Important - The information in this article is provided subject to the disclaimer. The law may have changed since first publication and the reader is cautioned accordingly.



Le saviez-vous ? Le simple fait de détenir un programme « potentiellement malveillant » est susceptible de constituer une infraction pénale.

Depuis la loi du 21 juin 2004 dite LCEN, la détention, l’importation, l’offre, la cession ou la mise à disposition d’équipements ou de programmes informatiques ainsi que de toute donnée, conçus ou spécialement adaptés pour permettre l’accès ou le maintien frauduleux à une système d’information, l’introduction ou la suppression frauduleuses de données ou encore, une entrave au fonctionnement d’un système, est puni d’une peine de maximale de cinq ans d'emprisonnement et de 75000 euros d'amende.

A titre d’exemple, le fait de détenir et d’utiliser un outil logiciel permettant de scanner les vulnérabilités d’un système d’information peut être considéré comme illicite et sanctionné pénalement.

Devrait recevoir la même qualification pénale et la même sanction, le fait de détenir et de communiquer des informations relatives à des failles de sécurité d’un système d’information ou encore de mettre à disposition de tiers des virus.

Cependant, l’infraction n’est pas constituée si le programme informatique « potentiellement malveillant » est détenu et/ou utilisé pour un motif légitime.

La loi ne définissant pas ce qu’il faut entendre par « motif légitime », il est difficile de déterminer les situations dans lesquelles l’utilisation d’outils ou de données informatiques peuvent être considérés comme licite.

On peut toutefois légitimement penser que la détention et l’utilisation de tels outils et données pour les besoins d’une entreprise, sont licites, leur utilisation par un responsable informatique (DSI ou RSSI) notamment dans le cas de tests de vulnérabilité, constituant un motif légitime.

A défaut de décisions de jurisprudence en la matière, c’est a priori la destination de l’usage des outils et des données qui déterminera le caractère licite de leur détention et de leur utilisation.

L’existence d’un motif légitime de détention ne pourra être systématiquement opposé, notamment lorsque les programmes « potentiellement malveillants » auront été utilisés par des salariés en dehors du contexte pour lequel ils avaient été mis à leur disposition.

Les directions informatiques doivent donc être particulièrement attentives aux conditions d’accessibilité et d’utilisation de tels programmes, même si ceux-ci n’ont, en principe, pas vocation à être utilisés pour des raisons illicites.

Dans ces conditions et afin d’éviter toute confusion au sein d’une entreprise, il convient de fixer les règles de détention de tels outils et/ou données dans le cadre de la politique de sécurité informatique et de la charte d’utilisation des systèmes d’information afin de sensibiliser les utilisateurs à ce nouveau risque et d’être en mesure de justifier, le cas échéant, d’un motif légitime lié aux besoins stricts et encadrés de l’entreprise.

Références :

Les textes :

Article 323-3-1 du Code pénal

Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

Sanctions :

En application des dispositions de l’article 323-3-1 du Code pénal et en fonction de l’infraction à laquelle la détention et l’utilisation de programmes malveillants est rattachée (accès frauduleux, entrave au fonctionnement, modification ou suppression de données) les peines vont de deux à cinq ans d’emprisonnement et de 30 000 à 75 000 euros d’amendes, nonobstant les dommages intérêts susceptible d’être réclamé par la victime.

Jurisprudence :

Compte tenu de la nouveauté de l’infraction, il n’existe à ce jour aucune décision de justice publiée.

Article publié dans CSO N°6 mai 2005.