-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- I. Généralités
- II. Bien juridiquement protégé
- III. Éléments constitutifs de base
- IV. Élément constitutif supplémentaire facultatif
- V. Comparaison avec le droit suisse
- Bibliographie
- Travaux législatifs
I. Généralités
1 Au cours des vingt dernières années, la société dans son ensemble a effectué une transition vers le monde numérique. Une grande partie du commerce se déroule en ligne, les transactions financières se font via e-banking, les autorités, les entreprises et les particuliers stockent de grandes quantités d’informations dans des ordinateurs personnels, sur des serveurs ou même dans des clouds. Malgré l’ampleur des changements déjà accomplis, cette évolution semble loin d’être terminée. Il est en effet très probable que la société continue à se digitaliser encore davantage dans les décennies à venir.
2 Les documents numériques remplacent peu à peu les documents papier. Suivant cette même tendance, les documents qui font foi sont de plus en plus ceux au format électronique.
3 Au vu de l’importance croissance des données informatiques dans le monde numérique, il se justifiait de les protéger contre des actes malveillants. Alors que les art. 2 et 3 CCC protègent la confidentialité des données, l’art. 4 CCC a pour but d’assurer la protection de l’intégrité et la disponibilité des données.
II. Bien juridiquement protégé
4 L’art. 4 CCC vise à assurer aux données et programmes informatiques une protection analogue à celle dont bénéficient les biens corporels à l'encontre des dommages occasionnés intentionnellement. Les intérêts juridiques protégés par cette disposition sont, d’une part, l'intégrité des données et des programmes informatiques et, d’autre part, le bon fonctionnement ou le bon usage des données et des programmes informatiques
III. Éléments constitutifs de base
A. Des données informatiques
5 Aux termes de l'art. 1 let. b CCC, « l'expression "données informatiques" désigne toute représentation de faits, d'informations ou de concepts sous une forme qui se prête à un traitement informatique, y compris un programme de nature à faire en sorte qu'un système informatique exécute une fonction ». La notion de données informatiques est donc très large puisqu’elle englobe notamment toutes les lettres, symboles ou codes de programmation qui peuvent être introduits, traités et stockés par un système informatique.
6 Pour davantage de détails au sujet de cette notion, il est renvoyé à ce qui a été écrit à l’art. 1 CCC ci-dessus.
B. Un comportement punissable
7 Pour qu’un système informatique puisse fonctionner correctement, les données qu’il traite doivent être disponibles et intègres. Afin de garantir ces deux aspects, l’art. 4 CCC énumère cinq comportements punissables. La répression de la suppression et de l’effacement de données vise à protéger la disponibilité des données. La criminalisation de l’endommagement, de la détérioration et de l’altération a quant à elle pour but d’assurer la protection de l’intégrité des données. Cette liste de comportements est exhaustive. Elle couvre néanmoins l’ensemble des comportements nuisibles possibles.
1. La suppression et l’effacement de données
8 Informatiquement, les données se traduisent en langage binaire par une succession de « 0 » et de « 1 ». C’est sous cette forme que les données sont traitées et stockées. Lorsque l’utilisateur enregistre des données, le système informatique sauvegarde la série de « 0 » et de « 1 » correspondant à ces données à un espace encore vide du support d’enregistrement (p. ex. disque dur, DVD, clé USB, …). Afin de retrouver ces données au moment où l’utilisateur en aura à nouveau besoin, le système informatique dispose d’une sorte de plan qui lui permet de savoir où se trouvent quelles données sur le support
9 La suppression de données consiste à détruire le moyen de retrouver l’emplacement des données. Les données existent encore, mais l’utilisateur ne peut plus déterminer leur emplacement sur le support et ne peut donc plus y avoir accès. Le système informatique considère que l’espace sur le support est libre et enregistre par conséquent les nouvelles données sur les données supprimées. Le seul moyen pour récupérer les données supprimées est d’utiliser un programme de récupération de données le plus vite possible. Ce programme lit l’intégralité du support et reconstitue un plan du support d’enregistrement pour localiser les données. Cela permet de récupérer les données avant que d’autres ne soient enregistrées par-dessus.
10 Contrairement à la suppression, l’effacement des données est une destruction définitive des données. Les données n’existent plus sur le support d’enregistrement. Elles ne sont en principe plus récupérables
2. L’endommagement, la détérioration et l’altération de données
11 L’intégrité des données est tout aussi essentielle au bon fonctionnement des systèmes d’information que la disponibilité des données. Son importance est si grande qu’elle fait même l’objet d’une norme ISO
12 Dans le monde réel, la notion de garantie de l’intégrité des données peut être comparée à l’envoi d’un colis par la poste, dont on certifie qu’il émane véritablement de l’expéditeur indiqué sur le paquet, que l’envoi a bien eu lieu à la date et à l’endroit mentionnés sur le sceau postal, que le paquet n’a pas été ouvert, que son contenu est bien celui qui a été envoyé par l’expéditeur et que rien n’a été enlevé ou rajouté dans le paquet après son envoi.
13 Dans ce contexte, l’ « endommagement » et la « détérioration » de données sont des notions qui se recoupent. Elles décrivent des atteintes négatives à la forme ou au contenu des données ou des programmes. Les données endommagées ou détériorées ne sont par conséquent plus fiables, exactes et exhaustives. On ne peut donc plus être sûr qu’elles proviennent de l’expéditeur dont elles semblent émaner, qu’ils s’agit bel et bien des données qui ont été envoyées par l’expéditeur et qu’aucune donnée n’a été supprimée, ajoutée ou modifiée.
14 Quant à l’ « altération », elle se réfère à une modification de données existantes
3. Le mode de commission
15 Les différents comportements qui viennent d’être examinés peuvent être commis directement par l’auteur. Il est toutefois aussi possible d’utiliser un bot
16 Cela étant, même sans recourir à un bot, l’intelligence artificielle offre déjà actuellement d’innombrables possibilités pour modifier des données. On peut par exemple très facilement lui demander de réécrire un texte en remplaçant une idée par une autre, ou de modifier une image en substituant un élément par un autre. A l’avenir, distinguer les données authentiques des données modifiées deviendra donc de plus en plus difficile.
17 Dans la grande majorité des cas, les atteintes à l’intégrité des données sont réalisées par la commission d’un comportement punissable. Des atteintes à l’intégrité des données peuvent toutefois aussi survenir à cause d’une protection insuffisante du système informatique. A notre avis, il peut dans ce genre de cas y avoir une commission par omission de la part de l’administrateur du système informatique puisque, de part sa fonction, il a un devoir juridique d’agir et qu’il occupe donc une position de garant à l’égard de l’ayant-droit des données.
C. L’illicéité
18 Pour être punissable, l’auteur doit avoir agi sans droit. C’est l’ayant-droit des données qui détermine qui est autorisé à les modifier. Sont ainsi punissables toutes les personnes qui n’ont pas été autorisées à modifier ces données. Ne sont en revanche pas punissables les personnes qui ont été autorisées, expressément ou par acte concluant, à modifier ces données par l’ayant-droit ou qui y sont autorisées par la loi ou par un contrat.
19 De nos jours, il est courant que des modifications de données se fassent par acte concluant. Tel est par exemple le cas à chaque fois que des messages sont échangés par messageries instantanées telles que WhatsApp, Telegraph ou Threema. Toutes ces applications cryptent les données avant de les envoyer et les décryptent lors de leur réception. Il s’agit d’une modification de données. Celle-ci est toutefois licite, d’une part, parce qu’elle est acceptée par les utilisateurs par acte concluant et, d’autre part, en raison du fait qu’elle assure la confidentialité des données.
20 Un autre cas de modification de données par acte concluant réside dans les mises à jour d’applications. Lors d’une mise à jour, une nouvelle version du programme est installée à la place de l’ancienne. Les données existantes sont donc effacées et de nouvelles données sont écrites et enregistrées sur le support d’enregistrement. Ce processus est licite, pour autant que l’utilisateur ait le choix d’installer ou de ne pas installer la mise à jour. A notre avis, l’éditeur de l’application qui oblige l’utilisateur à installer une nouvelle version de l’application, faute de quoi elle devient inutilisable, ou les données illisibles, se rend punissable.
21 S’agissant des actes autorisés par la loi, certaines législations nationales contiennent des exceptions à la garantie d’intégrité des données. Elles permettent notamment aux autorités de poursuite pénale ou aux services de renseignements d’installer des govwares dans des systèmes informatiques afin de surveiller l’activité des personnes qui les utilisent, par exemple pour découvrir l’auteur d’une infraction ou obtenir des informations utiles à la protection de l’Etat. L’installation de ces programmes espions n’est pas illégale tant qu’elle est effectuée dans le cadre strict posé par la loi. Une surveillance ne peut toutefois être opérée que dans des cas graves et doit être soumise à un contrôle judiciaire postérieur
22 La modification de données n’est pas non plus illicite lorsqu’elle a été autorisée contractuellement. On pense ici notamment à l’administrateur du système informatique qui est chargé de la maintenance. Il n’est pas punissable s’il effectue les mises à jour des programmes installés dans le système informatique. Il se rend en revanche punissable s’il profite de son statut pour effacer ou modifier les données d’un utilisateur sans son autorisation.
23 De la même façon, l’informaticien mandaté pour réaliser des tests d’intrusion dans un système informatique n’est pas punissable s’il modifie des données pour créer une brèche dans les défenses mises en place pour protéger l’accès au système informatique. En revanche, le hacker qui, sans autorisation, agit de la même manière est punissable.
D. L’intention
24 L’atteinte à l’intégrité des données est intentionnelle. L'intention doit porter sur tous les éléments objectifs de l'infraction. L’auteur doit donc avoir conscience qu’il détériore des données de manière indue et en avoir la volonté. Le dol éventuel suffit.
IV. Élément constitutif supplémentaire facultatif
25 L'art. 4 § 2 CCC autorise les Etats parties à émettre une réserve et à ne poursuivre que les comportements ayant entraîné un préjudice grave.
26 Le texte ne définit pas la notion de « préjudice grave ». Quant au rapport explicatif, il indique simplement que chaque Etat est libre d’interpréter cette notion comme il le souhaite
27 Les Parties ont aussi précisé que le préjudice devait être grave. Cet adjectif, mis en relation avec la notion de préjudice, signifie qu’il doit être d’une certaine ampleur. On peut donc imaginer que le préjudice doit représenter une somme d’argent conséquente, un nombre d’heures de travail important ou avoir de lourdes conséquences.
28 L’Azerbaïdjan, la Lituanie, la République slovaque, le Chili et les Etats-Unis d’Amérique ont fait usage de la possibilité donnée par l’art. 4 § 2 CCC. L’Azerbaïdjan, la Lituanie, la République slovaque et les Etats-Unis d’Amérique ont précisé que dans leur droit interne, la notion de préjudice grave devait être interprétée comme ayant causé des dommages sérieux
29 Il est à cet endroit intéressant de relever la manière originale dont le droit suisse a traité la question du préjudice grave. Au lieu de limiter la poursuite pénale aux comportements qui ont causé un préjudice grave, l’art. 144bis ch. 1 al. 2 CP prévoit au contraire une forme qualifiée lorsque le dommage causé par l'auteur est considérable.
V. Comparaison avec le droit suisse
30 En droit suisse l’atteinte à l’intégrité des données (art. 4 CCC) trouve son pendant à l’art. 144bis ch. 1 CP. Les intérêts juridiques protégés par ces deux normes ne sont toutefois pas strictement identiques puisque l’art. 4 CCC protège l'intégrité et le bon fonctionnement ou le bon usage de données ou programmes informatiques enregistrés, alors que l’art. 144bis ch. 1 CP protège le droit de disposer de données intactes
31 En ce qui concerne les comportements réprimés par l’art. 4 CCC, ils se retrouvent tous à l’art. 144bis ch. 1 CP. Les notions d' « endommagement », de « détérioration » et d’ « altération » qui figurent à l’art. 4 CCC sont couvertes par le terme « modifie » qui comprend toutes les formes de transformation
32 Enfin, l'art. 144bis ch. 1 CP consacre une infraction poursuivie sur plainte uniquement. Or, lorsqu'une infraction n'est poursuivie que sur plainte, une autorité pénale ne peut se saisir elle-même. Etant donné qu’il existe un conflit de doctrine sur le fait qu'une plainte déposée dans l'Etat requérant suffise à mettre en œuvre la coopération internationale, il serait prudent de poursuivre la détérioration de données d'office dans tous les cas
Les notions techniques d’informatique figurant dans la présente contribution ont été rédigées avec l’aide de Monsieur Yannick Jacquey, ICT Manager avec diplôme fédéral. Il en est ici chaleureusement remercié.
Bibliographie
Corboz Bernard, Les infractions en droit suisse, vol. I, 3. éd., Berne 2010
Schmid Niklaus, Computer- sowie Check- und Kreditkartenkriminalität, Zurich 1994
Schwarzenegger Christian, Die internationale Harmonisierung des Computer- und Internetstrafrechts durch die Convention on Cybercrime, in : Strafrecht, Strafprozessrecht und Menschenrechte, Festschrift Trechsel, Zurich 2002
Trechsel Stefan / Crameri Dean, in : Trechsel Stefan / Pieth Mark (éditeurs), Schweizerisches Strafgesetzbuch, Praxiskommentar, 4. éd., Zürich, 2021
Weissenberg Philippe, in : Niggli Marcel Alexander / Wiprächtiger Hans (éditeurs), Basler Kommentar, Strafrecht II, 4. éd., Bâle 2018
Travaux législatifs
Conseil de l’Europe, Explanatory Report to the Convention on Cybercrime, Budapest 23.11.2001, disponible à https://rm.coe.int/16800cce5b, visité le 21.1.2024 (cité : Rapport explicatif de la Convention sur la cybercriminalité)