REVUE
revue256bd
revue256bd
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
droit<br />
réGImE JurIDIQuE Du rAnSomWArE ou PrISE D'oTAGE numérIQuE<br />
rGPD, cette notification doit intervenir<br />
dans les 72 heures à compter de sa<br />
connaissance auprès de l’autorité de<br />
contrôle et lorsque la violation est<br />
susceptible d’engendrer un risque élevé<br />
pour les droits et libertés de la personne,<br />
la notification à la personne concernée<br />
doit s’opérer dans les meilleurs délais (art.<br />
34 du rGDP). D’un autre côté, il ne faut<br />
pas oublier qu’il existe aussi l’impossibilité<br />
d’accéder aux autres données, qui<br />
portent sur les produits, les services ou<br />
les marchés, de nature technique,<br />
économique et ne concernent pas les<br />
traitements de données à caractère<br />
personnel. Cela fait référence, par<br />
exemple, à celles qui auraient été<br />
marquées comme relevant du secret des<br />
(5) Directive (uE) 2016/943<br />
du Parlement Européen et<br />
du Conseil du 8 juin 2016<br />
sur la protection des savoirfaire<br />
et des informations<br />
commerciales non divulgués<br />
(secrets d'affaires) contre<br />
l'obtention, l'utilisation et la<br />
divulgation illicites ; Sabine<br />
marcellin et Thibaut manoir<br />
de Juay, Le secret des<br />
affaires, Lexisnexis, 2016.<br />
(6) Jean-Laurent Santoni,<br />
Cybercriminalité, Le<br />
ransomware est-il<br />
assurable ?, Expertises, Juin<br />
2016, v. p. 219.<br />
affaires 5 et ne sont<br />
pas protégées par<br />
les droits de<br />
propriété<br />
intellectuelle.<br />
Le ransomware est-il<br />
assurable ?<br />
Le fait que le<br />
ransomware soit<br />
assurable suscite<br />
une objection majeure : cela « pourrait<br />
favoriser la collusion frauduleuse entre<br />
l’assuré et l’auteur de l’extorsion 6 ». Si<br />
l’on raisonne par analogie, on peut<br />
également s’interroger sur la licéité de<br />
l’assurance portant sur les rançons<br />
versées à l’occasion d’enlèvement de<br />
personnes physiques. mais pourquoi<br />
interdire en droit français des assurances<br />
ce qui serait autorisé aux<br />
concurrents étrangers ? Cela risquerait de<br />
créer une forte distorsion de concurrence<br />
au préjudice des assureurs français.<br />
ii/. Quelles qualifications juridiques ?<br />
Les infractions juridiques<br />
Face à ces nouvelles formes de menaces<br />
numériques, le Code pénal dispose d’un<br />
arsenal de dispositions aptes à apporter<br />
des réponses à ces pratiques délictuelles.<br />
À ce titre, on observera tout d’abord que<br />
les textes légaux classiques depuis la loi<br />
Godfrain de 1988 (modifiés à plusieurs<br />
reprises) permettent de réprimer les<br />
atteintes aux systèmes d’information avec<br />
les articles 323-1 et 323-3 du Code<br />
pénal : introduction, maintien frauduleux<br />
dans un système d’information, altération<br />
du fonctionnement du SI, introduction<br />
frauduleuse des données dans un STAD<br />
(extraction, détention, reproduction,<br />
transmission, suppression modification).<br />
Les sanctions varient entre 2 et 5 ans<br />
d’emprisonnement et de 60 à 150.000<br />
euros d’amende, sauf dans l’hypothèse<br />
où l’on est en présence d’un système de<br />
traitement de données à caractère<br />
personnel mis en œuvre par l’état, pour<br />
lequel le Code pénal prévoit des<br />
sanctions plus lourdes (articles 323-1,<br />
al.3 7 , 323-2, al. 2 8 et 323-3, al.2 du Code<br />
pénal).<br />
Dans le cadre du ramsonware, on aura<br />
plutôt recours à une qualification se<br />
fondant sur l’article 323-3 du Code pénal:<br />
182 Revue de la Gendarmerie Nationale 4 e trimestre 2016