La Loi GODFRAIN au plus près de l’actualité cybercriminelle Par le Général d’armée (2S) WATIN-AUGOUARD

La loi du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme, a été principalement commentée à propos des mesures de blocage et de retrait des contenus qualifiés de provocation ou d’apologie du terrorisme. Le nuage (cloud ?) de la polémique a masqué les importantes modifications apportées à la loi Godfrain ou, plus exactement, au code pénal qui en est désormais « dépositaire ». La législation relative aux atteintes aux systèmes de traitement automatisés de données (STAD) est d’origine ancienne (1988) mais, grâce aux adaptations apportées par le législateur, elle demeure en phase avec les usages et, surtout, avec les mésusages du cyberespace. Deux nouveautés sont à signaler : la pénalisation du « vol de données » et l’incrimination de l’action en bande organisée.

Le vol de données est un élément matériel de l’espionnage, de la contrefaçon, de l’escroquerie ou de l’usurpation d’identité. La loi Godfrain était, jusqu’à présent, muette sur cette question. Elle punissait l’accession ou le maintien frauduleux dans un STAD, l’altération ou le blocage de son fonctionnement et, s’agissant des données, leur introduction, leur suppression ou leur modification frauduleuse. Face au « vol de données », il faut bien reconnaître qu’il y avait un vide juridique. Le vol suppose la soustraction frauduleuse d’une chose appartenant à autrui, selon l’article 311-1 du code pénal. Cette chose est un bien matériel et non immatériel. Pour le vol d’énergie, bien immatériel, le législateur a du recourir à une incrimination spécifique (article 311-2 du code pénal). La copie de données n’est pas une soustraction, puisque le légitime propriétaire les conserve et n’est à aucun moment dépossédé de la chose, sauf en cas de vol d’un disque dur. Les constituants de la propriété (usus-abusus-fructus) sont aussi inadaptés : peut-on parler de propriété des données à caractère personnel, puisque, tout en étant éventuellement exploitées commercialement, elles ne peuvent faire l’objet d’un abandon de la part de leur détenteur ?

Pour combler le vide, plusieurs voies étaient possibles : poursuites pour contrefaçon, pour abus de confiance, etc. Mais elles ne couvraient pas toutes les hypothèses. La jurisprudence a tenté d’y remédier. Dans un arrêt du 4 mars 2008 (Cass.crim., n°07-84.002, 4 mars 2008, X/ Société Graphibus), la Cour de cassation a qualifié de vol une copie de données, mais cette décision s’éloigne du principe selon lequel la loi pénale est d’interprétation stricte. La loi du 13 novembre 2014 apporte les clarifications nécessaires sans jamais employer le terme de vol (ni celui de recel). Son article 16 modifie l’article 323-3 du code pénal en réprimant désormais l’extraction, la détention, la reproduction, la transmission de données contenues dans le système. Les victimes seront désormais plus enclines à porter plainte, les procédures bénéficieront d’une meilleure sécurité juridique.

La deuxième novation de la loi du 13 novembre 2014 concerne l’action en bande organisée. L’action du hacker isolé demeure d’actualité mais n’est pas de nature à déstabiliser un Etat, un secteur critique, une entreprise. Aujourd’hui, les cyberattaques les plus dangereuses sont le fait de groupes organisés, criminels ou mafieux, qui agissent pour leur compte personnel ou au profit d’Etats cherchant à masquer leurs intentions. Par exemple, le groupe appelé Cybervor serait composé d’une douzaine de russes, dont l’activité a été révélée en août 2014. A son actif, le piratage de 1,2 milliards de données (combinaisons d’email et de mots de passe) sur 420 000 sites web. On est loin du pirate solitaire des années quatre-vingt.

Dès 1988, la loi Godfrain a prévu la pluralité des auteurs d’attaques informatiques en réprimant l’association de malfaiteurs (art. 323-4 du code pénal). La mise en évidence d’une association de malfaiteurs permet d’agir à titre préventif, au stade de la préparation de l’infraction. La loi renforçant les dispositions relatives à la lutte contre le terrorisme va plus loin en introduisant la circonstance aggravante de bande organisée (art. 323-4-1) qui répond au passage du hacker isolé au groupe structuré, organisé. Cette aggravation ne concerne cependant que les atteintes aux systèmes de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat. Les infractions de la loi Godfrain ne figurent pas dans la liste relative à la criminalité organisée, dressée par l’article 706-73 du code de procédure pénale, mais l’article 706-74 du même code dispose que « lorsque la loi le prévoit, les dispositions du présent titre sont également applicables aux crimes et délits en bande organisée autres que ceux relevant de l’article 706-73 ». Dans le nouveau titre XXIV, intitulé « De la procédure applicable aux atteintes aux systèmes de traitement automatisé de données », le législateur insère l’article 706-72 qui énumère les articles de procédure applicables aux atteintes aux systèmes de traitement automatisé de données. Il emprunte la plupart des dispositions prévues pour la lutte contre la criminalité organisée (cyberinfiltration, captation de données, etc.), à l’exception de certaines mesures (la garde à vue ne peut être portée à quatre jours, les perquisitions sont exclues de nuit). Ainsi une infraction commise en bande organisée peut être confiée à une juridiction interrégionale spécialisée (JIRS), ce qui peut ouvrir (enfin) la voie à une plus grande spécialisation du traitement du contentieux « cyber ».

On accuse souvent le législateur d’agir en retard. S’agissant des infractions visant les systèmes de traitement automatisé de données, cette critique n’est pas fondée. La loi Godfrain, qui a pris le soin de ne pas être associée à une technologie particulière, est régulièrement adaptée au développement des activités humaines dans le cyberespace. De ce fait, elle n’a pas pris une ride.