La mauvaise réputation ... ou quand savoir devient faire
Détails sur l'article 46-I de la LCEN qui instaure un délit pénal de détention sans motif légitime d'outils de sécurité informatique. Version PDF avec références
La loi pour la confiance dans l'économie numérique (LCEN) a été publiée au Journal Officiel le 22 juin 2004. Loi liberticide pour les uns, simplement imparfaite pour les autres, la LCEN a déchaîné les passions pendant plus de dix-huit mois, dans et hors hémicycle. La création d'une nouvelle responsabilité pour les intermédiaires techniques a focalisé l'attention et déjà fait couler beaucoup d'encre.(1) La réserve d'interprétation émise par le Conseil constitutionnel à ce sujet alimentera sans doute encore longtemps les chroniques juridiques. (2)
Au regard du changement que constitue l'introduction d'une justice asymétrique sur Internet,(3) et des difficultés de mise en oeuvre qui en découlent, (4) tout cela est compréhensible. Il n'en reste pas moins qu'il existe une autre disposition de la LCEN, qui fut beaucoup moins médiatisée, mais dont l'impact pourrait être encore plus important, tout du moins pour les programmeurs français. Car, si l'article 6 de la LCEN introduit une obligation pour les intermédiaires techniques de juger du caractère «manifestement illicite» d'un contenu, l'article 46 de la LCEN transforme lui un grand nombre de logiciels en armes, et fait de tout utilisateur d'informatique personnelle un peu trop curieux un présumé coupable. (5)
En effet, à la suite à une adaptation très stricte (6) de l'article 6 de la Convention sur la cybercriminalité, rédigée par le Conseil de l'Europe (7) et signée à Budapest en novembre 2001, notre code pénal héberge un nouvel article «L.123-3-1 ». Cet article prévoit que si une personne physique ou morale détient un moyen permettant de commettre une fraude informatique, « sans motif légitime », elle commet un délit pénal. Est considéré comme un moyen permettant la fraude informatique « un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés » pour commettre une fraude informatique.(8) Mais qu'est ce qu'un « motif légitime » ? Ce qui n'est pas « illégitime » certainement. Et nous ne sommes pas plus avancés.
Résultat ? La charge de la preuve vient d'être renversée. Le Ministère Public n'a plus à apporter la preuve de votre implication dans une fraude informatique pour que soyez passible d'une des peines prévues pour la fraude informatique aux articles 323-1 à 323-3 du Code pénal. En clair, il n'a plus à démontrer que vous vous êtes introduit frauduleusement dans un système de traitement automatisé de données, ou que vous avez aidé intentionnellement un tiers à le faire. Il doit simplement apporter la preuve d'une détention de moyens « spécialement adaptés ». A vous ensuite de démontrer l'existence d'un « motif légitime ». La belle affaire. Savoir devient faire. La détention à domicile d'une tronçonneuse et d'un manuel de clos-combat fait risquer coups et blessures.
Le citoyen français s'intéressant à la sécurité informatique, ayant donc sur son ordinateur quelques articles sur le sujet, (9) et détenant un ou deux codes sources permettant d'exploiter une faille de sécurité (10), peut dès lors être mis en examen, jugé puis condamné à une peine pouvant aller jusqu'à cinq ans de prison et/ou 75 000 euros d'amende, et ce, même si rien ne prouve qu'il s'est rendu coupable de fraude informatique, ou qu'il en ait jamais eu l'intention. Il suffit simplement qu'il ait eu conscience du fait qu'il détenait ces données (11), qu'il n'ait pas de « motif légitime » convaincant, et que les données stockées sur son disque dur soient jugées « spécialement adaptés » à la fraude.
Cette mesure est censée permettre de mieux lutter contre le trafic de moyens qui engendrerait un « marché noir » des « outils de piratage » (12). Le risque de mise en examen et de condamnation augmente donc sensiblement si l'individu en question a déjà, ne serait-ce que, discuté devant témoins avec des programmeurs condamnés pour ou soupconnés de fraude informatique. A dire vrai, c'est mon cas. Et vous ?
Si vous ne vous sentez pas concerné par cette mesure, ou que vous ne souhaitez pas en faire les frais - ou si vous doutez qu'un juge d'instruction admette spontanément qu'un ordinateur hébergeant nmap, telnet et sadoor (13) n'est pas « spécialement adapté» pour commettre une fraude informatique, et qu'il est « légitime » que vous vous intéressiez à votre « sécurité informatique personnelle » (14) - je ne saurais trop vous conseiller de ne pas (ou de ne plus) chercher à comprendre ce qui se passe quand vous vous connectez à internet, et ce que l'on peut faire à distance de votre ordinateur, sauf si vous êtes militaire ou professionnel « accrédité» par le fournisseur du système d'exploitation vendu avec. (15)
Par prudence, je vous déconseille tout autant de rechercher des failles de sécurité dans les programmes qui s'éxecutent sur votre système, ou de les auditer pour voir si ils respectent vos données personnelles. A titre préventif, je vous déconseille également de copier sur un baladeur Apple un fichier téléchargé sur le site de la FNAC, de lire un DVD Disney avec un logiciel libre,16 ou tout simplement de me rencontrer.
Il semble en effet que je dispose d'un savoir à double tranchant sur mon disque dur - les textes diraient « à double usage » -, que j'ai des centres d'interêts à priori suspects, et certaines fréquentations malvenues, qui font « manifestement » de moi un délinquant informatique. Comme disait l'autre, j'ai mauvaise réputation. Demain, je serai contrefacteur.17
Faites attention, il paraît que c'est contagieux ...