En
tout cas, il n’existe pas en tant que tel, il n’est notamment pas encore
codifié.
Actuellement,
il est seulement possible de dire que le droit de la SSI vit au travers des
autres droits. Il est composé de l’agrégation de plusieurs droits, il est formé
des parties spécifiques des droits plus « classiques » tels que le
droit pénal, le droit de la défense ou encore le droit des postes et des télécommunications
électroniques.
Il
en résulte qu’il est difficile d’exposer un panorama exhaustif de tous les
aspects juridiques de la SSI ; toutefois, il est au moins possible de
circonscrire son périmètre.
Le
droit de la SSI concerne, d’une part et de façon stricte, la protection des
réseaux et des systèmes matériels et, d’autre part et plus largement, la
protection des informations en tant que telles et leurs qualités intrinsèques
qui circulent sur les réseaux précités. .
Ainsi,
le droit de la SSI est marqué par la relation spécifique du contenant avec le
contenu.
L’intrusion
frauduleuse dans le contenant à savoir dans un système de traitement automatisé
de données (STAD)[1]
est punie par le code pénal. Ces infractions ont été créés par la loi Godfrain
du 5 janvier 1988[2]
sur la fraude informatique modifiée par la loi de 2004 sur la confiance dans
l’économie numérique[3]
(LCEN) qui a principalement augmenté les peines.
Les
quatre principaux comportements punis lors d’une intrusion frauduleuse dans un
STAD sont les suivants :
-
Le
fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un
STAD est puni d'un an d'emprisonnement et de 15 000 euros d'amende[4]
à savoir, par exemple, l’installation de programmes espions (sniffer)ou l’administration à distance frauduleuse
du poste.
-
Le fait d'entraver ou de fausser le
fonctionnement d'un système de traitement automatisé de données est puni de
trois ans d'emprisonnement et de 45 000 euros d'amende[5] à savoir, par exemple,
fausser le fonctionnement d’une messagerie électronique.
-
Le fait d'introduire frauduleusement des données
dans un système de traitement automatisé ou de supprimer ou de modifier
frauduleusement les données qu'il contient est puni de trois ans
d'emprisonnement et de 45 000 euros d'amende[6] à savoir, par exemple,
modifier les données d’une offre commerciale publiée sur Internet.
-
La participation à un groupement formé ou à une
entente établie en vue de la préparation, caractérisée par un ou plusieurs
faits matériels, d'une ou de plusieurs des infractions prévues par les articles
323-1 à 323-3 est punie des peines prévues pour l'infraction elle-même ou pour
l'infraction la plus sévèrement réprimée[7] à savoir, par exemple,
posséder un logiciel malveillant.
L’intrusion
frauduleuse dans un système d’informations est punie car cette intrusion porte
préjudice au contenu informationnel du système.
En
effet, certaines informations sont précieuses car ce sont des données à
caractère personnel, des informations relevant du secret de la défense
nationale, des informations stratégiques d’un point de vue économique, etc. Il
est donc important que la protection de ces informations intègre les mesures de
sécurité relatives aux systèmes traitant, stockant et diffusant ces
informations.
Prenons,
par exemple, des données de santé à caractère personnel hébergées par un
organisme distinct du professionnel ou de l’établissement de santé qui soigne
le malade, c’est à dire chez un hébergeur de données. La loi relative aux
droits des malades et à la qualité du système de santé[8]
a instauré une procédure d’agrément des hébergeurs qui vise à garantir la
sécurité de ces données. Selon l’article L.1111-8 du code de la santé publique,
ils doivent respecter des règles de sécurité et de confidentialité très précises
sous les conditions et sous les peines définies par l’article 226-13 du code
pénal[9].
L’interpénétration
de la protection du réseau avec la protection des informations particulières
qui y circulent élargit considérablement le champ d’application du droit de la SSI.
Ce large périmètre est d’autant plus diffus que de nombreux dispositifs
particuliers fleurissent pour la protection de catégories particulières d’informations
(dispositifs CNIL, HADOPI, opérateurs d’importance vitale (OIV), etc.).
Afin
de rationaliser et de capitaliser le droit de la SSI, une réflexion sur la
possibilité d’établir un code du droit de la SSI semble devoir s’imposer. Ces
travaux permettraient de mettre à plat les différents aspects du droit de la
SSI et de trouver un dénominateur commun formant le socle intangible du droit
de la SSI. Un droit de la SSI qui se déclinerait ensuite en fonction des
spécificités identifiées.
[1] La notion de
STAD n’est pas définie dans la loi mais la jurisprudence l’assimile à un
système d’information.
[2] Loi n°88-19 du 5 janvier 1988
sur la fraude informatique
[3] Loi n°2004-575 du 21 juin 2004
pour la confiance dans l’économie numérique.
[4] Article 323-1 du code pénal. Lorsqu'il en est résulté
soit la suppression ou la modification de données contenues dans le système,
soit une altération du fonctionnement de ce système, la peine est de deux ans
d'emprisonnement et de 30 000 euros d'amende.
[5] Article 323-2 du code pénal
[6] Article 323-3 du code pénal
[7] Article 323-4 du code pénal
[8] Loi n°2002-303 du 4mars 2002
relative aux droits des malades et à la qualité du système de santé.
[9]
Article
226-13 : « La révélation d'une information à caractère secret par une
personne qui en est dépositaire soit par état ou par profession, soit en raison
d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement
et de 15000 euros d'amende ».
Aucun commentaire:
Enregistrer un commentaire