Sécurité et patrimoines informatiques

On entend par patrimoine informatique tous les biens matériels informatiques d'une part, mais également toutes les oeuvres multimédias, audiovisuelles, cinématographiques créees grâce à ces matériels, les logiciels, les bases de données, les jeux vidéos... d'autre part.

A. Sécurité des oeuvres immatérielles

Toute oeuvre de l'esprit, c'est à dire toute forme d'expression originale est protégée par les droits d'auteur. L'article L.111-1 du code de la propriété intellectuelle prévoit en effet que "l'auteur d'une oeuvre de l'esprit jouit sur cette oeuvre, du seul fait de sa création, d'un droit de propriété incorporelle exclusif et opposable à tous. Ce droit comporte des attributs d'ordre intellectuel et moral ainsi que des attributs d'ordre patrimonial." Le critère de protection est l'originalité. L'originalité s'entend comme le reflet de la personnalité du créateur, il faut l'empreinte personnelle de l'auteur.

Toute atteinte à ces droits d'auteur est répréhensible.
Les téléchargements contraires aux droits d'auteurs sont passibles de 3 ans d'emprisonnement et de 300 000 euros d'amende au titre de la contrefaçon depuis la loi Perben II du 9 mars 2004 qui a augmenté ces peines. Celles-ci passent d'ailleurs à 5 ans de prison et 500.000 euros d'amende lorsque le délit est commis en bande organisée. Les maisons de disques et producteurs de films se basent en effet sur l'article L.335-2 du code de propriété intellectuelle pour agir contre les internautes qui téléchargent des oeuvres. Cet article définit la contrefaçon comme "toute édition d'écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs". Sont également punis des mêmes peines le débit, l'exportation et l'importation des ouvrages contrefaits.

"Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d'une oeuvre de l'esprit en violation des droits de l'auteur, tels qu'ils sont définis et réglementés par la loi." ( article L.335-3).

L'articles L.335-4 prévoit quant à lui qu'"est punie de trois ans d'emprisonnement et de 300.000 euros d'amende toute fixation, reproduction, communication ou mise à disposition du public, à titre onéreux ou gratuit, ou toute télédiffusion d'une prestation, d'un phonogramme, d'un vidéogramme ou d'un programme, réalisée sans l'autorisation, lorsqu'elle est exigée, de l'artiste-interprète, du producteur de phonogrammes ou de vidéogrammes ou de l'entreprise de communication audiovisuelle.
Est punie des mêmes peines toute importation ou exportation de phonogrammes ou de vidéogrammes réalisée sans l'autorisation du producteur ou de l'artiste-interprète, lorsqu'elle est exigée."

Les personnes morales peuvent être déclarées responsables pénalement de ces infractions en vertu de l'article L 335-8 du code de la propriété intellectuelle.

Les bases de données sont également protégées par les droits d'auteur et par la loi du 1er juillet 1998. L'architecture de la base et les outils d'interrogation et de recherche sont protégés au titre d'un droit d'auteur spécial et du droit commun du droit d'auteur. De plus, le producteur d'une base de données est protégé contre toute extraction, réutilisation de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu de la base. ( articles L. 341-1 du code de la propriété intellectuelle) Seul le producteur peut bénéficier de cette protection.
"On entend par base de données un recueil d'oeuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen." ( article L.112-3 du code de la propriété intellectuelle).
Il peut y avoir contrefaçon d'une base de donnée qui est punie en vertu de l'article L 335-3.
Mais également toute atteinte aux droits du producteur d'une base de données est puni au titre de l'article L. 343-1 de trois ans d'emprisonnement et de 300.000 euros d'amende. Ces peines sont portées à cinq ans d'emprisonnement et 500.000 euros d'amende lorsque le délit est commis en bande organisée. Est considéré comme producteur d'une base de données la personne qui a réalisé un investissement substantiel dans cette base, c'est à dire qu'elle a effectué les investissements nécessaires à la constitution, à la vérification et la présentation de la base de données. La protection bénéficie aux personnes physiques, comme aux personnes morales dès lors qu'elles sont ressortissantes d'un Etat de la Communauté européenne.

La loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel a d'ailleurs autorisé les sociétés de perception et de répartition de droits d'auteur à former, sous l'oeil vigilent de la CNIL, des fichiers ou listes noires des contrevenants qui téléchargeraient des oeuvres sans autorisation
"Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :
1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;
3° [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]
4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits."

De plus, la Commission nationale de l'informatique et des libertés (CNIL) a récemment autorisé, en application de l'article 9-4° de la loi de 1978 modifiée en août 2004, le syndicat des éditeurs de logiciels de loisirs (SELL) à mettre en oeuvre un traitement automatisé de détection des infractions au code de la propriété intellectuelle. Le SELL avait en effet présenté un dispositif à la CNIL visant à adresser des messages de prévention aux internautes téléchargeant et mettant à disposition des logiciels copiés illégalement sur les réseaux "peer to peer", et à relever, dans certains cas, l'adresse IP de ces internautes. La CNIL, après étude, a donc autorisé la mise en place de ce dispositif en mars 2005, estimant que l'équilibre entre la protection des droits des personnes dont les données sont traitées et la protection des droits d'auteurs était préservé.
Les messages de prévention indiqueront que ces logiciels sont protégés par des droits d'auteur et que la violation de l'un des droits de l'auteur d'un logiciel, comme la mise à disposition sur internet sans autorisation, constitue un acte de contrefaçon. Quant à la collecte des adresses IP, elle ne sera effectuée que pour les infractions graves et dans le seul but de permettre la mise à disposition de l'autorité judiciaire d'informations et ne pourront acquérir un caractère nominatif que dans le cadre d'une procédure judiciaire.

Les mesures techniques de protection et les Systèmes numériques de gestion des droits (Digital Rights Management Systems) constituent un ensemble de protections, il s'agit de technologies permettant de protéger les droits d'auteur en chiffrant les contenus et en n'autorisant qu'un accès limité et contrôlé. L'utilisation de la cryptographie permet de chiffrer les données à des fins de non-divulgation et de non-reproduction. Ces nouvelles protections visent à assurer la protection des contenus numériques pour de nouvelles formes de distribution et d'exploitation. En effet, les DRMS permettent la traçabilité des oeuvres lorsqu'elles sont diffusées sur support numérique et plus particulièrement lors de leur mise en ligne.
Les fonctions principales remplies par les DRMS consistent en premier lieu, dans la gestion numérique des droits, par l'identification des contenus auxquels les droits sont attachés, la description de ces droits, et le chiffrement des contenus.
En second lieu, la mise à disposition des droits par la distribution, la reconnaissance des contenus la requête des droits. Cette requête des droits suppose l'identification et l'authentification de l'utilisateur ainsi que l'autorisation d'exploiter.
En dernier lieu, l'exploitation des droits par le contrôle de l'accès aux oeuvres et le contrôle de la copie.

B. Sécurité des systèmes informatiques

Le code pénal protège les systèmes de traitement automatisé de données, en particulier contre la fraude informatique.
L'article 323-1 incrimine l'accès frauduleux et le maintien frauduleux dans un système informatique malgré l'accès licite. Cet acte est puni de deux ans et de 30.000 euros d'amende. Les peines sont portées à trois ans et 45.000 euros d'amende si l'acte frauduleux a eu pour conséquence d'altérer le fonctionnement du système ou de modifier ou supprimer les données contenues dans le système. Cet article vise donc à la fois tous les modes de pénétration irréguliers d'un système de traitement de données, ainsi que le maintien irrégulier dans un tel système de la part de celui qui y serait entré par inadvertance, ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement. ( Cour d'appel Paris 5 avril 1994).

Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données, notamment par le spamming, c'est à dire l'envoi massif de messages non sollicités et le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient sont punis de cinq ans d'emprisonnement et de 75.000 euros d'amende" en vertu des articles 321-2 et 321-3 du code pénal.

De plus, découle de la loi sur la confiance en l'économie numérique du 21 juin 2004 l'article 321-3-1 qui incrimine "le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3". Peuvent donc être punis sur la base de ce texte toutes les personnes qui créent des virus ou des moyens de contourner des protections techniques, les personnes qui mettent à disposition de faux numéros de cartes bancaires sur Internet...

Récemment, le sénateur socialiste Michel Dreyfus-Schmidt a déposé une proposition de loi qui vise à créer une nouvelle infraction pénale : l'usurpation numérique. Son objectif est de punir toute personne qui usurpe l'identité d'autrui sur Internet. En effet, on voit se développer le phishing qui consiste à se faire passer pour une entité en ligne, une entreprise par exemple, en usurpant son identité et ainsi amener les utilisateurs à divulguer leurs données personnelles et bancaires. Le phishing recourt à des emails et sites webs factices où les internautes n'ont plus qu'à entrer leur mot de passe, leur code bancaire, leur numéro de sécurité sociale...
Il existe aussi le pharming qui permet par le biais de malware et spyware de détourner les internautes des véritables sites vers les sites frauduleux. La nouvelle infraction permettrait de punir d'un an de prison et de 15.000 euros d'amendes "le fait d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique." On attend donc la réaction des parlementaires.

Pour plus d'efficacité dans la répression, il existe "des cybergendarmes" et notamment l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication et la brigade d'enquête sur les fraudes aux technologies de l'information.
Au service technique de recherche judiciaire et de documentation (STRJD) du fort de Rosny-sous-Bois, douze gendarmes forment la «cellule Internet», ils se relayent pour surveiller le réseau en permanence afin de traquer les cybercriminels Ils ont à leur disposition différents logiciels, le principal effectue des recherches par mots clés car les délinquants utilisent souvent des termes spécifiques comme le terme carding utilisés par les escrocs à la carte bleue.

La Commission nationale de l'informatique et des libertés assure également un contrôle. Elle vérifie que la loi est respectée. Si elle constate des infractions, elle peut les dénoncer au parquet. Elle a des pouvoirs de vérification et d'investigation pour instruire les plaintes.

De plus, une entraide judiciaire est prévue au niveau international pour tenter de couvrir l'ensemble du réseau Internet.