La soustraction de données informatiques
Deuxième épisode de la série consacrée au droit pénal informatique suisse.
En droit pénal suisse, le cracking consiste en la soustraction de données informatiques.
Art. 143 du Code pénal suisse (CP)
Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement illégitime, aura soustrait, pour lui-même ou pour un tiers, des données enregistrées ou transmises électroniquement ou selon un mode similaire, qui ne lui étaient pas destinées et qui étaient spécialement protégées contre tout accès indu de sa part, sera puni d’une peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.
Soustraction de données informatiques
On entend par “donnée informatique” toute information transmise, traitée ou conservée sous forme codée pour en permettre l’utilisation au sein d’un système informatique. Par ce biais, on étend le champ d’application de l’art. 143 CP aux données en tant que telles, mais également aux logiciels qui permettent de traiter des données informatiques. Ici, la valeur (pécuniaire, sentimentale, etc.) de la donnée ou son degré de confidentialité n’ont aucune incidence. Il suffit qu’on se trouve en présence de données informatiques, quelles qu’elles soient. La soustraction peut aussi consister en l’interception des données (entre deux ordinateurs, par exemple).
Non destinées à l’auteur de l’infraction
Les données informatiques ne doivent pas être destinées à la personne qui les soustrait ou les intercepte. Ce qui est déterminant ici est de savoir qui traite les données. Cela signifie que même la personne visée par ces données (par ex. des données bancaires ou des données client) peut se rendre coupable de soustraction de données si elle les subtilise à la personne qui les traite. On ne vise donc pas l’ayant droit des données mais bien celui qui les traite. Comme pour le hacking, la personne à qui on autorise un certain accès au système informatique et qui va au delà de ses droits n’est pas punissable.
Données spécialement protégées contre tout accès indu
La protection exigée ici peut consister en une barrière physique (salle de serveurs verrouillées même si l’accès aux serveurs se fait sans mot de passe, etc.), car contrairement au hacking, l’art. 143 CP ne fait pas mention d’un “dispositif de transmission de données”. Une interdiction morale ou contractuelle ne suffisant pas, il est nécessaire d’avoir une protection informatique, à tout le moins physique. Qu’en est-il d’un bureau, fermé à clé, où se trouve un ordinateur utilisable sans mot de passe ? La protection ne sera suffisante que si l’interdiction d’accès au bureau est conjuguée à une interdiction morale d’accéder aux données de l’ordinateur. De cette façon, n’importe quelle personne ayant accès au local n’aura pas un droit d’accès aux données. On n’exige pas de la protection qu’elle ait une efficacité particulière, il suffit qu’elle soit reconnaissable par un tiers.
Soustraction
Contrairement au vol (art. 139 CP) où la soustraction implique une perte de la possession, pour soustraire une donnée informatique, une simple copie de la donnée suffit. L’auteur de l’infraction doit donc avoir la maîtrise la donnée soustraite. En admettant que la donnée soit un fichier texte contenant des informations très facilement mémorisables, la simple prise de connaissance de ces informations peut consister en une soustraction. Si l’auteur copie les données et les détruit de leur support original, il sera punissable de soustraction de données et de détérioration de données (art. 144 bis CP).
Intention, dessein d’enrichissement
L’acte doit être intentionnel ou être commis à tout le moins par dol éventuel (cf.hacking). L’acte doit être commis avec dessein d’enrichissement, c’est-à-dire avec la volonté de s’enrichir. S’il n’est pas présent et que les données volées sont des données personnelles ou des profils de la personnalité, on pourra se rabattre sur l’art. 179 novies CP, l’art. 143 CP n’étant alors pas applicable.
Voilà pour le cracking ! Le prochain épisode sera dédié à la détérioration de données (art. 144 bis CP).