Académique Documents
Professionnel Documents
Culture Documents
contre la cybercriminalité
Reproduite à partir de la loi française du 5 janvier 1988 dite loi Godfrain, la loi
n°07-03 constitue un texte fondateur pour la mise à niveau de l'arsenal juridique
marocain afin de tenir compte des infractions imputables à la criminalité informatique.
Elle traite les atteintes aux systèmes de traitement automatisé des données (STAD) et
réprime pénalement de nombreux comportements. Les intrusions ainsi que les atteintes
aux systèmes de traitement automatisé des données demeurent les plus importantes
incriminations contenues dans cette loi.
1. Les intrusions:
La loi n°07-03 permet de sanctionner toutes les intrusions non autorisées dans
un système de traitement automatisé de données. Elle fait la distinction entre l'accès et
le maintien frauduleux dans un STAD. En effet, deux types d'accès illicites peuvent
être envisagés:
- L'accès dans l'espace, qui consiste à pénétrer par effraction dans un système
informatique (accès frauduleux);
Parmi les actes réprimés dans la loi n°07-03, on trouve en premier lieu l'accès
frauduleux. Cette infraction résulte de l'article 607-3 du code pénal qui dispose dans sa
rédaction de 2003: « le fait d'accéder, frauduleusement, dans tout ou partie d'un
système de traitement automatisé des données est puni d'un mois à trois mois
d'emprisonnement et de 2.000 à 10.000 dirhams ou de l'une de ces deux peines
seulement ». Dès lors que le maintien ou l'accès frauduleux entraîne une altération du
système, la loi marocaine prévoit un doublement de la peine. En effet, l'article 607-3,
al. 3 du Code pénal dispose « La peine est portée au double lorsqu'il en est résulté soit
la suppression ou la modification de données contenues dans le STAD, soit une
altération du fonctionnement de ce système».
- Depuis l'intérieur du système : un salarié qui, depuis son poste, pénètre dans
une zone du réseau de l'entreprise à laquelle il n'a pas le droit d'accéder
pourra être poursuivi2.
1
- El azzoui ali la cybercriminalité au Maroc, bishops solution 2010.
2
- L'exemple La Cour d'appel de Paris a considéré l'envoi automatique de messages et l'utilisation de
programmes simulant la connexion de multiple Minitel à un centre serveur, perturbant ainsi les
performances du système et entraînant un ralentissement de la capacité des serveurs, comme étant
constitutif du délit d'entrave au fonctionnement d'un STAD.
3
- la jurisprudence française Etant donné que la loi marocaine n'est que la reproduction de la loi
française, il s'avère important d'analyser les précisions apportées par la jurisprudence française par
rapport à la notion de l'accès.
La loi marocaine incrimine également le maintien frauduleux dans un système
de traitement automatisé de données. L'article 607-3 du code pénal marocain dispose:
«Est passible de la même peine toute personne qui se maintient dans tout ou partie d'un
système de traitement automatisé de données auquel elle a accédé par erreur et alors
qu'elle n'en a pas le droit ». La jurisprudence française précise que l'incrimination
concerne le maintien frauduleux ou irrégulier dans un système de traitement
automatisé de données de la part de celui qui y est entré par inadvertance ou de la part
de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement.
2. Les atteintes :
Les atteintes au STAD ont tendance à devenir de plus en plus fréquentes de nos
jours, que le but soit le simple vandalisme ou bien encore, de façon plus élaborée, un
but économique (vol ou altération de données dans le but d'en retirer de l'argent). Le
législateur marocain a prévu des incriminations de ces délits dans le cadre de la loi
n°07-03,
L'article 607-6 du code pénal dispose que «Le fait d'introduire frauduleusement
des données dans un système de traitement automatisé ou de détériorer ou de
supprimer ou de modifier frauduleusement les données qu'il contient est puni d'un an à
trois ans d'emprisonnement et de 10.000 à 200.000 dirhams d'amende ou de l'une de
ces deux peines seulement ».
Enfin, il convient de signaler que pour tous ces délits, que ce soit pour les
intrusions (accès et atteinte frauduleux au STAD) et pour les atteintes (atteintes au
fonctionnement et atteintes aux données d'un STAD), la tentative est punie des mêmes
peines. En effet, l'article 607-8 du code pénal dispose « La tentative des délits prévus
par les articles 607-3 à 607-7 ci-dessus et par l'article 607-10 ci-après est punie des
mêmes peines que le délit lui-même »4.
4
- El azzoui ali la cybercriminalité au Maroc, bishops solution 2010, PAGE 118.
5
- El azzoui ali la cybercriminalité au Maroc, bishops solution 2010, P 125.
La loi n° 09-08 s'applique au traitement des données à caractère personnel, sous
quelque forme que ce soit relatives à une personne physique identifiée ou identifiable.
Le nom, prénom, adresse, courriel, photographie d'identité, numéro d'identification,
empreintes digitales constituent par exemple des données à caractère personnel. Dans
cette optique peut-on considérer une adresse IP comme une donnée à caractère
personnel et par conséquent tombe sous la protection de la loi n°09-08. Compte tenu
du fait que la loi marocaine n'est qu'une reproduction de la loi française, il apparaît
opportun d'apporter les précisions émises par la jurisprudence française concernant
l'adresse IP.
Il convient de souligner par ailleurs que les implications de cette nouvelle loi
concernent non seulement les entreprises et les citoyens établis sur le territoire
marocain mais aussi toutes les entreprises étrangères qui entretiennent des relations
d'affaires avec leurs homologues marocaines ou qui échangent des données avec leurs
filiales ou leurs maisons mères marocaines, tout en utilisant des moyens situés sur le
territoire marocain. Toutefois, le champ d'application de cette loi exclut les données
relatives à l'exercice d'activités personnelles ou ménagères, celles obtenues au service
de la Défense nationale et de la Sûreté intérieure et extérieure de l'Etat, ou encore
celles obtenue dans le cadre du traitement effectué en application d'une législation
particulière6.
Le droit à l'information
Ce droit de regard sur ses propres données personnelles vise aussi bien la
collecte des informations que leur utilisation. Ce droit d'être informé est essentiel car il
conditionnel 'exercice des autres droits tels que le droit d'accès ou le droit d'opposition.
Ainsi, Toute personne sollicitée en vue d'une collecte de ses données personnelles, doit
être préalablement informée par le responsable du traitement de celles-ci ou son
représentant d'un certain nombre d'éléments dont principalement les finalités du
traitement auquel les données sont destinées.
Le droit d'accès
Le droit de rectification
6
- El azzoui ali la cybercriminalité au Maroc, bishops solution 2010, P 128
Le droit de rectification constitue un complément essentiel du droit d'accès. En
effet, les personnes concernées peuvent obtenir l'actualisation, la rectification,
l'effacement ou le verrouillage des données personnelles collectées, notamment du fait
du caractère inexact ou incomplet des informations.
Le droit d'opposition
Déclaration préalable
Autorisation préalable
La Convention8 et son Rapport explicatif ont été adoptés par le Comité des
Ministres du Conseil de l'Europe à l'occasion de sa 109e Session, le 8 novembre 2001.
La Convention a été ouverte à la signature à Budapest, le 23 novembre 2001, à
l'occasion de la Conférence Internationale sur la Cybercriminalité.
8
- Khalid Barko, Politique criminelle en matière de lutte contre la cybercriminalité au Maroc, 2016-
2017.
Emploi des termes; 2) Mesures à prendre au niveau national - droit matériel et
droit procédural; 3) Coopération internationale; 4) Clauses finales.
La Section 1du chapitre II (questions de droit matériel) porte sur les dispositions
relatives aux incriminations et les autres dispositions connexes applicables à la
criminalité informatique: il commence par définir 9 infractions groupées en quatre
catégories, puis traite des autres formes de responsabilité et de sanctions. La
Convention définit les infractions ci-après : accès illégal, interception illégale, atteinte
à l'intégrité des données, atteinte à l'intégrité du système, abus de dispositifs,
falsification informatique, fraude informatique, infractions se rapportant à la
pornographie enfantine et infractions liées aux atteints à la propriété intellectuelle et
aux droits connexes.
9
- Chapitre II de la convention de Budapest sur la cybercriminalité: adopté le 23 novembre 2001.
La section 1 de la Convention (article 2 à 13) a pour objet d'améliorer les
moyens de prévenir et de réprimer la criminalité informatique en fixant une norme
minimale commune permettant d'ériger certains actes en infractions pénales. Une
harmonisation de ce type facilite la lutte contre cette criminalité aux niveaux national
et international. La concordance entre les législations internes peut s'opposer à ce que
des actes illicites soient commis de préférence dans une Partie qui appliquait
antérieurement une norme moins stricte. De la sorte, il devient également possible de
stimuler l'échange de données d'expérience communes utiles. La coopération
internationale (en particulier l'extradition et l'entraide judiciaire) est facilitée, par
exemple en ce qui concerne la règle de la double incrimination.
2- Droit procédural 10
10
- Renvoi Article 13 de la convention de Budapest adopté le 23 Novembre 2001.
effectives dans un contexte technologique caractérisé par la volatilité. Les données
n'étant pas toujours statiques, mais circulant dans le cadre du processus de
communication, d'autres procédures classiques de collecte se rapportant aux
télécommunications, telles que la collecte en temps réel de données de trafic et
l'interception en temps réel des données de contenu, ont également été adaptées afin de
rendre possible la collecte de données électroniques pendant la processus de
communication lui-même. Certains de ces procédures sont énoncées dans la
Recommandation No R(95) 13 du Conseil de l'Europe relative aux problèmes de
procédure pénale liés à la technologie de l'information.
La conservation exige que les données qui existent déjà et sont stockées soient
protégées contre tout ce qui risquerait d'en modifier ou dégrader la qualité ou l'état
actuel. Elle exige que les données soient maintenues à l'abri de toute modification, de
toute détérioration ou de tout effacement.
11
- Article 16 de la convention de Budapest sur la cybercriminalité, adopte le 23 Novembre 2001.
12
- Article 17 de la convention sur la cybercriminalité adopté le 23 Novembre 2001.
3. Perquisition et saisie de données informatiques stockées (article 19)13
Souvent, les données relatives au trafic initiales peuvent ne plus être disponibles
ou n'être plus utilisables parce que l'intrus a modifié le chemin de la communication. Il
s'ensuit que la collecte en temps réel de données relatives au trafic est une importante
mesure d'enquête. L'article 20 traite de la question de la collecte et de l'enregistrement
en temps réel des données relatives au trafic aux fins d'enquêtes ou de procédures
pénales spécifiques.
13
- Article 19 de la convention sur la cybercriminalité adopté le 23 novembre 2001
14
- Article 17 de la convention sur la cybercriminalité adopté le 23 Novembre 2001.
15
- Article 21 de la Convention de Budapest sur la cybercriminalité adopte, le 23 Novembre 2001.
réduites à enquêter sur des infractions révolues, dans le cas desquelles le préjudice a
déjà été causé. On voit que l'interception en temps réel des données relatives au
contenu des communications informatiques est au moins, sinon plus importante que
l'interception en temps réel des télécommunications.
Cet article établit une série de critères en vertu desquels les Parties contractantes
sont tenues d'établir leur compétence relativement aux infractions pénales visées aux
articles 2 à 11 de la Convention.
16
- Article 22 de la convention sur la cybercriminalité, adopte le 23 Novembre 2001.
CHAPITRE 2 : Crime électronique, principes fondamentaux de droit
Pénal, règles Procédurales et répression, réalité et perspective future face au
phénomène de cyber criminalité.
De l'autre côté les règles procédurales tel que la perquisition, saisies tel que
réglementée par le CPP en vigueur ne cadre nullement l'environnement numérique qui
diffère du monde physique par son immatérialité et la portée de ses étendus et qui par
conséquent sont mis en mal par la cybercriminalité.
Le droit pénal obéit à certains principes cardinaux qui fondent son rigorisme;
parmi eux, nous pouvons inventorier les principes ci-après : la légalité criminelle ;
l'interprétation stricte de la loi pénale; l'autonomie du droit pénal ; la territorialité, la
personnalité et l'universalité de la loi pénale. A ceux-ci, nous pouvons joindre les
principes relatifs à la qualification des faits, au concours d'infractions, à la
qualification d'infraction et à la tentative punissable.
Tous les principes sus énumérés, précieux au droit pénal Marocain, sont battus
en brèche par la cybercriminalité qui, par sa nature complexe, ne peut être embobinée
par lesdits principes.
Traduit du latin « nullum crimen, nulla poena sine lege » (pas de crime, ni de
peine sans loi), le principe de la légalité des délits et des peines, dispose qu'on ne peut
être condamné pénalement qu'en vertu d'un texte pénal, précis et clair. En d'autres
termes, un acte ne peut être considéré comme infractionnel que s'il était déjà prévu et
qualifié comme tel par le code pénal antérieurement à son exécution. Ainsi donc, une
action ou une abstention, si préjudiciable soit-elle à l'ordre public, ne peut être
sanctionné par le juge que lorsque le législateur l'a visée dans un texte et interdite sous
la menace d'une peine.
Dans une procédure pénale, les auteurs d'une infraction doivent être identifiés et
des solides preuves de leur culpabilité doivent être produites.
Ces exigences compliquent les poursuites intentées contre les auteurs des délits
informatiques commis à l'aide de réseaux dans la mesure où l'Internet est difficile à
contrôler et garantit, du moins aux utilisateurs avertis, un niveau élevé d'anonymat.
Les réseaux informatiques internationaux (dotés de relais de messagerie anonymes ou
de dispositifs d'accès libre aux fournisseurs d'accès Internet) assurent aux
contrevenants un anonymat qui ne pourra être levé que si tous les pays que la
communication traverse décident de coopérer.
Par ailleurs, S'agissant de la preuve en matière pénale, elle est, pour l'essentiel,
fondée sur la jurisprudence faisant application des principes généraux du droit. Sans
doute, qu'il est malséant dans un droit qui se veut légaliste de recourir aux principes
généraux pour suppléer à l'absence de dispositions législatives, lorsque le législateur a
omis de traiter une matière, non pour laisser libre jeu à l'interprète, mais au contraire
pour écarter délibérément cette matière de son droit.
Anonymat, volatilité des preuves, absence de frontières, contrôle limité par les
autorités, le cyberespace «réunit pratiquement tous les ingrédients pour réaliser le
crime parfait». En outre, la menace en matière de cyber sécurité est liée au
développement inévitable des réseaux numériques. Et Ces derniers sont très
vulnérables face aux interceptions de communications privées et les captations de
données informatiques. En plus, les perquisitions et les saisies, telles que réglementées
par le code de procédure pénale (CPP) en vigueur, ne peuvent appréhender
correctement de tels éléments de preuves. Les dispositions en vigueur élaborées avant
la prolifération des délits informatiques, ne cadrent nullement l'environnement
numérique qui diffère du monde physique par son immatérialité et la portée de ses
étendus.
17
- MASLHA Mohamed professeure a la faculté de droit de Mohammedia, KHALID EN-NASHI
étudiant chercheure au centre d'études doctorales à la faculté de droit de Mohammedia «le crime
électronique face aux principes fondamentaux de droit pénal » revue al manara par les études juridique
et administratives. 13 mai 2020.
En outre, les éléments de preuves dans l'environnement numérique nécessitent
des compétences particulières et adaptées à cet environnement caractérisé par le risque
émanent de la volatilité des éléments de preuves, et qui nécessitent des dispositifs
d'investigation spécialisés.
1. La perquisition
La perquisition est une mesure d'enquête qui consiste à rechercher tous papiers,
effets ou objets pouvant servir à la manifestation de la vérité. Pourtant, cette définition
suscite des observations en ce qui concerne des données se trouvant sur des supports
numériques, D'autant plus que les données informatiques ne sont pas tangibles et la
perquisition au sens de l'article 59 de CPP marocain ne vise que des choses tangibles.
Pour pallier à ceci, le projet de réforme de CPP cite données informatiques parmi les
éléments pouvant faire objet de perquisition. D'un autre côté, la perquisition peut être
effectuée en tous lieux, notamment dans l'espace numérique. Or pour constater des
infractions informatiques, la recherche doit pouvoir s'étendre à des informations et des
systèmes situés ailleurs et en dehors du lieu de perquisition. On peut penser à se
procurer un mandat général permettant de perquisitionner en tout lieu du pays si les
données s'y trouvent. Mais cette solution soulève certains questions auxquelles il
faudra apporter de réponses (partie chargée de livrer le mandat, portées des
compétences, principe de territorialité). En plus, ceci risque de laisser entendre qu'un
système informatique est un lieu au sens physique, alors que le cloud computing
s'impose de plus en plus. Pour cela, la loi doit prévoir de manière explicite une sorte de
perquisition « numérique ».
18
- Khalid Barko, Politique criminelle en matière de lutte contre la cybercriminalité au Maroc, 2016-
2017.
La perquisition numérique ou cyber perquisition est une analyse «inforensique»
des supports informatiques qui peut s'opérer à distance sur le système informatique
compromis. Elle doit pouvoir s'effectuer à partir du poste de l'officier de police
judiciaire ou du juge d'instruction. Ainsi ils peuvent fouiller un système et les données
qu'il contient, ou même lire les frappes clavier en temps réel par des logiciels «
d'écoute ». Ainsi, la perquisition numérique englobe aussi bien l'accès distant à des
données informatiques que leur captation.
Par ailleurs, les règles du procès équitable exigent que la perquisition soit
restrictive, limitée et non abusive. En effets, la perquisition au domicile d'une personne
est limitée dans le temps. Elle doit en principe être effectuée de jour et en présence de
la personne chez laquelle elle a lieu. Peut-on alors considérer l'espace numérique
comme un domicile auquel on peut étendre les limites prévues par le CPP?
Plusieurs législateurs ont adapté leur droit procédural et intégré des dispositions
régissant la perquisition numérique de manière à ne pas porter atteinte aux droits de la
défense, ou soulever de contestation. Ainsi, le législateur belge permet au juge
d'instruction d'ordonner « une recherche dans un système informatique ou une partie
de celle-ci dans le cadre d'une perquisition»19. Le législateur français, quant à lui,
souligne la possibilité « d'accéder par un système informatique implanté sur les lieux
où se déroule la perquisition à des données intéressant l'enquête en cours et stockées
dans ledit système ou dans un autre système informatique, dès lors que ces données
sont accessible à partir du système initial ou disponibles pour le système initial»20.
2. La saisie
21
- Khalid Barko, Politique criminelle en matière de lutte contre la cybercriminalité au Maroc, 2016-
2017.
illégale, lorsqu'il constitue une menace sur la sûreté des individus ou des biens ou
lorsqu'il est contraire à la moralité publique». Mais la suppression des données peut
avoir des conséquences dommageables, et ne doit être faite qu'après décision du juge
du fond. C'est pourquoi le fait de les rendre inaccessibles semble plus prudent, en
raison de son caractère réversible. La copie peut également être faite pour éviter
l'altération de «l'original » des données copiées, ou éviter le risque de les endommager.
Ainsi, elles peuvent ne plus servir à titre probatoire. L'avocat de la défense pourra
rejeter les conclusions tirées à partir de ces données saisies. Le second point que le
Maroc est interpellé à régir pour adapter son code de 33 -60% procédure pénale au
monde numérique est la captation ou « l'écoute informatique » et la conservation des
données informatiques22.
La captation des données est une enquête à distance entamée pour lutter contre
la délinquance économique, technique et informatique. Elle consiste à introduire des
dispositifs techniques ou des logiciels pour capter les données informatiques en liaison
avec une infraction. Il s'agit de capter en temps réel les données à l'intérieur d'un
système d'information, que celui-ci se trouve dans des entreprises ou dans des
domiciles privés, sans le consentement des intéressés. D'un point de vue juridique,
l'opération doit se dérouler sous le contrôle des juges. En effet, lorsque une
information concernant un crime ou un délit le nécessite, il sera possible sous une
autorisation particulière de mettre des systèmes d'informations sous écoute, de telle
manière à pouvoir suivre toutes les opérations effectuées par le cyber délinquant, allant
de ce qui se tape sur son clavier, aux informations auxquelles il accède et s'affichent à
l'écran, et les opérations qu'il réalise. Certains parlent de programmes espions. Mais
force est de constater que leur légalité leur enlève le caractère d'espionnage.
La captation des données peut être opérée lors d'une infraction de type
informatique, même celle qui se commette par des supports informatiques. Les risques
en matière de liberté sont ainsi immédiats. Pour cela, le législateur doit instaurer des
limites contre l'abus d'utilisation de ces dispositifs de captation. D'un point de vue du
droit comparé, le législateur français a décidé de mettre trois limites : sont concernées
22
- Khalid Barko, Politique criminelle en matière de lutte contre la cybercriminalité au Maroc, 2016-
2017.
seulement certaines infractions parmi les plus graves, une motivation de l'action, et une
limite en termes de temps.
Au Maroc, la preuve en matière pénale est libre selon l'article 286 du CPP: «
Les infractions peuvent être établies par tout mode de preuves, hors le cas où la loi en
dispose autrement, et le juge décide d'après son intime conviction ». Ainsi, on pourra
rapporter devant le juge la preuve de l'élément matériel de l'infraction constatée « par
tout mode ». A cet effet, les données enregistrées sur un système sont bien recevables
devant la justice. Il reste pour le juge à apprécier la recevabilité des preuves fournies et
à déterminer leur force probante.
Toutes ces évolutions de la preuve numérique créent des défis techniques aux
enquêteurs. En premier lieu, il leur faut garantir la chaîne de la preuve. Ainsi, il leur
faut d'abord tenir compte de l'environnement initial des éléments de preuve et effectuer
éventuellement la copie d'une «image » reprenant l'intégralité des données contenues
sur le disque dur ainsi que des données de contrôle, les systèmes de fichiers, les traces
de fichiers et répertoires. Le second défi est l'interprétation des données informatiques
collectées à partir des éléments de preuve. Il s'agit de présenter les faits en plaçant les
informations cueillies dans leur contexte, tout en respectant les conditions nécessaires
à une interprétation fiable que sont l'authenticité, l'intégrité et la traçabilité.
Mais la localisation d'un fraudeur est limitée par des imprécisions résultant
principalement des adresses IP non fixes et attribuées par les fournisseurs d'accès
d’internet, ou de certains proxys qu'ils utilisent 24. En plus, il est très difficile d'établir
un lien entre la localisation de la machine responsable de l'infraction, et l'identité de la
personne à laquelle le fait incriminé est imputable, c'est-à-dire assurer de rattacher
l'infraction au compte de l'auteur de l'infraction. A cet égard, plusieurs cas de figures
se présentent:
Le premier scénario est que si dans plusieurs cas on arrive à identifier l'origine
de l'infraction, on ne pourrait s'empêcher de se demander si cette origine n'est pas elle-
même victine. D'ailleurs plusieurs types d'attaques commises par les cybers-
délinquants laissent à méditer sur ce point. En premier lieu l'usurpation d'adresse IP ou
l'IP spoofing. C'est une technique qui consiste à utiliser l'adresse IP d'une autre
machine pour en usurper l'identité. Le fraudeur peut ainsi accéder à un réseau sécurisé
sous couvert de l'identité d'un autre. Techniquement parlant, on ne changea pas
l'adresse IP, mais on crée des paquets IP en remplaçant l'adresse IP de l'expéditeur
24
-"Lorsque l'internaute utilise un serveur proxy lors de sa connexion à internet, son adresse IP est
dissimulée par l'adresse du serveur proxy.
contenue dans l'entête des paquets par une adresse IP appartenant à quelqu'un d'autre.
Le fraudeur peut ainsi injecter des données malicieuses dans le Stream des données
existant tout en falsifiant la source de l'attaque pour éviter de localiser sa provenance.
Il peut également rediriger les paquets du réseau vers sa machine en profitant d'une
relation de confiance entre deux machines pour prendre la main sur l'une des deux.
1. Les intrusions:
L'article 607-325 du Code pénal, inséré en vertu de la loin° 07-03, dispose : «Le
fait d'accéder, frauduleusement, dans tout ou partie d'un système de traitement
automatisé de données est puni d'un mois à trois mois d'emprisonnement et de 2.000 à
10.000 dirhams ou de l'une de ces deux peines seulement.
Est passible de la même peine toute personne qui se maintient dans tout ou
partie d'un système de traitement automatisé de données auquel elle a accédé par
erreur et alors qu'elle n'en a pas le droit».
Le maintien se distingue donc de l'accès par le fait qu'il est réalisé dès lors qu'un
individu non habilité, qui s'est introduit par hasard ou par erreur dans le système, reste
sciemment branché au lieu de se déconnecter immédiatement.
En revanche, tout comme l'accès, le maintien n'est punissable que parce qu'il est
frauduleux. Il suffit que l'intrusion aille à l'encontre de la volonté du maître du système
«et il n'est nullement nécessaire qu'une captation de données informatiques soit
réalisée».
2. Les atteintes:
26
- Khalid Barko, Politique criminelle en matière de lutte contre la cybercriminalité au Maroc, 2016-
2017.
27
- Khalid Barko, Politique criminelle en matière de lutte contre la cybercriminalité au Maroc, 2016-
2017.
Le bien immatériel, comme vecteur d'information, peut être pris pour cible, le
fonctionnement du système risque également d'être entravé ou faussé. Aussi, le
législateur a-t-il prévu des incriminations supplémentaires, assorties de peines plus
fortes, pour le délinquant qui ne se sera pas contenté de pénétrer dans le système mais
qui en aura altéré le fonctionnement ou aura porté atteinte aux données qu'il contient.
L'article 607-528 du Code pénal, inséré par la loi n° 07-03, dispose que «le fait
d'entraver ou de fausser intentionnellement le fonctionnement d'un système de
traitement automatisé de données est puni d'un an à trois ans d'emprisonnement et de
10.000 à 200.000 dirhams d'amende ou de l'une de ces deux peines seulement»
L'entrave est définie par certains auteurs comme étant l'acte visant à «empêcher
le fonctionnement logiciel ou matériel du système en provoquant une paralysie
partielle ou totale, progressive ou instantanée, temporaire ou définitive, ponctuelle ou
permanente et enfin simple ou récurrente de celui-ci»29.
28
- L'article 607-5 du code pénal de la loi n° 03.07 précité.
29
- Khalid Barko, Politique criminelle en matière de lutte contre la cybercriminalité au Maroc, 2016-
2017.
L'article 607-630 du code pénal dispose que « le fait d'introduire
frauduleusement des données dans un système de traitement automatisé des données
ou de détériorer ou de supprimer ou de modifier frauduleusement les données qu'il
contient, leur mode de traitement ou de transmission, est puni d'un an à trois ans
d'emprisonnement et de 10.000 à 200.000 dirhams d'amende ou de l'une de ces deux
peines seulement».
L'introduction de données.
La détérioration, la suppression ou la modification de données.
La détérioration, la suppression ou la modification du mode de transmission des
données.
La détérioration, la suppression ou la modification du mode de traitement des
données.
Il convient enfin de signaler que les atteintes aux données ne se résument pas à
celles qui sont visées par l'article 607-6 et dont on vient de faire état, l'article 607-7
dispose en effet que « le faux et la falsification de documents informatisés, quelle que
soit leur forme, de nature à causer un préjudice à autrui, est puni d'un emprisonnement
d'un à cinq ans et d'une amende de 10.000 à 1.000.000 de dirhams»31.
30
- L'article 607-6 instituée en vertu de la loi N° 03-07 précité.
31
- Article 607-7 du code pénal institué en vertu de la loi N° 03-07 précité.
En fin, il convient de signaler que pour tous ces délits, que ce soit pour les
intrusions (accès et atteinte frauduleux au STAD) et pour (les atteintes du
fonctionnement et atteintes aux données d'un STAD).
La tentative est punie des mêmes peines. En effet, l'article 607-8 du code pénal
dispose « la tentative des délits par les articles 607-3 à 607-7 32 et par l'article 607-10
ci-après est punie des même peine que le délit lui-même ».
En effet la lecture des jugements, que les tribunaux marocains ont prononcés
ces dernières années, affirment une tendance ambigüe quant à l'application des
sanctions prévues par la loi 0703 compétant le code pénal.
32
- Article 607-8 du code pénal institué en vertu de la loi n° 03-07 précité.
33
- Le Ma CERT: computer Emergency Response Team of Morocco est le centre de veille, détection
et réponse aux attaques informatique.
sécurité des systèmes d'information dont la mission est l'élaboration de la politique
relative à la protection des infrastructures critiques du Royaume.
Cette initiative, bien que louable, reste insuffisante. En effet, par définition un
comité ne propose que des actions ponctuelles. Or, pour pouvoir piloter la confiance
numérique, il faut un travail structurel. Pour y parvenir, de nombreux pays ont mis en
place des Agences Nationales de sécurité des Systèmes d'Information (ANSSI). C'est
le cas par exemple de la France, du Canda mais aussi de la Tunisie.
34
- EL AZZOUZI Ali, ouvre cité, p. 140-141.
2. L'organisme ma-CERT
Pour assurer une meilleure veille en matière de sécurité et coordonner ainsi les
réponses aux incidents liés à la sécurité des systèmes d'information (ma-CERT) au
niveau national, à pour mission de:
Alertes et avertissement35
Gestion des incidents
Annonces
Veille technologique
Audits ou évaluation de la sécurité
Service de détection des intrusions
Diffusion d'informations relatives à la sécurité
35
- Ibid p. 142.
L'administration de la défense nationale a élaboré un décret fixant le dispositif
de protection des systèmes d'information sensibles des infrastructures d'importance
vitale. Ledit décret a été examiné en Conseil du Gouvernement tenu le 14 janvier 2016
et a été adopté en Conseil des Ministres le 06 février 2016 et publiée au Bulletin
Officiel n°6458 du 21 avril 201636.
A cet égard, il prévoit la mise en place, au sein desdites entités, des moyens de
supervision et de détection des cyber attaques et la remontée au Centre de Veille, de
Détection et de Réaction aux attaques informatiques relevant de la Direction Générale
de la Sécurité des Systèmes d'Information (DGSSI), des informations relatives aux
incidents affectant la sécurité ou le fonctionnement de leurs systèmes d'information
sensibles.
36
- Khalid Barko, Politique criminelle en matière de lutte contre la cybercriminalité au Maroc, 2016-
2017.
Enfin, le décret met en exergue les exigences de sécurité qui doivent être
clairement formalisées et intégrées dans les dossiers de consultation et dans les plans
de maintenance des systèmes d'information sensibles.
Un incident de sécurité cyber est tout acte malicieux ou événement suspect qui
pourrait compromettre ou perturber le bon fonctionnement d'un système d'information.
Cet incident pourrait être:
Notion par ailleurs qu'un décret d'application de la loi 09-08 a été publié au
Bulletin Officiel N° 5744 dans son édition du 18 juin 2009. Ledit décret a fixé
notamment les conditions et modalités de désignation des membres de la Commission
Nationale, ses règles de fonctionnement et ses pouvoirs d'investigation, ainsi que les
conditions de transfert des données à caractère personnel vers un pays étranger.
Durant les prochaines années, le Maroc sera devant un enjeu stratégique Il s'agit
de l'interprétation des impacts juridiques que peuvent avoir les infractions
informatique compte tenu de leurs complexités. Pour le relever, l'Etat doit créer plus
de passerelles entre l'univers informatique et celui des juristes comprennent aussi bien
des avocats, des magistrats que des policiers et des gendarmes, la formation en est un
axe capital. En effet, pour pouvoir faire appliquer la loi, il s'avère indispensable
notamment pour les magistrats et avocats de se mettre à niveau en matière de la
cybercriminalité.
37
- Khalid Barko, Politique criminelle en matière de lutte contre la cybercriminalité au Maroc, 2016-
2017.
38
- Khalid Barko, Politique criminelle en matière de lutte contre la cybercriminalité au Maroc, 2016-
2017.
Par la suite plusieurs cycles de formation dans de multiple domaines dont la
criminalité liée aux TIC, ont été organisé à l'étranger au profit de magistrats et de
cadres du ministère de la justice, dans le cadre de la coopération bilatérale telle que.
La Coopération Algéro-Française:
La coopération Algéro-Belge:
Dans le cadre du projet de création d'un centre national pour la lutte contre la
cybercriminalité, lancé par le corps de la gendarmerie nationale en 2004, un
programme très riche de formation du personnels du corps a été élaboré en vertu de se
programme plusieurs cadres ont bénéficié de formation diplomate spécialisé dans des
universités suisses, américaines et canadiennes, tant dans le domaine technique
(sécurité informatique) que juridique (cybercriminalité).
Ainsi que dans des organismes nationaux tels que: le CERIST qui propose des
formations sur la sécurité informatique dans le cadre de la formation de PGS qu'il
ouvre chaque année. Ce programme visait le développement des compétences du corps
de la gendarmerie, pour les rendre plus opérationnels en matière de lutte contre la
cybercriminalité. Les cadres de la gendarmerie participent également à plusieurs
séminaires nationaux et internationaux portant sur thème de la cybercriminalité.
Outre ces cycles de formation, les services de la sureté nationale ont organisée
plusieurs séminaires internes sur le thème, en plus de leur participation à des
séminaires et conférence nationales et internationales portant sur ce thème pu
particulièrement sur la protection des droits d'auteurs dans l'environnement numérique.