L'article a été rédigé par Dr. iur. Dr. rer. pol. Fabian Teichmann en collaboration avec Léonard Gerber, et publié en 2021 dans la revue spécialisée "Jusletter". La transformation numérique imprègne notre société et ouvre la voie à une économie durable. Ce phénomène, également appelé quatrième révolution industrielle, a des répercussions sur la vie quotidienne des citoyens. La communication se fait par e-mail ou par messages WhatsApp, les rencontres entre amis ont lieu sur Facebook ou via Zoom, les photos et les vidéos sont publiées sur Instagram, le commerce se fait via des plateformes en ligne et les paiements sont effectués via les services bancaires en ligne. Toutefois, depuis le développement des technologies de l'information, de nombreux comportements frauduleux sont apparus, dont certains relèvent du droit pénal informatique. La difficulté de qualifier ces comportements au regard du droit pénal réside dans la commission simultanée de plusieurs infractions sous la forme d'une faillite idéale. Il s'agit d'infractions commises via Internet, telles que les ransomwares, l'usurpation d'identité, le piratage, la diffusion de logiciels malveillants, les attaques DDoS, la cyberfraude, les infractions liées au cybersexe, la concurrence déloyale dans le cyberespace et le phishing. Le Conseil de l'Europe a adopté la Convention de Budapest sur la cybercriminalité, qui a été conclue le 23 novembre 2001 et qui constitue la première convention internationale de lutte contre la cybercriminalité. Il est intéressant de noter qu'en 2021, les 65 États parties comprennent également des États non membres du Conseil de l'Europe qui ont ratifié la convention, comme les États-Unis, le Japon, l'Australie ou le Canada. La convention et ses États parties reconnaissent donc la nécessité d'agir au niveau mondial contre la cybercriminalité, qui peut dépasser la compétence limitée d'une seule juridiction. L'objectif principal de la convention est d'engager les États parties dans une politique criminelle commune afin de protéger la société contre la criminalité dans le cyberespace par l'adoption de lois et le renforcement de la coopération internationale. Le droit pénal suisse couvrait déjà une grande partie des infractions liées à la cybercriminalité. La cybercriminalité peut être divisée en deux catégories. La première catégorie comprend les infractions commises contre les infrastructures Internet telles que les ordinateurs, la connectivité, les programmes ou, plus généralement, le support informatique des victimes. Le piratage, les attaques DDoS, le partage de logiciels malveillants (virus, chevaux de Troie, etc.) en sont des exemples. La deuxième catégorie comprend les infractions commises via Internet, telles que la discrimination raciale, la violation des droits d'auteur, la concurrence déloyale ou l'hameçonnage. Les infractions liées à Internet ont également une dimension transnationale, car elles ne sont pas limitées à un seul ordre juridique. Le droit pénal suisse ne sanctionne ces comportements abusifs que de manière ponctuelle. Le phishing peut impliquer plusieurs infractions du droit pénal suisse sous la forme d'une faillite idéale. Le phishing est une technique frauduleuse qui consiste à obtenir frauduleusement des informations personnelles, le plus souvent dans le cadre d'opérations bancaires, afin de commettre des infractions contre le patrimoine et des usurpations d'identité. L'article 143bis du Code pénal suisse (CP) est la norme juridique du droit pénal suisse qui punit le piratage informatique, c'est-à-dire l'accès non autorisé à un système informatique. Tout d'abord, cette norme protège les systèmes informatiques qui appartiennent à d'autres et qui sont spécialement protégés contre les intrusions non autorisées. Les systèmes informatiques comprennent les ordinateurs, les téléphones portables, les appareils photo numériques et tous les dispositifs de traitement des données. Elle ne s'applique pas à l'atteinte aux supports de données tels que les clés USB, les CD, les DVD ou les disquettes, sauf s'ils sont connectés à un système informatique protégé. Les données elles-mêmes ne sont pas protégées par l'article 143bis du Code pénal, mais par l'article 143 du Code pénal, qui rend le vol de données punissable. Pour déterminer si un système informatique est spécialement protégé, il convient d'examiner l'intention de la personne autorisée à y accéder afin d'empêcher des tiers d'accéder à ses données ou d'en limiter l'accès. Ce critère est rempli si, par exemple, des mesures de protection informatique telles qu'un logiciel antivirus, un code d'accès ou un mot de passe, un cryptage ou une clé biométrique sont utilisés, mais pas s'il n'existe que des barrières physiques pour protéger le système informatique, par exemple une pièce fermée à clé ou une armoire scellée. Deuxièmement, la norme protège contre l'accès non autorisé au moyen d'un dispositif de transmission de données. L'infraction est réalisée dès que l'auteur franchit la première barrière d'accès, comme le code, le mot de passe ou la clé biométrique du système informatique protégé.
L'auteur : Fabian Teichmann est avocat en Suisse, notaire à Saint-Gall, avocat européen au Liechtenstein et conseiller d'entreprise au niveau international. Il est en outre chargé de cours dans différentes universités en Suisse et à l'étranger.
Pour en savoir plus sur ce sujet, voir Teichmann, F. & Gerber, L. (2021). La cybercriminalité en Suisse : Le phishing. Jusletter. 27 mai 2021. https://doi.org/10.38023/9312a9a4-1c0e-4225-b305-c06305b59df4.