Vol de données dans une PME : aspects de droit pénal
Le vol de données est une menace alarmante, bien qu'abstraite, pour la plupart des entreprises - l'objet volé est intangible et non "tangible", l'arme du crime n'est pas présente.
De vol peut entraîner des dommages considérables dans une entreprise, combinés à une perte de réputation. La direction ignore souvent que des mesures de sécurité inadéquates peuvent également entraîner une responsabilité personnelle.
Les employés internes comme voleurs de données
cas de Vol de données ou. Le vol de données est largement discuté dans les médias. Je pense en particulier aux rapports sur le vol de bases de données entières de clients dans les banques. La plupart du temps, il s'agit de constellations dans lesquelles un employé
Les informations sur les clients des banques sont copiées afin de les vendre plus tard par le biais d'intermédiaires. Les bénéficiaires sont des particuliers, des entreprises ou des autorités (fiscales) étrangères. Il arrive aussi qu'une entreprise victime d'un vol soit victime de chantage pour racheter des données volées - un enregistrement de données copié est alors mis en circulation malgré le rachat. Dans le cas des entreprises industrielles, il est également possible que des entreprises rivales profitent de cette manière des résultats de recherches secrètes. Dans l'environnement bancaire, la L'affaire Bradley Birkenfeld particulièrement important. En tant qu'ancien employé de l'UBS, il a remis les données de ses clients aux autorités fiscales américaines et a reçu d'elles une récompense de plus de 100 millions de dollars1.
Outre ce mode de fonctionnement, il existe également d'autres moyens connus d'obtenir illégalement des données. On peut penser à l'intrusion classique dans un système informatique de à l'extérieur d'un Société (les soi-disant Hacking). Ces cyberattaques ont récemment conduit à
de plus en plus aux reportages des médias. Ici, le potentiel de dommages des attaques est particulièrement remarquable :
- Attaque de pirates informatiques contre l'Office of Personnel Management des États-Unis (obtention de 19,7 millions de dossiers personnels contenant des données personnelles sensibles), 2
Piratage de 150 millions de comptes Adobe (obtention de plus de 38 millions de données d'utilisateurs).3
Enfin, le vol de données doit être distingué d'un abus de données acquises, dans lequel les données sont utilisées par le destinataire final de manière déloyale à son propre profit. Le vol de données est une étape préliminaire de l'activité criminelle. Très répandue est aussi la Corruption de données au moyen de programmes de virus, qui sont transmis par des pièces jointes dans les courriers électroniques ou le téléchargement de fichiers.
Crimes informatiques
Les experts ne sont pas unanimes à savoir si et dans quelle mesure les entreprises sont touchées par la criminalité informatique, en particulier par l'acquisition interne de données non autorisées. Dans le canton de Zurich, les statistiques policières sur la criminalité indiquent une tendance à la baisse 4 . D'autre part, les sociétés d'enquête soulignent le risque croissant de vol de données pour les PME5 .
Selon l'expérience de l'auteur pas de diminution des infractions liées à l'informatique à noter. Tous les cas de vol de données ne sont en aucun cas signalés à la police, notamment pour éviter toute publicité à la suite d'une enquête criminelle. Dans ce cas, les autorités répressives sont confrontées à une nombre considérable inconnuqui n'est pas inclus dans leurs statistiques. En outre, les infractions informatiques ne peuvent pas toujours être attribuées à la même infraction prévue par le code pénal (CSC), ce qui peut entraîner une distorsion des statistiques. Il faut également tenir compte du fait qu'un grand nombre d'infractions ne sont jamais connues des PME concernées, ou seulement après de nombreuses années.
Un risque incontrôlable
Les données ne sont pas un objet de crime classique. Dans les homicides, il y a l'arme du crime, dans les vols de voitures, il y a le véhicule. Les données, en revanche, sont arbitraire et rapidement reproductible. Ils peuvent être échangés dans le monde entier en quelques fractions de seconde. Les auteurs utilisent des serveurs proxy qui sont distribués dans le monde entier. Le stockage final peut être purement virtuel sur des nuages, ou le butin peut être divisé en petites unités de données et stocké à n'importe quel endroit. Il est particulièrement grave que même les ensembles de données récupérés n'offrent aucune garantie que les mains des criminels ne sont pas en possession de copies multiples.
Dans ce contexte, la question de savoir si et combien de crimes informatiques sont comptabilisés par les autorités devient relative. Le fait est qu'une PME touchée est exposée à un risque incontrôlable de perdre à jamais le savoir-faire stocké dans les enregistrements de données - avec un risque correspondant pour sa réputation et sa commercialisation. En particulier dans les affaires internationales, les autorités répressives se heurtent à des limites factuelles et juridiques et ne sont plus en mesure de sécuriser les "données" relatives à la criminalité.
Classification pénale du comportement délictueux
En cas de vol de données, l'entreprise concernée peut engager des poursuites civiles et pénales. Des questions de droit de la surveillance peuvent également se poser si une PME est soumise à une autorité de surveillance (par exemple l'Autorité des marchés financiers). En droit civil, un voleur de données peut être poursuivi en dommages et intérêts, et dans le cas d'un employé, avec toute la gamme des instruments du droit du travail. Bien sûr, cela reste une petite consolation lorsqu'une entreprise est menacée de millions de dommages.
Responsabilité pénale (des organes d'une société volée) ?
Pour les autorités répressives, la question se pose inévitablement de savoir si les organes de gestion ont organisé leurs PME de manière à minimiser le risque d'infractions. Les données étaient-elles librement accessibles à tout employé ? Des contrôles du trafic de données ont-ils été mis en place ? Les données sensibles sont-elles cryptées, comment une sauvegarde est-elle stockée ? Si ces questions ne trouvent pas de réponse satisfaisante, le directeur général peut être accusé de ne pas avoir assumé sa responsabilité et d'avoir ainsi permis un délit informatique. Cela a de graves conséquences.
En droit civil, cela peut conduire à des demandes de dommages et intérêts contre un PDG. En termes de droit pénal, des peines sévères (privatives de liberté) peuvent être envisagées au titre de la gestion infidèle (art. 158 CP).
Chances et risques d'une plainte pénale
Avant d'engager des poursuites pénales, il convient d'examiner attentivement les risques ainsi créés. Il faut garder à l'esprit que les autorités de poursuite pénale enquêtent sur une infraction pénale dans le cadre de leur propre planification. Les procédures pénales peuvent se dérouler relativement discrètement ou peuvent également attirer l'attention des médias et entraîner des procédures longues et coûteuses. D'autre part, l'utilisation illégale des enregistrements de données peut causer des dommages incontrôlables aux PME. Souvent, ceux-ci n'ont d'autre choix que de prendre toutes les mesures nécessaires pour lutter contre les dommages dus à la responsabilité ou aux réglementations de surveillance.
Cela signifie que le Minimiser le risque d'une escalade de l'enquête criminelle. Il existe des moyens de coopérer avec les autorités. Il est possible de négocier le fait que, dans le cas d'infractions de pétition, suite à un règlement civil avec une partie adverse, il est possible de se passer de toute autre procédure pénale (retrait de la pétition pénale ou déclaration de désintérêt). En vue de préparer une procédure pénale et de contrôler grossièrement une enquête, une plainte pénale doit être préparée par un expert. Il convient de se concentrer sur ce point, en trouvant un équilibre entre la brièveté et le bien-fondé des allégations. Il n'est pas conseillé de déposer une plainte pénale oralement ; l'expérience montre qu'il est difficile de faire passer le message essentiel de cette manière. Il ne faut pas oublier qu'une enquête pénale peut également entraîner une charge administrative considérable pour l'entreprise elle-même (entretiens avec des témoins, édition des documents de l'entreprise, etc.)
L'avenir du vol de données
Le vol des données maîtresses restera un risque important pour une PME. Pour des raisons de coût et d'efficacité, le travail est de plus en plus effectué sans papier, toutes les transactions commerciales internes et externes étant documentées sur des serveurs.
Les entreprises sont plus sensibles aux risques lorsqu'elles traitent des ensembles de données. Néanmoins, les criminels sont également très professionnels dans leur domaine, et la richesse secrète des connaissances détenues par les PME incite à l'activité criminelle. On peut donc supposer que les délits informatiques visant à obtenir illégalement des informations sur les clients et le savoir-faire opérationnel des PME continueront à augmenter.
