Destruction d’équipements de traitement des données

Destruction d’installations de traitement de données

Die Destruction d’installations de traitement de données désigne, dans un contexte juridique, la mise hors service, la détérioration ou la destruction, intentionnelle ou par négligence, d’équipements techniques servant au traitement automatisé des données. Cette notion joue un rôle important, notamment en droit pénal, civil et en droit de l’informatique, car la protection de l’infrastructure électronique est d’une importance centrale pour la société de l’information. Outre les atteintes physiques, l’évolution du droit inclut également les attaques électroniques et logicielles contre les systèmes de traitement de données.

Délimitation conceptuelle et définition

Par installations de traitement de données on entend l’ensemble des appareils, systèmes et composants servant à la saisie, au stockage, au traitement ou à la transmission électroniques de données. Parmi ceux-ci figurent notamment les ordinateurs, serveurs, infrastructures réseau, disques de stockage, routeurs, modems, périphériques ainsi que les systèmes embarqués dans des machines spécialisées.Destruction signifie, au sens juridique, tout acte qui porte atteinte de façon significative à l’installation concernée, de sorte que son utilisation prévue devient définitivement ou au moins pour une période substantielle impossible. Cela englobe, outre la destruction physique complète, notamment :

• dommages mécaniques (par ex. destruction de disques durs)
• surcharge électrique (par ex. création d’un court-circuit)
• attaques logicielles irréversibles (par ex. suppression du firmware ou du système d’exploitation de base)
• transmission de logiciels malveillants entraînant une perte irréversible de fonctionnalité

Les termes « mise hors service » et « détérioration » sont souvent employés de manière complémentaire et incluent déjà l’atteinte partielle à la capacité de fonctionnement.

Qualification juridique

Dispositions pénales

Der Protection des installations de traitement de données fait notamment l’objet d’infractions particulières prévues par le droit allemand. La disposition centrale est l’article § 303b du Code pénal allemand (StGB) – « Sabotage informatique ». D’autres infractions peuvent également s’appliquer, en particulier :

• § 303 StGB (dégradation de biens)
• § 202a StGB (espionnage de données)
• § 202b StGB (interception de données)
• § 303a StGB (altération de données)

§ 303b StGB – Sabotage informatique

Le § 303b StGB protège les opérations de traitement de données ainsi que les appareils techniques utilisés à cette fin contre des attaques susceptibles de perturber la bonne exécution du traitement des données et leur fonctionnalité. La protection englobe explicitement aussi les dispositifs de traitement électronique des données. La disposition ne vise pas uniquement la destruction physique mais aussi l’influence électronique, dès lors qu’elle entraîne une perturbation notable.

Le champ d’application s’étend des attaques contre des ordinateurs individuels aux fermes de serveurs, jusqu’aux infrastructures critiques (par exemple alimentation en énergie, télécommunications). La peine prévue commence à une peine de prison allant jusqu’à trois ans ou à une amende ; dans les cas graves (par ex. attaque contre des installations vitales), jusqu’à dix ans.

§ 303 StGB – Dégradation de biens

Si la disposition spéciale du § 303b StGB ne s’applique pas, une poursuite pénale selon le § 303 StGB est également possible selon le cas, à condition que l’installation de traitement de données soit considérée comme un « bien » au sens de la disposition et qu’une destruction ou une détérioration illicite ait lieu.

Responsabilité civile et indemnisation

Die Destruction d’installations de traitement de données peut donner lieu, en droit civil, à d’importantes demandes de dommages-intérêts. Selon les §§ 823 al. 1, 826 du Code civil allemand (BGB), l’auteur est responsable du préjudice matériel causé en cas d’acte intentionnel ou par négligence. Outre la valeur matérielle de l’installation endommagée, d’autres dommages consécutifs, comme les interruptions d’activité ou la perte de données, peuvent être invoqués.

Pour les salariés, le droit du travail prévoit sous certaines conditions des allégements de responsabilité (limitation de responsabilité en cas de négligence légère). Dans le cadre de la responsabilité du fait des produits, les fabricants peuvent être tenus responsables lorsque des destructions imprévues d’installations sont causées par des systèmes défectueux.

Dispositions de droit public et exigences de conformité

Dans les secteurs sensibles (alimentation en énergie, santé, secteur financier), il existe des exigences légales et réglementaires supplémentaires pour la protection des installations de traitement de données :

• Loi sur la sécurité informatique (IT-SiG) impose aux opérateurs des infrastructures dites critiques des mesures particulières visant à garantir l’intégrité et la disponibilité des systèmes.
• Les règles relatives à la protection des données (notamment issues du RGPD) exigent des mesures techniques et organisationnelles pour protéger les données à caractère personnel sur les systèmes informatiques.
• Des directives sectorielles et des normes techniques spécifiques (par ex. BSI IT-Grundschutz) précisent les objectifs de protection et les mesures préventives contre les cas de destruction.

Modalités et méthodes d’attaque

Destruction physique

Il s’agit ici d’attaques directes contre le matériel, telles que briser, brûler, découper ou rendre inutilisables d’autres manières des systèmes et composants.

Sabotage numérique

Les attaques virtuelles comprennent l’introduction de logiciels malveillants, de ransomwares, l’effacement ou la manipulation ciblée de données systèmes, jusqu’aux attaques par déni de service distribué (DDoS) provoquant la surcharge et la défaillance de serveurs.

Attaques combinées

Dans certains cas, la destruction est le fruit d’une combinaison de moyens physiques et numériques, par exemple lorsqu’un logiciel malveillant provoque une surchauffe de composants matériels ensuite physiquement détruits.

Plainte pénale, poursuites et questions procédurales

Les enquêtes sont généralement ouvertes d’office. Pour les délits mineurs, le dépôt d’une plainte par la personne lésée peut être requis (§ 303c StGB). Dans la phase probatoire, les expertises informatiques et la conservation des traces électroniques revêtent une grande importance.

Situation juridique internationale et harmonisation

Des normes relatives à la protection des infrastructures informatiques existent également au niveau européen et international :

• Die Convention de Budapest (Convention sur la cybercriminalité, Convention sur la cybercriminalité) définit des standards minimaux pour la poursuite pénale des infractions concernées.
• Die Directive UE 2013/40/UE relative aux attaques contre les systèmes d’information, harmonise la répression des infractions au sein de l’Union européenne.

Mesures préventives de protection

Législateur et entreprises misent sur une prévention étendue, par exemple par des contrôles d’accès, la segmentation des réseaux, l’utilisation de pare-feu et de systèmes de détection d’intrusion, ainsi que des sauvegardes pour la restauration après des cas de destruction. Les assurances contre les risques informatiques offrent une protection financière complémentaire.

Bibliographie

• Fischer, Thomas : Strafgesetzbuch und Nebengesetze, commentaire, édition actuelle
• Bock, Stefan : Droit pénal de l’informatique, C.H. Beck, 2019
• U. Sieber (éd.) : Cybercriminalité et droit pénal de l’informatique, 2012

Liens web

• § 303b StGB – Strafgesetzbuch (dejure.org)
• BSI IT-Grundschutz – Bundesamt für Sicherheit in der Informationstechnik

Questions fréquemment posées

Quelles sont les conséquences juridiques encourues en cas de destruction intentionnelle d’installations de traitement de données ?

La destruction intentionnelle d’installations de traitement de données est, en Allemagne, pénalement répréhensible et peut notamment être poursuivie sur la base du § 303b du Code pénal allemand (StGB) – sabotage informatique. Quiconque détruit, détériore, rend inutilisable, modifie ou élimine intentionnellement une installation de traitement de données appartenant à autrui ou servant l’utilité publique, peut être puni d’une peine d’emprisonnement pouvant aller jusqu’à cinq ans ou d’une amende. En cas de destruction d’installations présentant une importance notable pour une entreprise tierce, une société, une administration ou l’approvisionnement public, il y a aggravation et la peine encourue est alors plus élevée. Selon la gravité de l’acte, la victime peut également former des demandes civiles de dommages-intérêts, notamment en vertu des §§ 823 et suivants BGB. Par ailleurs, dans le contexte du droit du travail, des sanctions pouvant aller jusqu’au licenciement immédiat sont envisageables si l’acte a été commis par un salarié dans le cadre de sa relation d’emploi.

La tentative de destruction d’installations de traitement de données est-elle également punissable ?

Oui, selon le § 303b, alinéa 3 du StGB, la tentative de sabotage informatique est déjà punissable. Cela signifie que des conséquences pénales peuvent également survenir lorsqu’une personne commence à agir pour détruire ou endommager une installation de traitement de données sans parvenir à son but final – l’infraction restant au stade de la tentative. Dans ces cas, la peine peut être atténuée, mais la répression pénale en tant que telle demeure. Les conditions de la tentative sont réunies lorsque l’auteur, selon sa perception, commence immédiatement la commission de l’acte, indépendamment du fait que le dommage se réalise effectivement ou non.

Comment la loi définit-elle une « installation de traitement de données » dans le contexte juridique ?

La notion d’installation de traitement de données n’est pas définie de façon exhaustive par la loi ; cependant, on entend généralement par là tous les systèmes techniques utilisés pour le traitement automatisé de données. Cela englobe les ordinateurs individuels, serveurs, réseaux, systèmes de stockage et autres composants matériels. Les infrastructures cloud correspondantes et les appareils mobiles peuvent également en faire partie, pour autant qu’ils soient capables de traiter des données de manière automatisée. Il est déterminant que l’installation soit destinée et apte à traiter des données de façon autonome selon des programmes déterminés. La jurisprudence impose des exigences strictes quant à la cohérence technique et à la fonctionnalité.

Quelles particularités s’appliquent aux propriétaires publics d’installations de traitement de données ?

Pour les installations de traitement de données appartenant à des autorités ou à des institutions présentant un intérêt public notable, des normes plus strictes et un intérêt public accru à la protection pénale prévalent généralement. Le durcissement de la peine prévu par le § 303b, al. 4 StGB (cas grave de sabotage informatique) suppose notamment que l’auteur mette en péril, par l’acte, l’approvisionnement de la population en biens ou services vitaux ou provoque une perturbation importante de la sécurité et de l’ordre publics. En cas d’attaque contre des installations d’infrastructures critiques, telles que répertoriées dans le règlement KRITIS, d’autres dispositions pénales, comme le § 317 StGB (atteinte au fonctionnement des services publics), peuvent également s’appliquer. Dans ces cas, l’intérêt public est protégé par une priorité dans la poursuite pénale et parfois des sanctions accrues.

Quels sont les droits civils dont peuvent bénéficier les victimes en cas de destruction d’installations de traitement de données ?

Si une personne ou une entreprise subit un dommage en raison de la destruction de son installation de traitement de données, la victime dispose régulièrement de droits civils, notamment issus des §§ 823 al. 1 (acte illicite) ou al. 2 BGB combiné avec une loi protectrice (par ex. § 303b StGB). La victime peut réclamer l’indemnisation de son dommage matériel : cela inclut les frais de réparation, d’acquisition de nouveaux matériels et logiciels, la restauration des données, d’éventuelles compensations pour la perte d’usage, ainsi que les dommages consécutifs dus à des interruptions d’activité. Selon le cas particulier, des demandes d’indemnisation pour préjudice moral (pour les personnes physiques concernées) ou de perte de profit sont également possibles. Il est toujours nécessaire qu’un lien de causalité entre l’acte, le dommage et l’illicéité soit prouvé.

Quel rôle jouent le mobile de l’acte ou l’intention dans l’évaluation pénale ?

Le niveau de responsabilité pénale dépend principalement du degré d’intention. Une condamnation selon le § 303b StGB exige l’intention, c’est-à-dire que l’auteur doit avoir voulu ou du moins accepté la destruction de l’installation de traitement de données. Les actes commis par négligence ne sont en principe pas réprimés pénalement, sauf si la loi les sanctionne expressément. Toutefois, les destructions par négligence peuvent être pertinentes dans des dispositions spéciales ou en droit civil (dommages-intérêts pour négligence selon § 823 al. 1 BGB). Lorsque la destruction intervient dans le cadre d’autres infractions (par ex. sabotage à motivation politique, économique ou idéologique), le mobile peut avoir pour effet d’alourdir ou, à l’inverse, d’atténuer la sanction.

Existe-t-il des particularités concernant la prescription en matière de destruction d’installations de traitement de données ?

Pour la poursuite pénale de la destruction intentionnelle d’une installation de traitement de données, les délais généraux de prescription prévus aux §§ 78 et suivants StGB s’appliquent en principe. Pour les infractions du § 303b StGB, le délai de prescription s’élève généralement à cinq ans (cf. § 78 al. 3 n° 4 StGB), dans les cas particulièrement graves au sens du § 303b al. 4 StGB il peut atteindre dix ans. En droit civil, le délai de prescription pour les demandes de dommages-intérêts selon le § 195 BGB est en règle générale de trois ans à compter de la fin de l’année au cours de laquelle la créance est née et où le lésé a eu connaissance de la personne et des circonstances du dommage ou aurait dû les connaître en faisant preuve de l’attention requise. Dans des situations particulières (par ex. comportement intentionnel contraire aux bonnes mœurs), ce délai peut être prolongé jusqu’à dix ans.