Aspect

Juridique
Dr Venant Palanga
Maître de conférences

1
Lutte contre la cybersécurité et respect
de l’intimité numérique
• La lutte contre la cybersécurité doit avoir pour objectif
principal la protection des individus, des organisations
et des Etats en tenant compte des grands principes
démocratiques.

2
Sécurité et répression du crime
informatique
A l’heure actuelle, la
• Les mesures de sécurité
cybercriminalité est mal
mises en place tendent à
maîtrisée.
protéger un environnement
donné dans un contexte
particulier, mais ne peuvent
aucunement empêcher la
conduite d’activités
criminelles.

3
Sécurité et répression du crime
informatique • Les raisons de cette situation sont
notamment liées:
− aux caractéristiques du cybercrime
(capacité à être automatisé, savoir faire
embarqué dans le logiciel, réalisation à
distance);
− à la possibilité offerte au cybercriminel
d’usurper facilement et sans risque
excessif, l’identité d’utilisateurs
légitimes, ruinant par là même la
capacité de la justice à identifier les
auteurs réels d’une infraction;
4
Sécurité et répression du crime informatique
− à la détermination des compétences pour réaliser une enquête ;
− à la pénurie de ressources humaines et matérielles au sein des services chargés
de la répression des délits informatiques;
− au caractère transnational de la cybercriminalité qui nécessite des recours
fréquents à la coopération et à l’entraide judiciaire internationale. Cette
dernière implique des contraintes de temps non compatibles avec la rapidité
d’exécution des agressions et les besoins de reprise immédiate des systèmes
informatiques concernés par les cyberattaques ;

5
Sécurité et répression du crime informatique

− à la difficulté à qualifier les faits au regard de certaines

législations pénales;

− à la nature mal définie et à la volatilité de la plupart des preuves

informatiques.

• Pour toutes ces causes, le système judiciaire dans le contexte

d’Internet, n’est pas toujours efficace. De plus, de même qu’il existe
des paradis fiscaux, il existe des paradis digitaux.

6
Sécurité et répression du crime informatique
• Les comportements antisociaux (comme l’espionnage
économique par exemple) qu’autorise Internet, apportent un
gain immédiat à leurs auteurs. Cela contribue à perturber le
bon fonctionnement de l’économie.

• Par ailleurs, ce n’est pas nécessairement par absence de loi, ou

de principes directeurs (tableau 1) que le crime informatique
est peu ou mal réprimé.
− La plupart des délits informatiques sont déjà qualifiables par le biais
des législations pénales existantes. En effet, ce qui est illégal off line
est illégal on line.

7
Sécurité et répression du crime informatique
− La difficulté et la complexité du chantier à mettre en œuvre et les
moyens nécessaires pour atteindre les objectifs de lutte contre
non seulement la cybersécurité mais aussi le crime organisé, qui
font qu’Internet est exploité à des fins malveillants.

8
Lignes directrices de l’Organisation pour la Coopération et le Développement Economique) OCDE en
matière de sécurité informatique (juillet 2002)
Sensibilisation Les parties prenantes doivent être sensibilisées au besoin d’assurer la sécurité des
systèmes et des réseaux d’information et aux actions qu’elles peuvent entreprendre pour
renforcer la sécurité
Responsabilité Les parties prenantes sont responsables de la sécurité des systèmes et des réseaux
d’information.
Réaction Les parties prenantes doivent agir avec promptitude et dans un esprit de coopération pour
prévenir, détecter et répondre aux incidents de sécurité
Etique Les parties prenantes doivent respecter les intérêts légitimes des autres parties prenantes.

Démocratie La sécurité des systèmes et des réseaux d’information doit être compatible avec les
valeurs fondamentales d’une société démocratique.
Evaluation des Les parties prenantes doivent procéder à des évaluations des risques.
risques
Conception et mise Les parties prenantes doivent intégrer la sécurité en tant qu’un élément essentiel des
en œuvre de la systèmes et réseaux d’information.
sécurité
Gestion de la Les parties prenantes doivent adopter une approche globale de la gestion de la sécurité.
sécurité
Réévaluation Les parties prenantes doivent examiner et réévaluer les sécurités des systèmes et réseaux
d’information et introduire des modifications appropriées dans leur politique, pratiques,
9
Infractions, responsabilité et obligations de moyens

• De nouvelles législations, nées de la nécessité de définir un cadre

juridique approprié à l’usage des nouvelles technologies, viennent
compléter la plupart des législations existantes qui sont, rappelons-
le, également valides dans le cyberespace.

10
 Exemples de crimes et délits liés aux technologies de l’information
Crimes et délits contre les personnes
* Atteinte à la personnalité * Atteinte à la vie privée * Atteinte à la représentation de la personne
*Dénonciation calomnieuse * Atteinte au secret professionnel * Atteinte aux droits de la personne résultant
des fichiers ou des traitements informatiques * Atteinte aux mineurs * Harcèlement * …

Crimes et délits contre les biens

* Escroquerie * Crime économique et financier * Atteinte aux systèmes informatiques * Vol, modification,
destruction de ressources * Chantage *Piratage de système *…

Provocation aux crimes et délits

* Apologie des crimes contre l’humanité * Apologie et provocation au terrorisme * Provocation à la haine
raciale * Négationnisme *…

Infractions à diverses réglementations (code civil, code des obligations, code pénal,
code de la propriété intellectuelle, droit de l’audiovisuel, des contrats, …
* Contrefaçon d’une oeuvre de l’esprit (logiciel …), d’une image, dessin …
* Contrefaçon de marque * Téléchargement illégal…
* Participation à la tenue d’une maison de jeux de hasard (cybercasino…) *
* Infractions de presse…
*…

11
Infractions, responsabilité et obligations de moyens

• Renforcer la législation n’est pas forcément

suffisant, si les moyens de l’appliquer manquent.
Une législation est de peu d’utilité, si la justice
n’est pas en mesure de traiter les preuves
immatérielles et de sanctionner les auteurs de
comportements criminels. Elle n’est pas efficace si
les malveillants ont le sentiment d’agir en toute
impunité.

12
Infractions, responsabilité et obligations de moyens

• Certaines législations nationales ou conventions

internationales contraignent les organisations à se
doter de mesures de sécurité leur assurant la
conformité juridique.

• Ainsi les dirigeants d’une organisation, et par le

biais de la délégation de pouvoir les responsables
de sécurité ont une obligation de moyens de la
sécurité (mais non une obligation de résultat).

13
Prendre en compte la sécurité en regard de la législation

• Les organisations se doivent de se doter de moyens suffisants de

sécurité et de contrôle. La valeur économique des investissements
nécessaires à assurer le seuil minimal de sécurité (protection
physique et juridique) est fonction des pertes matérielles et aussi des
risques de réputation et d’image encourus par l’organisation. La
législation devient donc un facteur endogène de prise en compte de la
sécurité.

14
Prendre en compte la sécurité en regard de la législation
• Il est également nécessaire que les responsables sécurité des organisations
soient sensibilisés aux contraintes d’une enquête policière (documentation
minimale relative à l’incident, conservation des traces, etc.). Cette mesure n’a
de sens que lorsque les incidents sont effectivement rapportés à la justice.
L’Etat doit alors favoriser le signalement des agressions liées au cybercrime et
instaurer la confiance entre les différents acteurs du monde économique et
les services de justice et de police.

15
Prendre en compte la sécurité en regard de la législation

• Outre la dimension légale directement associée à une menace

criminelle (qu’elle soit d’origine interne ou externe), l’organisation
doit être vigilante au respect de la protection des données à
caractère personnel de ses employés comme de celles de ses clients,
fournisseurs ou partenaires.

16
Prendre en compte la sécurité en regard de la législation
• La législation en matière de traitement des données à caractère personnel et de
protection de la sphère privée dans le secteur des communications
électroniques est également un facteur qui pousse les entreprises à bien gérer
leur sécurité, notamment en ce qui concerne la gestion des données des
utilisateurs, la surveillance des communications et des employés, la gestion des
sauvegardes et le traitement automatisé de données à caractère personnel.

17
Prendre en compte la sécurité en regard de la législation
• L’usage abusif d’Internet hors du cadre professionnel par des employés
(cyberslacking) est à l’origine de nouvelles menaces pour l’organisation. Outre
des problèmes de productivité, cela peut induire des problèmes de sécurité
(introduction de virus par exemple) et potentiellement mettre en cause la
responsabilité civile ou pénale de l’entreprise et de l’employé.

18
Prendre en compte la sécurité en regard de la législation
• Pour tenter de maîtriser l’usage non professionnel des outils de
communication mis à disposition par les organisations pour ses
employés, ces dernières peuvent être tentées d’utiliser des outils de
surveillance pour contrôler l’usage fait des ressources informatiques et
télécoms (notion de cybersurveillance des employés).

19
Prendre en compte la sécurité en regard de la législation

• Lors de la mise en place de procédures de cybersurveillance les

organisations doivent être attentives à respecter le droit à la vie
privée de ses employés et éviter les abus de contrôle excessif.

20
Prendre en compte la sécurité en regard de la législation

• La prérogative patronale du pouvoir de contrôle de l’employeur,

aussi légitime soit-elle, ne doit pas s’exercer en violation des droits
et libertés des employés. Dans la plupart des pays, la législation ou
la doctrine et la jurisprudence, recommande que la mise en œuvre
de la cybersurveillance soit préalablement accompagnée d’une
charte d’utilisation de l’informatique et des télécommunication.

21
Réglementation Internationale

• La première réglementation internationale (et la seule), contribuant

à appréhender la dimension internationale de la cybercriminalité est
la convention sur la cybercriminalité – Budapest 23 novembre
2001. Adopté sous l’égide du Conseil de l’Europe, elle est entrée en
vigueur en juillet 2004 dès sa ratification.

22
Réglementation Internationale

• Cette convention aborde les points suivants:

− Disposition de droit pénal matériel concernant:

• Les infractions contre la confidentialité, l’intégrité et la disponibilité des

données et systèmes informatiques.

• Les infractions informatiques.

• Les infractions liées aux atteintes à la propriété intellectuelle et aux

droits connexes.

23
Réglementation Internationale
− Disposition de droit procédural concernant:

• La conservation rapide des données informatiques, de données relatives au

trafic et à sa divulgation rapide à l’autorité compétente.

• La conservation et la protection de l’intégrité des données pendant une

durée aussi longue que nécessaire pour permettre aux autorités
compétentes d’obtenir leur divulgation.

• L’injonction de produire.

• La perquisition et la saisie des données stockées.

• La collecte en temps réel des données.

• La protection adéquate des droits de l’Homme et des libertés.

24
Réglementation Internationale

− Chaque Etat doit adopter des mesures législatives, et autres, qui se révèlent
nécessaires pour ériger en infraction pénale, dans le respect de son droit
interne:

• l’accès intentionnel et sans droit à tout ou partie d’un système;

• l’interception intentionnelle et sans droit de donnée lors de

transmissions publiques, à destination, en provenance ou à l’intérieur
d’un système.

25
Réglementation Internationale
• Le fait intentionnel et sans droit d’endommager, d’effacer, de détériorer,
d’altérer ou de supprimer des données.

• L’entrave grave intentionnelle est sans droit au fonctionnement d’un système.

• La production, la vente, l’obtention pour l’utilisation, l’importation, la diffusion

ou d’autres formes de mise à disposition d’un dispositif conçu ou adapté pour
réaliser une des infractions mentionnées.

• L’introduction, l’altération, l’effacement ou la suppression intentionnelle et sans

droit de données, engendrant des données non authentiques, dans l’intention
qu’elles soient prises en compte ou utilisées à des fins légales comme si elles
étaient authentiques.

26
Réglementation Internationale

• Le fait intentionnel et sans droit de causer un préjudice patrimonial à

autrui par l’introduction, l’altération, l’effacement ou la suppression de
données, toute forme d’atteinte au fonctionnement d’un système, dans
l’intention frauduleuse ou délictueuse, d’obtenir sans droit un bénéfice
économique pour soi-même ou pour autrui.

• « la complicité en vue de … »est érigée en infraction pénale ainsi que

« la tentative intentionnelle de … »

27
Réglementation Internationale

− Les Etats doivent établir leurs compétences à l’égard de toute

infraction pénale lorsque cette dernière est commise:
• sur son territoire;

• à bord d’un navire battant pavillon de cet Etat;

• par un de ses ressortissants, si l’infraction est punissable pénalement

là où elle a été commise ou si l’infraction ne relève pas de la
compétence territoriale d’aucun Etat.

28
Réglementation Internationale

− Règles concernant la coopération internationale en matière:

• d’extradition;

• d’entraide aux fins d’investigation;

• de procédures concernant les infractions pénales liées à des systèmes et

données informatiques;

• de recueil de preuves sous formes électronique d’une infraction pénale.

29
Réglementation Internationale

− Création d’un réseau d’entraide

• 24h/24, 7j/7.

• Point de contact national.

• Assistance immédiate pour les infractions.

30
Exercices

• Pourquoi la sécurité doit-elle être gérée selon un

processus continu?
• Qu’est-ce que la confiance en matière de sécurité
informatique?
• Pourquoi la compréhension du risque juridique par des
responsables de sécurité informatique est importante?

31