1 / 40

Ministère de la Justice Cour de Guelma Les atteintes aux systèmes de traitement automatisé des données.

Communication présenté par : Mme Guellati Douniazed Magistrat près du Tribunal de Souk Ahras . Ministère de la Justice Cour de Guelma Les atteintes aux systèmes de traitement automatisé des données. Les atteintes aux systèmes automatisé des données. Etat de la jurisprudence en France.

nikkos
Download Presentation

Ministère de la Justice Cour de Guelma Les atteintes aux systèmes de traitement automatisé des données.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Communication présenté par : Mme Guellati Douniazed Magistrat près du Tribunal de Souk Ahras Ministère de la JusticeCour de GuelmaLes atteintes aux systèmes de traitement automatisé des données.

  2. Les atteintes aux systèmes automatisé des données. Etat de la jurisprudence en France.

  3. Les atteintes aux systèmes de traitements automatisés de données : • État de la jurisprudence en France. • Introduction • Section 01 : La jurisprudence à travers l’incrimination et la répression. • Position de la jurisprudence sur les éléments constitutifs des infractions. • Accès et Maintien frauduleux. • Atteintes à l’intégrité du système. • Atteinte à l’intégrité des données. • Sanctions encourues  et responsabilité • Sanctions complémentaires. • Tentative et Association de malfaiteurs. • Responsabilité de la personne morale • Les apports de la loi sur la confiance dans L’économie numérique. • Section 02 :Position de la jurisprudence sur des éléments indifférents : • Sur l’absence de nécessité d'un préjudice. • Sur la nécessité de la protection du système « Affaire Kitetoa c/ Tati SA. » • Sur l’indifférence du mode d’accès. • Conclusion.

  4. Définition • La cybercriminalité peut être définie comme : toute action illicite associée a l’interconnexion des systèmes informatiques et des réseaux de télécommunication ; ou l’absence de cette interconnexion empêche la perpétration de cette action illicite.  

  5. STAD ou AIS (Automated Information System) C’est une expression désignant tous les équipements de nature matérielle, logicielle, ou « firmware. »  permettant l’acquisition automatique, le stockage, la manipulation, le contrôle, l’affichage, la transmission, ou la réception de données.

  6. Le système peut constitués un : • Objet : destruction de système informatiques ;ainsi que des données ou des programmes qu’il contenaient ;ou encore la destruction le matériels permettant Aux ordinateurs de fonctionner. • Support : lieu ou support d’infractions. • Outil : pour des infractions complexes nécessitant l’usage du système comme outil. • Symbole : pour menace ou tromperie ; arnaque .

  7. La problématique  • La jurisprudence a-t-elle adaptée la législation aux nouvelles formes d’atteintes aux systèmes de traitement automatisé des données ; ou bien son rôle s’est limité à une application stricte de la loi ?

  8. Typologie des infractions • Accès et Maintien frauduleux. • Atteintes à l’intégrité du système. • Atteinte à l’intégrité des données.

  9. La fraude informatique • L’accès ou le Maintien frauduleux dans un système. • L’altération ; Suppression et Modification des données .

  10. L’accès ou le Maintien frauduleux dans un système. • Article 323-1 Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende.

  11. L'accès • Au regard de la jurisprudence, la notion d'accès dans un STAD peut être caractérisée soit par la pénétration dans un système, soit par une manipulation informatique ou autre manœuvre, par le biais d'une connexion ou d'appel d'un programme, opérée de manière frauduleuse, c'est à dire sans autorisation de l’entreprise.

  12. Le maintien • L’incrimination de maintien frauduleux vient compléter celle de l’accès frauduleux. Elle vise les situations où l’accès dans le STAD a été régulier, suivi d’un maintien qui ne l’est pas. Lorsque l’accès a été régulier le maintien devient irrégulier lorsque son auteur se trouve privé de toute habilitation à se maintenir dans le système. Le maintien frauduleux est caractérisé par diverses situations anormales telles que les connexions, les visualisations ou toute autre opération dirigée contre un système d'information. • Le fait d’accéder à un serveur web puis de manipuler des variables et de modifier des requêtes SQL afin d’avoir accès à des informations réservées peut être qualifié de maintien frauduleux.

  13. CA de Paris 9 ch15/12/99 • Caractérise le délit de maintien frauduleux dans un STAD, le fait pour des employés, de prolonger abusivement leur maintien dans le système grâce à des systèmes d'inhibition et d'écrans noirs, durant des heures, voire des nuits entières, hors leur présence et à l'insu de leur entourage dans le seul but de multiplier le nombre de 14 points leur ouvrant droit à des cadeaux .

  14. La question se pose concernant la preuve du caractère frauduleux de l’accès d’une part et la preuve de l’élément intentionnel ou du caractère intentionnel de la pénétration illicite d’une autre part ?

  15. La preuve du caractère frauduleux de l’accès  • Exemples: • Le contournement ou la violation d’un dispositif de sécurité (comme la suppression délibérée des instructions de contrôle).  • L’insertion d’un fichier espion enregistrant les codes d’accès des abonnés (cookies ; cheval de Troie ; ver informatique ; etc.) . • Une connexion pirate vissant a interroger a distance un système ; de l’appel, d’un programme ou d’une consultation de fichiers sans habilitation.

  16. Exemples de l’absence du caractère frauduleux • La preuve ne serra pas rapportée si l’accédant est en situation d’accès normal par ex : si il a procédé a une consultation d’informations rendues accessibles au public ;la cour d’appel de Paris a ainsi considérée ;dans un arrêt du 30 octobre 2002 qu’il : « ne peut être reproché a un internaute d’accéder aux données ou de se maintenir dans les parties des sites qui peuvent être atteinte par la simple utilisation d’un logiciel grand public de navigation ;ces parties de site font par définition ;l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services ;devant être réputées non confidentielles a défaut de toute indication contraire et de tout obstacle a l’accès. » ;Les juges n’ont manifestement pas voulu sanctionner un utilisateur de bonne foi qui selon eux n’avait pas accédé de manière frauduleuse au STAD. • les juridictions considèrent que dans certains cas ; l’accès n’est que le résultat d’une erreur. : « Le fait pour un centre serveur de s’approprier un code d’accès du kiosque télématique et d’y héberger un code clandestin n’est pas constitutif des délits d’accès ; de maintien dans un système de traitement de données informatisées et d’entrave .Cet accès a pu être le résultat d’une erreur de manipulation sur les fichiers. Par conséquent l’action est dépourvue de caractère intentionnel. »

  17. La preuve du caractère intentionnel de la pénétration illicite  • Si l’intrusion est le fait d’une erreur : le simple fait de se maintenir dans un système pourra être constitutif d’une fraude . • Une prolongation indue de la présence de l’accédant par ex au delà du temps autorisé ;et sans intervention dans le système pour visualiser ou réaliser une ou plusieurs opérations sont autant d’indices qui concourent a la démonstration du caractère intentionnel de l’intrusion et du maintien anormal dans le système de l’accédant .

  18. L’altération  Suppression et Modification des données • Lorsque l’accès ou le maintien frauduleux a provoqué « soit la suppression ou la modification de données contenues dans le système ; soit une altération du fonctionnement de ce système ; la peine est de trois ans d’emprisonnement et de 45000 euros d’amende. » • Dans l’esprit du texte de l’article 323-1 al 2 ; les dégradations provoquées sont alors involontaires ; elles sont conséquence de l’accès ou du maintien frauduleux dans le système sans que leur auteurs ait voulu délibérément lui porter atteinte ; il conviendra toutefois d’en rapporter la preuve de la suppression ; la modification d’une données ; l’altération du fonctionnement du système sont ici encore des indices significatifs.

  19. L'entrave au fonctionnement du système : Eléments constitutifs de l'infraction : Elément matériel : Il suffit d'une influence négative sur le fonctionnement du système pour que l'acte d'entrave soit matérialisé. L'entrave vise à paralyser ou à retarder le fonctionnement du système. (Exemples : bombes logiques introduisant des instructions parasitaires, occupation de capacité de mémoire, mise en place de codification ou tout autre forme de barrage). Elément moral: l'infraction est constituée pour autant que l'individu ait Intentionnellement entravé le fonctionnement du système en ne respectant pas le droit d'autrui. Le fait de fausser le fonctionnement du système : Eléments constitutifs de l'infraction: Elément matériel : c'est le fait de "fausser" le fonctionnement d'un STAD. Le but de cette altération est de faire produire au système un effet différent de celui attendu. Elément moral : comme pour le délit d'entrave, l'intention doit être démontrée Atteintes à l’intégrité du système 

  20. Les principales attaques • La destruction de fichiers . • Le hacking. • Le puching. • La destruction de programmes. • La sauvegarde. • Le flaming. • Le mail bombing. • Le refus de service (RDS) ou denial of service (DOS) .

  21. Arrêt C A Paris 05/04/94  « L’envoi automatique de messages ainsi que l’utilisation des programmes simulant la connexion de plusieurs minitels aux centres serveurs concernés ont eu des effets perturbateurs sur les performances des systèmes de traitement automatisé de données visés par ces manœuvres et ont entrainé un ralentissement de la capacité du système ; Capacité des serveurs . »

  22. TGI Nanterre 15 ch 10/02/2006 • L’auteur des faits a été condamné sur le fondement des textes suivants : • Accès et maintien frauduleux dans le système de traitement automatisé de données de la société BCA, avec la circonstance qu’il en est résulté la suppression de données, faits prévus par l’article 323-1 al. 2, al. 1 du code pénal et réprimés par les articles 323-1 al. 2, 323-5 du code pénal. • Accès et maintien frauduleux dans le système de traitement automatisé de données de la société BCA, avec la circonstance qu’il en est résulté la modification des données, faits prévus par l’article 323-1 al. 2, al. 1 du code pénal et réprimés par les articles 323-1 al. 2, 323-5 du code pénal . • Avoir frauduleusement introduit, supprimé ou modifié des données dans le système de traitement automatisé de la société BCA, faits prévus par l’article 323-3 du code pénal et réprimés par les articles 323-3, 323-5 du code pénal.

  23. TGI Nanterre15ch 08/06/2006«Le "mailbombing" sanctionné par le délit d’entrave » • Le TGI de Nanterre a condamné une personne qui avait procédé à une opération de "mailbombing" à deux mois de prison avec sursis pour entrave au fonctionnement d’un système de traitement automatisé de données. • Le jugement ne précise pas en quoi le fonctionnement du système a été entravé.« Il est reproché à MM. d’avoir commis le délit d’entrave au fonctionnement d’un système de traitement automatisé de données. Suite à un différend commercial, il est établi que la société Amen a subi à plusieurs reprises des attaques de type "mailbombing" via l’interface de contrat située sur le site internet http://www.amen.fr. Des investigations menées, il appert que Michel M. a envoyé en grand nombre un message identique (12 000 copies) et qu’il a agit et réitéré alors qu’il avait été mis en demeure de cesser. Chaque message ainsi adressé comportait un sujet généré aléatoirement ainsi qu’un nom d’expéditeur différent, œuvre d’un script automatisé développé aux fins de contournement d’éventuels filtres. »

  24. Atteintes à l’intégrité des données contenues dans un STAD • Art 323-3 du Code pénal : • "Le fait d'introduirefrauduleusement des données dans un système de traitement automatisé ou desupprimerou de modifierfrauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de 45.000 euros d'amende." • Eléments constitutifs de l'infraction : • Elément matériel : le texte permet de réprimer toute manipulation, suppression ou modification de données contenues dans un système, qu'elles qu'en soient les conséquences. Les pratiques incriminées correspondent à toute altération des données, fichiers, bases de données. • L'Internet accentue les difficultés. En effet, il est extrêmement difficile de connaître l'origine de l'accès. • Elément moral : le délit n'est constitué que si ces opérations sont faites avec une intention délictueuse et hors de l'usage autorisé. L'intention frauduleuse est constituée des le moment où l'introduction des données s'effectue avec une volonté de modifier l'état du système et ce, quelles qu'en soient les conséquences sur le système.

  25. Cass Crim 8 décembre 1999 • Le fait de modifier ou de supprimer intentionnellement des données contenues dans un STAD caractérise le délit, sans qu'il soit nécessaire que ces modifications émanent d'une personne n'ayant pas le droit d'accès ni que l'auteur soit animé de la volonté de nuire.

  26. TGI Paris 13 ch 02/09/2004 • "Il expliquait qu’il avait acheté le nom de domaine « http://www.*.com », courant 2002, en se connectant à NOOS avec un numéro de carte bancaire prêté par un ami demeurant à l’étranger. Il avait inséré sur ce site une page correspondant à la page d’accueil du site du CREDIT LYONNAIS en réalisant une copie de la page HTML du véritable site du CREDIT LYONNAIS, afin d’obtenir les numéros de compte puis les numéros de passe des clients du CRÉDIT LYONNAIS qu’il pensait pouvoir se trouver sur le véritable site du CRÉDIT LYONNAIS. Il aurait pu ainsi réaliser, en allant sur le véritable site de la banque, des virements au bénéfice de qui il souhaitait à son propre bénéfice. Il reconnaissait avoir procédé à deux virements, l’un au bénéfice de Monsieur N. client du CRÉDIT LYONNAIS, afin de voir si son système marchait, l’autre au bénéfice de son ami Monsieur K A.

  27. Les sanctions complémentaires : • · "L'interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l'article 131-26 " ; • · "L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise " ; • · "La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution" ; • · "La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés"; • · "L'exclusion, pour une durée de cinq ans au plus, des marchés publics«  • · "L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés " ; • · "L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article 131-35

  28. La tentative • Pour tous ces délits, la tentative est punissable en application de l'article 323-7 du Code pénal qui prévoit que "la tentative est punie des mêmes peines." • Le fait que la tentative d'accès ou de maintien frauduleux soit sanctionnée au même titre que l'accès ou le maintien et ce quelle que soit la raison de l'échec, démontre le degré d'importance accordé par le législateur à toute atteinte aux STAD.

  29. La tentative achevée : il s'agit de l'hypothèse où le résultat recherché par l'auteur de la tentative ne se produit pas, bien que tous les actes d'exécution aient été accomplis, - soit en raison de l'étourderie, de la maladresse, de l'inaptitude, etc. de l'auteur (Hypothèse de l'infraction manquée)- soit en raison de l'impossibilité matérielle d'atteindre le résultat escompté, quelles qu'aient pu être par ailleurs la diligence et l'habileté de l'auteur (hypothèse de l'infraction impossible). Dans les deux cas, la jurisprudence considère que la tentative est punissable soit en raison de l'impossibilité matérielle d'atteindre le résultat escompté, quelles qu'aient pu être par ailleurs la diligence et l'habileté de l'auteur (hypothèse de l'infraction impossible). Dans les deux cas, la jurisprudence considère que la tentative est punissable. La tentative interrompue : même si elle a fait l'objet d'un commencement mais a été interrompue, la tentative n'en reste pas moins punissable. L'article 121-5 du Nouveau Code pénal pose en effet la règle selon laquelle la tentative interrompue est punissable si sont constatés : - un commencement d'exécution, et l'absence de désistement volontaire. - soit en raison de l'impossibilité matérielle d'atteindre le résultat escompté, quelles qu'aient pu être par ailleurs la diligence et l'habileté de l'auteur(hypothèse de l'infraction impossible). Dans les deux cas, la jurisprudence considère que la tentative est punissable. On peut distinguer deux types de tentative :

  30. L'association de malfaiteurs • L'article 323-4 du Code Pénal réprime de façon particulière l'association de malfaiteurs organisée pour la préparation de l'une des infractions, punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

  31. La responsabilité pénale des personnes morales • La responsabilité pénale de la personne morale pour le compte de laquelle les • infractions auront été commises peut être retenue (article 323-6 du Code pénal). • Elle encoure l'amende selon les modalités de l'article 131-38 ("le taux maximum de l'amende est égal au quintuple de celui pour les personnes physiques") et l'ensembledes peines complémentaires prévues à l'article 131-39 comprenant notamment ladissolution ou l'interdiction d'exercice de l'activité à l'occasion de laquelle l'infraction aété commise. • A cette occasion, il faut évoquer la délégation pénale, procédé par lequel un dirigeant transfert à l’un de ses salariés une partie de ses fonctions, ce transfert de pouvoir s'accompagnant d'un transfert de responsabilité pénale.

  32. La responsabilité civile délictuelle • Le droit commun de la responsabilité civile délictuelle est fondée sur la nation de la faute au sens de l’article 1382 du Code civil. Elle nécessite une faute, un dommage et un lien de causalité entre les deux. La faute consiste ici en une intrusion dans un système informatique à l’insu de son utilisateur. Quant au dommage, il faut savoir s’il y a eu une perte et/ou une altération des informations contenues dans le site ou si le pirate a communiqué les données personnelles s’y trouvant à des tiers. Enfin, le lien de causalité entre la faute et le dommage doit être clairement établi. • Quid, pourtant, si le pirate n’est pas de nationalité française ou s’il opère de l’étranger ? La question qui se pose, dans ce cas, est celle de la compétence judiciaire internationale et de la loi applicable. • En droit français, le tribunal compétent pour juger un litige international est, en principe, celui du domicile du défendeur, à moins que le demandeur, s’il est français, ne souhaite invoquer le privilège de juridiction des articles 14 et 15 du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement « concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale « . • S’agissant d’un délit ou d’un quasi-délit, les articles 5§3 de la Convention de Bruxelles et du règlement 44/2001 précité, posent une règle de compétence spéciale en faveur du tribunal où le fait dommageable s’est produit ou risque de se produire. Ce lieu peut être aussi bien celui où le dommage est survenu qui celui de l’événement causal qui est à l’origine de ce dommage (CJCE, 30 novembre 1976, affaire C-21/76, Mines de potasse d’Alsace : Rec. CJCE, p. 1735). • Dans le cas où le dommage, causé par l’intrusion, serait survenu au sein du système informatique d’une société domiciliée en France, les juridictions françaises seraient sans doute compétentes pour juger le litige. • Quant à la loi applicable, le juge applique, de manière générale la lex loci delicti, c’est à dire la loi où le fait dommageable s’est produit. La Cour de Cassation a jugé que le lieu où le fait dommageable s’est produit s’entend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier (Cass. 1re civ., 14 janvier 1997, D. 1997, p.177).

  33. La responsabilité civile contractuelle • Il est possible, en effet, d’engager la responsabilité civile contractuelle de l’héberger du site. Pour cela, il faudrait examiner les clauses contenues dans le contrat d’hébergement concernant notamment la sécurité du site et la mise en place de systèmes informatiques de protection contre toute forme d’intrusion. Il faudrait aussi qualifier cette obligation de l’héberger : s’agit-il d’une obligation de résultat ou de moyens ? Dans la plus part de cas, il ne pourra s’agir que d’une obligation de moyens qui aura pour effet de contraindre le prestataire d’apporter la preuve qu’il n’a pas manqué aux obligations normales qui lui incombaient, en cas d’intrusion informatique non autorisée

  34. Le principe L'article 34 de la loi prévoit en effet d'insérer un article 323 3-1, al.1 au Code pénal qui serait rédigé comme suit : "Le fait de détenir, d'offrir, de céder ou demettre à disposition un équipement, un instrument, un programme informatiqueou toute donnée conçus ou spécialement adaptés pour commettre une ouplusieurs infractions prévues par les articles 323-1 à 323-3 est puni des peinesprévues respectivement pour l'infraction elle même ou pour l'infraction la plussévèrement réprimée." Les exceptions L'alinéa 2 du même article prévoit des exceptions lorsque de telles manœuvres sont justifiées par les besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes d'information. Ce nouvel article vise à sanctionner les personnes qui mettent à disposition les outils (notamment les virus informatiques ou les logiciels de prise de contrôle à distance) permettant de commettre les infractions qui sont d'ores et déjà réprimées pénalement. Les apports de la loi sur la confiance dans L’économie numérique.

  35. L'aggravation des peines La loi prévoit d'augmenter les peines prévues par les articles 321-1 et suivants du Code pénal : · Les peines de un an d'emprisonnement et de 15.000 euros d'amende se transforment en peine de deux ans d'emprisonnement et 30.000 euros d'amende. · Les peines de deux ans d'emprisonnement et 30.000 euros d'amende se transforment en peine de trois ans d'emprisonnement et 45.000 euros d'amende. · Les peines de trois ans d'emprisonnement et 45.000 euros d'amende se transforment en peine de cinq ans d'emprisonnement et 75.000 euros d'amende. L'introduction expresse de la terminologie informatique dans le Code de procédure pénale LCEN

  36. Absence de nécessité d'un préjudice L'accès ou le maintien frauduleux est sanctionné en lui-même, même en l'absence de tout préjudice. Ainsi, la captation d'informations ou l'utilisation du système ne sont pas requis dans la mesure où seul l'accès ou le maintien au système est incriminé l'article 323-1 du Code pénal. Indifférence du mode d'accès Ainsi dans un arrêt du 5 avril 1994, la Cour d'appel de Paris a considéré que "l'accès frauduleux au sens de l'article 462-2 du Code pénal issu de la loi du 5 janvier 1988 et au sens de l'article 323-1 du Code pénal, vise tous les modes de pénétration irréguliers d'un système de traitement automatisé de données, que l'accédant travaille déjà sur la même machine mais à un autre système, qu'il procède à distance ou qu'il se branche sur une ligne de communication." Précisions de la jurisprudence sur des éléments indifférents 

  37. Absence de nécessité d'un dispositif de sécurité • Il n'est pas nécessaire pour que l'infraction soit constituée, que l'accès au système soit limité par un dispositif physique ou logique de protection (exemple : firewall). Il n'est pas nécessaire de démontrer que le délinquant a "forcé" l'entrée du système. Il suffit que son exploitant ("le Maître du système") ait manifesté l'intention d'en restreindre l'accès aux seules personnes formellement autorisées.

  38. Affaire Kitetoa c/ Tati SA • Dans cette affaire, le responsable du site Kitetoa (site journalistique spécialisé dans la sécurité informatique) était poursuivi par la société Tati pour avoir accéder de manière répétée aux bases de données personnelles du site tati.fr. • Tati a poursuivi cette personne pour accès frauduleux dans son STAD. Le prévenu invoquait l'absence de protection du site. Le TGI de Paris dans une décision en date du 13 février 2002 a donné gain de cause à Tati, estimant que l'existence de faille de sécurité ne constituait "en aucun cas une excuse ou un prétexte pour le prévenud'accéder de manière consciente et délibérée à des données dont la non protectionpouvait être constitutive d'une infraction pénale." • Toutefois, bien que la loi Godfrain n'impose pas de protéger un système, son exploitant doit néanmoins prendre certaines précautions du fait d'autres réglementations, et notamment du fait de la loi "Informatique et libertés" du 6 janvier 1978. • En effet, l'article 226-17 du Code pénal réprime le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment d'empêcher qu'elles ne soient communiquées à des tiers non-autorisés. • Cependant dans son arrêt en date du 30 octobre 2002, la Cour d'Appel de Paris a • réformé le jugement au motif que le fait d'accéder à des données nominatives stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n'était pas constitutif d'un accès et d'un maintien frauduleux dans un STAD. • La Cour a considéré qu'il ne pouvait être reproché à un internaute d'accéder ou ;utilisationd'un navigateur grand public". La Cour ajoute que ces parties ne faisaient pas l'objet d'une protection de la part de l'exploitant du site ou de son prestataire de service et qu'elles devaient, à ce titre, être réputées non confidentielles, à défaut de toute mention contraire. • On peut donc considérer que la Jurisprudence crée une présomption simple, selon laquelle l'accès et le maintien dans un STAD (en l'espèce un site) non protégé permettant ainsi son accès par l'utilisation d'outil grand public (en l'espèce un navigateur) n'est pas répréhensible car non frauduleux au titre de l'infraction de l'article 323-1 du Code pénal.

  39. les pouvoirs publics en France ont procéder a d’importantes réformes renforçant ainsi les instruments de lutte contre la cybercriminalité .le législateur est intervenu a plusieurs reprises dans ce domaine avec la loi n 2001-1062 du 15 novembre 2001 relative a la sécurité quotidienne ;La loi n 2003-239 du 18 mars 2003 pour la sécurité intérieure ; Loi n 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.et la loi n 2004-204 du 09 mars 2004 portant adaptation de la justice aux évolutions de la criminalité ;une loi du 05 mars 2007 relative a la prévention de la délinquance vient s’ajouter a cet arsenal juridique . La jurisprudence a son tour s’est adapter a cette nouvelle forme de criminalité liée aux nouvelles technologies et a fait preuve de rigueur en ce qui concerne l’application des textes en matière d’atteintes aux STAD ; tout en laissant une marge aux principes fondamentaux du droit pénal pour s’appliquer ;notamment la prise en compte de la bonne foi du prévenu sous réserve de certaines conditions ;la jurisprudence a également instaurer des principe constants dans la matière tel que : l’absence de nécessité d'un dispositif de sécurité ; Indifférence du mode d'accès ; Absence de nécessité d'un préjudice. Néanmoins la réussite n’est pas totalement acquise ;il faut donc faire face a d’autre défis ;a d’autre forme de cyber délinquance la tache s’annonce difficile pour la jurisprudence qui manœuvre dans un terrain dit « virtuel » qui peut se montrer comme on l’a déjà vu très destructif dans une société ou les réseaux et les systèmes informatiques sont devenu l’axe générateur de la vie économique ,sociale et politique. Conclusion

  40. Merci pour votre attention. DOUNIAZED GUELLATI Décembre 2008.

More Related