Blog ENI : Toute la veille numérique !
🎁 Jusqu'au 25/12 : 1 commande de contenus en ligne
= 1 chance de gagner un cadeau*. Cliquez ici
🎁 Jusqu'au 31/12, recevez notre
offre d'abonnement à la Bibliothèque Numérique. Cliquez ici
  1. Livres et vidéos
  2. Guide juridique de la cybersécurité
  3. Qualification juridique de l'incident cyber
Extrait - Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir
Extraits du livre
Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir Revenir à la page d'achat du livre

Qualification juridique de l'incident cyber

Introduction

La transition digitale dans laquelle s’inscrit la société dans son ensemble emporte avec elle un nouveau type de comportements frauduleux souvent dénommé « cybercriminalité » ou « cyberdélinquance ». Les infractions commises sur Internet et les réseaux informatiques sont en effet devenus monnaies courantes et ont un impact considérable tant sur le secteur privé que sur le secteur public. Les qualifications pénales des infractions cyber constituent un enjeu juridique crucial. Dans ce contexte, il est important de comprendre les différentes formes de cyberdélinquance ainsi que les peines encourues pour ces infractions, afin de prévenir et de lutter efficacement contre ce fléau mais également d’identifier les autres qualifications applicables aux incidents cyber.

Qualifications pénales mobilisables

1. Les atteintes aux systèmes de traitement automatisé de données

Le Code pénal dédie un chapitre aux atteintes aux systèmes de traitement automatisé de données (STAD) portant ainsi les articles 323-1 à 323-8 qui répriment chacun une forme d’atteinte, qu’il s’agisse de l’accès ou du maintien frauduleux dans un système de traitement automatisé de données (C. pén.,art. 323-1, al. 1er) avec une circonstance aggravante en cas de suppression ou de modification des données contenues dans le système ou l’altération du fonctionnement de celui-ci (art. 323-1, al. 2) ; de l’action d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données (art. 323-2) ; de l’introduction frauduleuse de données dans un système de traitement automatisé de données, leur extraction, détention, reproduction ou transmission et la suppression ou la modification de données que contient le système (art. 323-3) ; de la participation à un groupement en vue de commettre lesdites infractions (art. 323-4), ou enfin, de l’importation, de la détention, de l’offre, de la cession, de la mise à disposition d’équipement, instrument ou programme informatique conçus ou adaptés pour commettre des infractions aux systèmes de traitement automatisé de données (art. 323-3-1).

Ces infractions revêtent une condition préalable : l’existence d’un système de traitement automatisé de données. Un STAD est un ensemble composé d’unités de traitement, de mémoire de logiciels, de données, d’organes d’entrées-sorties et de liaisons, devant être protégé par des dispositifs de sécurité.

images/P201DP01.png

a. L’accès ou le maintien dans un système de traitement automatisé de données

L’article 323-1 du Code pénal punit de trois ans d’emprisonnement et de 100 000 euros d’amende « le fait accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système...

Autres qualifications

En plus des qualifications pénales, les incidents cyber peuvent être caractérisés de différentes manières. Ces qualifications aident à déterminer quand un incident de cybersécurité se transforme en violation de données et permettent de comprendre quels types d’événements cyber peuvent avoir un impact juridique. 

1. La qualification de l’incident par le RGPD

a. La violation de données à caractère personnel

Le RGPD définit la violation de données à caractère personnel.

Article 4 du RGPD : 

« une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »

Ainsi, la violation de données est caractérisée par tout incident de sécurité d’origine malveillante ou non portant atteinte à l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Si l’incident de sécurité rencontré est caractérisé par ces éléments, alors le responsable de traitement doit répondre des obligations imposées par les articles 33 et 34 du RGPD.

images/P201DP08.png

Dans son avis 03/2014 sur la notification des violations de données à caractère personnel le GT29, groupe de travail européen indépendant qui traite des questions relatives à la protection de la vie privée et aux données à caractère personnel, examine les violations selon ces trois critères de sécurité (1) :

  • La violation de confidentialité : la divulgation ou l’accès non autorisé de données à caractère personnel.

  • La violation de l’intégrité : l’altération de données à caractère personnel.

  • La violation de disponibilité : la destruction ou la perte, accidentelles ou illicites, de données à...

Références

(1) G29 WP213, 25 mars 2014, Avis 03/2014 sur la notification des violations de données à caractère personnel, p. 5 - cet avis portait sur l’obligation de notification incombant aux fournisseurs de communications électroniques au titre de la directive 2002/58/CE. Le RGPD a étendu cette obligation à tout responsable de traitement. Le G29 tient compte de son avis 03/2014 au sein de ses lignes directrices sur la notification de de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 - WP250rev.01 Adoptées le 3 octobre 2017

(2) CNIL, « La violation de données personnelles », juin 2018. Disponible sur : https://www.cnil.fr/fr/les-violations-de-donnees-personnelles

(3) Lignes directrices 01/2021 sur les exemples de notification de violation de données (en anglais). Disponible sur : edpb.europa.eu

(4) Délibération SAN-2021-020 du 28 décembre 2021