguée par un dahir du 11 novembre 2003. Ses
dispositions ont été intégrées dans le code pénal où on a rajouté un chapitre 10
intitulé « De l’atteinte aux STAD= article 607-3 à 607-11) ». Les articles de ce
chapitre répriment l’accès ou le maintien dans un système de traitement
automatisé des données (CHAPITRE I), l’atteinte à l’intégrité du système
(CHAPITRE II), celle à l’intégrité des données (CHAPITRE III), les atteintes
relatives à la mise à disposition des équipements d’atteinte aux STAD
(CHAPITRE IV) et le faux ou la falsification de documents informatisés
(CHAPITRE V).

Mais avant de traiter ces différentes atteintes, il est nécessaire de s’interroger sur
ce qu’il faut entendre par « système » car cette expression conditionne toutes les
incriminations contenues dans la loi.

A cet égard, ni le législateur marocain ni son homologue français n’ont cru

nécessaire d’adopter une définition légale, peut-être par crainte de voir cette
définition dépassée par l’évolution technologique ou par souci de ne pas
s’enfermer dans une définition qui permettra par la suite aux hackers d’échapper
des mailles du filet pénal.
Une définition a été quand même intégrée dans le rapport accompagnant la
proposition de la loi française (loi Godfrain du 5 janvier 1988), instituant les
atteintes aux STAD, devant le Sénat français, considérant le système comme :
« tout ensemble composé d’une ou de plusieurs unités de traitement, de
mémoires, de logiciels, de données, d’organes entrées et sorties et de liaison
qui concourent à un résultat déterminé ». (Trib. Cor. Paris, 25, fév. 2000, a
considéré que la carte à puce, un réseau wifi, un réseau carte bancaire sont des
STAD). (STAD : notion large, c’est un système, un réseau de carte bancaire,
disque dur, un ordinateur portable, un téléphone portable, une montre, un réseau
local, logiciel, un moteur de recherche…)

Par ailleurs, on peut remarquer que le législateur marocain n’a pas

expressément visé « le vol d’informations » comme forme d’atteintes aux
données. Dès lors, il est légitime de penser que ce silence est délibéré et
manifeste d’abord, son opposition à qualifier la captation d’information de
« vol », ensuite son intention d’assimiler « la chose » objet du vol au caractère
exclusivement matériel et enfin, son intention de sanctionner indirectement le
« vol d’informations » par le biais d’accès frauduleux. En effet, il est patent
qu’avant de prendre, il faut accéder, or l’accès lorsqu’il a pour but le pillage est
indéniablement qualifié de « frauduleux ».

CHAPITRE I : L’ACCES OU LE MAINTIEN DANS UN SYSTEME DE

TRAITEMENT AUTOMATISE DE DONNEES (STAD)

Les infractions d’accès et du maintien dans un STAD sont définies (Section I) et

réprimées (Section II) par les articles 607-3 et suivants du code pénal.

Section I : La définition des infractions d’accès et du maintien dans un

STAD

Le législateur appréhende différemment les infractions d’accès et de maintien

dans un STAD.

§I : L’infraction d’accès dans tout ou partie d’un STAD (délit d’action)

L’alinéa 1 de l’article 607-3 du code pénal prévoit «  le fait d’accéder,

frauduleusement, dans tout ou partie d’un système de traitement automatisé
de données est puni d’un mois à trois mois d’emprisonnement et de 2.000 à
10.000 dirhams d’amende ou de l’une de ces deux peines seulement».
L’infraction est constituée dès lors qu’une personne pénètre ou s’introduit dans
tout ou partie d’un système (par un logiciel) sans y être autorisée et ce quel que
soit les techniques d’accès utilisés. Tel est le cas notamment du contournement
ou de la violation d’un dispositif de sécurité (comme la suppression délibérée
des instructions de contrôle), de l’insertion d’un fichier espion enregistrant les
codes d’accès des abonnées (« cheval de Troie »), d’une connexion pirate visant
à interroger à distance un système, de l’appel d’un programme ou d’une
consultation de fichier sans habilitation.

En outre, pour que l’infraction soit constituée, il faut que l’accès au système ne
soit pas ouvert au public. L’interdiction d’accès peut se présumer par un
faisceau d’indices. A titre d’exemple, l’attribution nominative de codes d’accès
à des personnes déterminées matérialise leur droit d’accès au système.

L’infraction est constituée même si le système attaqué n’est pourvu d’aucune

protection. La barrière technique n’est pas indispensable au jeu de l’interdiction
et l’acte incriminé est indépendant de la difficulté d’exécution.

De même, l’utilisation d’un code d’accès exact par une personne non habilitée à
accéder à un STAD constitue l’infraction d’accès frauduleux ex : le salarié qui
se connecte à l’intranet de son employeur avec ses identifiants personnels après
son licenciement.

L’accès frauduleux est un délit instantané.

En outre, l’élément matériel est constitué uniquement par l’accès en tant que tel,
indépendamment du résultat, de sorte que même en l’absence de préjudice,
l’auteur d’un tel accès peut être condamné.

Par ailleurs, l’élément moral doit être caractérisé c'est-à-dire que le délinquant
doit avoir eu connaissance d’accéder anormalement et sans droit dans le
système.

L’accès dans un STAD est constitutif d’une infraction seulement lorsqu’il a été
effectué frauduleusement. Le terme « frauduleux » suppose que l’intrusion ait
été volontaire et que son auteur ait eu conscience de commettre une action
illicite. En ce sens, l’infraction ne serait pas caractérisée lorsque l’intrusion est
susceptible d’être imputée à une erreur. En revanche, le fait d’accéder sans
autorisation dans un système informatique, sous le prétexte de tester le niveau de
sécurité, pourrait entrer dans le cadre de l’incrimination d’accès frauduleux. Il
n’est pas nécessaire pour autant que le délinquant ait eu l’intention de nuire. Les
mobiles sont indifférents à la répression de l’accès frauduleux

§II : L’infraction de maintien dans un STAD (délit d’abstention)

L’alinéa 2 de l’article 607-3 du code pénal prévoit que « Est passible de la

même peine, toute personne qui se maintient dans tout ou partie d’un
système de traitement automatisé de données auquel elle a accédé par
erreur et alors qu’elle n’en a pas le droit ».

L’incrimination de maintien dans un STAD vient compléter celle de l’accès

frauduleux. Elle vise les situations des personnes dont l’accès à un STAD a été
effectué par erreur ou par hasard et pourtant elles se maintiennent sans droit
dans celui-ci c'est-à-dire elles restent branchées au lieu de se déconnecter
immédiatement. Le maintien dans un STAD est donc un délit d’abstention tandis
que l’accès est un délit d’action.

Pour que l’infraction soit constituée, il faut que l’accès dans le STAD soit
interdit. En effet, si l’accédant est en situation d’accès normal à un STAD, son
maintien dans celui-ci n’est pas répréhensible. Tel est le cas d’une personne qui
accède par erreur à des informations rendues accessibles au public par le maître
du système.

L’élément matériel est constitué uniquement par le maintien en tant que tel,
indépendamment du résultat, de sorte que même en l’absence de préjudice,
l’auteur d’un tel maintien peut être condamné.

Par ailleurs, en dépit du défaut d’appréhension expresse de l’élément moral par

le législateur, celui-ci résulte suffisamment de l’accomplissement de l’élément
matériel de se maintenir dans un STAD sans y avoir droit.

SECTION II : La répression des infractions d’accès et du maintien dans un

STAD

Les personnes qui se sont rendues coupables des infractions d’accès ou de

maintien dans un STAD, encourent aussi bien des peines principales (Section I)
que complémentaires (Section II).

§I : Les peines principales

Dans notre droit, le législateur punit différemment les auteurs des infractions
d’accès et de maintien dans un STAD et ceux de ces infractions commises avec
des circonstances aggravantes. Ces derniers sont réprimés d’une façon plus
sévère que les premiers car ces infractions dénotent de la part de leurs auteurs,
une perversité certaine et surtout une nocivité particulière à l’égard de la société.

A. Les peines simples (ordinaires)

Les peines principales prévues pour les infractions d’accès et de maintien dans
un STAD figurent dans les alinéas 1 et 2 de l’article 607-3 du code pénal. Ce
sont l’emprisonnement d’un mois à trois mois et d’une amende de 2.000 à
10.000 dirhams ou l’une de ces deux peines seulement. Les délits d’accès et
de maintien dans un STAD sont donc ordinairement des délits correctionnels.

Les infractions d’accès et de maintien dans un STAD ainsi que celles commises
avec des circonstances aggravantes sont sanctionnés qu’elles aient été
consommées ou seulement tentées (l’art.607-8). Les peines prévues pour ces
infractions ainsi que pour celles de leur tentative étant identiques.

En outre, en vertu de l’article 607-9 du code pénal, la participation à un

groupement formé ou à une entente établie en vue de la préparation des
infractions d’accès ou de maintien dans un STAD (infractions simples ou
circonstances aggravantes) est punie des peines prévues pour les infractions elle-
même.

Le législateur transpose l’infraction d’association de malfaiteurs aux réseaux

informatiques afin de réprimer les associations et groupes de pirates
informatiques ou « hackers ».

L’association peut regrouper des personnes physiques ou des personnes morales

ou les deux. L’alliance peut résulter de la participation au processus délictueux
comme l’échange de logiciels, l’échange de code d’accès, la communication
d’informations….

B. Les peines aggravées

Le législateur, souvent inspirées par l’observation criminologique, a prévu

certaines circonstances qui viennent aggravées les peines encourues par les
auteurs des infractions d’accès et de maintien dans un STAD.
En effet, l’alinéa 3 de l’article 607-3 prévoit une peine d’emprisonnement de
2 mois à 6 mois et d’une amende de 4.000 à 20.000 dirhams d’amende ou de
l’une de ces deux peines seulement lorsque l’accès frauduleux ou le maintien
sans droit dans le STAD a provoqué soit la suppression ou la modification de
données contenues dans le STAD, soit une altération du fonctionnement de ce
système.

De même, l’alinéa 1 de l’article 607-4 prévoit une peine d’emprisonnement

de six mois à deux ans et une amende de 10.000 à 100.000 dirhams lorsque
l’accès frauduleux et le maintien sans droit se sont effectués dans un système de
traitement automatisé de données supposé contenir des informations relatives à
la sûreté intérieure ou extérieure de l’Etat ou des secrets concernant l’économie
nationale.

Pour sa part, l’alinéa 2 du même article prévoit une peine d’emprisonnement

de deux ans à cinq ans et une amende de 100.000 à 200.000 dirhams dans
deux hypothèses :

*lorsqu’il résulte des actes d’accès et de maintien dans un STAD supposé

contenir des informations relatives à la sûreté intérieure ou extérieure de l’Etat
ou des secrets concernant l’économie nationale soit la modification ou la
suppression de données dans le STAD, soit une altération du fonctionnement de
ce système ;

*lorsque lesdits actes sont commis par un fonctionnaire ou un employé

lors de l’exercice de ses fonctions ou à l’occasion de cet exercice ou s’il en
facilite l’accomplissement à autrui.

§ II : Les peines complémentaires

L’article 607-11 du code pénal prévoit que, sous réserve du tiers de bonne foi, le
tribunal peut prononcer la confiscation des matériels ayant servi à commettre les
infractions d’accès frauduleux et de maintien sans droit dans un STAD ainsi que
de la chose qui en est le produit.

En outre, le coupable peut être frappé pour une durée de deux à dix ans de
l’interdiction d’exercice d’un ou de plusieurs des droits civiques, civils ou de
famille visés à l’article 26.
L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux
à dix ans ainsi que la publication ou l’affichage de la décision de condamnation
peuvent également être prononcés.

CHAPITRE II : LES ATTEINTES A L’INTEGRITE D’UN STAD (cad son

état d’innocence+non endommagé ou intact)

Les atteintes à l’intégrité d’un STAD sont définies (Section I) et réprimées

(Section II) par les articles 607-5 du code pénal.

Section I : La définition des atteintes à l’intégrité d’un STAD

Selon l’article 607-5 du code pénal, « le fait d’entraver ou de fausser

intentionnellement le fonctionnement d’un système de traitement automatisé
de données est puni d’un an à trois ans d’emprisonnement et de 10.000 à
200.000 dirhams d’amende ou de l’une de ces deux peines seulement ».

Cet article vise donc deux comportements volontaires, d’une part, le fait
d’entraver et d’autre part, le fait de fausser le fonctionnement d’un système.

Cet article appréhende les infractions qui touchent à la performance d’un

système.

§I : L’infraction d’entrave au fonctionnement d’un STAD

L’entrave consiste à troubler ou perturber le fonctionnement d’un système

informatique. Le trouble peut être permanent ou temporaire, partiel ou total.

A la différence de l’accès frauduleux ou le maintien dans un STAD, ce n’est pas

l’agissement qui est puni mais le résultat.

L’entrave vise à paralyser ou à retarder le fonctionnement normal du système. Il

peut s’agir :

*de bombes logiques temporisées introduisant des instructions parasitaires. Ex :

une société de sécurisation ou de maintenance informatique qui installe à l’insu
de ses clients des bombes logiques programmées pour bloquer le système à une
période déterminée exemple tous les deux mois pour augmenter son chiffre
d’affaires ;
*de la mise en place de codification ou toute autre forme de barrage. Ainsi, on
peut citer un arrêt de la cour d’appel de paris qui a condamné le 5 octobre 1994
pour entrave un informaticien qui avait modifié les codes d’accès au système
informatique de l’employeur sans les communiquer à ce dernier ;

*des attaques par déni de services consistant soit à lancer plusieurs requêtes vers
un serveur afin de le bloquer soit à envoyer massivement des mails identiques
afin de bloquer et de saturer la messagerie.

Toutefois, certains agissements doivent être écartés, notamment les entraves

pouvant résulter d’une grève, de la suspension ou de la rupture d’un contrat de
prestations de services informatiques. La finalité du texte n’est pas de
sanctionner de tels agissements, même si, dans l’absolu, ils correspondent aux
termes employés.

L’élément moral est nécessaire à la constitution de l’infraction. L’intention doit

être démontrée. Elle implique que l’auteur ait eu conscience que le
comportement est illicite et qu’il ait eu la volonté de commettre l’acte d’entrave.

§II : L’infraction de fausser le fonctionnement d’un STAD

Le législateur n’a pas réellement défini l’infraction de fausser le fonctionnement

d’un STAD et la doctrine recourt généralement à la qualification d’entrave.

Toutefois, on peut dire d’ores et déjà que le but de cette altération est de faire
produire au système de traitement un résultat différent de celui attendu ou prévu
initialement.

Le faussement vise toute manipulation ayant pour objet de travestir ou d’altérer

la réalité en vue d’empêcher le traitement automatisé de données ou le
fonctionnement du système tel est le cas du virus.

La jurisprudence française a eu l’occasion de faire application de cette

infraction. Ainsi, il a été considéré que le fait d’avoir porté sur des fiches
manuscrites de saisie informatique destinées à la constitution du fichier des
produits d’une société, des mentions inexactes quant au code du taux de TVA
applicable et d’avoir introduit ces données dans le système informatique de
gestion de l’entreprise a été considéré comme constituant le délit d’altération
volontaire des données du système.
Notons que comme pour le délit d’entrave, l’intention doit être démontrée. Elle
nécessite que l’auteur ait eu la conscience du caractère illicite de l’acte et que
pourtant il a eu la volonté de commettre l’infraction.

SECTION II : La répression des atteintes à l’intégrité d’un STAD

Les personnes qui se sont rendues coupables des atteintes à l’intégrité d’un
STAD encourent aussi bien des peines principales (Section I) que
complémentaires (Section II).

§I : Les peines principales

L’article 607-5 du code pénal prévoit à l’encontre des auteurs des atteintes à
l’intégrité d’un STAD une peine d’emprisonnement d’un an à trois ans et
d’une amende de 10 000 à 200 000 dirhams ou l’une de ces deux peines
seulement.

Les atteintes à l’intégrité d’un STAD sont sanctionnés qu’elles aient été
consommées ou seulement tentées (l’art.607-8). Les peines prévues pour ces
infractions ainsi que pour celles de leur tentative étant identiques.

En outre, en vertu de l’article 607-9 du code pénal, la participation à un

groupement formé ou à une entente établie en vue de la préparation des atteintes
à l’intégrité d’un STAD est punie des peines prévues pour les infractions elle-
même. (Le législateur transpose l’infraction d’association de malfaiteurs aux
réseaux informatiques afin de réprimer les associations et groupes de pirates
informatiques ou « hackers »).

§II : Les peines complémentaires

L’article 607-11 du code pénal prévoit que, sous réserve du tiers de bonne foi, le
tribunal peut prononcer la confiscation des matériels ayant servi à commettre les
atteintes à l’intégrité d’un STAD ainsi que de la chose qui en est le produit.

En outre, le coupable peut être frappé pour une durée de deux à dix ans de
l’interdiction d’exercice d’un ou de plusieurs des droits civiques, civils ou de
famille visés à l’article 26.

L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux
à dix ans ainsi que la publication ou l’affichage de la décision de condamnation
peuvent également être prononcés.
CHAPITRE III : LES ATTEINTES A L’INTEGRITE DES DONNEES

L’atteinte à l’intégrité des données est définie est réprimée par l’article 607-6 du
code pénal.

Section I : DEFINITION DE L’ATTEINTE A L’INTEGRITE DES

DONNEES

Selon l’article 607-6 du code pénal, «  le fait d’introduire frauduleusement des

données dans un système de traitement automatisé des données ou de
détériorer ou de supprimer ou de modifier frauduleusement les données qu’il
contient, leur mode de traitement ou de transmission, est puni d’un an à trois
ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une
de ces deux peines seulement ».

Ce texte permet de réprimer toute manipulation, suppression ou modification de

données contenues dans un système, qu’elles qu’en soient les conséquences.

Les pratiques incriminées correspondent à toute altération des données, fichiers,

bases de données. Les virus constituent les atteintes les plus « usuelles » qui ont
pour effet de modifier ou de supprimer des données. Si certains sont inoffensifs
ou seulement perturbateurs, d’autres génèrent des dysfonctionnements fatals
pour le système infecté.

Le délit n’est constitué que si ces opérations sont faites avec une intention
délictueuse et hors de l’usage autorisé. L’intention frauduleuse est constituée dès
le moment où l’introduction (la manipulation ou l’altération) des données
s’effectue avec une volonté de modifier l’état du système et ce, quelles qu’en
soient les conséquences sur celui-ci.

Section II : LA REPRESSION DE L’ATTEINTE A L’INTEGRITE DES

DONNEES

Les personnes qui se sont rendues coupables des atteintes à l’intégrité d’un
STAD encourent aussi bien des peines principales (Section I) que
complémentaires (Section II).

§I : Les peines principales

L’article 607-5 du code pénal prévoit à l’encontre des auteurs des atteintes à
l’intégrité d’un STAD d’une peine d’emprisonnement d’un an à trois ans et
d’une amende de 10 000 à 200 000 dirhams ou l’une de ces deux peines
seulement.

Les atteintes à l’intégrité des données d’un STAD sont sanctionnés qu’elles
aient été consommées ou seulement tentées (l’art.607-8). Les peines prévues
pour ces infractions ainsi que pour celles de leur tentative étant identiques.

En outre, en vertu de l’article 607-9 du code pénal, la participation à un

groupement formé ou à une entente établie en vue de la préparation des atteintes
à l’intégrité des données est punie des peines prévues pour les infractions elle-
même. (Le législateur transpose l’infraction d’association de malfaiteurs aux
réseaux informatiques afin de réprimer les associations et groupes de pirates
informatiques ou « hackers »).

§II : Les peines complémentaires

L’article 607-11 du code pénal prévoit que, sous réserve du tiers de bonne foi, le
tribunal peut prononcer la confiscation des matériels ayant servi à commettre les
atteintes à l’intégrité d’un STAD ainsi que de la chose qui en est le produit.

En outre, le coupable peut être frappé pour une durée de deux à dix ans de
l’interdiction d’exercice d’un ou de plusieurs des droits civiques, civils ou de
famille visés à l’article 26.

L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux
à dix ans ainsi que la publication ou l’affichage de la décision de condamnation
peuvent également être prononcés.

CHAPITRE IV : LES ATTEINTES DE FABRICATION, DE

DETENTION, D’OFFRE, DE CESSION OU DE MISE A DISPOSITION
DES EQUIPEMENTS, DES PROGRAMMES OU DE DONNEES
POUVANT SERVIR A PORTER ATTEINTE AUX STAD

Ces atteintes sont définies est réprimées par l’article 607-10 du code pénal.

SECTION I : LA DEFINITION DES ATTEINTES DE FABRICATION,

DE DETENTION, D’OFFRE, DE CESSION OU DE MISE A
DISPOSITION DES EQUIPEMENTS D’ATTEINTE AUX STAD

L’article 607-10 du code pénal dispose « Est puni d’un emprisonnement de

deux à cinq ans et d’une amende de 50.000 à 2.00.000 de dirhams le fait, pour
toute personne de, fabriquer, d’acquérir, de détenir, de céder, d’offrir ou de
mettre à disposition des équipements, instruments, programmes informatiques
ou toutes données, conçus ou spécialement adaptés pour commettre les
infractions prévues au présent chapitre  ».

Cet article réprime désormais tout acte de manipulation d’outils pouvant servir à
commettre des actes de piratage, comme la fabrication, la détention, la cession,
l’offre ou toute mise à disposition des outils spécialement conçus pour
commettre les infractions informatiques. Il en est ainsi des virus informatiques
ou des logiciels de prise de contrôle à distance qui permettent de commettre les
infractions informatiques.

Ces atteintes peuvent consister aussi bien en un acte unique qu’en deux ou
plusieurs actes.

Il est certain que l’appréhension de tous ces agissements s’explique par le souci
louable du législateur de lutter efficacement contre le développement important
des virus sur les réseaux numériques.

Toutefois, alors que le législateur français prévoit que ces actes ne sont pas
constitués lorsqu’il existe des motifs légitimes justifiant par exemple la
détention des outils d’atteinte aux STAD. Le législateur marocain n’a,
malheureusement, prévu aucune échappatoire pour les personnes de bonne foi
qui fabriqueraient ou détiendraient ces équipements comme par exemple dans le
cadre de la recherche scientifique et par les sociétés spécialisées dans la
sécurisation des réseaux.

Par ailleurs, la jurisprudence française a eu l’occasion de faire application de ces

infractions de détention, d’offre ou de cession des équipements d’atteinte aux
STAD. Il en est ainsi d’un arrêt de la cour d’appel de montpellier en date du 12
mars 2009 qui a fait une application extensive de cet article en condamnant la
publication de faille de sécurité. En effet, la cour a estimé qu’il n’y avait pas de
motif légitime à diffuser des menaces informatiques et a condamné sur ce
fondement un gérant d’une société spécialisée dans la surveillance des menaces
et vulnérabilité des systèmes informatiques qui avait diffusé sur son site internet
des informations et des programmes permettant d’exploiter des failles de
sécurité informatique directement accessibles à tous. Notons que les premiers
juges avaient estimé qu’il n’y avait pas d’incitation au piratage et que l’objectif
de l’auteur était d’informer les utilisateurs de programmes informatiques de
menaces existantes. La cour de cassation, pour sa part, a estimé qu’il n’est pas
légitime sous des motifs d’information au public de diffuser sur un site web
accessible à tous des programmes informatiques ou des codes permettant
d’exploiter des failles de sécurité.

SECTION II : LA REPRESSION DES ATTEINTES DE FABRICATION,

DE DETENTION, D’OFFRE, DE CESSION OU DE MISE A
DISPOSITION DES EQUIPEMENTS D’ATTEINTE AUX STAD

Les personnes qui se sont rendues coupables de ces atteintes encourent aussi
bien des peines principales (Section I) que complémentaires (Section II).

§ I : Les peines principales

L’article 607-10 du code pénal prévoit à l’encontre des auteurs des atteintes de
fabrication, de détention, d’offre, de cession ou de mise à disposition des
équipements d’atteinte aux SATD une peine d’emprisonnement de deux à
cinq ans et d’une amende de 50 000 à 2.000 000 dirhams.

Les atteintes de fabrication, de détention, d’offre, de cession ou de mise à

disposition des équipements d’atteinte aux SATD sont sanctionnés qu’elles aient
été consommées ou seulement tentées (l’art.607-8). Les peines prévues pour ces
infractions ainsi que pour celles de leur tentative étant identiques.

En outre, en vertu de l’article 607-9 du code pénal, la participation à un

groupement formé ou à une entente établie en vue de la préparation des
infractions de fabrication, de détention, d’offre, de cession ou de mise à
disposition des équipements d’atteinte aux STAD est punie de peines prévues
pour les infractions elles-mêmes. (Le législateur transpose l’infraction
d’association de malfaiteurs aux réseaux informatiques afin de réprimer les
associations et groupes de pirates informatiques ou « hackers »).

§ II : Les peines complémentaires

L’article 607-11 du code pénal prévoit que, sous réserve du tiers de bonne foi, le
tribunal peut prononcer la confiscation des matériels ayant servi à commettre les
atteintes à l’intégrité d’un STAD ainsi que de la chose qui en est le produit.

En outre, le coupable peut être frappé pour une durée de deux à dix ans de
l’interdiction d’exercice d’un ou de plusieurs des droits civiques, civils ou de
famille visés à l’article 26.
L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux
à dix ans ainsi que la publication ou l’affichage de la décision de condamnation
peuvent également être prononcés.

CHAPITRE V : LE FAUX, LA FALSIFICATION DE DOCUMENTS

INFORMATISE AINSI QUE LEUR USAGE

Ces atteintes sont définies est réprimées par l’article 607-7 du code pénal.

SECTION I : LA DEFINITION DES ATTEINTES DE FAUX, DE

FALSIFICATION DE DOCUMENTS INFORMATISES AINSI QUE
LEUR USAGE

L’article 607-7 du code pénal dispose « Sans préjudice de dispositions pénales

plus sévères, le faux ou la falsification de documents informatisés, quelle que
soit leur forme, de nature à causer un préjudice à autrui, est puni d’un
emprisonnement d’un à cinq ans et d’une amende de 10.000 à 1.000.000 de
dirhams.

Sans préjudice de dispositions pénales plus sévères, la même peine est

applicable à quiconque fait sciemment usage des documents informatisés
visés à l’alinéa précédent  ».

Cet article a pour mérite de combler le vide juridique laissé par l’article 351 du
code pénal qui ne vise pas les supports informatiques. Ainsi, les juges n’auront
plus à se livrer à des acrobaties juridiques. Tel fut le cas dans une espèce où un
individu avait réussi à accéder à la base de données de l’administration
marocaine de douanes et s’était livré à la modification de plusieurs données.
Poursuivi pour falsification de documents administratifs sur la base des articles
360 et 361 du code pénal, il soutenait fermement que la qualification de faux en
écriture supposait l’existence d’un écrit et que s’agissant en l’espèce de données
immatérielles, l’infraction n’était pas constituée. La cour d’appel de Casablanca,
consciente du fait qu’elle se heurtait effectivement au principe de l’interprétation
stricte de la loi pénale, mais qui se trouvait en même temps devant un
comportement inadmissible qui ne pouvait rester impuni sous peine de causer un
trouble social, a condamné le prévenu, en se fondant sur le fait qu’il avait avoué
les faits qui lui étaient reprochés. Cependant, elle a soigneusement éludé
l’épineuse question de la qualification juridique de ces actes, eu égard au
caractère immatériel des données modifiées (CA. Casablanca, crim., 7 avr. 2000,
GTM, n°sp.2002, n°96, p.143, note SALEH).

Par ailleurs, cet article réprime trois infractions : d’abord, le faux ensuite la
falsification et enfin l’usage fait de ces documents fabriqués ou altérés.

Il est à remarquer que le législateur ne précise pas la nature des documents

informatisés concernés. Dès lors, il est légitime de penser que de par son silence,
le législateur vise une appréhension large de tous documents informatisés qu’ils
soient délivrés par une administration publique (certificat, récépissé,
passeport….) ou pas.

Ainsi, le faux ou la falsification des documents informatisés concernent

n’importe quel document à condition que celui-ci constate un droit, une qualité,
une identité, ou qu’il accorde une autorisation par exemple.

Il importe peu que le but poursuivi soit lucratif ou non.

En outre, pour que les infractions de faux ou de falsification de documents

informatisés soient constituées, le législateur exige la réalisation d’un préjudice
à autrui. Peu importe que celui-ci soit matériel ou moral du moment qu’il existe.

Pour sa part, l’élément moral est nécessaire à la constitution de l’infraction. Il

résulte suffisamment de l’accomplissement de l’élément matériel à savoir le
faux, la falsification de documents informatisés ainsi que leur usage.

SECTION II : LA REPRESSION DES ATTEINTES DE FAUX, DE

FALSIFICATION DE DOCUMENTS INFORMATISES AINSI QUE
LEUR USAGE

Les personnes qui se sont rendues coupables des dites-atteintes encourent aussi
bien des peines principales (Section I) que complémentaires (Section II).

§I : Les peines principales

L’article 607-7 du code pénal prévoit à l’encontre des auteurs des atteintes de
faux, de falsification de documents informatisés ainsi que de leur usage, une
peine d’emprisonnement d’un à cinq ans et d’une amende de 10  000 à
1.000 000 dirhams.

Les atteintes de faux, de falsification de documents informatisés ainsi que leur

usage sont sanctionnés qu’elles aient été consommées ou seulement tentées
(l’art.607-8). Les peines prévues pour ces infractions ainsi que pour celles de
leur tentative étant identiques.

En outre, en vertu de l’article 607-9 du code pénal, la participation à un

groupement formé ou à une entente établie en vue de la préparation des
infractions de faux, falsification de documents informatisés ainsi que leur usage
est punie des peines prévues pour les infractions elle-même. (Le législateur
transpose l’infraction d’association de malfaiteurs aux réseaux informatiques
afin de réprimer les associations et groupes de pirates informatiques ou
« hackers »).

§ II : Les peines complémentaires

L’article 607-11 du code pénal prévoit que, sous réserve du tiers de bonne foi, le
tribunal peut prononcer la confiscation des matériels ayant servi à commettre les
atteintes de faux, de falsification de documents informatisés ainsi que de leur
usage et de la chose qui en est le produit.

En outre, le coupable peut être frappé pour une durée de deux à dix ans de
l’interdiction d’exercice d’un ou de plusieurs des droits civiques, civils ou de
famille visés à l’article 26.

L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux
à dix ans ainsi que la publication ou l’affichage de la décision de condamnation
peuvent également être prononcés.

TITRE II : LES INFRACTIONS RELATIVES A LA PROTECTION DES

PERSONNES PHYSIQUES A L’EGARD DU TRAITEMENT DES
DONNEES A CARACTERE PERSONNEL

Inspirée de la célèbre loi française informatique et libertés du 6 janvier 1978

(modifiée par une loi du 6/08/2004 relative à la protection des personnes
physiques), la loi n°09-08 relative à la protection des personnes physiques à
l’égard du traitement des données personnelles a été promulguée par le
dahir du 18 février 2009. Elle vise à protéger les citoyens contre les dangers
liés au développement croissant de l’informatisation de la société et plus
spécialement des données personnelles par le biais d’internet, la vie privée des
citoyens (elle vise à encadrer strictement l’utilisation des données personnelles).
Dans cette perspective, elle a créé de nouvelles infractions pouvant se diviser en
deux catégories : les infractions commises lors de la collecte d’informations
nominatives (CHAPITRE I) et les infractions postérieures à cette collecte
(CHAPITRE II).

Mais, avant d’étudier ces infractions, il convient de définir la notion de

traitement et celle de données à protéger.

Aux termes de l’article premier de la loi, la notion de traitement correspond à

toute opération ou ensemble d’opération effectuées au nom ou à l’aide de
procédés automatisés et appliqués à des données à caractère personnel. Il peut
s’agir de la collecte, de l’enregistrement, de l’organisation, de la conservation,
de la modification, de la consultation, de l’effacement ou de la destruction.

Pour sa part, la notion de données à caractère personnel implique toute

information concernant une personne physique identifiée ou identifiable
directement ou indirectement par référence à un numéro d’identification ou à un
ou plusieurs éléments qui lui sont propres (identité physique, économique,
culturelle ou sociale, génétique…) (nom, adresse, prénom, courriel,
photographie d’identité, numéro d’identification, empreintes digitales)

Dans cette optique, peut-on considérer une adresse IP comme une donnée à
caractère personnel et par conséquent soumise à la loi 09-08 ce qui implique des
formalités déclaratives auprès de la commission.

Compte tenu du fait que la loi marocaine n’est qu’une reproduction de la loi
française, il apparaît opportun d’apporter les précisions émises par la
jurisprudence française concernant l’adresse IP.

Une adresse IP est une série de chiffres attribuée par un fournisseur d’accès
Internet à l’ordinateur de ses clients lorsqu’ils se connectent à Internet. Il est
possible donc de remonter à un abonné via son adresse IP. C’est le même
raisonnement suivi en ce qui concerne le numéro d’immatriculation d’une
voiture qui constitue bien une donnée personnelle au sens de la loi alors que
seule la préfecture détient l’identité de la personne.

A cet égard, la cour de cassation dans un arrêt du 13 janvier 2009 a estimé que le
fait de relever l’adresse IP pour pouvoir localiser le fournisseur d’accès et
partant l’auteur de l’infraction ne constitue pas un traitement de données
personnelles (par le simple rapprochement avec la base des abonnés détenue par
le fournisseur d’accès à internet).
Par ailleurs, la loi 09-08 a institué dans un chapitre IV une commission nationale
de contrôle de la protection des données à caractère personnel (équivalent du
CNIL en France cad commission nationale informatique et libertés). Elle est
instituée auprès du premier ministre et se compose d’un président nommé par le
Roi et de 6 membres nommés par le Roi sur proposition du premier ministre, du
pdt de la chambre des représentants ou de celui de la chambre des conseillers.

Elle est chargée de veiller au respect des dispositions de la dite loi :

-elle reçoit les déclarations préalables et les demandes d’autorisations ;

-reçoit les plaintes, les instruits, leur donne suite en ordonnant la publication de
rectificatifs ou la saisine du procureur aux fins de poursuite ;

-dotée des pouvoirs d’investigation et d’enquête. Ainsi, elle ordonne que les
documents lui soient communiquées, le verrouillage, l’effacement ou l’accès
aux locaux ;

Interdit provisoirement ou définitivement le traitement de DCP.

CHAPITRE I : LES INFRACTIONS RELATIVES A LA COLLECTE

D’INFORMATIONS A CARACTERE PERSONNEL

La loi prévoit certaines formalités pour pouvoir mettre en œuvre un traitement

d’informations à caractère personnel, dont la violation constitue des infractions
(SECTION I). Aussi, le législateur exige que les informations collectées
répondent à certaines conditions, dont la violation constitue des infractions. Ces
conditions sont relatives aux moyens utilisés lors de la collecte des informations
(Section II) ainsi qu’aux droits des personnes concernées par les informations
(Section III).

SECTION I : LES ATTEINTES AUX FORMALITES DE MISE EN

ŒUVRE D’UN TRAITEMENT D’INFORMATIONS A CARACTERE
PERSONNEL

Ces atteintes sont appréhendées par l’article 52 de la loi sur la protection des
personnes physiques à l’égard des traitements des données à caractère personnel.
Celui-ci prévoit « sans préjudice de la responsabilité civile à l’égard des
personnes ayant subi des dommages du fait de l’infraction, est puni d’une
amende de 10.000 à 100.000 dirhams, quiconque aura mis en œuvre un
fichier de données à caractère personnel sans la déclaration ou l’autorisation
exigée à l’article 12 ci-dessus ou aura continué son activité de traitement de
données à caractère personnel malgré le retrait du récépissé de la déclaration
ou de l’autorisation ».

Au sens de cet article, il apparaît que la mise en œuvre d’un traitement

automatisé d’informations à caractère personnel c'est-à-dire permettant
l’identification d’une personne physique, de manière directe ou indirecte, ne doit
intervenir après l’accomplissement de certaines formalités préalables dont le
non-respect est sanctionné par une amende de 10.000 à 100.000 dirhams.

Selon les personnes voulant mettre en œuvre le traitement de ces données, les
formalités préalables varient, elles consistent en une autorisation préalable ou
une déclaration préalable.

-Une autorisation préalable est exigée lorsque les traitements

concernent des données sensibles (données qui révèlent l’origine raciale ou
ethnique, les opinions politiques, les convictions religieuses ou philosophiques
ou l’appartenance syndicale de la personnes ou qui sont relatives à sa santé),
l’utilisation de données à caractère personnel à d’autres fins que celles pour
lesquelles elles ont été collectées, des données génétiques, des données portant
sur le passé pénal de la personne, des données portant sur le numéro de le CIN
de la personne concernée ;

-Une simple déclaration préalable est exigée dans les autres cas.

Le législateur prévoit les mêmes peines d’amende à l’encontre des personnes qui
auraient continué leurs activités de traitement de données à caractère personnel
malgré le retrait du récépissé de la déclaration ou de l’autorisation.

SECTION II : LES ATTEINTES RELATIVES AUX MOYENS UTILISES

LORS DE LA COLLECTE DES INFORMATIONS

Au sens de l’article 54 de la loi, une peine d’emprisonnement de trois mois à un

an et d’une amende de 20.000 à 200.000 dirhams ou de l’une de ces deux
peines seulement, est prévue à l’encontre des personnes qui collectent des
données à caractère personnel à l’aide de moyens frauduleux, déloyaux ou
illégaux.

La collecte n’est pas illicite en elle-même, elle le devient en raison de méthodes

illicites utilisées pour la réaliser car ces méthodes portent atteinte au principe de
loyauté de la collecte prévue par l’article 3 de la loi, ce qui justifie donc la
répression.
La jurisprudence française a eu l’occasion d’appréhender cette infraction. Ainsi,
par une délibération du 9 juillet 2002, la Cnil (la Commission nationale de
l'informatique et des libertés) a dénoncé au parquet de Nanterre les agissements
d'une société qui, entre les deux tours des élections présidentielles de 2002, avait
procédé par courrier électronique à un sondage politique présenté comme
«anonyme ». Si les destinataires étaient invités à préciser le candidat pour lequel
ils avaient l'intention de voter, ils devaient également indiquer leur civilité, leur
année de naissance, leur situation professionnelle ainsi que leur adresse
électronique, dans la mesure où ils souhaitaient être informés des résultats du
sondage. Le contrôle effectué par la Cnil a permis d'établir que les réponses
reçues avaient été enregistrées et conservées dans un fichier pour être mises à
disposition de tiers.

Par jugement en date du 4 juin 2004, le tribunal correctionnel de Nanterre a

déclaré le « sondeur » coupable de collecte des données nominatives par un
moyen frauduleux, déloyal ou illicite (C. pénal français, art. 226-18),
d'enregistrement et conservation de données nominatives sensibles sans l'accord
des intéressés (C. pénal français, art. 226-21) et de détournement de la finalité
d'un traitement automatisé d'informations nominatives, et l'a condamné au
paiement d'une amende de 5 000 euros.

SECTION III : LES ATTEINTES AUX DROITS DES PERSONNES

LORS DE LA COLLECTE DES INFORMATIONS

La loi accorde des droits aux personnes physiques au moment de la collecte des
informations les concernant dont la violation constitue une infraction punissable.

En premier lieu, l’article 56 de la loi prévoit une peine d’emprisonnement de

trois mois à un an et d’une amende de 20.000 à 200.000 ou de l’une de ces deux
peines seulement à l’encontre des auteurs d’un traitement automatisé de
données sans avoir requis le consentement préalable de la personne
concernée pour l’opération envisagée.

Toutefois, le législateur prévoit plusieurs exceptions à cette formalité relative au

consentement préalable des personnes concernées. En d’autres termes, le
consentement de la personne n’est pas exigé si le traitement est nécessaire :

-au respect d’une obligation légale à laquelle est soumise la personne

concernée ou le responsable du traitement ;
 -à l’exécution d’un contrat auquel la personne concernée, est partie ;

-à la sauvegarde des intérêts vitaux de la personne concernée (si elle est

physiquement et juridiquement incapable de donner son consentement) ex.
fichier du greffe ;

-à l’exécution d’une mission d’intérêt public (…) ex. pourcentage des

femmes qui travaillent, profession qu’elles occupent.

En deuxième lieu, l’article 57 de la loi prévoit une peine d’emprisonnement de

six mois à deux ans et d’une amende de 50.000 à 300.000 ou de l’une de ces
deux peines seulement à l’encontre des personnes qui procèdent, sans le
consentement exprès des personnes intéressées, au traitement des données à
caractère personnel qui, directement ou indirectement, font apparaître les
origines raciales ou ethniques, les opinions politiques, philosophiques ou
religieuses, les appartenances syndicales des personnes ou qui sont relatives
à leur santé, leur passé pénal (les condamnations, les mesures de sûreté dont
elles ont fait l’objet).

En troisième lieu, l’article 59 de la loi prévoit une peine d’emprisonnement de

trois mois à un an et d’une amende de 20.000 à 200.000 dirhams ou de l’une de
ces deux peines seulement à l’encontre des auteurs de traitement de données
à caractère personnel concernant une personne physique malgré
l’opposition de celle-ci, lorsque cette opposition est fondée sur des motifs
légitimes ou lorsque ce traitement répond à des fins de prospection3,
notamment commerciale.

CHAPITRE II : LES INFRACTIONS POSTERIEURES A LA

COLLECTE D’INFORMATIONS A CARACTERE PERSONNEL