Vol de fichiers informatiques librement accessibles

Par un arrêt du 28 juin 2017, la Cour de cassation a confirmé la condamnation pour vol d’une personne qui avait effectué et récupéré des photographies de courriers reçus par son associée et secrètement édité des doubles de courriers rédigés par elle, qui étaient contenus dans des fichiers informatiques stockés sur les serveurs de leur société et auxquels il avait donc accès par le biais du système informatique de cette dernière sans avoir à entrer un quelconque code d’accès propre à son associée. En l’espèce, la Cour a souligné que la victime n'avait pas entendu donner à son associé la disposition de ces documents personnels, dont elle “avait seule, en tant que propriétaire, le pouvoir [de] disposer”, et que le prévenu les avait “consultés officieusement, ce, à l’insu et contre le gré de celle-ci, et à des fins étrangères au fonctionnement de [leur société]”. La Cour de cassation a ainsi affirmé que “le libre accès à des informations personnelles sur un réseau informatique d'une entreprise [n’était] pas exclusif de leur appropriation frauduleuse par tout moyen de reproduction”.

Pour lire l’arrêt sur Légifrance

Peine d’emprisonnement pour attaque par déni de services distribués  

Par un jugement du 28 septembre 2016, le Tribunal correctionnel de Paris a condamné un individu à six mois d’emprisonnement avec sursis et à verser à la société EDF la somme de 29 000 euros de dommages et intérêts pour accès frauduleux dans un système de traitement automatisé de données (STAD), entrave et entente en vue de l’entrave au fonctionnement d’un STAD, commis à l’encontre de ladite société. L’attaque par déni de services distribués contre le serveur hébergeant le site internet de la société EDF, à laquelle avait participé l’intéressé, tout en diffusant une vidéo sur internet incitant les internautes à s’y rallier, avait entraîné le blocage du site.

Pour lire le jugement sur Legalis.net

Blocage administratif de sites diffusant des contenus pédopornographiques ou provoquant à des actes de terrorisme

Un décret du 5 février 2015 est venu préciser la procédure de blocage administratif des sites incitant à la commission d’actes de terrorisme, en faisant l’apologie ou diffusant des contenus pédopornographiques prévue par la loi du 13 novembre 2014. La liste des adresses à bloquer sera établie par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, et transmise aux fournisseurs d’accès à internet. Ces derniers auront vingt-quatre heures pour empêcher l’accès à ces sites “par tout moyen approprié”. Le décret prévoit également les modalités de la compensation financière allouée par l’Etat aux FAI à raison des charges que cette procédure fait peser sur eux.

Pour lire le décret sur Légifrance

Condamnation pour usurpation d’identité numérique et introduction frauduleuse de données dans un STAD

Par un jugement du 18 décembre 2014, le Tribunal Correctionnel de Paris a condamné un prévenu au paiement d’une amende de 3 000 euros pour usurpation d’identité ainsi que pour introduction frauduleuse de données dans un STAD. En l’espèce, le prévenu, exploitant une faille informatique du site d’une députée-maire, avait créé un site internet permettant à tout internaute de générer des communiqués de presse semblables aux communiqués officiels de la députée-maire. Le Tribunal a considéré que le site litigieux opérait une confusion avec le site officiel de la députée-maire et que compte tenu de la teneur des communiqués générés, il y avait lieu de constater un trouble à la tranquillité et une atteinte à l’honneur et à la considération de la députée-maire. Le Tribunal a également condamné à 500 euros d’amende pour complicité d’usurpation d’identité le prévenu ayant mis à disposition l’espace de stockage qui avait permis de créer le site litigieux.

Pour lire le jugement sur Legalis.net

Rapport sur l’élaboration d’une stratégie globale de lutte contre la cybercriminalité

Le 30 juin 2014, un rapport du groupe de travail interministériel sur la lutte contre la cybercriminalité a été remis à la Garde des Sceaux. Le rapport contient 55 propositions et préconise une réponse répressive plus effective, reposant notamment sur davantage de prérogatives policières, sur une meilleure coopération avec les fournisseurs d’accès internet et autres prestataires, et sur la création d’un "centre d’alerte et de réaction aux attaques informatiques". Le rapport formule également des recommandations visant à aider les "cyber-victimes", notamment par la prévention de la cybercriminalité et la généralisation du dépôt de plainte en ligne à l’ensemble des infractions réalisées via internet.

Pour lire le rapport sur le site du Ministère de la Justice

Lutte contre l’apologie du terrorisme sur internet

Le 29 avril 2014, une proposition de loi renforçant la lutte contre l’apologie du terrorisme sur internet a été enregistrée à l’Assemblée Nationale. Cette proposition de loi a pour objectif de lutter contre le "djihadisme sur internet", "les propagandes" et "l’endoctrinement". Il est ainsi proposé de modifier l’article 6 I 7° de la LCEN et de permettre à l’autorité administrative compétente de bloquer l’accès à des pages sur internet, quel qu’en soit le support, qu’il s’agisse de sites internet ou de réseaux sociaux, faisant l’apologie du terrorisme. Un décret en Conseil d’état fixerait les modalités d’application de cet article. Il est aussi proposé de créer dans le Code pénal, un délit de consultation habituelle des sites faisant l’apologie du terrorisme qui serait puni de deux ans d’emprisonnement et de 30 000 euros d’amende. Ce délit ne serait toutefois pas caractérisé "lorsque la consultation résulte de l’exercice normal d’une profession ayant pour objet d’informer le public, intervient dans le cadre de recherches scientifiques ou est réalisée afin de servir de preuve en justice".

Pour lire la proposition de loi sur Légifrance

Directive pour la protection des systèmes d’information

La directive 2013/40/UE du Parlement européen et du Conseil relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil a été publiée le 14 août 2013. Elle vise à harmoniser les législations en vigueur en matière de lutte contre la cybercriminalité et à instaurer une coopération renforcée dans l’Union européenne par la mise en place d’un système coordonné de suivi des infractions. Cette directive devra être transposée en droit interne d’ici le 4 septembre 2015

Pour lire la directive du Parlement européen et du Conseil.

Rejet de la QPC sur l’article 323-3 du Code pénal

Dans un arrêt du 10 avril 2013, la Cour de cassation a dit ne pas avoir lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité posée sur l’article 323-3 du Code pénal relatif à l’infraction d’accès et de maintien frauduleux dans un système de traitement automatisé de données. Suite à sa condamnation dans une affaire de fraude informatique, un prévenu avait soulevé une QPC considérant que les dispositions de cet article allaient à l’encontre du principe de définition des délits et des peines. La Cour de cassation a jugé que la question ne présentait pas de caractère sérieux, les termes de cet article étant  « suffisamment clairs et précis pour que son interprétation et sa sanction, qui entrent dans l’office du juge pénal, puissent se faire sans risque d’arbitraire ».

Pour lire l’arrêt sur Legifrance.

Pas d’accès frauduleux à un système non sécurisé

Dans un jugement du 23 avril 2013, le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à l’extranet d’une agence nationale et y avait récupéré des documents dont l’accès n’était pas sécurisé. En effet, le Tribunal a retenu que « même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, (…), en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées (…) aux seules personnes autorisées ». Le prévenu a donc pu légitimement penser que les données qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système. Le Tribunal retient également que le fait d’avoir téléchargé et enregistré des fichiers informatiques sur plusieurs supports ne constituait pas une soustraction frauduleuse de la chose d’autrui, ces données étant restées disponibles et accessibles à tous sur le serveur.

Pour lire le jugement sur Legalis.net.

Intrusion frauduleuse dans un STAD : relaxe d’EDF

Dans un arrêt du 6 février 2013, la Cour d’appel de Versailles a relaxé, pour manque de preuve, le responsable de mission du groupe EDF, condamné en première instance pour recel et complicité d’accès et de maintien frauduleux dans un système de traitement automatisé de données (STAD). L’arrêt retient en revanche la culpabilité de son adjoint, chargé de mission de la sécurité du parc nucléaire. Or, ce dernier n’ayant pas agi comme organe ou représentant de son employeur, la Cour d’appel a jugé que la responsabilité pénale du groupe ne pouvait être engagée et a donc relaxé EDF pour les faits reprochés.

Pour lire l’arrêt sur Legalis.net