Du plomb dans la loi Godfrain

• Thiébaut Devergranne

Les lois sont plus composites que jamais. On ne s’étonnera même plus de trouver, au sein de la  loi relative à la protection de l’identité, des dispositions modifiant la loi Godfrain qui, elle, sanctionne les atteintes aux systèmes de traitement automatisé de données.

Le lien entre la protection de l’identité et la protection des systèmes informatiques n’est guère qu’une frivolité. Tout ceci parle d’ordinateurs, de technologie et de fraude, il n’en faut guère plus au législateur pour se convaincre de l’harmonie naturelle de l’assemblage. Bientôt on ne parlera plus d’élaboration mais de coagulation de textes de loi, tant les échafaudages sont aujourd’hui douteux !

Toujours est-il qu’il y a du neuf dans les dispositions relatives aux atteintes aux systèmes de traitement automatisé de données ! L’objectif du législateur était de renforcer les sanctions contre les atteintes aux systèmes d’information de l’Etat. On se demande un peu en vertu de quel principe l’Etat jouit d’un tel privilège dans la mesure où l’objectif du texte est d’offrir une protection contre les atteintes à la propriété, droit dont l’Etat jouit  au même titre que tout autre citoyen. Mais à la limite pourquoi pas. Ce qui frappe surtout c’est que les modifications de l’arsenal pénal sanctionnant la fraude informatique sont plutôt rares. Les professionnels du domaine s’accordant assez bien sur l’efficacité de ces dispositions.

On analysera donc ces modifications pour observer un bug introduit par le législateur dans ce dispositif, qui va limiter considérablement sa portée pratique ! Même le législateur connaît des ratées… Et, en guise de conclusion, on fera quelques remarques sur la proportionnalité de ces mesures qui invitent à un certain scepticisme.

I – Le renforcement des sanctions contre les systèmes de l’Etat

Les dispositions des articles 323-1 et suivantes du Code pénal, qui sanctionnent la fraude informatique, s’offraient pratiquement inchangées depuis 1992 (certes, il faut mettre de côté le relevé des peines effectué en 2004 par la LCEN et l’introduction de l’article 323-3-1 du Code pénal qui sanctionne la possession d’outils permettant de réaliser des fraudes informatiques). Un délai considérablement trop long, sans doute, pour résister à la tentation.

Le législateur sanctionne jusqu’à 7 ans d’emprisonnement les atteintes aux systèmes d’information de l’Etat

Encore que les besoins pratiques n’invitaient pas réellement à la modification de ces textes, puisque tous les professionnels s’entendent sur le fait que ces infractions sont aujourd’hui pleinement opérationnelles. Depuis le 5 janvier 1988, date de l’entrée en vigueur de la loi, on sanctionne toujours aussi efficacement les usages frauduleux des systèmes informatiques (accès frauduleux, maintien frauduleux), les atteintes qui leur sont portées (entrave et faussement du fonctionnement du système), autant que les atteintes aux données qui sont contenues en leur sein (introduction, modification, suppressions frauduleuses de données). Des affaires récentes, comme l’affaire EDF, témoignent de la vigueur tout à fait actuelle de ces dispositions.

Mais en réalité, peut-être que ces dispositions étaient trop vieilles dans l’idée que se fait l’Administration de la nécessité de son action sur les textes de loi. Il règne toujours un sentiment fort d’accomplissement dans les cercles du pouvoir, dès lors qu’une loi peut être modifiée ou adaptée. Peu importe l’effectivité réelle des changements en pratique (qui de toute manière ne sont jamais vraiment suivis par les auteurs des projets de loi). Ce qui compte du côté de l’Administration c’est que ces modifications n’augment ent en rien les coûts de l’Etat et qu’elles permettent de semer l’idée que quelque chose a été fait par les autorités de régulation. En cela les modifications nouvelles de ce texte atteignent leur objectif, d’apparence au moins (bien que la réalité soit assez différente, v. ci-dessous). Du côté du régulateur, c’est essentiel.

Ainsi, les modifications proposées restent assez peu téméraires, et aussi consensuelles que possible, puisque l’idée du texte est d’augmenter simplement les peines dans des cas où les atteintes réalisées visent les systèmes informatiques de l’Etat.

Ainsi, aujourd’hui :

  • un accès, ou un maintien frauduleux, contre un système de l’Etat est sanctionné à hauteur de 5 ans d’emprisonnement et 75.000€ d’amende (au lieu de 3 ans et 30.000€);
  • l’entrave ou le faussement du fonctionnement d’un SI de l’Etat est puni de 7 ans et 100.000€ (au lieu de 45.000€) ;
  • même peines pour une introduction, modification ou suppression frauduleuses de données.

II – Les hics du texte de loi

Le problème essentiel de ces modifications tient toutefois à ce que les auteurs du projet de loi ont confondu deux notions juridiques qui vont priver la majeure partie de ces infractions de leur efficacité.

Les auteurs du texte de loi ont confondu deux notions juridiques qui vont priver le texte de sa pleine efficacité

En effet, au lieu de sanctionner des atteintes aux « systèmes de traitement automatisé de données« , le législateur s’est référé à une notion nouvelle, vaguement empruntée à la loi informatique et libertés, pour sanctionner les atteintes au « système de traitement automatisé de données à caractère personnel« . C’est là que la pertinence du texte s’effrite considérablement. En effet, en visant non pas un système informatique, mais un système informatique « qui traite des données personnelles », le législateur a introduit une limitation considérable dans la répression des atteintes aux systèmes informatiques de l’Etat. Car a contrario, les systèmes de l’Etat qui ne traitent pas des données personnelles ne sont évidemment pas visés par ces modifications de la loi !

Il faut dire que cette incohérence est pour le moins dérangeante : soit l’objectif des dispositions des articles 323-1 est de protéger les biens informatiques et plus généralement la propriété et, dans ce cas, on ne voit pas très bien pourquoi il serait nécessaire d’imposer le fait que le système traite effectivement des données personnelles. Soit, seconde possibilité, l’objectif est de protéger les données personnelles, auquel cas on ne voit pas très bien pourquoi ces modifications ont été inscrites au sein de la loi Godfrain.

Il existe en effet au sein du Code pénal ce que l’on appelle une summa diviso (une division majeure) qui sépare la protection des atteintes contre la propriété, de la protection des atteintes contre les personnes. D’un côté les articles 323-1 et suivants, qui sanctionnent les atteintes aux biens (c’est la raison pour laquelle ces articles commencent par le chiffre 3, qui nous indique que l’on est dans le LIVRE III du Code pénal « Des crimes et délits contre les biens »). Et de l’autre, les dispositions pénales de la loi informatique et libertés, qui siègent aux articles 226-16 (qui commencent par le chiffre 2, puisque ces dispositions se trouvent au sein du LIVRE II du Code pénal « Des crimes et délits contre les personnes »).

Pour dire les choses simplement : si l’idée était de protéger les données personnelles que l’Etat traite, alors il convenait de déplacer ces infractions directement au sein des articles 226-16 et suivants c’est-à-dire dans la partie consacrée aux données personnelles. Et si l’idée était de protéger les systèmes d’information de l’Etat, dans ce cas il convenait de ne pas se référer aux données personnelles, mais utiliser simplement le terme de système de traitement automatisé de données.

Or, on se retrouve aujourd’hui avec une nouvelle notion d’atteinte aux STADDP, mâtinée d’une variété de concepts qui crée des incohérences là où auparavant l’on jouissait d’une grande clarté. Gageons que nous aurons bientôt une loi 2.0 qui supprimera cette condition de « données personnelles » le plus discrètement possible (peut-être même par un député, comme le hasard sait si bien faire les choses).

Conclusion : des mesures vraiment proportionnées ?

Même si l’on peut accepter l’idée de sanctionner un peu plus vigoureusement les atteintes contre les systèmes d’information de l’Etat que celles réalisées contre les acteurs privés, reste tout de même une interrogation de proportionnalité. Mais, je vous laisse seuls juges de la cohérence de ces dispositions, car 7 ans d’emprisonnement pour le Code pénal c’est :

  • Organiser la traite d’être humains (art. 225-4-1).
  • Tuer quelqu’un involontairement en état d’ivresse manifeste au volant d’un véhicule terrestre à moteur (art. 221-6-1).
  • Créer un réseau pédophile et diffuser volontairement des images à caractère pédopornographique sur Internet (art. 227-23).
  • Révéler publiquement le contenu d’un document classifié très secret défense par le dépositaire du secret (par exemple les codes de lancement d’un missile nucléaire – art. 413-10).
  • Révéler publiquement l’identité d’un agent secret, mais seulement à la condition que cette révélation cause une atteinte à son intégrité physique (par exemple si la révélation conduit à des actes de torture, art. 413-13).
  • Et maintenant aussi : lancer Nessus contre impots.gouv.fr

Mais après tout pourquoi pas…


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)