Contenu

Que risque le hacker en droit pénal suisse ?

[Mis à jour en janvier 2012 pour suivre l’évolution législative suite à la Convention européenne sur la cybercriminalité]

Premier épisode de ma série estivale d’articles explicatifs sur les délits informatiques et leur répression.

En droit pénal suisse, le hacking consiste en l’accès indu à un système informatique.

Art. 143 bis du Code pénal suisse (CP)

1 Quiconque s’introduit sans droit, au moyen d’un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part est, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.

2 Quiconque met en circulation ou rend accessible un mot de passe, un programme ou toute autre donnée dont il sait ou doit présumer qu’ils doivent être utilisés dans le but de commettre une infraction visée à l’al. 1 est puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.

Le hacking peut être considéré comme l’équivalent informatique de la violation de domicile (art. 186 CP). Avant de voler quelque chose, il faut entrer. Nous ne nous intéresserons ici qu’à l’alinéa 1.

Système informatique

Il faut donc l’existence d’un système informatique appartenant à autrui. Les termes “système informatique” excluent donc les supports de données tels que les clés USB, ainsi que les appareils ne fournissant qu’un service ou bien en particulier, comme des distributeurs automatiques, à moins qu’ils soient directement reliés à un ordinateur, comme un bancomat (distributeur à billets). On vise donc à protéger l’ordinateur en tant que tel, en particulier l’espace virtuel qu’on peut considérer comme un “domicile informatique”. Il faut bien  comprendre que l’art. 143 bis CP ne protège pas les données ou leur support, mais bien le système.

Appartenant à autrui

Il est déterminant de savoir qui a l’accès au système informatique et qui en dispose. On protège ici le domicile informatique. Cela implique que si l’utilisateur du système n’est pas le propriétaire de l’appareil, seul l’utilisateur du système pourra porter plainte. Seule la personne directement lésée peut porter plainte, car le domicile informatique de la personne concernée importe plus que celui du détenteur de la machine. Qu’en est-il si une personne étant légitimée à accéder au système principal accède sans droit à un sous-système dont il n’est pas utilisateur ? C’est une question encore débattue, mais il n’y a pas de raison, à mon avis, de ne pas réprimer cette personne, bien qu’elle ait accès au système. En d’autres termes, un administrateur système ne peut pas accéder sans droit aux sous-systèmes ou sessions des utilisateurs utilisant le système informatique.

Spécialement protégé

Le système doit être “spécialement protégé contre tout accès” grâce à une barrière informatique. Une barrière physique ou morale, voire contractuelle, ne suffit pas.  Une porte (même fermée à clé), une interdiction formelle ou un accord contractuel ne répondent pas à l’exigence légale de la protection contre tout accès. L’efficacité de la barrière n’a que peu d’importance, au vu des prouesses des hackers, à moins que la barrière transparente au point qu’on peut considérer qu’il n’y en a pas. Si le système dispose de plusieurs barrières le protégeant, il suffit qu’une barrière soit franchie pour considérer que le hacker est “dans le système”. La personne à qui on autorise un certain accès au système et qui va au delà de ses droits n’est pas punissable.

Système de transmission de données

L’accès doit intervenir via un dispositif de transmission de données. La notion est large et n’est pas à prendre à la lettre : le législateur a voulu insister sur le caractère informatique du délit (entrer via un procédé informatique). Le réseau Internet est un tel dispositif. Cette notion n’implique pas que l’infraction se fait à distance ; elle impose seulement que l’accès au système soit un accès informatique et non un accès réel (comme l’accès à une salle de serveurs). L’accès dont il est question ici peut se faire tant depuis l’autre bout du monde que via le clavier même de l’ordinateur visé. Les actes de phishing rentrent dans le champ d’application de l’art. 143 bis CP, bien qu’on préférera leur appliquer les art. 143, 146 ou 147 CP.

Sans droit

Enfin, l’accès doit se faire sans droit, c’est-à-dire que le hacker n’est pas autorisé par la loi, par le consentement de la victime, ou par un motif justificatif à s’introduire dans le système. On constate donc ici que l’ethical hacking est parfaitement légal en Suisse.

Intention

L’acte doit être intentionnel ou être commis à tout le moins par dol éventuel (c’est-à-dire qu’on tient pour possible le résultat, mais qu’on passe néanmoins à l’action car on s’accommode du résultat au cas où il se produirait, même si on ne le souhaite pas). La commission par dol éventuel est toutefois difficilement envisageable. Celui qui se trouve dans un système par négligence n’est donc pas punissable. Si, dans ces conditions, on reste dans le système malgré des injonctions à sortir, on n’est pas punissable du fait de l’art. 1 CP car la règle n’est pas prévue (on est ici face à une lacune de la loi).

Voilà pour le hacking ! Le prochain épisode sera dédié à la soustraction de données, c’est-à-dire le “cracking” (art. 143 CP).