Logo Éduscol
Accueil du portail  Ressources  Légamedia  Droit pénal et Internet

Droit pénal et Internet

Page mise à jour le 04 octobre 2016

Internet présentant de nombreuses spécificités, la législation et notamment le droit pénal a dû s’adapter à ce nouvel environnement.

Présentation

Il faut rappeler que, sur internet, une infraction reste une infraction. Beaucoup d’entre elles, telles que les infractions de contrefaçon, de diffamation, etc., s’appliquent à internet même si cela n’est pas précisé dans des textes de loi spécifiques.

Mais existe-t-il des comportements qui méritent un traitement particulier sur internet ? Oui, et le droit pénal s’est adapté aux pratiques d’internet.

Cependant, il existe des cas où la spécificité d’internet a eu pour conséquence la création ou l’extension du champ d’application d’infractions pénales. Il est possible de classer ces infractions en deux catégories :

  • les infractions « spécifiées », qui existaient et qui ont été adaptées à internet ;
  • les infractions « spécifiques », qui ont été créées pour s’adapter à l’environnement d’internet.

Les infractions « spécifiées »

L’usurpation d’identité numérique : l’usurpation d’identité est le fait de prendre le nom d’un tiers. Il existait un article du Code pénal réprimant l’acte d’usurper les éléments de l’état civil d’un tiers pour commettre des infractions[1]. Cet article était difficilement applicable en général puisqu’il fallait commettre une infraction avec l’identité du tiers. C’est pourquoi il a été créé en 2011 un nouvel article du Code pénal, l’article 226-4-1, qui prévoit que : « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération est puni d’un an d’emprisonnement et de 15 000 euros d’amende. » Notons que cet article vise, plus largement que l’usurpation d’identité, celle de toute donnée d’identification, donc potentiellement les pseudonymes, adresses mails, mots de passe (ce dernier cas étant également couvert par l’article 323-1 évoqué plus bas).

L’atteinte au secret des correspondances : c’est un principe ancien mais il a été précisé dans le Code pénal à l’article 226-15 qu’il s’applique aussi sur internet.

Le principe de confidentialité des correspondances électroniques est également rappelé à l’article L32-3 du Code des postes et des communications électroniques. Ce dernier précise que les opérateurs de réseaux de communications électroniques et les membres de leur personnel, ainsi que les fournisseurs de services de communication au public en ligne permettant à leurs utilisateurs d’échanger des correspondances et les membres de leur personnel sont tenus à une obligation de secret qui couvre « le contenu de la correspondance, l’identité des correspondants ainsi que, le cas échéant, l’intitulé du message et les documents joints à la correspondance ».

La fabrication de bombes : l’article 322-6-1 du Code pénal prévoit que : « Le fait de diffuser par tout moyen, sauf à destination des professionnels, des procédés permettant la fabrication d’engins de destruction […] est puni de trois ans d’emprisonnement et de 45 000 € d’amende. Les peines sont portées à cinq ans d’emprisonnement et à 75 000 euros d’amende lorsqu’il a été utilisé, pour la diffusion des procédés, un réseau de communication électronique à destination d’un public non déterminé. »

Les infractions « spécifiques »

L’obligation de retrait des contenus signalés comme illicites : en application de l’article 6 § I-3 de la loi pour la confiance dans l’économie numérique (dite LCEN), les sites qui publient du contenu mis en ligne par les utilisateurs doivent retirer « promptement » les contenus illicites qui leur sont signalés, faute de quoi leur responsabilité pénale sera engagée. En pratique, « ces dispositions ne sauraient avoir pour effet d'engager la responsabilité d'un hébergeur qui n'a pas retiré une information dénoncée comme illicite par un tiers si celle-ci ne présente pas manifestement un tel caractère ou si son retrait n'a pas été ordonné par un juge »[2]. Les formalités à accomplir pour notifier un contenu illicite sont précisées à l’article 6 § I-5 de la LCEN. Précisons que les responsables de site n’ont aucune obligation générale de surveiller activement les contenus mis en ligne (article 6 § I-7 de la LCEN).

L’absence de moyen de signalisation des infractions graves (apologie des crimes contre l’humanité ou du terrorisme, appel au terrorisme ou à la haine raciale, pédopornographie, incitation à la violence…) : selon l’article 6 § I-7 de la LCEN, les sites qui publient du contenu mis en ligne par les utilisateurs doivent « mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance ce type de données » et informer les autorités quand ces contenus leur sont signalés. Le non-respect de cette obligation est « puni d'un an d'emprisonnement et de 75 000 euros d'amende » (article 6 § VI-1 de la LCEN).

Le retrait administratif de certains contenus illégaux : l’administration peut ordonner aux responsables de sites qui publient du contenu mis en ligne par les utilisateurs de retirer des contenus d’apologie ou d’appel au terrorisme et de pédopornographie (article 6-1 de la LCEN). Le non-respect de cette obligation est « puni d'un an d'emprisonnement et de 75 000 euros d'amende » (article 6 § VI-1 de la LCEN).

Le défaut de mentions légales sur un site web : l’article 6 § VI 2 de la LCEN sanctionne d’un an d’emprisonnement et de 75 000 euros d’amende le fait de ne pas avoir respecté les obligations de mentions légales sur son site.

La notification abusive : l’article 6 § II 4 de la LCEN prévoit que : « Le fait, pour toute personne, de présenter aux personnes mentionnées au 2 [l’hébergeur (NdR)] un contenu ou une activité comme étant illicite dans le but d’en obtenir le retrait ou d’en faire cesser la diffusion, alors qu’elle sait cette information inexacte, est puni d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende. »

Le défaut de conservation des données de connexion : selon l’article 6 § II de la LCEN, les fournisseurs d’accès internet au public et les responsables de sites qui publient du contenu mis en ligne par les utilisateurs doivent conserver pendant un an les données de nature à permettre l'identification de quiconque a contribué à la création des contenus. Le détail des données à conserver figure dans le décret n° 2011-219 du 25 février 2011. Le non-respect de cette obligation est « puni d'un an d'emprisonnement et de 75 000 euros d'amende » (article 6 § VI-1 de la LCEN).

Les atteintes aux systèmes de traitements automatisés de données, c’est-à-dire les systèmes informatiques (un site internet, un ENTENT
Espace numérique de travail.
Un espace numérique de travail est un ensemble intégré de services numériques, choisis, organisés et mis à disposition de la communauté éducative constituée autour de l'établissement scolaire.
Il fournit à chaque utilisateur un point d’accès à travers les réseaux à l’ensemble des ressources et des services numériques en rapport avec son profil.
ou un réseau informatique par exemple). Ces atteintes sont sanctionnées par les articles 323-1 à 323-7 du Code pénal. Sont ainsi punis :

  • « le fait d’accéder ou de se maintenir, frauduleusement » dans un système de traitement automatisé de données (par exemple en utilisant le mot de passe d’un tiers ou en exploitant sciemment une faille de sécurité) ;
  • « le fait d’introduire frauduleusement des données » dans un système de traitement automatisé de données. Ce texte pourra, par exemple, s’appliquer dans le cadre de la défiguration (parfois appelée « défaçage ») de site. La défiguration désigne la modification non sollicitée de la présentation d’un site web, à la suite d’un piratage du site. La page du site pourra présenter un fond uni, un simple mot, comme « hacked », ou encore une image ;
  • le fait « d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données » d’un système de traitement automatisé de données. La copie frauduleuse de données (souvent improprement qualifiée de « vol » de données) sera donc sanctionnée sur ce fondement ;
  • « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés » pour commettre une infraction. Ce texte punit la création et la mise à disposition des virus et autres logiciels espions ;
  • « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ». Ce texte pourra être appliqué dans l’hypothèse d’un « déni de service ». Une attaque par déni de service est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser ;
  • les tentatives de ces infractions sont punies des mêmes peines.

 Le « happy slapping » : l’article 222-33-3 dans le Code pénal punit le fait :

  • d’enregistrer sciemment des images relatives à la commission de certaines atteintes volontaires à l’intégrité de la personne. Ce fait est constitutif d’un « acte de complicité des atteintes volontaires à l’intégrité de la personne prévues par les articles 222-1 à 222-14-1 et 222-23 à 222-31 et 222-33 et est puni des peines prévues par ces articles » ;
  • de diffuser l’enregistrement de telles images. Ce fait est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende.
  • Cette infraction a été créée pour faire face à la pratique du « happy slapping » qui consiste à filmer l’agression physique d’une personne à l’aide d’un téléphone portable, dans le but de diffuser ensuite la vidéo correspondante.

Le « revenge porn » : l’article 226-2-1 du Code pénal sanctionne le « revenge porn » qui est le fait, en l’absence d’accord de la personne pour la diffusion, de porter à la connaissance du public ou d’un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même, à l’aide de l’un des actes prévus à l’article 226-1. Les peines sont de deux ans d’emprisonnement et de 60 000 euros d’amende.

Le non respect de la loi « Informatique et libertés » : les articles 226-16 à 226-24 du Code pénal répriment un certain nombre de manquements à la loi « Informatique et libertés », la sanction étant généralement de 5 ans de prison et 300 000 euros d’amende, l’infraction pouvant dans certains cas être sanctionnée même en cas de simple négligence. Les articles R625-10 à R625-13 du Code pénal prévoient des contraventions pour le non-respect des obligations d’information et de droit de rectification des personnes concernées. Rappelons que par ailleurs la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
a le pouvoir de sanctionner (d’une amende maximale de 150 000 euros) le non-respect de la loi « Informatique et libertés », même pour les manquements non prévus par le Code pénal, et que l’action de la CNIL peut se cumuler à celle du juge.

Le défaut de sécurisation de l’accès internet : le titulaire d’un abonnement internet risque une contravention pour « négligence caractérisée » s’il n’a pas mis en place un moyen de sécuriser son accès internet, ou qu’après avoir reçu deux avertissements de l’HadopiHadopi
Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet.
La mise en place de cette institution découle d’une loi française votée en 2009, inspirée du droit européen, concernant la protection de la création et des droits d’auteur et visant à lutter contre le téléchargement illégal d’œuvres protégées.
suite à l’utilisation de son accès internet pour des actes de contrefaçon, de nouveaux actes de contrefaçon ont été accomplis dans l’année suivant la seconde recommandation (article L335-7-1 du Code de la propriété intellectuelle).

La consultation de sites terroristes et l’apologie d’actes de terrorisme : l’article 421-2-5-1 condamne le fait d'extraire, de reproduire et de transmettre intentionnellement des données faisant l'apologie publique d'actes de terrorisme et l’article 421-2-5-2 incrimine le fait de consulter habituellement un service de communication au public en ligne mettant à disposition des messages, images ou représentations soit provoquant directement à la commission d'actes de terrorisme, soit faisant l'apologie de ces actes. Les peines sont de deux ans d'emprisonnement et de 30 000 euros d'amende. La consultation de tels sites ne constitue pas une infraction dans quatre cas :

  • la consultation est faite de bonne foi ;
  • elle résulte de l'exercice normal d'une profession ayant pour objet d'informer le public ;
  • elle intervient dans le cadre de recherches scientifiques ;
  • elle est réalisée afin de servir de preuve en justice.

Illustration

Un étudiant âgé de vingt ans avait créé une copie rudimentaire de la page d’enregistrement MSN afin de récupérer les données personnelles des utilisateurs bernés, pour accéder à leur boîte à courrier électronique. Les victimes croyant se trouver sur le vrai site de Microsoft étaient invitées à saisir leur identifiant et mot de passe. Le tribunal correctionnel de Paris a condamné l’auteur de ce dispositif dans un jugement du 21 septembre 2005. Les sanctions prononcées restent toutefois faibles (500 euros d’amende avec sursis et 700 euros de dommages-intérêts à verser à Microsoft). Les magistrats ont, en effet, pris en compte la jeunesse du prévenu et le fait qu’aucune donnée personnelle n’avait été subtilisée[3].

Le tribunal correctionnel de Versailles a condamné un lycéen de dix-neuf ans à un an de prison, dont six mois fermes, et à verser 5 000 euros de dommages et intérêts, pour avoir filmé avec son téléphone mobile l’agression de son enseignante par un autre lycéen et avoir fait circuler les scènes filmées[4]. Le tribunal a considéré que le lycéen « n’a pas eu le moindre geste pour porter secours à la victime et tenter de faire cesser l’agression alors qu’il était en mesure de le faire puisqu’il a pris la peine de se saisir de son portable, en le mettant en marche, en filmant et en se rapprochant de la scène de violence ». La Cour d’appel de Versailles a confirmé ce jugement le 10 novembre 2008, en modifiant toutefois la peine en 18 mois de prison avec sursis et en y ajoutant 1000 euros de frais supplémentaires. Les juges ne se sont pas fondés sur l’article 222-33-3 du Code pénal, adopté dans le cadre de la loi relative à la prévention de la délinquance du 5 mars 2007, pour sanctionner le « happy slapping ». Ce texte n’était pas applicable à l’affaire, les faits étant intervenus en avril 2006. Cette condamnation est désormais plus facile à prononcer.

S’agissant de l’accès frauduleux à un système de traitement automatisé de données, la Cour de cassation a estimé que l’infraction prévue à l’article 323-1 du Code pénal est caractérisée lorsqu’une personne pénètre dans un système de traitement automatisé de données, sachant qu’elle n’y est pas autorisée.

Un étudiant a été poursuivi pour avoir modifié ses notes et celles de ses proches sur la base de données de son université. La Cour d’appel de Paris l’a condamné à 6 mois d’emprisonnement avec sursis et à 3000 euros d’amende pour accès frauduleux à un système automatisé de données, faux et usage.

La Cour de cassation confirme l’arrêt rendu. Elle a repris l’argumentation de la Cour d’appel et a considéré qu’il n’est pas nécessaire de forcer l’accès au système pour que cet accès soit considéré comme frauduleux. Le simple accès à un système de traitement automatisé de données en ayant conscience de ne pas y être autorisé constitue une infraction.

Citations

Textes réglementaires

« Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération est puni d’un an d’emprisonnement et de 15 000 euros d’amende. »

« Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne. » (Article 226-4-1 du Code pénal)

« Le fait de diffuser par tout moyen, sauf à destination des professionnels, des procédés permettant la fabrication d’engins de destruction […] est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Les peines sont portées à trois ans d’emprisonnement et à 45 000 euros d’amende lorsqu’il a été utilisé, pour la diffusion des procédés, un réseau de télécommunications à destination d’un public non déterminé. » (Article 322-6-1 du Code pénal)

En savoir plus

LIENS INTERNES

JURISPRUDENCES

Jugement du tribunal de grande instance de Paris du 21 septembre 2005 : un étudiant a été condamné pour avoir créé une fausse page MSN.

Jugement du tribunal de grande instance de Versailles du 27 juin 2007 et arrêt de la Cour d’appel de Versailles du 10 novembre 2008 : un lycéen a été condamné pour avoir filmé l’agression de son professeur et l’avoir diffusée.

Arrêt de la Cour de cassation du 20 mai 2015 : un internaute a été condamné pour maintien frauduleux dans un système de traitement automatisé de données et vol de fichiers informatiques.