Accès abusif à un système informatique : commentaire de l'arrêt n° 2905 de 2024
L'arrêt n° 2905 du 23 octobre 2024 apporte d'importants éclaircissements en matière d'accès abusif à des systèmes informatiques ou télématiques, abordant la question des mesures de sécurité nécessaires à leur protection. Ce sujet est particulièrement d'actualité, compte tenu de l'augmentation exponentielle de la cybercriminalité et du besoin croissant de protéger les données sensibles.
La qualification des faits et le contexte juridique
Dans l'arrêt précité, la Cour a examiné un cas où l'accusé, D. G., était poursuivi pour accès abusif à un système informatique, précisément le système Galileo, réservé aux membres de l'Agence pour les informations et la sécurité intérieure (AISI). La Cour a réaffirmé que la qualification du délit ne dépend pas uniquement des mesures de sécurité techniques, mais peut également inclure des mesures de caractère organisationnel.
- Mesures de sécurité techniques : contrôles d'accès, pare-feu, cryptage.
- Mesures de caractère organisationnel : règlements intérieurs, formation du personnel, procédures d'accès.
- Décision de la Cour : le système Galileo était protégé par des mesures adéquates à sa finalité.
Le principe juridique affirmé
Accès abusif à un système informatique ou télématique - Mesures de sécurité protégeant le système - Mesures de caractère organisationnel - Qualification du délit - Existence - Qualification des faits. Aux fins de la qualification du délit d'accès abusif à un système informatique ou télématique, la protection du système peut être assurée également par des mesures de caractère organisationnel qui régissent les modalités d'accès, en le réservant exclusivement aux personnes habilitées à des fins déterminées ou à la réalisation des objectifs de l'entreprise. (En application du principe, la Cour a estimé correctement qualifié comme système informatique ou télématique protégé par des mesures de sécurité le système Galileo, bien qu'utilisable également pour effectuer des recherches sur des sources ouvertes, dès lors qu'il était réservé aux membres de l'AISI pour l'accomplissement des finalités propres à l'Agence).
La Cour a donc confirmé que la protection d'un système informatique peut être garantie également par des mesures organisationnelles. C'est un aspect crucial, surtout pour les entreprises et les organisations qui traitent des données sensibles. Les mesures organisationnelles doivent être claires et bien définies, établissant qui peut accéder à quelles informations et dans quelles circonstances.
Conclusions
L'arrêt n° 2905 de 2024 représente une avancée importante dans la compréhension des mesures nécessaires à la protection des systèmes informatiques. La Cour de cassation a précisé qu'il ne suffit pas de mettre en œuvre des solutions techniques, mais qu'il est également fondamental d'adopter des procédures organisationnelles capables de garantir un accès contrôlé et sécurisé. La sensibilisation et la formation du personnel sont donc des éléments clés pour prévenir le délit d'accès abusif, rendant les organisations plus résilientes face aux menaces informatiques.
