Maître de conférences à l'Université des Sciences Sociales de Toulouse

Chercheur au Centre de Droit des Affaires

    La rencontre du droit pénal et de l'informatique ne doit pas surprendre. L'ordinateur est un outil fragile et difficilement contrôlable qui peut être assez aisément manipulé. La fragilité de l'outil informatique conduit le législateur à tenter d'assurer la plus grande sécurité, afin d'éviter les fraudes qui prennent des formes diverses : piratage informatique, création de compte bancaire ou d'assuré social purement fictif, contrefaçon, destruction de système par l'introduction de "virus", intrusion dans la vie privée ou atteintes aux mœurs … Il n'est donc pas surprenant que le droit pénal trouve application dans ce domaine pour sanctionner les différents agissements frauduleux portant notamment atteinte aux droits des personnes.

    La fraude informatique, c'est-à-dire l'ensemble des agissements répréhensibles relatifs aux systèmes de traitement automatique d'informations, est un concept proteiforme. Cependant, il apparaît que l'on peut opposer les biens informatiques qui sont l'objet de fraudes (sabotage, piratage, destruction de données …) et les biens informatiques qui sont le moyen de la fraude. L'ordinateur sert alors de vecteur à la réalisation de l'infraction et permet de réaliser des atteintes aux droits des personnes.

    L'utilisation de l'ordinateur peut donner lieu à des agissements malhonnêtes, dont il importe de savoir s'ils peuvent recevoir une qualification pénale. Il serait vain de faire l'inventaire de toutes les dispositions pénales applicables. En effet, la plupart des comportements incriminés par le Code pénal peuvent être commis par le biais de l'informatique : abus de confiance, escroquerie, faux, détournement, contrefaçon, atteintes à la paix publique … Cependant, des textes spécifiques intégrés aujourd'hui au Code pénal, les articles 226-16 et suivants, ont été créés pour sanctionner des comportements particuliers relatifs "aux atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques".

    L'application des dispositions pénales à ces fraudes informatiques se heurte à une difficulté principale tenant à la preuve. En effet, ces infractions sont très difficiles à découvrir et souvent la connaissance de ces agissements illicites relève du hasard.

    L'informatique peut donc être un moyen de fraude aux effets redoutables s'agissant des personnes. Par le biais du traitement informatique de données, de leur sélection, par le jeu de l'interconnexion de fichiers, de véritables agressions aux droits des personnes peuvent être commises et sanctionnées par le droit pénal. Nous constaterons que ces agressions aux droits des personnes peuvent bien sûr exister en dehors de l'informatique - plus particulièrement en ce qui concerne les infractions contre les mœurs, cependant, l'outil informatique facilite largement leur commission et propage leurs effets.

    La loi "Informatique et Libertés" en date du 6 janvier 1978, fut ainsi adoptée pour punir ces comportements délictueux et organiser un contrôle par la Commission Nationale de l'Informatique et des Libertés. Cette loi, aujourd'hui intégrée au Code pénal (articles 226-16 et suivants), permet de sanctionner les atteintes aux droits des personnes (I). Mais au-delà de ces dispositions spécifiques, il faut souligner qu'il est nécessaire de recourir aux textes du droit pénal classique - par opposition au droit pénal de l'informatique - pour réprimer d'autres comportements frauduleux qui ont pour support l'ordinateur et dont les manifestations contemporaines les plus marquantes sont les atteintes aux mœurs (II).

    Ces atteintes aux droits des personnes peuvent être divisées en deux catégories, au regard des dispositions des articles 226-16 et suivants du Code pénal. Ces textes conduisent à distinguer d'une part, les enregistrements d'informations (A), d'autre part, les divulgations d'informations (B).

    L'enregistrement d'informations peut principalement donner lieu à la commission de deux infractions : en premier lieu, le délit de création de fichier clandestin, en second lieu, le délit d'enregistrement ou de conservation illicite d'informations nominatives.

1. La création de fichiers clandestins

    Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d'informations nominatives, sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi, est sanctionné pénalement par des peines de trois ans d'emprisonnement et 300000 Francs d'amende. Les agissements qui sont visés par cette disposition, sont relatifs à la création de fichiers clandestins. Ces fichiers sont clandestins lorsqu'ils sont réalisés sans information ou déclaration préalable auprès de la CNIL, comme l'impose la loi.

2. L'enregistrement ou la conservation illicite d'informations nominatives

    Trois articles du Code pénal sanctionnent ces agissements frauduleux (art. 226-18 à 20). Dans les trois hypothèses, le législateur a voulu sanctionner le fait d'obtenir frauduleusement des informations ou de les conserver frauduleusement. Dans les deux cas, la notion de fraude ets déterminante. Ces infractions recouvrent des comportements multiples, par exemple :

• le fait d'obtenir des informations de manière déloyale pour les collecter, par exemple par le biais de questionnaires téléphoniques apparemment anodins, ou de prétendus sondages …
• le fait de procéder à une collecte interdite d'informations, eu égard à la nature de celles-ci. L'infraction sera constituée lorsque, en l'absence d'accord express de l'intéressé, des informations auront été obtenues, faisant apparaître les origines raciales, les opinions politiques ou religieuses, les mœurs d'une personne ou des infractions qu'elle aurait pu commettre ou dont elle aurait connaissance.
• le fait de conserver en mémoire des informations nominatives, au-delà de la durée prévue dans la déclaration initiale à la CNIL.

    Deux délits sont incriminés par le Code pénal en ce qui concerne cette divulgation : d'une part, le manquement à la sécurité des personnes, d'autre part, la divulgation illicite d'informations nominatives.

1. Le manquement à la sécurité

    Le législateur sanctionne dans l'article 226-17 du Code pénal, le fait de ne pas prendre toutes les mesures utiles pour préserver la sécurité des informations nominatives enregistrées, pour empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tires non autorisés. Cela ne signifie pas qu'il soit imposé une obligation absolue de sécurité, la loi n'impose pas une obligation de résultat, mais le détenteur de ces informations doit accomplir toutes les diligences utiles à la préservation de ces informations.

2. La divulgation interdite d'informations nominatives

    Cette disposition (article 226-22 du Code pénal) ressemble étrangement aux textes du Code pénal sanctionnant la violation du secret professionnel. Trois conditions doivent être réunies pour que l'infraction soit constituée :

• Les informations divulguées doivent être de nature à porter atteinte à la considération de la personne ou à l'intimité de sa vie privée. Nous pouvons citer à titre d'exemple, la communication de numéros de téléphone ou de renseignements privés. Il appartiendra au juge d'apprécier la portée de l'information divulguée.
• La divulgation doit avoir été faite sans l'autorisation de l'intéressé, ce qui sera généralement le cas, dans la mesure où cela porte atteinte à sa vie privée.
• La divulgation doit être faite à des personnes non qualifiées pour la recevoir. Ne sont pas qualifiées les personnes qui n'ont pas été visées dans la déclaration préalable faite à la CNIL qui déterminait qui pouvaient être les destinataires des informations enregistrées.

    Nous avons envisagé les infractions principales constitutives d'atteintes aux droits des personnes au sens du droit pénal de l'informatique. Mais, un domaine qui connaît un essor inquiétant donne lieu à la commission de multiples infractions dont la sanction est particulièrement difficile à mettre en œuvre, celui des atteintes aux mœurs.

    Les atteintes aux mœurs réalisées par le biais de l'informatique ou de la télématique se développent considérablement, la presse s'en fait presque quotidiennement l'écho. Après quelques incertitudes, le droit pénal parvient à encadrer et à sanctionner les infractions commises par la voie du Minitel (A), mais en ce qui concerne les agissements illicites réalisés sur Internet, la législation pénale connaît d'importantes difficultés d'application (B).

    Concernant les atteintes aux mœurs, ce sont essentiellement les messageries dites "roses" qui ont donné lieu à des poursuites pénales et à des sanctions. La question des messageries roses suscite une double interrogation en matière pénale : en premier lieu, il s'agit de savoir dans quelle mesure une infraction est commise, en second lieu, il faut déterminer qui est le responsable des agissements délictueux.

1. Pour être constituée, l'infraction implique que soit attirée l'attention sur une occasion de débauche de manière publique (art. 227-24 du Code pénal)

    La question est donc de savoir si, par l'utilisation du Minitel, cette condition de publicité est remplie. Nombreuses ont été les personnes poursuivies qui ont soutenu que la consultation de ces messageries relevait du domaine de la correspondance privée, échappant ainsi aux prévisions du droit pénal.

    La correspondance privée étant couverte par le secret de la correspondance, elle ne peut donner lieu à la commission d'agissements pénalement sanctionnés. Cette argumentation a été rejetée par la jurisprudence qui a distingué deux phases au sein de la communication télématique. La première phase consiste à effectuer le branchement de l'usager sur la messagerie désirée. Cette phase est accessible à toute personne qui se connecte sur la messagerie. Il ne s'agit donc en aucun cas de communication privée. La seconde phase débute au moment où les correspondants entrent en relation. Tout ce qui s'affiche sur l'écran est alors inaccessible aux autres usagers. Une correspondance télématique privée s'établit, échappant alors à la sanction pénale. Donc, seule la partie initiale de la communication est susceptible de tomber sous le coup de la sanction pénale.

2. La recherche d'un responsable pénal

    Cette question soulève bien des difficultés. Qui est l'auteur de l'infraction ? des complicités peuvent-elles être retenues ?

    Après de multiples hésitations, la jurisprudence la plus récente de la Chambre Criminelle de la Cour de Cassation considère que l'auteur principal de l'infraction ne peut être que le responsable de l'exploitation de la messagerie rose, l'usager du Minitel pouvant, selon les cas, être poursuivi en tant que coauteur, mais le plus souvent comme complice. Cette jurisprudence est cependant susceptible d'évoluer face à la résistance des juridictions du fond, qui considèrent plutôt que le responsable est l'utilisateur qui a effectué la connexion télématique, le serveur n'étant que le complice par aide ou assistance.

    En facilitant les communications et la diffusion d'informations à l'échelle planétaire, Internet favorise la commission d'infractions et apparaît comme le vecteur d'une nouvelle forme de délinquance contre laquelle l'application de notre droit pénal bute pour identifier les auteurs, eu égard à cette dimension internationale. Les agissements délictueux sont innombrables : diffusion d'images pornographiques (la brigade norvégienne de lutte contre la criminalité informatique a identifié 6000 sites pornographiques), messages racistes, reproduction d'une œuvre sans l'accord de son auteur, diffamations, injures, atteintes à la vie privée …

    La difficulté tient à ce qu'Internet nous confronte à l'hétérogénéité des systèmes juridiques à l'échelon de la planète, ce qui est répréhensible en France ne l'est pas nécessairement ailleurs. Cela entrave la coopération judiciaire internationale, sans laquelle une répression efficace semble impossible.

    Une autre difficulté majeure tient à la preuve des infractions commises. La preuve de la connexion sur un site est extrêmement difficile à établir. Il est intéressant de constater que les autorités policières françaises ont mis au point des formations spécifiques des personnels de la police face à cette nouvelle forme de délinquance. Un des moyens de preuve des infractions commises consistant à saisir le disque dur des ordinateurs et à l'analyser, des compétences techniques de haut niveau sont désormais indispensables.

    Face à cette nouvelle délinquance et aux difficultés qu'elle engendre, le droit pénal offre cependant des recours, à condition de pouvoir déterminer le responsable. En effet, les dispositions relatives à la protection de l'individu et aux contrôles des données nominatives doivent également être respectées et l'on retrouve ici les règles que nous évoquions précédemment.

    En conclusion, il faut souligner que la CNIL a remis le 4 juillet 1997 au Président de la République un rapport dans lequel elle fait le point sur la protection des données personnelles et insiste sur le nécessité d'assurer le meilleur encadrement des traces informatiques. Son objectif étant de mettre en place une politique efficace de sensibilisation au respect des droits de la personne, tels que définis par la loi Informatique et Libertés.