Plan :
Chapitre 1 :
Les infractions relatives aux
systèmes de traitement automatisé des données :
Chapitre 2 :
Etude de cas : jugement de tribunal de première instance de Marrakech
Le
contentieux informatique désigne l'ensemble des litiges relatifs à
l'application du droit de
l'informatique. Ces litiges opposent le plus souvent deux parties
liées par un "contrat
informatique" : un prestataire informatique (éditeur de
logiciel, société de service informatique ou "SSII", fournisseur
d'accès ou d'hébergement, etc.) et son client, personne morale ou physique.
Mais ils peuvent aussi concerner des parties qui n'ont pas de lien juridique
antérieur, par exemple, deux éditeurs de logiciels (l'un poursuit l'autre pour
contrefaçon), deux particuliers (l'un poursuit l'autre pour une diffamation
commise sur un site internet).
Le
contentieux informatique est donc très diversifié, tant en ce qui concerne la
qualité des parties, que l'objet des litiges. Le point commun de tous ces
litiges est qu'ils comportent un élément informatique (logiciel, matériel,
réseau) qui leur confère une dimension technique, souvent déterminante dans
l'issue du litige.
En
dehors de quelques dispositions particulières (par exemple en matière de
saisie-contrefaçon de logiciels), le contentieux informatique ne fait pas
l'objet de règles de procédure spécifiques : il est soumis aux règles générales
de procédure civile (ou aux règles du contentieux administratif lorsque le
litige ressortit à la compétence du juge administratif).
En
raison de leur dimension technique, les litiges informatiques nécessitent
fréquemment le recours à une expertise
judiciaire.
La
criminalité informatique apparaît comme un phénomène nouveau par ses méthodes,
et elle l'est aussi par sa nature qui est immatérielle. En effet,« en dehors du matériel informatique que sont
un écran, une unité centrale, un clavier..., les biens informatiques comme les
données, sont immatériels, ce qui fait de la criminalité informatique une
criminalité marquée par le sceau de l'immatérialité ».
Il
existe de nombreux types de délits liés a l’informatique visant les TIC elles-mêmes, comme les serveurs et les sites Web, les virus informatiques a diffusion mondiale engendrant des dégâts considérables dans
les réseaux tant d’affaires
que de grande consommation.
Chapitre 1 :
Les infractions relatives aux
systèmes de traitement automatisé des données :
La
loi n° 07-03 concernant les
infractions relatives aux systèmes de traitement automatisé des données
constitue une étape décisive pour le
Maroc. Il ne s'agit pas d'un texte s'appliquant uniquement à des cas bien
définis mais d'une loi pénale couvrant de nombreux agissements frauduleux
imputables à l'informatique. Les plus importantes incriminations contenues dans
cette loi concernent les intrusions (A), ainsi que les atteintes aux systèmes
de traitement automatisé des données (B).
Section
1 : Les intrusions
La loi n° 07-03 incrimine l'accès et le maintien frauduleux dans un
système de traitement automatisé de données. Après avoir défini les contours
juridiques de ces intrusions, il conviendra de s'attacher à un sujet
susceptible de donner lieu à de vifs débats au sein de la doctrine et de la
jurisprudence marocaines, il s'agit de l'exigence (ou pas) d'un dispositif de
sécurité comme condition d’incrimination.
L'article 607-3 du Code pénal, inséré en vertu de la loi n° 07-03,
dispose : « Le
fait d'accéder, frauduleusement, dans tout ou partie d'un système de traitement
automatisé de données est puni d'un mois à trois mois d'emprisonnement et de
2.000 à 10.000 dirhams ou de l'une de ces deux peines seulement.
Est
passible de la même peine toute personne qui se maintient[1] dans
tout ou partie d'un système de traitement automatisé de données auquel elle a
accédé par erreur et alors qu'elle n'en a pas le droit ».
Concernant la formule employée par l'article précité, en l'occurrence « tout ou partie d'un
système ». Nous ne
pensons pas que le législateur visait, par l'emploi de la formule précitée, un
logiciel considéré isolément. Par conséquent, ne peut être sanctionnée une
atteinte à des éléments informatiques non intégrés à un système.
Du point de vue de l'élément matériel, l'idée d'accès indu renvoie à
toute pénétration dans un système.
Ainsi, dans un arrêt du 5 avril 1994, la cour d'appel de Paris a estimé
que : « l'accès frauduleux, au sens
de la loi, vise tous les modes de pénétration irréguliers d'un système, que
l'accédant travaille déjà sur la même machine mais à un autre système, qu'il
procède à distance ou qu'il se branche sur une ligne de télécommunication »[2].
Pour ce qui est du maintien dans le système informatique, certains
auteurs[3] le
définissent comme étant « les
états de situations anormales telles que connexion, visualisation ou opération
multiple, alors que l'accédant a pris conscience que ce maintien est anormal ».
Le maintien est donc la suite naturelle de l'accès. Il suppose, au-delà
de l'instant de raison qui fait basculer dans le système, une certaine durée.
Ainsi, a-t-il été décidé par la cour d'appel de Toulouse[4] que :
« le maintien pendant quarante-cinq
minutes caractérisait l'aspect frauduleux de ce dernier. Il s'agissait en
l'espèce d'un informaticien qui, après son licenciement, avait conservé le code
d'accès au système de son ancien employeur, y avait accédé puis s'y était
maintenu, causant même des dommages justifiant une incrimination plus grave ».
Le maintien se distingue donc de l'accès par le fait qu'il est réalisé
dès lors qu'un individu non habilité, qui s'est introduit par hasard ou par
erreur dans le système, reste sciemment branché au lieu de se déconnecter immédiatement.
L'accès, en revanche, constitue l'étape préalable, c'est-à-dire celle qui
consiste à s'introduire dans le système. « Le maintien dans un système de
traitement automatisé de données est donc un délit d'abstention tandis que
l'accès est un délit d'action ».
En revanche, tout comme l'accès, le maintien n'est punissable que parce
qu'il est frauduleux. Il suffit que l'intrusion aille à l'encontre de la volonté
du maître du système « et il
n'est nullement nécessaire qu'une captation de données informatiques soit
réalisée ».
La loi n° 07-03 n'a apporté aucune précision au sujet de la nécessité ou
de l'indifférence de la présence de dispositifs de sécurité pour la constitution
du délit d'accès et de maintien frauduleux. Tel est également le cas en droit
français. Cette question a donné lieu en France à plusieurs controverses et il
n'est pas hasardeux de pronostiquer qu'il en sera de même pour la doctrine et
la jurisprudence marocaines.
La doctrine et la jurisprudence sont partagées sur cette question en deux
courants antagonistes et se fondent, chacune de son côté, sur des considérations
diverses dont il convient de faire état pour déterminer, en toute connaissance
de cause, la solution à retenir.
Certains auteurs[5]estiment
ainsi que si le législateur n'a pas voulu imposer une obligation de protection,
c'est parce que cette dernière aurait été, soit trop imprécise, soit très
technique, risquant ainsi d'accuser des obsolescences rapides et répétitives
eu égard au contexte informatique perpétuellement évolutif. Ils estiment donc
qu'il appartient à la jurisprudence de définir le caractère frauduleux de
l'acte mais considèrent néanmoins que l'infraction est constituée même si le
système attaqué n'est pourvu d'aucune protection.
A l'opposé du courant précité se situe un autre mouvement qui estime que
l'accès ou le maintien frauduleux à l'intérieur d'un système de traitement
automatisé de données n'est répréhensible que si le système visité est protégé
contre les accès non autorisés, l'exigence d'un dispositif de sécurité
résultant implicitement de la signification de l'adverbe frauduleusement[6].
La jurisprudence française semble actuellement plus favorable à cette
thèse puisque, postérieurement aux arrêts cités précédemment qui considéraient
que la présence d'un dispositif de sécurité n'était pas nécessaire au caractère
frauduleux de l'accès, la cour d'appel de Paris a retenu la solution inverse.
En l'espèce, A.C., un journaliste et administrateur d'un site web intitulé
Kitetoa.com, consacré notamment à l'identification des failles et négligences
dans la mise en place de systèmes de traitement de données à caractère
personnel sur l'Internet, constatait, à l'occasion d'un accès au site
www.tati.fr, qu'il pouvait prendre connaissance d'un répertoire des clients
internautes de la société Tati, répertoire qui contenait des informations
personnelles fournies par les visiteurs du site ayant rempli un questionnaire.
Pour y accéder, ledit journaliste n'avait eu besoin d'utiliser ni code
d'accès secret, ni mot de passe identifiant, ni procédure de contournement ou
d'effraction : la simple utilisation des fonctions présentes sur le navigateur
netscape, dans sa version grand public, lui avait permis d'accéder au
répertoire. Après avoir averti la société Tati de cette absence de verrouillage
et que ses mises en garde soient demeurées vaines, il décida de publier un
article relatant les failles du système de traitement automatisé de données de
ladite société. Cette dernière porta plainte, estimant avoir été victime d'une
intrusion illicite.
Le bien immatériel, comme vecteur d'information,
peut être pris pour cible ; le fonctionnement du système risque également d'être
entravé ou faussé. Aussi, le législateur a-t-il prévu des incriminations
supplémentaires, assorties de peines plus fortes, pour le délinquant qui ne se
sera pas contenté de pénétrer dans le système mais qui en aura altéré le
fonctionnement ou aura porté atteinte aux données qu'il contient.
L'article 607-5 du Code pénal, inséré par la loi n° 07-03, dispose que « le fait d'entraver ou
de fausser intentionnellement le fonctionnement d'un système de traitement automatisé
de données est puni d'un an à trois ans d'emprisonnement et de 10.000 à 200.000
dirhams d'amende ou de l'une de ces deux peines seulement ».
Aux termes donc de l'article précité, les atteintes au fonctionnement
consistent dans le fait d'entraver ou de fausser le système.
L'entrave est définie par certains auteurs comme étant l'acte visant à «
empêcher le fonctionnement logiciel ou matériel du système en provoquant une
paralysie partielle ou totale, progressive ou instantanée, temporaire ou
définitive, ponctuelle ou permanente et enfin simple ou récurrente de celui-ci »[7].
Le fonctionnement pourrait également être faussé. Il convient donc de
définir ce que le législateur entend par l'emploi du verbe « fausser ».
Nous souscrivons à ce propos à l'opinion de certains
auteurs qui estiment que «fausser, c'est plus positivement faire produire au
système un résultat autre que celui attendu, l'infléchir; le gauchir par
rapport à ce qu'il aurait dû être »[8].
§ 2 :
Les atteintes aux données :
L'article 607-6 du Code pénal dispose que « le
fait d'introduire frauduleusement des données dans un système de traitement
automatisé dé données ou de détériorer ou de supprimer ou de modifier
frauduleusement les données qu'il contient, leur mode de traitement ou de
transmission, est puni d'un an à trois ans d'emprisonnement et de 10.000 à
200.000 dirhams d'amende ou de l'une de ces deux peines seulement ».
La sanction de la suppression et de la modification des données ayant
déjà été prévue par l'article 607-3, le fait de prévoir des sanctions plus
lourdes pour les mêmes faits peut sembler, de prime abord, déroutant.
Le législateur marocain a retenu le caractère intentionnel - que doivent
revêtir l'introduction, la suppression, la détérioration et la modification -
pour l'application des sanctions édictées par l'article 607-6.
S'agissant de l'élément matériel des infractions
visées à l'article 607-6, il est quant à lui constitué de manière alternative
des actions suivantes :
▪ L'introduction de données.
▪ La détérioration, la suppression ou la modification
de données:
▪ La détérioration, la suppression ou la modification
du mode de transmission des données.
▪ La détérioration, la suppression ou la modification
du mode de traitement des données.
Les principales atteintes (et également les plus dangereuses et ravageuses)
étant celles commises par le biais d'infections informatiques, plus
spécialement de virus, vers, chevaux de Troie et bombes logiques.
Il convient enfin de signaler que les atteintes aux
données ne se résument pas à celles qui sont visées par l'article 607-6 et dont
on vient de faire état, l'article 607-7 dispose en effet que « le faux et la
falsification de documents informatisés, quelle que soit leur forme, de nature
à causer un préjudice à autrui, est puni d'un emprisonnement d'un à cinq ans et
d'une amende de 10.000 à 1.000.000 de dirhams ».
Chapitre 2 :
Etude de cas : jugement de tribunal
de première instance de Marrakech[9]
Fiche
de jugement
Jugement rendu
par :
Juridiction : Tribunal
de première instance
Pays/Ville : Maroc,
Marrakech
Date de
décision : 02/12/2013
Type de
décision : Jugement
Numéro de
dossier : 5363/2013
Chambre : Pénale
o
Les parties :
le conseil
communal de Marrakech Vs l’un de ses
fonctionnaires
o Les faits : dans ce cas de figure
le tribunal de première instance de Marrakech a été saisi par une
plainte du conseil communal de Marrakech contre l’un de ses fonctionnaires qui
a été poursuivi par le ministère public pour tentative d’escroquerie,
falsification d’un document administratif , l’intrusion frauduleuse dans un système de traitement
automatisé des données et la modification des données contenus dans ce système.
o
Les arguments : pour
soutenir sa position, le demandeur s’est fondé sur les articles (540, 546, 360,607-3,607-6)
du code pénal.
o
Le problèmes juridiques :
v Problème
1° : Question
de qualification
v Problème
2° : question d’application des peines prévues a l’article 607/6
Commentaire
de jugement
Il s’agit d’un jugement
rendu par le tribunal de première instance de Marrakech, opposant le conseil
communal de Marrakech et son fonctionnaire.
Le conseil communal a déposé une plainte devant le tribunal de première
instance en poursuivant son fonctionnaire public qui a falsifié des documents
administratifs, et a accédé au système de traitement automatisé des données.
Le tribunal a qualifié l’infraction de falsification et d’escroquerie
relevant des infractions du code pénal (art 540-546-360) . Puis il a requalifié
l’infraction en précisant qu’il s’agit d’une atteinte aux systèmes de
traitement automatisé des données (art 607-3 et art 607-6).
Le problème qui se pose et de savoir pourquoi le juge a requalifié
l’infraction ?et pourquoi il n’a pas appliqué les dispositions prévues
par l’article 607-6 ?
Pour résoudre se problème nous allons nous focaliser dans une première
partie sur le problème de qualification, avant de passer à la seconde partie en
mettant l’accent sur le problème de la peine applicable.
I-
Problème
de qualification
Le
juge de première instance a qualifié l’infraction commise par le fonctionnaire
public d’une infraction d’escroquerie et de falsification d’un document
administratif, alors que ce dernier a accédé au programme informatique et
changé des informations y contenues (l’infraction a été requalifiée).
II-
Problème
d’application des peines
le juge a mentionné dans le dispositif de son jugement les article 607/3
et 607/6 mais il a pris en considération
uniquement les dispositions de l’art 607/3 et prononcé une peine moins lourde
que celle qui devrait être appliquée.
Le tribunal après
sa délibération a condamné l’accusé pour l’intrusion frauduleuse à un STAD et
la modification de données contenues dans ce système, d’une peine de 6 mois
ferme et d’une amende d’un montant de 1000DH
Quant on reviennent
aux sanctions prévus par le code pénal articles 607-3 et 607-7 que ce soit les
sanctions d'emprisonnement et les amendes dépassent largement la condamnation du tribunal de
Marrakech, d’une autre sens ne permet pas de réprimé de façon catégoriques les atteintes aux STAD surtout quand on sait que ces actes ont
menacées un service public(le conseil communal de Marrakech).
En effet la lecture des jugements que les
tribunaux marocains ont prononcés ces dernières années affirment une tendance
ambigüe quant à l’application des sanctions prévues par la loi 07-03 complétant le code pénal. ces décisions
restent dans le stade de 1ére instance et toujours en cours d’appel ;
Jusqu’à maintenant et suite a notre recherche on n’a pas pu trouver un arrêt de
la cour de cassation qui a clarifié la
tendance judicaire dans l’application de la loi 07-03.
[1] Par le
maintien il faut entendre « tout
ensemble composé d'une ou plusieurs unités de traitement, de mémoires, de
logiciels, de données, d'organes entrées-sorties, et de liaison qui concourent
à un résultat déterminé ».
[2] CA Paris, 11-ch., 5 avr. 1994, JCP E 1995, I, n° 461,
obs. Vivant
et Le Stanc ;Petites Affiches, 5 juill. 1995, n° 80, p. 13, obs. Alvarez.
[3] A. BENSOUSSAN, Internet : aspects juridiques, Petites
Affiches, n° 134 du 6 nov. 1996, p. 12.
[4] CA Toulouse, 3`-
ch., 21 janv. 1999, Juris-Data, n° 040054.
[5]
E.
MEILLAN, La sécurité des systèmes d'information : les aspects juridiques,
Hermès, Paris, 1993, p. 126 ; D. MARTIN, La criminalité informatique, P.U.F., 1
è" éd., 1997, p. 98.
[6] H. CROZE, L'apport du droit
pénal à la théorie générale du droit de l'informatique (à propos de la loi n°
88-19 du 5 janvier1988 relative à la fraude informatique), JCP G 1988.
[7]
A.
BENSOUSSAN, L'informatique et le droit, memento-guide, Hermès, 1995, p. 371 : «
Ce concept peut être appréhendé de
manière extrêmement large car il suffit d'une influence négative sur le
fonctionnement du système pour que le concept d'entrave soit retenu. 11 en est
ainsi pour les bombes logiques, l'occupation de capacité de mémoire, la mise en
place de codification, de barrages et de tous autres éléments retardant un
accès normal ».
[8] M. VIVANT et al., Larny droit de
l'informatique et des réseaux, 2006, op. cit., n° 3237, p. 1876.
[9] Jugement de tribunal de première instance de Marrakech n°
5363/2013, en date de 02/12/2013