Après avoir présenté, la semaine dernière, le contexte général de création de cette réglementation, nous passons ici en revue ces différents «délits» avec les sanctions y afférentes.
Le projet de loi n°07-03 a introduit au chapitre X, titre premier, livre III du code pénal un article 607-3 ainsi rédigé : «le fait d’accéder ou de se maintenir, frauduleusement dans un système de traitement automatisé de données est puni de six mois à un an d’emprisonnement et de 5000 à 20.000 dirhams d’amende ou de l’une de ces deux peines seulement».
Le piratage informatique
Le législateur entend ainsi sanctionner tous les cas dans lesquels une personne s’introduit dans un système, avec la conscience du caractère irrégulier de son acte. Peu importe que cet accès est directement, ou à distance, que le système soit ou non protégé ou qu’il y ait ou non résultat. C’est le seul fait d’accéder sans droit dans un système qui est incriminé. C’est ce que la doctrine dénomme, une infraction formelle.
L’incrimination de maintien frauduleux vient compléter celle de l’accès frauduleux qui vise des situations où l’accès, bien qu’ayant été régulier, a été suivi d’un maintien qui lui ne l’est pas (par exemple lorsque l’utilisateur dépasse le temps d’accès ou lorsqu’il s’introduit dans des parties confidentielles ou réservées.) Il s’agit là aussi d’une infraction formelle puisqu’il n’est pas nécessaire d’obtenir un résultat précis.
La dualité des actes incriminés est à souligner ici : d’une part l’accès, et d’autre part le maintien qui en est la suite naturelle mais qui suppose une intervention du facteur temps. Ces deux actes sont des causes d’incrimination indépendantes, ce qui permet par exemple de poursuivre un intervenant qui se serait immiscé par erreur dans le système et s’y serait maintenu consciemment. Il est à noter aussi que l’accès tout comme le maintien sont des infractions continues puisque le comportement délictueux se prolonge tant que l’auteur est installé irrégulièrement dans le système.
La répression est aggravée lorsque celui qui a recherché l’accès ou le maintien a provoqué, même par maladresse, des atteintes au système, telles que la suppression ou la modification de données, ou encore une altération du système, la peine proposée est de deux ans d’emprisonnement et de 50 000 à 500 000 dirhams d’amende ou de l’une de ces deux peines seulement.
L’accès frauduleux est une infraction préalable à celle du maintien frauduleux Ces deux infractions sont à leur tour préalables à l’entrave ou au faussement du fonctionnement d’un système de traitement automatisé de données.
Le sabotage de données
«Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de deux à cinq ans d’emprisonnement et de 50.000 à 1.000.000 de dirhams d’amende ou de l’une de ces deux peines seulement». Les termes «entraver » et «fausser» constituent l’élément matériel de cette infraction introduite par l’article 607-4. L’entrave vise tous les comportements ayant pour résultat d’empêcher le traitement automatisé des données. En effet, l’entrave est synonyme de gêne, d’empêchement pouvant aller jusqu’à l’arrêt du système, et qui est susceptible d’être qualifiée dans des cas très divers.
L’on pourrait penser ici aussi bien à une délinquance astucieuse, tout comme la délinquance traditionnelle sous forme de sabotage ou de destruction matérielle du système de traitement automatisé de données. Mais les formes de sabotage qui sont sans doute visées sont ce qu’on dénomme les «virus», les «bombes logiques » ou les «chevaux de Troie» qui sont des programmes parasites introduits illicitement sur un réseau ou dans un système, et susceptibles de se reproduire et d’aboutir à la destruction des données, voire au blocage du système…. Le texte réprime également le faussement, qui vise toute manipulation ayant pour objet de travestir la réalité en vue d’empêcher le traitement automatisé des données. Le faussement, évoque l’idée de résultat qui, à cause de l’action de la déformation des données du système, est différent de ce qu’il aurait dû être : le cas d’un virus informatique qui fausserait le fonctionnement normal du système des données. Quant à l’élément moral l’article 607-4 suppose que l’auteur est conscient des actes d’entrave ou de faussement du fonctionnement du système et qu’il doit avoir agi contre la volonté du maître du système.
Le faux en informatique
La loi protège comme on le sait les écritures authentiques, publiques, commerciales ou bancaires et privées. Jusqu’à maintenant, une écriture était assimilée au papier comme support des informations, ce qui recouvre des lettres, des relevés de banque, des actes, des télégrammes ….
Considérée comme évidente la définition d’une écriture n’a pas été explicitée par le législateur. L’article 607-6 du projet dispose «Sous réserve des dispositions particulières, la falsification de documents informatisés, quelle que soit leur forme, de nature à causer un préjudice à autrui, est punie d’un emprisonnement de deux à dix ans et l’une amende de 100.000 à 3.000.000 de dirhams ou de l’une de ces deux peines seulement. Sous réserve des dispositions particulières, la même peine est applicable à quiconque fait sciemment usage des documents informatisés visés à l’alinéa précédent» .
Désormais, il existera, à côté du faux en écritures traditionnel, un faux spécifique pour les falsifications informatisés. Pour que l’infraction soit constituée, encore faut-il mettre en œuvre un procédé informatique tendant à modifier la réalité de façon à ce que le contenu et /ou la portée juridique du document change de manière à causer un préjudice à autrui. Ainsi, si le projet est voté par le Parlement, pourront à l’avenir être poursuivis notamment la fabrication de cartes de crédit falsifiées ou les faux en matière de contrats électroniques.
Par ailleurs, celui qui sciemment et de son plein gré utilise des données falsifiées est puni comme s’il était l’auteur des faux, comme c’est le cas pour les faux en écriture.
La tentative
Alors que la tentative de crimes est toujours punissable. Lorsqu’il s’agit de délits, elle doit être prévue par une disposition expresse du Code pénal .La répression de la tentative en droit pénal n’est pas systématique pour les délits. Pour l’article 607-7, La tentative des délits prévus par les articles 607-3 à 607-6 est punie des mêmes peines que le délit lui-même. Or comme on l’a vu certaines des infractions prévues par ce projet sont matérielles comme le sabotage de données ou le faux, d’autres sont formelles comme l’accès ou le maintien frauduleux ;Si l’infraction formelle peut être analysée comme une tentative érigée en délit consommée il n’en est pas de même pour l’infraction matérielle.
L’association de malfaiteurs en informatique
D’après l’article 607-8 « Quiconque aura participé à une association formée ou à une entente établie en vue de la préparation, concrétisée par un ou plusieurs faits matériels, d’une ou de plusieurs infractions prévues au présent chapitre est puni des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.». Par cette disposition le législateur entend incriminer l’accomplissement d’actes préparatoires à la commission d’autres infractions qui, se situant avant même le commencement d’exécution, ne peuvent constituer une tentative punissable, exemple des «crackers» qui s’échangent des mots de passe ou des codes d’accès nécessaires afin de préparer des intrusions.
L’entente ou l’association doivent avoir été établies en vue de la préparation d’une ou plusieurs infractions et se concrétiser par un ou plusieurs faits matériels : échange de mots de passe subtilisés, confection d’un virus destiné à frapper un système donné, remise des cartes bancaires à un contrefacteur pour qu’il procède à leur ré-encodage. La participation au groupement ou à l’entente doit être volontaire et le prévenu doit avoir eu conscience de l’activité réelle de l’association.
Mise à disposition...
Le fait de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toutes données conçues ou spécialement adaptés pour accéder ou se maintenir frauduleusement dans un système d’information mais pour y introduire frauduleusement des données est puni d’un emprisonnement de deux à dix ans et d’une amende de 50.000 à 2.000.000 de dirhams en vertu de l’article 607-9. Par ailleurs l’article 607-10 prévoit que Le tribunal prononce la confiscation des matériels ayant servi à commettre les infractions prévues au présent chapitre et de ma chose qui en est le produit. Le coupable peut, en outre, être frappé pour une durée de deux à dix ans de l’interdiction d’exercice d’un ou de plusieurs des droits mentionnés à l’article 40 du présent code. L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux à dix ans ainsi que la publication ou l’affichage de la décision de condamnation peuvent également être prononcés. Il est à noter ici que la notion de « matériel » est dans le langage informatique réservée à ce qui est hardware, et non aux programmes d’ordinateurs, qui souvent ont plus de valeur… !
La perquisition « virtuelle »
Avec ces textes la réaction de notre droit face à la criminalité informatique est nécessaire mais n’est pas suffisante. Nous pouvons certes nous réjouir d’un maillage juridique correct, mais il est dores et déjà indispensable de penser la protection dans une dimension supranationale et il apparaît urgent de négocier des outils protecteurs à ce niveau, car les systèmes informatiques sont de plus en plus attaqués de l’étranger par des transmissions internationales de données, par les manipulations, les virus d’ordinateurs et l’espionnage.
Il est également souhaitable de compléter les dispositions du code de procédure pénale en matière de «saisie» pour permettre de copier , de rendre inaccessibles ou de retirer des données formant l’objet d’une infraction et qui stockées dans un système informatique ….
Dans le même esprit, on peut aussi suggérer d’instituer une sorte de perquisition «virtuelle», incluant les systèmes informatiques liés pour permettre au juge d’instruction d’étendre la recherche dans un système informatique vers des systèmes situés ailleurs et liés au premier. En effet, compte tenu du caractère international de nombreux réseaux informatiques, il se peut que pour les besoins d’une enquête la perquisition s’exerce sur des données qui sont en réalité situées à l’étranger.
Sur le plan juridique, la difficulté réside dans l’administration de la preuve, d’autant plus si l’intrusion a été effectuée à partir d’un réseau ouvert de type Internet. En effet, même si l’origine de cette intrusion peut être détectée, l’identification de la personne qui se cache derrière celle-ci peut s’avérer extrêmement difficile, c’est pour cela qu’il convient d’instaurer une obligation pour les opérateurs de réseaux de télécommunication d’enregistrer et de conserver les données d’appel d’identification d’utilisateurs des services de télécommunication pendant un certain délai en vue de l’investigation et de la poursuite d’infractions pénales
De toute évidence, le travail du législateur n’est donc pas terminé. Mais peut-être conviendrait-il mieux, au lieu d’élaborer des lois ponctuelles à chaque fois qu’une nouvelle difficulté survient, de repenser chaque secteur du droit en fonction de l’évolution de la société, pour une cohérence plus forte entre le droit et la technique.
*Docteur d’Etat en droit, spécialiste en droit des nouvelles technologies
Le projet de loi n°07-03 a introduit au chapitre X, titre premier, livre III du code pénal un article 607-3 ainsi rédigé : «le fait d’accéder ou de se maintenir, frauduleusement dans un système de traitement automatisé de données est puni de six mois à un an d’emprisonnement et de 5000 à 20.000 dirhams d’amende ou de l’une de ces deux peines seulement».
Le piratage informatique
Le législateur entend ainsi sanctionner tous les cas dans lesquels une personne s’introduit dans un système, avec la conscience du caractère irrégulier de son acte. Peu importe que cet accès est directement, ou à distance, que le système soit ou non protégé ou qu’il y ait ou non résultat. C’est le seul fait d’accéder sans droit dans un système qui est incriminé. C’est ce que la doctrine dénomme, une infraction formelle.
L’incrimination de maintien frauduleux vient compléter celle de l’accès frauduleux qui vise des situations où l’accès, bien qu’ayant été régulier, a été suivi d’un maintien qui lui ne l’est pas (par exemple lorsque l’utilisateur dépasse le temps d’accès ou lorsqu’il s’introduit dans des parties confidentielles ou réservées.) Il s’agit là aussi d’une infraction formelle puisqu’il n’est pas nécessaire d’obtenir un résultat précis.
La dualité des actes incriminés est à souligner ici : d’une part l’accès, et d’autre part le maintien qui en est la suite naturelle mais qui suppose une intervention du facteur temps. Ces deux actes sont des causes d’incrimination indépendantes, ce qui permet par exemple de poursuivre un intervenant qui se serait immiscé par erreur dans le système et s’y serait maintenu consciemment. Il est à noter aussi que l’accès tout comme le maintien sont des infractions continues puisque le comportement délictueux se prolonge tant que l’auteur est installé irrégulièrement dans le système.
La répression est aggravée lorsque celui qui a recherché l’accès ou le maintien a provoqué, même par maladresse, des atteintes au système, telles que la suppression ou la modification de données, ou encore une altération du système, la peine proposée est de deux ans d’emprisonnement et de 50 000 à 500 000 dirhams d’amende ou de l’une de ces deux peines seulement.
L’accès frauduleux est une infraction préalable à celle du maintien frauduleux Ces deux infractions sont à leur tour préalables à l’entrave ou au faussement du fonctionnement d’un système de traitement automatisé de données.
Le sabotage de données
«Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de deux à cinq ans d’emprisonnement et de 50.000 à 1.000.000 de dirhams d’amende ou de l’une de ces deux peines seulement». Les termes «entraver » et «fausser» constituent l’élément matériel de cette infraction introduite par l’article 607-4. L’entrave vise tous les comportements ayant pour résultat d’empêcher le traitement automatisé des données. En effet, l’entrave est synonyme de gêne, d’empêchement pouvant aller jusqu’à l’arrêt du système, et qui est susceptible d’être qualifiée dans des cas très divers.
L’on pourrait penser ici aussi bien à une délinquance astucieuse, tout comme la délinquance traditionnelle sous forme de sabotage ou de destruction matérielle du système de traitement automatisé de données. Mais les formes de sabotage qui sont sans doute visées sont ce qu’on dénomme les «virus», les «bombes logiques » ou les «chevaux de Troie» qui sont des programmes parasites introduits illicitement sur un réseau ou dans un système, et susceptibles de se reproduire et d’aboutir à la destruction des données, voire au blocage du système…. Le texte réprime également le faussement, qui vise toute manipulation ayant pour objet de travestir la réalité en vue d’empêcher le traitement automatisé des données. Le faussement, évoque l’idée de résultat qui, à cause de l’action de la déformation des données du système, est différent de ce qu’il aurait dû être : le cas d’un virus informatique qui fausserait le fonctionnement normal du système des données. Quant à l’élément moral l’article 607-4 suppose que l’auteur est conscient des actes d’entrave ou de faussement du fonctionnement du système et qu’il doit avoir agi contre la volonté du maître du système.
Le faux en informatique
La loi protège comme on le sait les écritures authentiques, publiques, commerciales ou bancaires et privées. Jusqu’à maintenant, une écriture était assimilée au papier comme support des informations, ce qui recouvre des lettres, des relevés de banque, des actes, des télégrammes ….
Considérée comme évidente la définition d’une écriture n’a pas été explicitée par le législateur. L’article 607-6 du projet dispose «Sous réserve des dispositions particulières, la falsification de documents informatisés, quelle que soit leur forme, de nature à causer un préjudice à autrui, est punie d’un emprisonnement de deux à dix ans et l’une amende de 100.000 à 3.000.000 de dirhams ou de l’une de ces deux peines seulement. Sous réserve des dispositions particulières, la même peine est applicable à quiconque fait sciemment usage des documents informatisés visés à l’alinéa précédent» .
Désormais, il existera, à côté du faux en écritures traditionnel, un faux spécifique pour les falsifications informatisés. Pour que l’infraction soit constituée, encore faut-il mettre en œuvre un procédé informatique tendant à modifier la réalité de façon à ce que le contenu et /ou la portée juridique du document change de manière à causer un préjudice à autrui. Ainsi, si le projet est voté par le Parlement, pourront à l’avenir être poursuivis notamment la fabrication de cartes de crédit falsifiées ou les faux en matière de contrats électroniques.
Par ailleurs, celui qui sciemment et de son plein gré utilise des données falsifiées est puni comme s’il était l’auteur des faux, comme c’est le cas pour les faux en écriture.
La tentative
Alors que la tentative de crimes est toujours punissable. Lorsqu’il s’agit de délits, elle doit être prévue par une disposition expresse du Code pénal .La répression de la tentative en droit pénal n’est pas systématique pour les délits. Pour l’article 607-7, La tentative des délits prévus par les articles 607-3 à 607-6 est punie des mêmes peines que le délit lui-même. Or comme on l’a vu certaines des infractions prévues par ce projet sont matérielles comme le sabotage de données ou le faux, d’autres sont formelles comme l’accès ou le maintien frauduleux ;Si l’infraction formelle peut être analysée comme une tentative érigée en délit consommée il n’en est pas de même pour l’infraction matérielle.
L’association de malfaiteurs en informatique
D’après l’article 607-8 « Quiconque aura participé à une association formée ou à une entente établie en vue de la préparation, concrétisée par un ou plusieurs faits matériels, d’une ou de plusieurs infractions prévues au présent chapitre est puni des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.». Par cette disposition le législateur entend incriminer l’accomplissement d’actes préparatoires à la commission d’autres infractions qui, se situant avant même le commencement d’exécution, ne peuvent constituer une tentative punissable, exemple des «crackers» qui s’échangent des mots de passe ou des codes d’accès nécessaires afin de préparer des intrusions.
L’entente ou l’association doivent avoir été établies en vue de la préparation d’une ou plusieurs infractions et se concrétiser par un ou plusieurs faits matériels : échange de mots de passe subtilisés, confection d’un virus destiné à frapper un système donné, remise des cartes bancaires à un contrefacteur pour qu’il procède à leur ré-encodage. La participation au groupement ou à l’entente doit être volontaire et le prévenu doit avoir eu conscience de l’activité réelle de l’association.
Mise à disposition...
Le fait de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toutes données conçues ou spécialement adaptés pour accéder ou se maintenir frauduleusement dans un système d’information mais pour y introduire frauduleusement des données est puni d’un emprisonnement de deux à dix ans et d’une amende de 50.000 à 2.000.000 de dirhams en vertu de l’article 607-9. Par ailleurs l’article 607-10 prévoit que Le tribunal prononce la confiscation des matériels ayant servi à commettre les infractions prévues au présent chapitre et de ma chose qui en est le produit. Le coupable peut, en outre, être frappé pour une durée de deux à dix ans de l’interdiction d’exercice d’un ou de plusieurs des droits mentionnés à l’article 40 du présent code. L’incapacité d’exercer toute fonction ou emploi publics pour une durée de deux à dix ans ainsi que la publication ou l’affichage de la décision de condamnation peuvent également être prononcés. Il est à noter ici que la notion de « matériel » est dans le langage informatique réservée à ce qui est hardware, et non aux programmes d’ordinateurs, qui souvent ont plus de valeur… !
La perquisition « virtuelle »
Avec ces textes la réaction de notre droit face à la criminalité informatique est nécessaire mais n’est pas suffisante. Nous pouvons certes nous réjouir d’un maillage juridique correct, mais il est dores et déjà indispensable de penser la protection dans une dimension supranationale et il apparaît urgent de négocier des outils protecteurs à ce niveau, car les systèmes informatiques sont de plus en plus attaqués de l’étranger par des transmissions internationales de données, par les manipulations, les virus d’ordinateurs et l’espionnage.
Il est également souhaitable de compléter les dispositions du code de procédure pénale en matière de «saisie» pour permettre de copier , de rendre inaccessibles ou de retirer des données formant l’objet d’une infraction et qui stockées dans un système informatique ….
Dans le même esprit, on peut aussi suggérer d’instituer une sorte de perquisition «virtuelle», incluant les systèmes informatiques liés pour permettre au juge d’instruction d’étendre la recherche dans un système informatique vers des systèmes situés ailleurs et liés au premier. En effet, compte tenu du caractère international de nombreux réseaux informatiques, il se peut que pour les besoins d’une enquête la perquisition s’exerce sur des données qui sont en réalité situées à l’étranger.
Sur le plan juridique, la difficulté réside dans l’administration de la preuve, d’autant plus si l’intrusion a été effectuée à partir d’un réseau ouvert de type Internet. En effet, même si l’origine de cette intrusion peut être détectée, l’identification de la personne qui se cache derrière celle-ci peut s’avérer extrêmement difficile, c’est pour cela qu’il convient d’instaurer une obligation pour les opérateurs de réseaux de télécommunication d’enregistrer et de conserver les données d’appel d’identification d’utilisateurs des services de télécommunication pendant un certain délai en vue de l’investigation et de la poursuite d’infractions pénales
De toute évidence, le travail du législateur n’est donc pas terminé. Mais peut-être conviendrait-il mieux, au lieu d’élaborer des lois ponctuelles à chaque fois qu’une nouvelle difficulté survient, de repenser chaque secteur du droit en fonction de l’évolution de la société, pour une cohérence plus forte entre le droit et la technique.
*Docteur d’Etat en droit, spécialiste en droit des nouvelles technologies
