Légiférer sur la sécurité informatique : la quadrature du cercle ?

/ /
Publié le 8 décembre 2003
Par .

La dépendance croissante des activités de toute nature vis-à-vis des systèmes d’information implique une vulnérabilité accrue de ces systèmes aux atteintes à la sécurité informatique, et corrélativement, la nécessité de développer une culture de la sécurité informatique. L’action législative fait partie de l’arsenal des mesures destinées à améliorer la sécurité informatique.L’utilisateur de systèmes informatiques, le…

La dépendance croissante des activités de toute nature vis-à-vis des systèmes d’information implique une vulnérabilité accrue de ces systèmes aux atteintes à la sécurité informatique, et corrélativement, la nécessité de développer une culture de la sécurité informatique. L’action législative fait partie de l’arsenal des mesures destinées à améliorer la sécurité informatique.

L’utilisateur de systèmes informatiques, le pirate et le fournisseur de produits informatiques sont trois acteurs clés de ce débat sur la sécurité informatique. La présente étude a pour objectifs de comparer et de mettre en perspective leur statut respectif du point de vue de la politique législative en matière de sécurité informatique.

Nous verrons dans une première partie que la législation française exige un bon niveau de sécurité des données personnelles traitées, adapté à la sensibilité des données en cause. Le manquement à l’obligation de sécuriser les données personnelles traitées est lourdement sanctionné pénalement. Ce tout répressif des textes est contredit en pratique par un contentieux quasi-inexistant, l’angle préventif étant absent des textes en vigueur et en préparation.

Du côté de la répression des actes de piratage informatique, nous verrons dans une deuxième partie que, en contradiction avec les objectifs poursuivis par la législation sur les données personnelles, la protection du système informatique par un dispositif de sécurité n’est pas une condition de l’incrimination d’accès frauduleux dans un système informatique. Démontrer qu’un système est mal sécurisé constitue le délit pénal d’accès frauduleux.

Parallèlement, plusieurs textes en préparation, dans l’objectif de renforcer l’arsenal existant contre la fraude informatique, prévoient l’incrimination autonome de la fourniture de moyens. Ces textes pourraient avoir pour conséquence d’incriminer dans le même temps des actes destinés à l’amélioration de la sécurité des systèmes d’information.

Nous verrons enfin dans une troisième partie que la mise en cause des éditeurs de logiciels en raison des défauts des programmes informatiques, défauts dont la malveillance informatique tire parti, n’est pas encore à l’ordre du jour. Cette dérogation de fait au droit commun de la responsabilité commence à être débattue, mais n’est pas encore remise en cause par le législateur.

Documents liés :