La soustraction de données informatiques
Deuxième épisode de la série consacrée au droit pénal informatique suisse.
En droit pénal suisse, le cracking consiste en la soustraction de données informatiques.
Art. 143 du Code pénal suisse (CP)
Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement illégitime, aura soustrait, pour lui-même ou pour un tiers, des données enregistrées ou transmises électroniquement ou selon un mode similaire, qui ne lui étaient pas destinées et qui étaient spécialement protégées contre tout accès indu de sa part, sera puni d’une peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.
Soustraction de données informatiques
On entend par « donnée informatique » toute information transmise, traitée ou conservée sous forme codée pour en permettre l’utilisation au sein d’un système informatique. Par ce biais, on étend le champ d’application de l’art. 143 CP aux données en tant que telles, mais également aux logiciels qui permettent de traiter des données informatiques. Ici, la valeur (pécuniaire, sentimentale, etc.) de la donnée ou son degré de confidentialité n’ont aucune incidence. Il suffit qu’on se trouve en présence de données informatiques, quelles qu’elles soient. La soustraction peut aussi consister en l’interception des données (entre deux ordinateurs, par exemple).
Non destinées à l’auteur de l’infraction
Les données informatiques ne doivent pas être destinées à la personne qui les soustrait ou les intercepte. Ce qui est déterminant ici est de savoir qui traite les données. Cela signifie que même la personne visée par ces données (par ex. des données bancaires ou des données client) peut se rendre coupable de soustraction de données si elle les subtilise à la personne qui les traite. On ne vise donc pas l’ayant droit des données mais bien celui qui les traite. Comme pour le hacking, la personne à qui on autorise un certain accès au système informatique et qui va au delà de ses droits n’est pas punissable.
Données spécialement protégées contre tout accès indu
La protection exigée ici peut consister en une barrière physique (salle de serveurs verrouillées même si l’accès aux serveurs se fait sans mot de passe, etc.), car contrairement au hacking, l’art. 143 CP ne fait pas mention d’un « dispositif de transmission de données ». Une interdiction morale ou contractuelle ne suffisant pas, il est nécessaire d’avoir une protection informatique, à tout le moins physique. Qu’en est-il d’un bureau, fermé à clé, où se trouve un ordinateur utilisable sans mot de passe ? La protection ne sera suffisante que si l’interdiction d’accès au bureau est conjuguée à une interdiction morale d’accéder aux données de l’ordinateur. De cette façon, n’importe quelle personne ayant accès au local n’aura pas un droit d’accès aux données. On n’exige pas de la protection qu’elle ait une efficacité particulière, il suffit qu’elle soit reconnaissable par un tiers.
Soustraction
Contrairement au vol (art. 139 CP) où la soustraction implique une perte de la possession, pour soustraire une donnée informatique, une simple copie de la donnée suffit. L’auteur de l’infraction doit donc avoir la maîtrise la donnée soustraite. En admettant que la donnée soit un fichier texte contenant des informations très facilement mémorisables, la simple prise de connaissance de ces informations peut consister en une soustraction. Si l’auteur copie les données et les détruit de leur support original, il sera punissable de soustraction de données et de détérioration de données (art. 144 bis CP).
Intention, dessein d’enrichissement
L’acte doit être intentionnel ou être commis à tout le moins par dol éventuel (cf.hacking). L’acte doit être commis avec dessein d’enrichissement, c’est-à-dire avec la volonté de s’enrichir. S’il n’est pas présent et que les données volées sont des données personnelles ou des profils de la personnalité, on pourra se rabattre sur l’art. 179 novies CP, l’art. 143 CP n’étant alors pas applicable.
Voilà pour le cracking ! Le prochain épisode sera dédié à la détérioration de données (art. 144 bis CP).
Intéressant. Mais, question con, est-ce que le fait de péter un programme (cracker) dans le but de l’utiliser à des fins personnelles sans le payer entre dans ce cas ?
On parle toujours de « cracker des programmes » ce me semble… Abu de langage, ou… ?
++
T.
Ça n’a rien à voir, le fait de cracker un logiciel constitue tout au plus une violation des droits d’auteur ou des termes du contrat de licence du logiciel, n’impliquant pas des conséquences pénales.
J’en profite pour poser également une question, à propos de cette phrase:
« En admettant que la donnée soit un fichier texte contenant des informations très facilement mémorisables, la simple prise de connaissance de ces informations peut consister en une soustraction. »
En quoi on pourrait dire que prendre connaissance des données serait déjà de la soustraction ?
Dans ce cas précis, il n’y aurait aucune copie ni « prise de possession » d’un fichier en le copiant sur un clé USB et en le supprimant de l’ordinateur d’origine par exemple.
On est loin d’avoir une quelconque maîtrise de cette donnée étant donné que l’on pourrait simplement l’oublier.
Par contre, il me semble que si on recopiait cette information à la mais sur un bout de papier, là, ça devient de la soustraction de donnée.
Il faut bien garder à l’esprit ici que l’auteur de l’infraction est animé par un dessein d’enrichissement. Il ne cherche pas (seulement) à connaître des informations, mais il veut s’en servir pour obtenir un enrichissement. Selon certains auteurs, le fait d’en prendre connaissance est suffisant car on peut réintroduire dans notre ordinateur les informations qu’on a mémorisées, ou les réutiliser d’une autre manière.
A mon sens, cet avis est justifié car j’estime qu’il faut octroyer la plus grande protection possible aux victimes de telles infractions, et donc englober également des actes qui, bien que ressemblant fortement aux caractéristiques d’une infraction, ne semblent pas tomber sous le coup de cette dernière. Cela dit, cet avis n’est pas partagé par tout le monde, et de toute manière, c’est au juge qu’il revient de trancher.
Merci de ta réponse. Il me semblait bien que ça n’était pas unanime et je voulais être sûr que ça n’était pas moi qui avait mal compris.
Sinon je partage bien évidemment ton avis: il serait étonnant de ne pas pouvoir inculper quelqu’un qui ferait travailler sa mémoire plutôt que de copier directement ce qui l’intéresse.