Présentation de la loi 07-03: les infractions relatives aux systèmes de traitement automatisé des données
Jusqu’à octobre 2003, le phénomène de la cybercriminalité au Maroc n’a fait l’objet d’aucune disposition législative visant à le réprimer. Il s’agissait encore d’un phénomène mal connu et marginal. Par conséquent, l’arsenal juridique marocain disposait de lacunes sérieuses empêchant la répression des infractions liées à la criminalité informatique. De nombreuses dispositions du code pénal se révèlent parfaitement inadaptées aux spécificités du phénomène. Face à cette situation, le législateur marocain se trouvait contraint d’enrichir le code pénal par des dispositions susceptibles de s’appliquer aux infractions commises par voie informatique ou électronique. C’est ainsi que la loi n°07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données a vu le jour en 2003.
Reproduite à partir de la loi française du 5 janvier 1988 dite loi Godfrain, la loi n°07-03 constitue un texte fondateur pour la mise à niveau de l’arsenal juridique marocain afin de tenir compte des infractions imputables à la criminalité informatique. Elle traite les atteintes aux systèmes de traitement automatisé des données (STAD) et réprime pénalement de nombreux comportements. Les intrusions ainsi que les atteintes aux systèmes de traitement automatisé des données demeurent les plus importantes incriminations contenues dans cette loi.
1 Les intrusions
La loi n°07-03 permet de sanctionner toutes les intrusions non autorisées dans un système de traitement automatisé de données. Elle fait la distinction entre l’accès et le maintien frauduleux dans un STAD. En effet, deux types d’accès illicites peuvent être envisagés :
- L’accès dans l’espace, qui consiste à pénétrer par effraction dans un système informatique (accès frauduleux).
- L’accès dans le temps, qui s’agit du fait d’outrepasser une autorisation d’accès donnée pour un temps déterminé (maintien frauduleux).
Les sanctions prévues varient selon que l’intrusion a eu ou non une incidence sur le système en cause.
L’accès frauduleux dans un STAD
Parmi les actes réprimés dans la loi n°07-03, on trouve en premier lieu l’accès frauduleux. Cette infraction résulte de l’article 607-3 du code pénal qui dispose dans sa rédaction de 2003 : « le fait d’accéder, frauduleusement, dans tout ou partie d’un système de traitement automatisé des données est puni d’un mois à trois mois d’emprisonnement et de 2.000 à 10.000 dirhams ou de l’une de ces deux peines seulement ». Dès lors que le maintien ou l’accès frauduleux entraîne une altération du système, la loi marocaine prévoit un doublement de la peine. En effet, l’article 607-3, al. 3 du Code pénal dispose « La peine est portée au double lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le STAD, soit une altération du fonctionnement de ce système ».
L’accès au STAD peut se faire :
- Depuis l’extérieur du système : ainsi, un pirate qui pénètre dans un ordinateur connecté à l’internet tombe sous le coup de la loi.
- Depuis l’intérieur du système : un salarié qui, depuis son poste, pénètre dans une zone du réseau de l’entreprise à laquelle il n’a pas le droit d’accéder pourra être poursuivi.
L’accès est sanctionné uniquement s’il est frauduleux. Il convient ainsi, de préciser que l’accès frauduleux à un STAD, tel qu’il a été précisé par la jurisprudence française, est constitué « dès lors qu’une personne, non habilitée, pénètre dans ce système tout en sachant être dépourvue d’autorisation, peu importe le mobile ». Ce qui recouvre un grand nombre d’hypothèses. Dans cette perspective, la Cour d’appel de Paris a considéré dans un arrêt du 5 avril 1994 que « l’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de communication».
Toutefois, dans un arrêt du 4 décembre 1992, la Cour d’appel de Paris a écarté les délits d’accès et de maintien dans un système de traitement automatisé de données informatiques en constatant que l’appropriation d’un code d’accès avait pu être le résultat d’une erreur de manipulation sur les fichiers, cette circonstance excluant le caractère intentionnel exigé par la loi. Ainsi, une intrusion accidentelle ne peut être incriminée, encore faut-il ne pas se maintenir dans le STAD accidentellement atteint. Mais la présence d’un dispositif de sécurité est elle une condition de l’incrimination pénale ?
Si certains pays comme la Norvège et les pays bas considèrent qu’un dispositif de sécurité est nécessaire pour punir l’accès ou l’interception illicite de données, la loi marocaine à l’instar de la loi française, n’a pas apporté de précision concernant la nécessité ou l’indifférence de la présence de dispositifs de sécurité pour la constitution du délit d’accès et de maintien frauduleux. En France, le législateur n’a pas voulu reprendre l’obligation pourtant proposée par le député Godfrain dés 1988, ni dans la loi sur les infractions informatiques, ni lors de la réforme du Code pénal. Cette volonté a été affirmée par la cour d’appel de Paris en 1994 qui a déclaré : « Il n’est pas nécessaire pour que l’infraction existe, que l’accès soit limité par un dispositif de protection, mais qu’il suffit que le maître du système ait manifesté l’intention den restreindre l’accès aux seuls personnes autorisées ».
Le maintien frauduleux dans un STAD
La loi marocaine incrimine également le maintien frauduleux dans un système de traitement automatisé de données. L’article 607-3 du code pénal marocain dispose : « Est passible de la même peine toute personne qui se maintient dans tout ou partie d’un système de traitement automatisé de données auquel elle a accédé par erreur et alors qu’elle n’en a pas le droit ». La jurisprudence française précise que l’incrimination concerne le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui y est entré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement. C’est sur ce fondement que la cour d’appel de Paris a condamné en 1994 les fondateurs de sociétés télématiques, les gérants de centres serveurs et les informaticiens à leur service. Ils essaient de se maintenir dans des services télématiques au mépris de la volonté des titulaires et alors que ceux-ci tentaient d’évincer les intrus par divers moyens de surveillance.
Quant à l’élément intentionnel de cette infraction, la doctrine et la jurisprudence s’accordent à admettre que l’adverbe « frauduleusement » n’est pas le dol général de l’attitude volontaire, ni le dol très spécial de l’intention de nuire, mais la conscience chez le délinquant que l’accès ou le maintien ne lui était pas autorisé. Cette précision vise le cas du fraudeur habilité à accéder à une partie non autorisée d’un système de traitement automatisé de données, s’y maintient en connaissance de cause, et au cas du fraudeur qui ayant eu par hasard accès à un système fermé, s’y maintient volontairement tout en sachant qu’il n’y a pas de droit.
Dans ce cadre, la cour d’appel de Toulouse dans un arrêt a précisé que le maintien pendant 45 minutes caractérisait l’aspect frauduleux de ce dernier. Il s’agissait en l’espèce d’un informaticien qui, après son licenciement, avait conservé le code d’accès au système de son ancien employeur, y avait accédé puis s’y était maintenu, causant même des dommages justifiant une incrimination plus grave.
En clair, relèvent de la qualification pénale toutes les intrusions intentionnelles irrégulières (accès frauduleux), mais aussi régulières si elles dépassent l’autorisation donnée (maintien frauduleux).
2. Les atteintes
Les atteintes au STAD ont tendance à devenir de plus en plus fréquent de nos jours, que le but soit le simple vandalisme ou bien encore, de façon plus élaborée, un but économique (vol ou altération de données dans le but d’en retirer de l’argent). Le législateur marocain a prévu des incriminations de ces délits dans le cadre de la loi n°07-03. Il a en outre, envisagé la possibilité où ces actes malveillants touchent le système lui-même (atteintes au fonctionnement) mais également le cas où ce sont les données contenues par le système qui sont victimes de ces actes (atteintes aux données).
Les atteintes au fonctionnement d’un STAD
L’atteinte au fonctionnement d’un STAD peut être constitué de manières très diverses, par tout comportement ou toute action qui va entraîner temporairement ou de manière permanente une gêne dans le fonctionnement du système, une dégradation du système voire le rendre totalement inutilisable. L’article 607-5 du Code pénal, inséré en vertu de la loi n°07-03, dispose que « Le fait d’entraver ou de fausser intentionnellement le fonctionnement d’un système de traitement automatisé des données est puni d’un an à trois ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une de ces deux peines seulement ».
A la lecture de l’article 607-5, il ressort que l’élément matériel d’une atteinte portée à un STAD lui-même et non pas à ses données peut provenir de l’entrave ou du faussement de ce dernier. L’exemple le plus connu de ce délit est l’attaque par « déni de service » qui consiste à employer de nombreux ordinateurs, pour la plupart compromis, afin de « bombarder » un ordinateur cible de messages ou de demandes de connexion afin que celui-ci devienne totalement indisponible pour les personnes souhaitant l’utiliser. Au-delà de ce genre d’attaques sophistiquées, la jurisprudence française a retenu que le fait pour un employé de changer les mots de passes d’accès à un système dans le but de la rendre inutilisable pouvait l’exposer aux peines prévues pour l’entrave, à contrario si le refus de communiquer les mots de passe n’empêche pas le bon fonctionnement du système le délit n’est pas constitué.
Alors que l’entrave a pour finalité de perturber le fonctionnement du système, Le faussement pour sa part consiste à faire produire au système un résultat différent de celui qui était attendu. Il peut suffire de bloquer l’appel d’un programme, d’un fichier ou encore d’altérer l’un des éléments du système. Le plus courant étant le cas du virus qui détruit le système en le rendant totalement inutilisable.
Bien évidemment, pour que l’atteinte au fonctionnement d’un STAD soit retenue, l’auteur doit avoir conscience que ses actes vont dégrader les performances d’un système voire le rendre inopérant. Ainsi, lorsqu’un individu pénètre dans un système informatique sans rien faire d’autre, nous parlerons alors d’accès et de maintien frauduleux et non de l’entrave.
Les atteintes aux données
L’article 607-6 du code pénal dispose que « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de détériorer ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni d’un an à trois ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une de ces deux peines seulement ».
En réalité, toute manipulation de données, qu’il s’agisse de les introduire, de les supprimer, de les modifier ou de les maquiller, provoque, en toutes circonstances, une altération du système. Le fait de modifier les tables d’une base de données, de déréférencer l’adresse d’un serveur Web dans les moteurs de recherche, ou encore, de défacer un site web pour y insérer une image indécente constituent autant d’atteintes visées par le texte.
Si dans le cadre de la législation française, le délit n’est constitué que si les atteintes sont réalisées avec une intention délictueuse et hors de l’usage autorisé, il convient d’observer à propos de cet élément intentionnel une des rares dispositions que le législateur marocain n’a pas « empruntée » à la loi Godfrain. Il s’agit en l’occurrence de l’exigence que l’atteinte soit commise « aux mépris des droits d’autrui ».
Enfin, il convient de signaler que pour tous ces délits, que ce soit pour les intrusions (accès et atteinte frauduleux au STAD) et pour les atteintes (atteintes au fonctionnement et atteintes aux données d’un STAD), la tentative est punie des mêmes peines. En effet, l’article 607-8 du code pénal dispose « La tentative des délits prévus par les articles 607-3 à 607-7 ci-dessus et par l’article 607-10 ci-après est punie des mêmes peines que le délit lui-même ».
Aucun commentaire:
Enregistrer un commentaire