LOI DU 5 JANVIER 1988 DITE LOI GODFRAIN
Une loi pionnière :
La loi du 5 janvier 1988 a été pionnière en matière d’infractions spécifiques aux technologies de l’information et ses dispositions forment encore le cœur de la matière.
Les dispositions législatives de lutte contre les infractions liées aux technologies de l’information répriment :
* L’accès ou le maintien frauduleux dans unsystème de traitement automatisé de données (STAD)
* L’entrave au fonctionnement du système
* L’introduction frauduleuse de données
* La falsification ou la suppression frauduleuse de données.
Evolution :
Cependant, depuis l’adoption de la loi en 1988, l’environnement numérique a subi de profondes évolutions. On observe alors un double mouvement, d’une part l’adaptation législative etjurisprudentielle, de la loi dite Godfrin à la nouvelle donne informatique et d’autre part, l’apparition d’incriminations nouvelles.
Accès et maintien frauduleux :
Infraction : « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données » constitue une infraction punie de 2 ans d’emprisonnement et de 30 000 € d’amende (art 323-1 al1 C.pén) et toute tentative est punie des mêmes peines (art 323-7 C.pén)
Cette disposition vise à sanctionner ceux qui cherchent à prendre connaissance d’informations, confidentielles ou non, figurant dans des systèmes de traitement automatisé de données dont l’accès leur est interdit.
Autrement dit, c’est une pénétration matérielle dans toute ou partie du système
Il conviendra donc de faire lapreuve :
* Du caractère frauduleux de l’accès
* Du caractère intentionnel de la pénétration illicite
Preuve du caractère frauduleux de l’accès :
Si le caractère protégé ou non du système n’est pas une condition requise pour la mise en œuvre de l’article 323-1 C.pén, il facilite à l’évidence la démonstration du caractère frauduleux de l’accès.
La preuve pourra en effet résulter ducontournement ou de la violation d’un dispositif de sécurité( comme la suppression délibérée des instructions de contrôle), de l’insertion d’un fichier espion enregistrant les codes d’accès des abonnés, d’une connexion pirate visant à interroger à distance un système( TGI Béthune, 10 mars 92,), de l’appel d’un programme ou d’une consultation de fichiers sans habilitation.
C’est précisément sur lefondement de l’article 323-1 C.pén que Mr H, ingénieur informatique, a été condamné pour avoir fabriqué de fausses cartes bancaires à puces pour acheter des tickets de métro.( Tal Corr Paris 25 février 2000 RD banque fin n°3 mai juin 2000 p 165).
Défaut de preuve du caractère frauduleux de l’accès :
La preuve ne sera pas rapportée si l’accédant est en situation d’accès normal, par exemple s’il aprocédé à une consultation d’informations rendues accessibles au public.
La CA Paris a ainsi considéré, dans un arrêt du 30 octobre 2002 ( Kitetoa contre sté Tati) qu’ »il ne peut être reproché à un internaute d’accéder aux données ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de sites, quine font par définition, l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputés non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès »
Les juges n’ont manifestement pas voulu sanctionner un utilisateur de bonne foi qui, selon eux, n’avait pas accédé de manière frauduleuse au STAD.
De même, lesjuridictions considèrent que dans certains cas, l’accès n’est que le résultat d’une erreur : « le fait pour un centre serveur de s’approprier un code d’accès du kiosque télématique et d’y héberger un code clandestin n’est pas constitutif des délits d’accès, de maintien dans un système de traitement de données informatisées et d’entrave. Cet accès a pu être le résultat d’une erreur de manipulation…