Le risque pénal des hackers éthiques

Une pratique essentielle mais juridiquement fragile

Les hackers éthiques, ou pentesters, sont devenus des alliés incontournables des organisations face à la multiplication des cyberattaques. Leur objectif est d’identifier les vulnérabilités avant qu’elles ne soient exploitées par des acteurs malveillants. Cependant, cette mission à visée protectrice évolue dans un cadre pénal rigide où la bonne foi ne suffit pas toujours à exclure la responsabilité. Les affaires Kitetoa, Bleutouff ou Panthéon-Assasl’ont illustré : même animée d’une intention bienveillante, une intrusion non autorisée dans un système d’information reste répréhensible.

Quand la loi pénale ne distingue pas les intentions

Les articles 323-1 à 323-7 du Code pénal constituent le socle de la répression des atteintes aux systèmes informatiques. Ils sanctionnent l’accès ou le maintien frauduleux dans un système, l’entrave à son fonctionnement ou la modification de données, sans qu’il soit nécessaire de prouver une intention malveillante. En pratique, cela signifie qu’un pentester qui dépasse le périmètre fixé par son mandat ou agit sans autorisation écrite peut voir sa responsabilité engagée, même s’il agit pour renforcer la sécurité de l’organisation.

Cette approche objective de la responsabilité pénale repose sur la matérialité des faits : dès lors qu’un accès non autorisé est constaté, le délit est constitué, indépendamment de l’intention. Pour les professionnels du test d’intrusion, cela crée un risque juridique réel dès que les limites contractuelles ou techniques de la mission sont franchies.

L’OSINT aussi peut tomber sous le coup de la loi pénale

Le risque pénal ne concerne pas uniquement les intrusions techniques. Il s’étend également à la collecte et à l’exploitation de données personnelles. L’article 226-18 du Code pénal sanctionne la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite. Autrement dit, même une recherche d’informations publiques peut devenir illégale si elle détourne la finalité de leur mise en ligne.

Un arrêt rendu par la Chambre criminelle de la Cour de cassation le 30 avril 2024 (n° 23-80.962) illustre bien cette notion de déloyauté. Le prévenu avait répondu à la demande du directeur de la sécurité d’une entreprise en réalisant des recherches sur plusieurs personnes, recueillant des informations comme leurs antécédents judiciaires, leurs comptes bancaires ou leur situation familiale. Ces données provenaient de sites publics, d’annuaires, de réseaux sociaux et de la presse régionale.

La Cour a considéré que le moyen de collecte était déloyal, car ces informations, bien qu’accessibles en ligne, avaient été utilisées à des fins étrangères à celles de leur publication. Elles avaient été recueillies à l’insu des personnes concernées, les privant ainsi du droit d’opposition prévu par la loi Informatique et Libertés. L’enseignement de cette décision est clair : la loyauté du traitement ne dépend pas de l’accessibilité de la donnée, mais de l’usage qui en est fait.

En pratique, cette jurisprudence impose une vigilance accrue pour les professionnels de la cybersécurité recourant à l’OSINT. Même lorsqu’une information est publique, son exploitation doit rester strictement conforme à la finalité du test de sécurité. Tout détournement ou usage non autorisé pourrait être assimilé à une collecte déloyale au sens de l’article 226-18.

Les autres risques pénaux à ne pas négliger

Au-delà des atteintes aux systèmes ou de la collecte déloyale de données, d’autres infractions de droit commun peuvent concerner les hackers éthiques. Le recel de données, prévu aux articles 321-1 à 321-5 du Code pénal, sanctionne la détention ou l’utilisation d’informations issues d’intrusions ou de fuites non autorisées. L’usurpation d’identité, prévue à l’article 226-4-1, peut être constituée si un pentester utilise des identifiants personnels sans accord. Le faux et l’usage de faux, réprimés par l’article 441-1, peuvent aussi être retenus lorsque des documents simulés sont employés dans le cadre de tests d’ingénierie sociale.

Encadrer et tracer pour se protéger

Pour éviter toute dérive, la clé réside dans un encadrement contractuel précis. Le contrat de pentest doit définir les limites techniques et temporelles de l’intervention, la nature des accès autorisés et les conditions de restitution des résultats. Il doit aussi intégrer des clauses de conformité au RGPD, garantissant la transparence des traitements de données personnelles. Enfin, la traçabilité de toutes les actions effectuées constitue une preuve indispensable en cas de contestation. Un cadre clair protège à la fois le client et le prestataire, tout en renforçant la légitimité de la pratique du hacking éthique.

Par Me Djamel Belhaouci, avocat au barreau de Marseille, Avocat en Cybercriminalité.