Accès à une base
de données mal sécurisée et responsabilités pénales Par Valérie Sédaillan (Avocat à la Cour de Paris http://www.internet-juridique.net) Par JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0302/030206_trib_juridique.shtml Lancer l'impression Le manquement à l'obligation de sécuriser un traitement informatique comportant des données personnelles est sanctionné pénalement par une peine de 5 ans d'emprisonnement et 300 000 euros d'amende (article 226-17 du Code pénal). Parallèlement, l'accès non autorisé à un système informatique est un délit sanctionné par une peine d'un an d'emprisonnement et 15 000 euros d'amende (article 323-1 du Code pénal). L'exigence de protection du système ne fait pas partie des conditions de l'incrimination du délit d'intrusion frauduleuse. Régulièrement, de nouvelles failles de sécurité affectant tel ou tel logiciels sont divulguées, avec en principe les moyens de corriger la faille. En pratique, on constate que les entreprises ne prennent pas toujours la peine de corriger les failles de sécurité qui sont signalées. La dénonciation des faiblesses
d'un système informatique mal sécurisé : une pratique
à risque ? La 13e chambre du Tribunal de Grande Instance de Paris a reconnu dans une décision en date du 13 février 2002 que la société Tati ne semblait pas avoir respecté l'obligation de sécuriser un fichier de données nominatives, mais a néanmoins condamné le webmestre de Kitetoa à une amende de 1000 euros avec sursis, pour accès et maintien frauduleux dans un système de traitement automatisé de données. La société Tati a été déboutée de sa demande en dommages et intérêts. Suite à un appel du Parquet général en vue de solliciter la relaxe du prévenu, démarche dont il convient de souligner au passage le caractère inhabituel, Antoine C. a été relaxé par décision en date du 30 octobre 2002 de la 12ème Chambre de la Cour d'appel de Paris. Le Tribunal avait reconnu que Monsieur Antoine C. avait seulement utilisé les fonctionnalités de son navigateur, sans effectuer de manipulations frauduleuses. Il avait toutefois considéré que l'accès de manière consciente et délibérée à des données que l'on sait être confidentielles, s'agissant de données nominatives protégées par la loi, constituait le délit pénal considéré. Cependant, l'utilisation d'un simple navigateur pour accéder dans un système mal protégé méritait-il une sanction ? Comme le soulignait le Parquet dans ses réquisitions, " il semble inenvisageable d'instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés ". Le Parquet considérait que lorsqu'une
base de données est, par la faute de celui qui l'exploite, en accès
libre par le biais de l'utilisation d'un logiciel de navigation grand
public ne nécessitant pas de connaissances particulières
ou de manipulations à la limite du piratage, le seul fait d'en
prendre connaissance, et même pour un journaliste, un testeur mandaté
ou non, d'en réaliser une copie (
), sans intention malveillante
(..) ne saurait constituer une infraction. Les sites sans protection sont réputés
non confidentiels à défaut d'obstacle à l'accès Au regard de cette jurisprudence, la possibilité d'accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n'est pas répréhensible. Vers un accroissement du contentieux lié
au manquement à l'obligation de sécurité ? L'article 226-17 n'a pas donné lieu à un contentieux abondant à ce jour. Or, le simple fait que les données nominatives soient accessibles sans protection, qu'elle qu'en soit la raison (faille non corrigée, mauvaise configuration) semble caractériser un manquement à l'obligation de protéger les données personnelles. Au regard de la jurisprudence de la Cour
d'appel, il devient possible de faire constater ce manquement, sans risquer
de se voir reprocher un accès non autorisé : si les données
nominatives sont accessibles sans protection, elle seraient réputées
non confidentielles c'est-à-dire que l'accès aux données
est présumé non frauduleux. L'entreprise est responsable de la sécurité
et de la confidentialité des données traitées pour
son compte en exécution du contrat. Elle doit veiller à
ce que son prestataire prenne les mesures nécessaires à
cet effet, notamment par des clauses contractuelles appropriées,
sous peine d'engager sa responsabilité pénale. Autant d'éléments qui doivent inciter les entreprises à une vigilance accrue en matière de sécurité du système d'information. Tribune publiée par Fabrice Deblock le 06/02/2003 Pour tout problème de consultation, écrivez au Webmaster Copyrights et reproductions . Données personnelles Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier 92517 Boulogne Billancourt Cedex, FRANCE |
|