Rechercher dans ce blog

Les infractions pénales informatiques en Droit marocain

Rectangle à coins arrondis: Introduction 
Plan :
Chapitre 1 :
 Les infractions relatives aux systèmes de traitement automatisé des données :

Chapitre 2 :
 Etude de cas : jugement de tribunal de première instance de Marrakech





Le contentieux informatique désigne l'ensemble des litiges relatifs à l'application du droit de l'informatique. Ces litiges opposent le plus souvent deux parties liées par un "contrat informatique" : un prestataire informatique (éditeur de logiciel, société de service informatique ou "SSII", fournisseur d'accès ou d'hébergement, etc.) et son client, personne morale ou physique. Mais ils peuvent aussi concerner des parties qui n'ont pas de lien juridique antérieur, par exemple, deux éditeurs de logiciels (l'un poursuit l'autre pour contrefaçon), deux particuliers (l'un poursuit l'autre pour une diffamation commise sur un site internet).
Le contentieux informatique est donc très diversifié, tant en ce qui concerne la qualité des parties, que l'objet des litiges. Le point commun de tous ces litiges est qu'ils comportent un élément informatique (logiciel, matériel, réseau) qui leur confère une dimension technique, souvent déterminante dans l'issue du litige.
En dehors de quelques dispositions particulières (par exemple en matière de saisie-contrefaçon de logiciels), le contentieux informatique ne fait pas l'objet de règles de procédure spécifiques : il est soumis aux règles générales de procédure civile (ou aux règles du contentieux administratif lorsque le litige ressortit à la compétence du juge administratif).
En raison de leur dimension technique, les litiges informatiques nécessitent fréquemment le recours à une expertise judiciaire.
La criminalité informatique apparaît comme un phénomène nouveau par ses méthodes, et elle l'est aussi par sa nature qui est immatérielle. En effet,« en dehors du matériel informatique que sont un écran, une unité centrale, un clavier..., les biens informatiques comme les données, sont immatériels, ce qui fait de la criminalité informatique une criminalité marquée par le sceau de l'immatérialité ».
Il existe de nombreux types  de délits  liés a l’informatique visant  les TIC elles-mêmes, comme  les serveurs et les sites Web, les virus  informatiques a diffusion  mondiale engendrant des  dégâts considérables  dans  les  réseaux tant  d’affaires  que  de grande consommation.


















Chapitre 1 :
 Les infractions relatives aux systèmes de traitement automatisé des données :


















La loi n° 07-03 concernant les infractions relatives aux systèmes de traitement automatisé des données constitue  une étape décisive pour le Maroc. Il ne s'agit pas d'un texte s'appliquant uniquement à des cas bien définis mais d'une loi pénale couvrant de nombreux agissements frauduleux imputables à l'informatique. Les plus importantes incriminations contenues dans cette loi concernent les intrusions (A), ainsi que les atteintes aux systèmes de traitement automatisé des données (B).
*   Section 1 : Les intrusions 
La loi n° 07-03 incrimine l'accès et le maintien frauduleux dans un système de traitement automatisé de données. Après avoir défini les contours juridiques de ces intrusions, il conviendra de s'attacher à un sujet susceptible de donner lieu à de vifs débats au sein de la doctrine et de la jurisprudence marocaines, il s'agit de l'exigence (ou pas) d'un dispositif de sécurité comme condition d’incrimination.
             

L'article 607-3 du Code pénal, inséré en vertu de la loi n° 07-03, dispose : « Le fait d'accéder, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un mois à trois mois d'em­prisonnement et de 2.000 à 10.000 dirhams ou de l'une de ces deux peines seulement.
Est passible de la même peine toute personne qui se maintient[1] dans tout ou partie d'un système de traitement automatisé de données auquel elle a accédé par erreur et alors qu'elle n'en a pas le droit ».
Concernant la formule employée par l'article précité, en l'occurrence « tout ou partie d'un système ». Nous ne pensons pas que le législateur visait, par l'emploi de la formule précitée, un logiciel considéré isolément. Par conséquent, ne peut être sanctionnée une atteinte à des éléments informatiques non intégrés à un système.
Du point de vue de l'élément matériel, l'idée d'accès indu renvoie à toute pénétration dans un système.
Ainsi, dans un arrêt du 5 avril 1994, la cour d'appel de Paris a estimé que : « l'accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d'un système, que l'accédant travaille déjà sur la même machine mais à un autre système, qu'il procède à distance ou qu'il se branche sur une ligne de télécommunication »[2].
Pour ce qui est du maintien dans le système informatique, certains auteurs[3] le définissent comme étant « les états de situations anormales telles que connexion, visualisation ou opération multiple, alors que l'accédant a pris conscience que ce maintien est anormal ».
Le maintien est donc la suite naturelle de l'accès. Il suppose, au-delà de l'instant de raison qui fait basculer dans le système, une certaine durée. Ainsi, a-t-il été décidé par la cour d'appel de Toulouse[4] que : « le maintien pendant quarante-cinq minutes caractérisait l'aspect frauduleux de ce dernier. Il s'agissait en l'espèce d'un informaticien qui, après son licenciement, avait conservé le code d'accès au système de son ancien employeur, y avait accédé puis s'y était maintenu, causant même des dommages justifiant une incrimi­nation plus grave ».
Le maintien se distingue donc de l'accès par le fait qu'il est réalisé dès lors qu'un individu non habilité, qui s'est introduit par hasard ou par erreur dans le système, reste sciemment branché au lieu de se déconnecter immédiatement. L'accès, en revanche, constitue l'étape préalable, c'est-à-dire celle qui consiste à s'introduire dans le système. « Le maintien dans un système de traitement automatisé de données est donc un délit d'abstention tandis que l'accès est un délit d'action ».
En revanche, tout comme l'accès, le maintien n'est punissable que parce qu'il est frauduleux. Il suffit que l'intrusion aille à l'encontre de la vo­lonté du maître du système « et il n'est nullement nécessaire qu'une captation de données informatiques soit réalisée ».





La loi n° 07-03 n'a apporté aucune précision au sujet de la nécessité ou de l'indifférence de la présence de dispositifs de sécurité pour la constitution du délit d'accès et de maintien frauduleux. Tel est également le cas en droit français. Cette question a donné lieu en France à plusieurs controverses et il n'est pas hasardeux de pronostiquer qu'il en sera de même pour la doctrine et la jurisprudence marocaines.
La doctrine et la jurisprudence sont partagées sur cette question en deux courants antagonistes et se fondent, chacune de son côté, sur des considéra­tions diverses dont il convient de faire état pour déterminer, en toute connais­sance de cause, la solution à retenir.
Certains auteurs[5]estiment ainsi que si le législateur n'a pas voulu imposer une obligation de protection, c'est parce que cette dernière aurait été, soit trop imprécise, soit très technique, risquant ainsi d'accuser des obsoles­cences rapides et répétitives eu égard au contexte informatique perpétuelle­ment évolutif. Ils estiment donc qu'il appartient à la jurisprudence de définir le caractère frauduleux de l'acte mais considèrent néanmoins que l'infraction est constituée même si le système attaqué n'est pourvu d'aucune protection.
A l'opposé du courant précité se situe un autre mouvement qui estime que l'accès ou le maintien frauduleux à l'inté­rieur d'un système de traitement automatisé de données n'est répréhensible que si le système visité est protégé contre les accès non autorisés, l'exigence d'un dispositif de sécurité résultant implicitement de la signification de l'ad­verbe frauduleusement[6].
La jurisprudence française semble actuellement plus favorable à cette thèse puisque, postérieurement aux arrêts cités précédemment qui con­sidéraient que la présence d'un dispositif de sécurité n'était pas nécessaire au caractère frauduleux de l'accès, la cour d'appel de Paris a retenu la solution inverse.
En l'espèce, A.C., un journaliste et administrateur d'un site web in­titulé Kitetoa.com, consacré notamment à l'identification des failles et négli­gences dans la mise en place de systèmes de traitement de données à caractère personnel sur l'Internet, constatait, à l'occasion d'un accès au site www.tati.fr, qu'il pouvait prendre connaissance d'un répertoire des clients internautes de la société Tati, répertoire qui contenait des informations personnelles four­nies par les visiteurs du site ayant rempli un questionnaire.
Pour y accéder, ledit journaliste n'avait eu besoin d'utiliser ni code d'accès secret, ni mot de passe identifiant, ni procédure de contournement ou d'effraction : la simple utilisation des fonctions présentes sur le naviga­teur netscape, dans sa version grand public, lui avait permis d'accéder au répertoire. Après avoir averti la société Tati de cette absence de verrouillage et que ses mises en garde soient demeurées vaines, il décida de publier un article relatant les failles du système de traitement automatisé de données de ladite société. Cette dernière porta plainte, estimant avoir été victime d'une intrusion illicite.

Le bien immatériel, comme vecteur d'information, peut être pris pour cible ; le fonctionnement du système risque également d'être entravé ou faussé. Aus­si, le législateur a-t-il prévu des incriminations supplémentaires, assorties de peines plus fortes, pour le délinquant qui ne se sera pas contenté de pénétrer dans le système mais qui en aura altéré le fonctionnement ou aura porté at­teinte aux données qu'il contient.

L'article 607-5 du Code pénal, inséré par la loi n° 07-03, dispose que « le fait d'entraver ou de fausser intentionnellement le fonctionnement d'un système de traitement automatisé de données est puni d'un an à trois ans d'emprisonnement et de 10.000 à 200.000 dirhams d'amende ou de l'une de ces deux peines seulement ».
Aux termes donc de l'article précité, les atteintes au fonctionnement consistent dans le fait d'entraver ou de fausser le système.
L'entrave est définie par certains auteurs comme étant l'acte visant à « empêcher le fonctionnement logiciel ou matériel du système en provoquant une paralysie partielle ou totale, progressive ou instantanée, temporaire ou définitive, ponctuelle ou permanente et enfin simple ou récurrente de celui­-ci »[7].
Le fonc­tionnement pourrait également être faussé. Il convient donc de définir ce que le législateur entend par l'emploi du verbe « fausser ».
Nous souscrivons à ce propos à l'opinion de certains auteurs qui es­timent que «fausser, c'est plus positivement faire produire au système un résultat autre que celui attendu, l'infléchir; le gauchir par rapport à ce qu'il aurait dû être »[8].
§ 2 : Les atteintes aux données :
L'article 607-6 du Code pénal dispose que « le fait d'introduire frauduleusement des données dans un système de traitement automatisé dé données ou de détériorer ou de supprimer ou de modifier frauduleusement les données qu'il contient, leur mode de traitement ou de transmission, est puni d'un an à trois ans d'emprisonnement et de 10.000 à 200.000 dirhams d'amende ou de l'une de ces deux peines seulement ».
La sanction de la suppression et de la modification des données ayant déjà été prévue par l'article 607-3, le fait de prévoir des sanctions plus lourdes pour les mêmes faits peut sembler, de prime abord, déroutant.
Le législateur marocain a retenu le caractère intentionnel - que doivent revêtir l'introduction, la suppression, la détérioration et la modifica­tion - pour l'application des sanctions édictées par l'article 607-6.
S'agissant de l'élément matériel des infractions visées à l'article 607-6, il est quant à lui constitué de manière alternative des actions suivan­tes :
   L'introduction de données.
   La détérioration, la suppression ou la modification de données:
   La détérioration, la suppression ou la modification du mode de trans­mission des données.
   La détérioration, la suppression ou la modification du mode de traite­ment des données.

Les principales atteintes (et également les plus dangereuses et rava­geuses) étant celles commises par le biais d'infections informatiques, plus spécialement de virus, vers, chevaux de Troie et bombes logiques.
Il convient enfin de signaler que les atteintes aux données ne se résument pas à celles qui sont visées par l'article 607-6 et dont on vient de faire état, l'article 607-7 dispose en effet que « le faux et la falsification de documents informatisés, quelle que soit leur forme, de nature à causer un préjudice à autrui, est puni d'un emprisonnement d'un à cinq ans et d'une amende de 10.000 à 1.000.000 de dirhams ».



















Chapitre 2 :
 Etude de cas : jugement de tribunal de première instance de Marrakech[9]














Fiche de jugement
Jugement rendu par :
Juridiction : Tribunal de première instance
Pays/Ville : Maroc, Marrakech
Date de décision : 02/12/2013
Type de décision : Jugement
Numéro de dossier : 5363/2013
Chambre : Pénale

o   Les parties : le conseil communal de Marrakech Vs  l’un de ses fonctionnaires
o   Les faits :   dans ce cas de figure  le tribunal de première instance de Marrakech a été saisi par une plainte du conseil communal de Marrakech contre l’un de ses fonctionnaires qui a été poursuivi par le ministère public pour tentative d’escroquerie, falsification d’un document administratif , l’intrusion  frauduleuse dans un système de traitement automatisé des données et la modification des données contenus dans ce système.
o   Les arguments : pour soutenir sa position, le demandeur s’est fondé sur les articles (540, 546, 360,607-3,607-6) du code pénal.
o   Le problèmes juridiques :

v Problème 1° : Question de qualification

v Problème 2° : question d’application des peines prévues a l’article 607/6









Commentaire de jugement
          Il s’agit d’un jugement rendu par le tribunal de première instance de Marrakech, opposant le conseil communal de Marrakech et son fonctionnaire.
Le conseil communal a déposé une plainte devant le tribunal de première instance en poursuivant son fonctionnaire public qui a falsifié des documents administratifs, et a accédé au système de traitement automatisé des données.
Le tribunal a qualifié l’infraction de falsification et d’escroquerie relevant des infractions du code pénal (art 540-546-360) . Puis il a requalifié l’infraction en précisant qu’il s’agit d’une atteinte aux systèmes de traitement automatisé des données (art 607-3 et art 607-6).
Le problème qui se pose et de savoir pourquoi le juge a requalifié l’infraction ?et pourquoi il n’a pas appliqué les dispositions prévues par  l’article 607-6 ?
Pour résoudre se problème nous allons nous focaliser dans une première partie sur le problème de qualification, avant de passer à la seconde partie en mettant l’accent sur le problème de la peine applicable.
I-                   Problème de qualification
          Le juge de première instance a qualifié l’infraction commise par le fonctionnaire public d’une infraction d’escroquerie et de falsification d’un document administratif, alors que ce dernier a accédé au programme informatique et changé des informations y contenues (l’infraction a été requalifiée).
II-                Problème d’application des peines
                   le juge a mentionné dans le dispositif de son jugement les article 607/3 et 607/6 mais il  a pris en considération uniquement les dispositions de l’art 607/3 et prononcé une peine moins lourde que celle qui devrait être appliquée.

                              Le tribunal après sa délibération a condamné l’accusé pour l’intrusion frauduleuse à un STAD et la modification de données contenues dans ce système, d’une peine de 6 mois ferme et d’une amende d’un montant de 1000DH
                          Quant on reviennent aux sanctions prévus par le code pénal articles 607-3 et 607-7 que ce soit les sanctions d'emprisonnement et les amendes dépassent largement la condamnation du tribunal de Marrakech, d’une autre sens ne permet pas de réprimé de façon catégoriques  les atteintes aux STAD  surtout quand on sait que ces actes ont menacées un service public(le conseil communal de Marrakech).
                            En effet la lecture des jugements que les tribunaux marocains ont prononcés ces dernières années affirment une tendance ambigüe quant à l’application des sanctions prévues par  la loi 07-03 complétant le code pénal. ces décisions restent dans le stade de 1ére instance et toujours en cours d’appel ; Jusqu’à maintenant et suite a notre recherche on n’a pas pu trouver un arrêt de la cour de cassation qui a clarifié  la tendance judicaire dans l’application de la loi 07-03.



[1] Par le maintien il faut entendre « tout ensemble composé d'une ou plusieurs unités de traitement, de mémoires, de logiciels, de données, d'orga­nes entrées-sorties, et de liaison qui concourent à un résultat déterminé ».
[2] CA Paris, 11-ch., 5 avr. 1994, JCP E 1995, I, n° 461, obs. Vivant et Le Stanc ;Petites Affiches, 5 juill. 1995, n° 80, p. 13, obs. Alvarez.
[3] A. BENSOUSSAN, Internet : aspects juridiques, Petites Affiches, n° 134 du 6 nov. 1996, p. 12.
[4] CA Toulouse, 3`- ch., 21 janv. 1999, Juris-Data, n° 040054.
[5] E. MEILLAN, La sécurité des systèmes d'information : les aspects juridiques, Hermès, Paris, 1993, p. 126 ; D. MARTIN, La criminalité informatique, P.U.F., 1 è" éd., 1997, p. 98.
[6] H. CROZE, L'apport du droit pénal à la théorie générale du droit de l'informatique (à propos de la loi n° 88-19 du 5 janvier1988 relative à la fraude informatique), JCP G 1988.
[7] A. BENSOUSSAN, L'informatique et le droit, memento-guide, Hermès, 1995, p. 371 : « Ce concept peut être appréhendé de manière extrêmement large car il suffit d'une influence négative sur le fonctionnement du système pour que le concept d'entrave soit retenu. 11 en est ainsi pour les bombes logiques, l'occupation de capacité de mémoire, la mise en place de codification, de barrages et de tous autres éléments retardant un accès normal ».
[8] M. VIVANT et al., Larny droit de l'informatique et des réseaux, 2006, op. cit., n° 3237, p. 1876.
[9] Jugement de tribunal de première instance de Marrakech n° 5363/2013, en date de 02/12/2013