8/3/2019 Denaris_0411_Fanti

1/2

28 denaris 04 | 2011

espionnage des donnes

Vol de donnes, perte de conanceMe Sbastien Fanti, avocat et notaire, Expert IT Confdration Suisse

Depuis 2005, les rapports semestriels de la Centrale MELA NI voquent,de manire rcurrente, le vol de donnes. Nonobstant cette tendanceinquitante, la rponse lgale est souvent imparfaite, voire insolite.

Il convient, liminairement, de relever quavant

que le vol de donnes ne survienne, souvent

celui-ci a t prcd dun hacking, soit dun

accs indu un systme informatique.

Le vol de donnes, respectivement linfrac-

tion de soustraction de donnes fait lobjetdun article spcique du Code pnal, larti-

cle 143 qui stipule: Celui qui, dans le dessein

de se procurer ou de procurer un tiers un

enrichissement illgitime, aura soustrait, pour

lui-mme ou pour un tiers, des donnes en-

registres ou transmises lectroniquement

ou selon un mode similaire, qui ne lui taient

pas destines et qui taient spcialement

protges contre tout accs indu de sa part,

sera puni dune peine privative de libert de

cinq ans au plus ou dune peine pcuniaire.

A la premire lecture de la disposition lgale,on peroit la difcult dapplication lie, no-

tamment, aux conditions mises par le lgis-

lateur. Les donnes doivent faire lobjet dune

protection informatique, voire physique, vi-

sant proscrire une soustraction de donnes

diligente de lextrieur (rewall, antivirus,

etc.), mais galement de lintrieur (de la part

de collaborateurs ou de consultants no-

tamment). Une interdiction contractuelle ou

morale daccder aux donnes est donc to-

talement insufsante dans ce dernier cas de

gure.

Une clause dans le contrat de travail

ne suft pas

Ainsi, une clause gurant dans un contrat de

travail et proscrivant aux employs dacc-

der aux donnes qui ne les concernent pas

doit-elle tre concrtise dans les faits par

une barrire informatique et/ou physique. A

dfaut, en cas de soustraction de donnes,

lissue sera dfavorable sur le plan pnal,

tout le moins.

Demeure galement ouverte la question de

savoir si la personne qui procde par ingnie-rie sociale est punissable, ce qui ne semble

pas tre lavis de la majorit de la doctrine.

En sus, cette infraction nest poursuivie que

sur plainte, ce qui signie que le dlai pour

soumettre de tels comportements la justice

pnale est trs bref (3 mois). En cas de doute

sur lexistence dun cas de vol de donnes, il

convient donc de dposer une plainte contre

inconnu pour prserver lensemble de ses

droits.

Moyens lgaux dpasss

En dnitive, les conditions actuelles dappli-

cation de cette disposition lgale sont si

restrictives que nombre de comportements

chappent une sanction pnale qui parat

chacun justie. Ainsi, dans une affaire va-

laisanne, un employ qui avait soustrait les

donnes relatives des abonns un service

de messagerie (login et mot de passe) a-t-il

t acquitt de cette infraction, car aucune

mesure de scurit spcique navait entrav

son accs aux logiciels du back ofce, no-

tamment. Cela nest pas acceptable et le Tri-

bunal la lui-mme dplor en ces termes:On peut sinterroger sur le sens de la pro-

tection restreinte accorde par le lgislateur

dans sa volont de renoncer rprimer ce

En cas de doute sur

lexistence dun cas

de vol de donnes, il

convient de dposer

une plainte contre

inconnu.

i

Stockphoto

8/3/2019 Denaris_0411_Fanti

2/2

denaris 04 | 2011 29

qui quivaut un abus de conance au sens

large du terme. Les moyens lgaux mis enuvre, ds 1995, pour lutter contre la crimi-

nalit informatique sont donc non seulement

dpasss au vu de lvolution technologique,

mais galement au vu des comportements

adopts (vol didentit numrique non punis-

sable dans notre pays en vertu dune dispo-

sition topique). Le Code pnal doit donc faire

lobjet dune rvision urgente et les nouveaux

types de dlinquance informatique y tre

sanctionns, par le biais de normes techno-

logiquement neutres permettant une adap-

tation plus rapide dans un domaine o lesrvolutions numriques se succdent la

fulgurance du net.

Conseils pour viter le vol de donnes

Lune des consquences msestimes dun

vol de donnes est celle de la perte de

conance si, daventure, un tel vol devait tre

connu de tiers, voire de clients. La procdure

pnale ne permet pas de rparer le dom-

mage caus limage de lentreprise. Mieux

vaut donc faire appel un professionnel pour

la gestion de la communication de crise.

Auparavant, il convient de prendre les mesu-

res suivantes en application du principe de

prcaution:

Adopter une charte sur lutilisation des

moyens informatiques et lectroniques et

ladapter rgulirement en fonction de

lvolution des technologies implmentes

(tablettes, cloud, etc.): mme si cela ne suf-

t pas pour faire sanctionner un voleur de

donnes sur le plan pnal, la voie civile

ncessite un tel cadre juridique;

Intgrer cette charte au contrat de travail

qui doit, de surcrot, prvoir les sanctionsen cas de violation;

Scuriser les donnes tant contre une in-

trusion externe que contre un vol surve-

nant au sein mme de lentreprise: lex-

prience enseigne que le danger quereprsente linsider est connu, mais peu

analys en termes de scurit informat-

ique; des logiciels spcialiss (Data Loss

Prevention) existent et leur cot est faible

par rapport celui dun cas de vols avec

toutes les consquences envisageables

(action civile des clients dont les donnes

ont t voles, dnonciation au Prpos

fdral pour violation des normes garan-

tissant la scurit des donnes, procdure

disciplinaire, etc.);

Interdire ou limiter lutilisation des sup-

ports de donnes amovibles (principale-

ment les cls USB) qui ne laissent que peu

de traces dans les systmes dexploitation;

linstallation dun logiciel de surveillance

est une fois encore conseille;

Soumettre au Prpos fdral la protec-

tion des donnes pour validation tant les

documents relatifs la surveillance mise

en place, que les procdures de surveillan-

ce et les outils utiliss: il faut viter que

lemploy indlicat puisse faire invalider

les preuves recueillies au motif que la sur-

veillance tait illicite;

En cas de doute sur lexistence dun vol de

donnes, ne rien modier (prservation des

preuves) et faire appel immdiatement la

police: les spcialistes se dplacent volon-

tiers pour aider sur le terrain les entrepri-

ses prendre les mesures qui simposent.

En dnitive comme en toute chose, la voie

mdiane doit tre privilgie: utiliser les der-

nires technologies tout en se montrant res-

pectueux de la vie prive et du droit de la

personnalit. Cela passe par un usage accru

de technologies susceptibles de collecter demanire automatise les indices. Linterven-

tion automatise ne peut se voir reprocher

dtre oriente.

An dviter de

mauvaises surprises,

il peut tre envisagea-

ble dinterdire ou de

limiter lutilisation des

supports de donnes

amovibles.i

Stockphoto