Loi Godfrain
La loi Godfrain du , ou Loi no 88-19 du relative à la fraude informatique, est la première loi française réprimant les actes de criminalité informatique et de piratage. Nommée d'après le député RPR Jacques Godfrain, c'est l'une des lois pionnières concernant le droit des NTIC, après, notamment, la loi Informatique et libertés de 1978, qui introduit la notion de système de traitement automatisé de données (STAD) et prévoit plusieurs dispositions corrélatives de la loi Godfrain (notamment concernant les obligations du responsable du traitement quant à la garantie de la sécurité des données - art. 34 loi de 1978).
Sanctions pénales
modifierLes dispositions de la loi Godfrain sont intégrées dans le Code pénal, livre III (« Des crimes et délits contre les biens »), titre II (« Des autres atteintes aux biens »), chap. III : « Des atteintes aux systèmes de traitement automatisé de données ». Selon les infractions retenues, les peines peuvent aller de 2 ans de prison et 30 000 euros d'amende à 10 ans d'emprisonnement et 150 000 euros d'amende (pour l'une quelconque de ces infractions commise en « bande organisée » à l'encontre d'un STAD de l'État). Par ailleurs, ces peines peuvent être accompagnées de privation de droits civiques et d'autres mesures (interdiction de travailler dans la fonction publique, exclusion des marchés publics, etc.).
Contexte et controverses
modifierAdoptées alors que le hacking commençait à émerger de façon notable aux États-Unis, la loi Godfrain a été précédée d'un fait divers notable : le , Le Canard enchaîné publie un article détaillant la manière dont des journalistes ont eu accès à des bases de données à l’aide d’un Minitel, sans connaissances techniques spécifiques ni matériels particuliers. Les données en question étaient des informations concernant des essais nucléaires à Mururoa[1].
En 2004, la Loi pour la confiance dans l'économie numérique modifie la loi en ajoutant un art. L. 323-3-1, lequel réprime « le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ». Cette infraction a été controversée, étant la base de nombreuses poursuites judiciaires, en particulier concernant la publication des failles de sécurité[2]. Deux affaires ont notamment été publicisées : celle de Kitekoa, journaliste au Canard enchaîné qui avait publié une faille de sécurité sur le site de Tati (finalement relaxé en 2002[3]), et celle de Damien Bancal, journaliste du site zataz qui avait publié une faille concernant un serveur, et qui permettait d'accéder à des données personnelles et bancaires (également relaxé)[2].
La loi no 2013-1168 du « relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale » (art. 25) a cependant amendé cet article, en ajoutant une exception concernant le fait d'avoir « un motif légitime, notamment de recherche ou de sécurité informatique », d'effectuer les opérations en question.
Plusieurs affaires plus récentes ont cependant suscité la controverse, dont l'affaire Bluetouff, du nom d'un journaliste ayant reproduit des données de l'ANSES, qui est allée jusqu'en cassation en 2015[4],[5].
Références
modifier- Weill Pierre-Alain. État de la législation et tendances de la jurisprudence relatives à la protection des données personnelles en droit pénal français. In: Revue internationale de droit comparé. Vol. 39 N°3. Juillet-septembre. p. 655-675. doi : 10.3406/ridc.1987.2732 url : http://www.persee.fr/web/revues/home/prescript/article/ridc_0035-3337_1987_num_39_3_2732
- La loi Godfrain : explications et illustrations , Hackers Republic, 9 juillet 2012
- AFFAIRE KITEKOA : LE WEBMASTER RELAXÉ !, Droit NTIC, 9 novembre 2002
- Affaire Bluetouff : la Cour de cassation consacre le vol de fichiers informatiques, Next Inpact, 22 mai 2015
- Félix Tréguer, « Le droit pénal de la fraude informatique, nouvel ami des censeurs ? », La Revue des droits de l'homme, Actualités Droits-Libertés, mis en ligne le 02 juin 2015, consulté le 01 juillet 2015. URL : http://revdh.revues.org/1328