Auteur : Linde Straetmans (Gevaco Advocaten)
La numérisation de notre société est en cours depuis un certain temps et semble inéluctable. La conséquence malheureuse de cette numérisation est que la cybercriminalité est devenue monnaie courante ; De plus en plus de particuliers et d’entreprises sont victimes de phishing, d’attaques DDoS et même de piratage, au cours desquelles des données personnelles sensibles sont divulguées et utilisées à mauvais escient. De nombreux exemples sont apparus récemment dans les médias : la cyberattaque sur différents sites Internet de différentes provinces, la fuite de données sur Limburg.net, dont une brasserie de renom a été victime du piratage, …
Le délit de piratage informatique mérite en particulier une attention particulière. Il est grand temps de prendre un moment pour réfléchir à ce crime et d’examiner les droits et les options procédurales des victimes de cybercriminalité, notamment en ce qui concerne la protection de leurs données personnelles (sensibles).
Piratage entraînant une violation de données, qu’est-ce que cela signifie exactement ?
L’une des formes de cybercriminalité les plus courantes est le « piratage ». Le piratage informatique entraîne souvent la fuite de l’identité et des informations privées des victimes, les rendant ainsi publiques. Celle-ci peut ensuite être exploitée à des fins de fraude/phishing, etc. (pensez par exemple à un auteur qui, après avoir obtenu des données personnelles, se fait passer pour un membre de sa famille en difficulté via WhatsApp afin de frauder de l’argent).
Le piratage peut, de manière générale, être défini comme l’intrusion non autorisée dans un système informatique, souvent via des cyberattaques ciblées qui exploitent les faiblesses du système informatique, dans le but d’accéder aux données personnelles de toutes les personnes connectées au système informatique piraté.
Le piratage peut être externe ou interne. Avec le piratage externe, le pirate informatique aura accès à un système auquel il n’a aucune autorité d’accès (une personne s’introduisant dans un système de l’extérieur). Avec le piratage interne, le piratage sera effectué par quelqu’un qui a l’autorité d’accès à un certain système mais qui dépasse ou abuse de cette autorité (une personne qui a un accès interne, par exemple, au logiciel de l’entreprise pour laquelle elle travaille).
Si la cyberattaque réussit et que le pirate informatique a accès au système informatique, cela entraînera une « fuite de données », où le pirate informatique aura deux options avec les données personnelles capturées. Il peut diffuser ces données vers le monde extérieur, où les données personnelles peuvent ensuite être utilisées à mauvais escient par d’autres. Le pirate informatique peut également utiliser lui-même les données obtenues à mauvais escient.
Une violation de données peut causer des dommages importants aux victimes, souvent sans méfiance. Les victimes peuvent être directement impliquées lorsque l’agresseur s’adresse spécifiquement à elles. Cependant, ils peuvent aussi être affectés indirectement. Après tout, les victimes transfèrent souvent leurs données personnelles de manière confidentielle à une institution (comme une agence gouvernementale ou la clientèle d’une entreprise commerciale) qui s’avère soudainement avoir été piratée en raison d’éventuelles pannes ou d’une sécurité insuffisante.
De telles fuites de données sont – comme le montre l’aperçu violations de données de 2020 dans 2021 entretenue par la Commission flamande de surveillance -, ce qui n’est pas aussi rare qu’on pourrait le penser et l’espérer.
Mes données personnelles ont été divulguées. Et maintenant ?
Le piratage est un crime indépendant et est punissable dans notre système juridique à l’art. 550bis SW.
Cependant, découvrir l’identité des suspects et des coauteurs/complices (c’est-à-dire les pirates informatiques, les personnes ayant divulgué des données, etc.) s’avère souvent un défi (insurmontable), en partie compte tenu de la nature internationale de la complexité factuelle.
La question se pose de savoir si les victimes d’une violation de données peuvent également s’adresser directement à l’autorité responsable du système informatique piraté en question (c’est-à-dire le responsable du traitement), dans la mesure où ce responsable du traitement n’a pas pris de mesures de sécurité suffisantes contre le piratage et les cyberattaques.
Prenons par exemple une agence gouvernementale qui stocke toutes sortes de données personnelles. Si celui-ci est piraté, entraînant une violation de données et qu’il s’avère par la suite que les mesures nécessaires n’ont pas été prises pour protéger leur propre système informatique, les victimes peuvent prendre l’initiative de contacter directement cette agence gouvernementale pour obtenir réparation de leur préjudice.
Problèmes de preuve
Cependant, le plus grand obstacle reste le problème de preuve concernant le lien de causalité entre la violation de données (due à une négligence) d’une part et le dommage causé d’autre part.
La loi belge exige qu’un contrevenant accède sciemment et intentionnellement à un système informatique, c’est-à-dire qu’il doit avoir eu l’intention malveillante d’accéder au système en question sans autorisation. L’auteur de l’infraction doit être conscient et conscient qu’il n’a pas le droit de se donner accès au système informatique. En l’absence de cette intention malveillante, il n’y a pas de délit de piratage. C’est ce qu’a déjà jugé le tribunal correctionnel de Hasselt en 2004.[1]
Contrairement à la Belgique, d’autres pays, dont les Pays-Bas, l’Allemagne, le Danemark et la Finlande, ont opté pour la « violation de la sécurité » comme condition pour criminaliser le piratage informatique, ce qui signifie que toute intention malveillante de la part de l’auteur n’a pas besoin d’être prouvée. .[2]. Par exemple, envisagez de bloquer un programme de connexion afin que tout le monde ait un accès libre à un système, en contournant un mot de passe.
En Belgique, le fait de « percer un système de sécurité » n’est pas un élément constitutif en soi du délit de hacking. Dans son arrêt du 24 janvier 2017, la Cour de cassation a jugé que quiconque, dans une intention frauduleuse ou dans l’intention de causer un dommage, outrepasse son autorité pour accéder à un système informatique et accède donc à certaines données informatiques en dehors de son autorité se rend coupable de (interne) piratage[3]. L’accent est mis sur l’intention malveillante de l’auteur, quels que soient ses droits d’accès à un système informatique particulier.
Options d’histoire
Conformément au droit pénal belge, une victime peut exercer ses droits à l’encontre de l’auteur du hacking, à condition qu’il puisse être identifié et que l’intention malveillante puisse être prouvée.
Cependant, dans un récent arrêt de la Cour de justice du 14 décembre 2023, les options des victimes ont été élargies[4]. Dans une affaire contre la Bulgarie, la Cour a statué que les victimes de violations de données devraient également pouvoir contacter le responsable du traitement. La Cour de justice élargit ainsi les recours dont disposent les victimes et renforce la protection des victimes de fuites de données et de piratage. Selon la Cour, les victimes dont les données personnelles ont été divulguées à la suite d’un piratage ou d’une cyberattaque peuvent également se retourner contre le responsable du traitement et pas seulement contre le pirate informatique en tant que tel, même si elles craignent toujours que leurs données personnelles soient utilisées à mauvais escient. résultat d’une fuite de données (HVJ 14 décembre 2023, n° C-340/21 ; Bulgarie). Il n’est donc pas nécessaire que les victimes concernées démontrent que leurs données ont déjà été effectivement utilisées à mauvais escient avant que le responsable du traitement puisse être tenu responsable. Il suffit que les données personnelles puissent être utilisées à mauvais escient et que la victime craigne que cela se produise.
Si, selon la jurisprudence de la Cour de justice, une victime souhaite également engager des poursuites contre le gouvernement responsable, elle devra démontrer que celui-ci n’a pris aucune mesure ou des mesures insuffisantes pour se protéger contre le piratage et/ou les cyberattaques. Il s’agira souvent d’une question très complexe et technique, nécessitant la nomination d’un expert.
Nous savons qu’une enquête pénale est actuellement en cours dans le Limbourg contre Limburg.net suite à une cyberattaque du 13.12.2023. Les pirates ont eu accès à de nombreuses données personnelles d’environ 279 000 personnes. Des recherches devront démontrer dans quelle mesure, outre la responsabilité pénale des pirates informatiques, dans la mesure où ils sont identifiables, Limburg.net a également agi de manière imprudente en raison d’une sécurité insuffisante de ses données. Nous suivons ces recherches avec beaucoup d’intérêt.
Si vous avez été victime de cette violation ou d’autres violations de données, n’hésitez pas à contacter notre bureau. Notre équipe de droit pénal est heureuse de vous fournir activement les outils nécessaires pour évaluer les conséquences de la violation de données et remédier à toute utilisation abusive de vos données personnelles.
***
[1]Corr. Hasselt, 21 janvier 2004, Computerr. 2004, p. 130-131, avec note H. GRAUX. Voir aussi : Cour d’appel de Bruxelles 19 novembre 2019, JLMB 2022, afl. 37, p. 1628 ; Corr. Anvers, 10 novembre 2014, T. Strafr. 2015, après. 2, p. 94, note G. SCHOORENS ; Cass. 5 janvier 2011, Arr. Cass. 2011, à partir de 2011. 1, p.20, art. 2011, à partir de 2011. 1, p. 19 ; Rév.dr.pen. 2011, après. 5, p. 583, T. Punition. 2012, à partir de 2012. 3, p. 162, note J. COPPENS ; Corr. Termonde, 14 novembre 2008, Ordinateur. 2009, à partir de 2009. 2, p. 74, note L. DAUWE, T. Strafr. 2009, à partir de 2009. 2, p. 114, note P. VAN LINTHOUT, Vigiles 2009, afl. 3, p. 135, note M. VAN HOOGENBEMT.
[2]F. MOLS et J. KEUSTERMANS, « Criminalité informatique », p. 202 en X., Droit pénal et procédure pénale. Commentaire article par article avec un aperçu de la jurisprudence et de la doctrine juridique, révisé pour la dernière fois en mars 2024.
[3]Cass. 24 janvier 2017, NJW 2018, ép. 375, p. 70, note S. ROYER, NC 2017, ép 4, p. 380, RW 2017-18, ép. 11, p. 415, T. Strafr. 2017, ép. 3, p. 206, note G. SCHOORENS.
[4]HVJ 14 décembre 2023, n° C-340/21 ; Bulgarie.
Source : Gevaco Avocats