Les délits informatiques (BP-87F)

Depuis vingt ans, l’informatique et l’ordinateur se sont taillés une place importante dans les secteurs public et privé. On imagine difficilement une personne dont les activités ne seraient pas liées d’une façon ou d’une autre à l’ordinateur, car quiconque possède un compte en banque, effectue une transaction de crédit ou transige avec l’État ou n’importe quelle grande entreprise est touché par l’informatique. L’ordinateur est désormais un outil indispensable aux opérations bancaires, à l’archivage des sociétés et aux différentes activités de l’État(1).

Pourtant, les précieux avantages de l’informatique sont ceux-là même qui en multiplient les risques d’utilisation abusive. L’absence d’imprimés justifiant les opérations de crédit témoigne de l’efficacité de l’informatique, mais prive le vérificateur de toute preuve tangible qui lui permettrait de vérifier les comptes. Il n’est pas nécessaire d’être sur place pour manipuler un ordinateur puisqu’on peut le faire à distance grâce à des appareils de télécommunication. Ces progrès peuvent augmenter les risques d’abus, car désormais, le « pirate » peut opérer loin des lieux du « du crime » et, avec la sécurité relative que lui procure un terminal informatique, acquérir des biens, qui sont réduits à des impulsions électroniques.

Le volume des pertes dues aux délits informatiques fait l’objet de controverse. Aucune étude approfondie n’a été faite à ce sujet au Canada, en partie parce qu’il n’y a pas de consensus sur la notion d’« infraction commise au moyen d’un ordinateur ». Quoi qu’il en soit, il est difficile de recenser avec précision les pertes causées par ces délits sans avoir une conception claire de leur gravité, ni en connaître la fréquence exacte. Les gouvernements peuvent jouer un rôle en définissant les pratiques informatiques qui sont réputées contrevenir à l’éthique. Cette mesure pourrait, en retour, influer sur le nombre des délits informatiques signalés.

DÉFINITION DES DÉLITS INFORMATIQUES

À prime abord, on peut se demander pourquoi il est nécessaire de définir un code d’éthique particulier dans le cas des délits informatiques. On ne s’arrête pas aux délits associés à la manipulation de registres, à l’automobile ou à la télévision. Pourquoi l’instrument du délit ferait-il une différence? Un vol n’est-il pas toujours un vol, qu’il ait été commis par infraction ou à l’aide d’un terminal informatique(2).

On peut répondre à cela que le droit ne se préoccupe pas uniquement des fins illicites d’un acte, mais aussi des moyens utilisés pour les atteindre.

L’avènement de l’informatique n’as pas créé de nouveaux délits, pas plus que celui de l’automobile n’a produit un nouveau type de vol. Tout comme dans le cas de l’automobile, l’utilisation criminelle de l’informatique a accru la vulnérabilité de la société et dans la mesure où la définition des délits et l’adoption de mesures législatives visant à interdire certains actes sont destinées à assurer la protection de la société, l’informatique est un champ de préoccupation légitime pour le droit pénal(3).

Les lois ne doivent pas seulement permettre le redressement des torts ou le châtiment des contrevenants; il leur est aussi essentiel de proscrire certains actes et la complexité des délits informatiques justifie qu’on leur accorde un traitement spécial.

De même que l’avènement de l’automobile a dicté des modifications au droit pénal, l’ordinateur imposera aussi des changements. L’informatique soulève pourtant des questions encore plus fondamentales. En effet, il faut distinguer entre les différents types de délits ou d’abus informatiques, c’est-à-dire entre ceux où l’ordinateur est « l’instrument » du délit et ceux où il en est « l’objet ».

A. L’ordinateur comme instrument du délit

Dans ce cas, l’ordinateur est le moyen d’arriver à une fin. Par exemple, le contrevenant peut introduire de fausses données dans l’ordinateur pour augmenter la valeur d’un chèque qu’il doit recevoir, truquer un programme comptable pour couvrir un détournement de fonds ou falsifier des bordereaux de dépôt bancaire pour s’enrichir aux dépens de clients qui, sans le savoir, utilisent ces codes pour déposer de l’argent dans son compte. Dans chaque cas, le contrevenant utilise l’ordinateur comme instrument de son délit. Le moyen est nouveau, mais l’intention et la finalité du délit sont toujours les mêmes : s’approprier illégalement le bien d’autrui.

B. L’ordinateur comme objet du délit

Quand l’ordinateur est l’instrument du délit, nous disposons de paramètres connus nous permettant de qualifier l’acte de criminel. La personne dont l’intention est de se procurer un bien corporel, à savoir de l’argent, remplace le pistolet qu’elle pointerait sur la caissière par l’ordinateur. En revanche quand l’ordinateur est l’objet du délit, la situation n’est pas aussi claire. Ce genre de délit ne se borne pas, bien sûr, au vol d’un ordinateur comme tel, mais englobe tout bien incorporel qui lui est associé, dont la valeur est considérable mais le statut légal mal défini. Par exemple, l’information stockée en mémoire peut avoir une valeur inestimable pour son propriétaire et pour autrui, et un pirate peut se l’approprier sans causer de dommage apparent à l’ordinateur ni en priver son propriétaire. Ce genre de vol s’applique à l’information peut-être la plus précieuse que renferme l’ordinateur, à savoir le logiciel, clé du traitement des données. Il est également possible de s’emparer d’un « bien » encore moins matériel mais d’une aussi grande valeur, le temps-machine. La capacité d’un ordinateur est tellement grande et ses services tellement utiles que son utilisation, même pour de courtes périodes, peut avoir beaucoup de prix. La question de savoir si ces biens incorporels peuvent ou doivent être protégés est importante sur le plan légal.

Ceci nous amène à discuter brièvement la façon dont sont commis les délits informatiques. Un ordinateur se compose de cinq éléments principaux. D’abord, il y a le périphérique d’entrée, qui convertit les données et les consignes conçues pour l’utilisateur en un code assimilable par la machine. Ensuite, vient l’unité centrale qui contrôle et coordonne ses fonctions et les données en faisant appel aux consignes d’exploitation ou programme, aussi appelé logiciel. Le logiciel est le coeur de la machine cybernétique; tous les autres procédés sont essentiellement mécaniques et répétitifs et leur valeur tient à la vaste capacité de la mémoire et à la rapidité de fonctionnement de la machine. Par contre, la valeur du logiciel est qualitative étant donné qu’il régit le traitement des données. Puis, il y a les unités de logique et de mémoire qui permettent à l’ordinateur d’effectuer des calculs, de prendre des décisions et de mémoriser les données, selon les consignes de l’unité de contrôle. Enfin, vient le périphérique de sortie qui convertit les résultats en un langage conçu pour l’utilisateur. L’unité centrale d’un ordinateur type peut également, grâce à des appareils de télécommunication, être reliée à des terminaux et à des imprimantes situés à distance(4).

Chaque élément de l’ordinateur est susceptible de faire l’objet d’abus. Les employés peuvent fausser les données à entrer, les programmeurs de fonctions et d’étude peuvent manipuler les données et le logiciel, il est possible de prélever les données pendant leur transmission, et les utilisateurs de terminaux, autorisés, ou non, peuvent intervenir pendant l’exécution des opérations-machine. Les méthodes utilisées pour commettre un vol ou un délit informatique peuvent être ingénieuses ou banales. En voici quelques exemples.

1. La falsification des données

Il s’agit de l’infraction la plus simple, la plus sûre et la plus courante(5). Quiconque introduit, mémorise, transmet, code, examine ou vérifie des données informatiques, ou y a accès d’une façon quelconque, a la possibilité de les modifier à son avantage avant leur traitement. Citons, à titre d’exemple, le cas du commis chargé de remplir des formules de données pour la paye, qui avait remarqué que les demandes de compensation des heures supplémentaires étaient introduites dans l’ordinateur en fonction du numéro et non du nom de l’employé. Il lui a suffi d’inscrire son propre numéro sur les demandes d’employés qui faisaient souvent des heures supplémentaires pour toucher un revenu supplémentaire pendant un certain temps(6).

2. Les techniques « salami »

On les désigne ainsi parce qu’elles ont pour but de voler de petites quantités de biens à partir d’un grand nombre de sources sans réduction apparentée de l’ensemble. La falsification des sommes à arrondir en est un exemple. Elle consiste à fausser le calcul des intérêts bancaires. Habituellement, les intérêts sont arrondis au cent et répartis entre tous les comptes concernés. Le fraudeur modifie donc le programme pour que la fraction de cent de tous les comptes dont les sommes ont été arrondies soit acheminée dans un autre compte, qu’il contrôle. Apparemment, ce délit passe pratiquement inaperçu étant donné que les clients sont peu susceptibles de remarquer l’absence des fractions de cent et le vérificateur pousse rarement aussi loin son étude du programme; et même si la valeur du vol n’est pas énorme, elle finit par représenter une somme rondelette avec le temps(7).

3. La fouille

C’est l’une des formes de délit informatique les moins complexes. Elle consiste à se procurer des renseignements laissés dans ou près de l’ordinateur après utilisation. Le contrevenant peut tout simplement fouiller dans les corbeilles à papier pour y trouver des listes d’ordinateur ou des copies carbone de données mémorisées. Il peut aussi profiter de l’exploitation en temps partagé d’ordinateurs pour commettre ce genre de délit. Comme habituellement on n’efface pas les bandes pour ordinateur mais qu’on superpose tout simplement les nouvelles données aux anciennes, quiconque cherche de l’information peut se procurer la bande d’un concurrent, y entrer quelques données et la relire au complet pour y recueillir des renseignements déjà mémorisés(8).

Ce ne sont là que quelques-unes des techniques dont les pirates se servent pour perpétrer des délits informatiques. Il est possible de prévenir un grand nombre de ces délits par des mesures de sécurité accrues, une évaluation serrée du personnel et l’utilisation de méthodes de contrôle sécuritaire. Le vol ou la fraude commis au moyen d’un ordinateur seront tôt ou tard décelés puisqu’il y a eu atteinte aux biens matériels de la victime. Par contre, qu’en est-il du « vol » de logiciel ou d’autres renseignements, ou même de services informatiques? Ce genre de délit peut souvent être commis instantanément sans dommage apparent, et à l’insu du propriétaire. Afin de prévenir l’accès non autorisé aux renseignements informatisés, on utilise des codes, des mots de passe et des dispositifs de chiffrage; toutefois, la fiabilité de ces mesures de sécurité dépend largement du personnel qui est mis dans le secret. D’une part, les liens étroits qui unissent les divers clients et entreprises risquent de compromettre la sécurité de ces mécanismes(9) et, d’autre part, il existe certaines techniques qui permettent d’outrepasser ces moyens de contrôle en exploitant les faiblesses de l’ordinateur face aux tentatives de violation des mesures de sécurité(10).

L’IMPORTANCE DES DÉLITS INFORMATIQUES

Il est difficile d’évaluer l’importance globale des délits informatiques. Certains maintiennent qu’on ne peut se fier aux statistiques disponibles sur ce genre d’incidents puisqu’il existe, dans ce secteur en particulier, une très forte réticence à signaler les délits commis. Un auteur(11)a établi quatre raisons qui expliquent ce phénomène :

1) la crainte, justifiée ou non, de perdre la confiance du public;

2) la difficulté de prouver qu’un tel crime a été commis;

3) la peur d’être tenu responsable de ne pas avoir su prévenir l’incident;

4) la crainte qu’en rendant l’affaire publique, l’utilisateur reconnaisse, par le fait même, sa vulnérabilité et expose, au vu et au su de tous, des façons de tromper le système.

Les recherches entreprises dans le domaine ont confirmé qu’il existe au Canada la même réticence à rendre public ce genre d’incidents. Prenons, par exemple, le cas d’un gestionnaire de la division du traitement des données d’une importante société commerciale, qui a fraudé son employeur de quelque 61 000 $, en utilisant l’ordinateur de la société aux fins d’exploitation de sa propre entreprise. Or, la société a refusé de porter plainte contre lui, ayant déjà été victime d’une fraude plus grave sur laquelle elle ne désirait pas attirer l’attention. De la même façon, une société de services publics a décidé de « régler de façon interne », le cas de trois de ses employés qui avaient décidé « d’emprunter » le système informatisé de la société, pour spéculer sur le marché des produits de base(12).

D’aucuns maintiennent que les délits informatiques, même s’ils sont assez répandus, ne devraient pas préoccuper les législateurs; ils sont plutôt d’avis que les infractions commises au moyen d’un ordinateur sont déjà assujetties à des lois existantes bien structurées, sous réserve de quelques modifications qui pourraient être apportées sur le plan de la procédure, particulièrement en ce qui concerne le droit de la preuve. Par ailleurs, les autres délits, tels le « vol » de renseignements, ou de temps-machine relèvent, à leur avis, du droit civil, puisque l’adoption d’une lourde réglementation risquerait d’étouffer l’esprit d’innovation.

De l’avis d’un critique(13), les infractions perpétrées au moyen d’un ordinateur sont en réalité beaucoup moins répandues qu’on ne le croit généralement, et un certain mythe s’est créé autour des délits informatiques. Il cite, à titre d’exemple, la célèbre affaire Rifkin, dans laquelle un technicien en information de la Californie est parvenu à faire porter dix millions de dollars à son compte en Suisse, au moyen de l’ordinateur d’une banque. La presse a présenté Rifkin comme une espèce de « génie informatique » qui aurait manipulé l’ordinateur de façon très mystérieuse, alors qu’en réalité il n’avait fait que « voler » un code de transfert et usurper l’identité d’un cadre de la banque lors d’une conversation téléphonique. L’affaire a fait l’objet d’une poursuite aux termes des dispositions existantes du droit pénal(14). Pour ce qui est des autres délits informatiques, le même auteur met en doute la véracité de certains rapports d’incidents et affirme que certains « crimes » qui sont réputés avoir été commis se révèlent, dans la pratique, irréalisables. Il maintient, par exemple, que la fraude informatique par falsification des sommes à arrondir (expliquée plus haut) n’est qu’un mythe étant à la fois irréalisable dans la pratique bancaire actuelle et logiquement incapable de rapporter davantage que des profits dérisoires(15).

En ce qui concerne la sécurité des systèmes informatiques, certains estiment qu’il n’y a pas lieu de prévoir de sanctions pénales à cet égard, et qu’il incombe plutôt aux utilisateurs et aux propriétaires de surveiller leur propre intérêt en améliorant les mesures de sécurité et en instaurant certaines méthodes de réglementation. Le fait de considérer l’utilisation non autorisée des ordinateurs comme un acte criminel risquerait d’avoir de graves incidences sur l’industrie de l’informatique. Par exemple, nombreux sont ceux qui considèrent l’usage, par les programmeurs, opérateurs et autres utilisateurs, du temps-machine libre à fins récréatives ou personnelles comme un privilège d’emploi assez semblable à l’utilisation limitée du réseau téléphonique de l’employeur pour des appels personnels. En tenant l’utilisation non autorisée pour un délit criminel, ce genre d’activités serait alors considéré comme un vol de la propriété privée(16).

Les adversaires de cette politique de laissez-faire font valoir l’extrême importance de la technologie informatique et ses répercussions éventuelles sur une foule d’autres personnes que les propriétaires et utilisateurs directs pour justifier une certaine forme d’intervention juridique. Ils maintiennent en outre que le temps-machine et l’efficacité du système représentent une valeur telle que les normes de sécurité qui ont actuellement cours dans ce secteur industriel à être sérieusement resserrées.

LE CONTEXTE CANADIEN

La distinction entre l’ordinateur comme instrument et comme objet du délit se révèle utile pour une analyse du droit pénal en matière d’informatique et des réformes qui y ont été apportées dans les années 80.

De nombreuses poursuites intentées aux termes des dispositions du Code criminel ont pu être menées à bien dans des cas où l’ordinateur avait été utilisé comme instrument du délit. Par exemple, le superviseur de la comptabilité d’une importante société commerciale avait utilisé un système informatique pour libeller des chèques à l’ordre d’une société fictive qu’il avait créée en changeant les numéros de facture des clients réguliers. Les chèques étaient ainsi acheminés à un complice, et la société a perdu plus de 100 000 $. Le superviseur a été reconnu coupable de fraude aux termes de l’article 338 du Code et condamné à une peine d’emprisonnement. Dans un autre cas, un employé d’une firme de courtage pourvu de l’autorisation de négocier à son propre compte avait pu effacer ses pertes de l’ordinateur de l’employeur, manipuler son solde à la fermeture des transactions quotidiennes, et fausser les grands livres en conséquence. Ainsi, ses pertes ne pouvaient être retracées et se trouvaient périodiquement effacées. Sur une période de six mois, il a réussi à usurper entre 65 000 et 100 000 $. L’employé en question a par la suite été reconnu coupable de vol et condamné à une peine de trois ans d’emprisonnement(17). Le principal problème que pose ce genre d’affaire concerne non pas l’application des dispositions du droit pénal comme telles, mais plutôt la détection des activités frauduleuses et la preuve(18).

Par contre, les cas d’usage abusif de l’ordinateur comme objet du délit posent des problèmes beaucoup plus difficiles à résoudre, puisque le Code criminel ne comporte à cet égard que des dispositions imparfaites, sinon inexistantes.

Un cas très célèbre s’est présenté à l’Université de l’Alberta, en 1977. L’important système informatique qui dessert toute la communauté universitaire était relié à 300 terminaux sur le campus et à un certain nombre d’installations de télécommunications. Au cours de l’été 1977, le système a subi un nombre démesurément élevé de pannes (jusqu’à cinq par semaine), qui ont par la suite été attribuées non pas à une défectuosité du matériel, mais bien à une mauvaise programmation. Avec plus d’une panne par semaine, le rendement de l’ordinateur aurait déjà été jugé insatisfaisant. Il était évident qu’une personne avait accès au système sans autorisation. Le pirate était en mesure d’utiliser un multiprocesseur, il pouvait intervenir dans la saisie des données et obtenir les mots de passe confidentiels d’autres utilisateurs. Le personnel de l’université a entrepris de surveiller le système et, grâce à l’ordinateur, il a pu déterminer l’origine de ces activités et appréhender un étudiant à l’un des terminaux. L’enquête a révélé que l’étudiant en question, un certain Christensen, travaillait en étroite collaboration avec deux collègues, McLaughlin et Astels. Tous trois ont été accusés de fraude du service de télécommunications :

Commet un vol quiconque, frauduleusement, malicieusement ou sans apparence de droit,

b) se sert d’un filou câble de télécommunication ou obtient un service de télécommunication(19).

Par ailleurs, ils ont également été accusés de méfait :

Commet un méfait, quiconque, volontairement,

c) empêche, interrompt ou gêne l’emploi, la jouissance ou l’exploitation légitime d’un bien(20).

Au cours du procès, Astels a été acquitté des deux chefs d’accusation, en raison du doute raisonnable qui subsistait quant à savoir s’il avait été mis au courant de l’interdiction d’utiliser l’ordinateur; il a donc pu invoquer « l’apparence de droit ». Par contre, Christensen, l’étudiant qui avait été pris en flagrant délit, a été reconnu coupable des deux chefs d’accusation. Le juge a déclaré que l’ordinateur pouvait être assimilé à une « installation de télécommunication », aux termes de la définition formulée au paragraphe 287(2) :

[…] « télécommunication » signifie toute transmission, émission ou réception de signes, signaux, écrits, images ou sons ou de renseignements de toute nature par fil ou câble.

Le juge a fondé sa décision sur le fait que le système informatique était relié au réseau téléphonique au moyen d’un câble téléphonique et d’un câble coaxial, et que les lignes téléphoniques pouvaient être mises en communication avec l’ordinateur central. La « panne » occasionnée par Christensen avait interrompu l’usage légal de la propriété de l’université et, par conséquent, ce dernier a également été reconnu coupable de méfait(21). McLaughlin a par ailleurs été inculpé aux termes de l’article 287. Apparemment, il aurait fourni à Christensen les programmes et l’information nécessaires, et l’aurait encouragé à utiliser l’ordinateur. Il a donc été reconnu complice de l’infraction commise aux termes de l’article 20 du Code, ayant aidé à la perpétrer. Il a toutefois été acquitté de l’accusation de méfait, puisque le tribunal n’a pu prouver son accusation en rapport avec la « panne » occasionnée par son ami. Il aurait donc aidé au vol, mais non pas au méfait qui s’en est suivi.

McLaughlin a interjeté appel de sa condamnation, arguant qu’un système informatique n’est pas une « installation de télécommunication ». La Cour d’appel de l’Alberta a accueilli l’appel(22) et sa décision a été entérinée par la Cour suprême du Canada le 18 juillet 1980. Cette dernière a jugé que même si le système informatique était relié au réseau téléphonique et qu’il constituait un système électronique, il ne servait pas à la transmission et à la réception de l’information qui caractérisent les télécommunications. L’ordinateur a plutôt comme raison d’être le traitement de données :

[…] L’ordinateur n’a pas pour fonction d’acheminer des renseignements vers des points extérieurs, auquel cas il pourrait se prêter à une utilisation non autorisée. Il sert plutôt à faire des calculs complexes, à traiter, mettre en corrélation, emmagasiner et extraire des données(23).

Le juge Estey a ajouté :

Si le Parlement avait voulu associer des sanctions pénales à l’utilisation non autorisée d’un ordinateur, il l’aurait exprimé dans un article du Code criminel ou dans une autre loi en recourant à cette expression dont l’emploi est devenu courant. Le Parlement ne s’attendait certainement pas à ce que le tribunal glane dans la terminologie généralement employée dans l’industrie des télécommunications l’intention de lier des sanctions pénales à l’utilisation non autorisée d’un ordinateur(24).

La décision a causé un certain remous dans l’industrie informatique qui l’a interprétée comme signifiant qu’il n’existe aucun moyen d’empêcher ou de dissuader quelqu’un d’utiliser un ordinateur sans autorisation. Ce n’est pas tout à fait vrai. Il faut se rappeler que pour la panne qu’il avait provoquée, M. Christensen a été reconnu coupable de méfait, infraction punissable par voie de mise en accusation et capable de valoir une peine maximale d’emprisonnement de cinq ans. Mais il est douteux qu’une accusation de méfait puisse être portée dans le cas d’une utilisation non autorisée n’ayant causé aucune panne puisque, aux termes de l’article 387, il faut empêcher, interrompre ou gêner l’exploitation d’un bien par son propriétaire. Il est possible qu’une personne habile utilise un ordinateur sans contrevenir à ces interdictions.

L’affaire McLaughlin a donné lieu au jugement le plus détaillé au Canada en matière d’usage abusif d’un ordinateur à titre d’objet de l’infraction, mais il est d’autres aspects importants concernant certains biens non matériels reliés aux ordinateurs sur lesquels le droit pénal canadien est vague. Par exemple, l’information ou les données emmagasinées dans un ordinateur peuvent avoir une grande valeur, en particulier le logiciel ou les programmes. Ces données peuvent être prises instantanément, sans dommage apparent à l’ordinateur ou à l’insu de leur propriétaire qui n’en est pas privé. Le fait de s’emparer de données informatisées constitue-t-il en soi une infraction au Code criminel?

Cette question a été débattue devant les tribunaux. Dans l’affaire La Reine c. Stewart(25), le prévenu, un expert-conseil indépendant, a été accusé d’incitation au vol et à la fraude parce qu’il avait tenté d’obtenir d’un gardien de sécurité d’un hôtel une copie de la liste informatisée des noms et adresses des employés de l’hôtel. Le client de l’accusé voulait utiliser cette liste pour syndiquer les employés.

Acquitté par le tribunal de première instance, l’accusé a été reconnu coupable en appel. Dans une décision à deux contre un, la Cour d’appel de l’Ontario a jugé que les renseignements confidentiels, comme une liste d’employés, constituaient un « bien » et une « chose quelconque » au sens des articles 283 et 338 du Code criminel (qui portent maintenant les numéros 322 et 380)(26), qui régissent les infractions de vol et de fraude. L’accusé était donc coupable des deux infractions, mais il ne pouvait être condamné que pour une seule puisque les deux chefs d’accusation émanaient du même délit.

Dans les attendus de son jugement, le juge Houlden a déclaré d’une part que l’accusé était coupable d’avoir conseillé un vol aux termes de l’alinéa 238(1)d) puisque s’il avait réussi à obtenir la liste, il aurait agi de telle manière à l’égard des renseignements qu’elle contenait qu’il lui aurait été impossible de les rendre à leur propriétaire, l’hôtel, dans leur état d’origine; en d’autres mots, les renseignements auraient perdu leur caractère « confidentiel ». D’autre part, pour ce qui est de la fraude, il suffisait de prouver qu’il y avait risque de préjudice aux intérêts économiques de l’hôtel et qu’il n’était pas nécessaire de faire la preuve qu’il y avait eu des pertes concrètes à cause de la fraude. Puisque l’hôtel aurait pu vendre sa liste d’employés à des groupes de promotion publicitaire et tirer profit d’une telle affaire, l’utilisation non autorisée de la liste par l’accusé aurait pu nuire à ses intérêts économiques.

Dans un jugement concordant, le juge Cory a ajouté que même si les renseignements ne constituent pas un bien en soi, il existe un « droit de propriété » applicable à l’information confidentielle qui découle du sens de l’expression « propriété » au paragraphe 382(1). Citant les droits d’auteur comme exemple de droit de propriété reconnu par la loi, le juge a soutenu que l’accusé était coupable d’incitation au vol puisqu’il avait tenté d’obtenir d’un agent de sécurité, sans autorisation, une copie de la liste informatisée, portant ainsi atteinte aux droits de propriété de l’hôtel sur cette liste.

Dans un jugement dissident, le juge Lacourcière aurait maintenu l’acquittement en portant que l’expression « chose quelconque » à l’article 283 devait être définie et qu’elle s’appliquait dans le contexte de la propriété, contexte où les renseignements confidentiels n’avaient pas leur place. À son avis, il revient au Parlement et non aux tribunaux d’étendre, au criminel, la définition de propriété si l’intérêt de la société l’exige. En outre, le juge a estimé que la seule perte par l’hôtel du caractère « confidentiel » des renseignements ne constituait pas une atteinte suffisante à ses intérêts économiques pour constituer une fraude.

M. Stewart a interjeté appel de sa condamnation pour vol devant la Cour suprême du Canada. Si celle-ci avait confirmé le jugement majoritaire de la Cour d’appel de l’Ontario, cette décision aurait pu avoir des répercussions sociales importantes, car l’enjeu n’était pas simplement la tentative de vol d’une liste mécanographique d’employés, mais, surtout le vol de renseignements en général, indépendamment de la nature du stockage. L’information doit-elle être considérée comme un bien, qu’il s’agisse d’information de nature confidentielle, protégée par des droits d’auteurs ou autres? Le Code criminel était-il l’instrument approprié pour sanctionner leur détournement?

Renversant la décision de la Cour d’appel de l’Ontario, la Cour suprême du Canada a statué que l’expression « chose quelconque » employée dans l’article 282 du Code criminel (maintenant l’article 322) n’englobe pas ce type d’information confidentielle. Pour que l’appropriation d’une « chose quelconque » puisse être considérée comme un vol, la chose volée doit être un bien sur lequel quelqu’un a un droit de propriété et elle doit pouvoir lui être enlevée ou être détournée de manière à l’en fruster. La cour a conclu que ce type d’information confidentielle n’est pas un bien assorti d’un « droit de propriété » aux fins de l’application des dispositions du droit criminel concernant le vol. En soi, cette chose ne peut être enlevée ou détournée si son propriétaire n’en est pas privé.

Dans son arrêt, le juge Lamer, qui a rédigé le jugement unanime, a également soutenu qu’à cause de la nature de l’information prise, il ne saurait être question de fraude, car le plaignant n’a été frustré ni d’argent ni d’avantages économiques.

MESURES PARLEMENTAIRES

A. Sous-comité sur les infractions relatives aux ordinateurs

Le 9 février 1983, le principe du projet C-667, Loi modifiant le Code criminel et la Loi sur la preuve au Canada en ce qui concerne les infractions contre les droits de propriété relatifs aux ordinateurs, a été renvoyé au Comité permanent de la justice et des questions juridiques. Ce projet de loi d’initiative parlementaire a apparemment été présenté pour remédier aux lacunes législatives mises en évidence par l’affaire McLaughlin (les tribunaux n’avaient pas encore été saisis de l’affaire Stewart); il visait, entre autres, à modifier la définition de « bien » ou « propriété » dans le Code criminel pour y inclure les produits du logiciel informatique, à créer l’infraction de « vol de logiciel ou de données informatiques » (le détournement frauduleux d’un programme d’ordinateurs pour son propre usage ou celui d’une autre personne), et à étendre les dispositions concernant le méfait à la destruction et à l’altération non autorisées de programmes d’ordinateur et aux dommages causés à de tels programmes.

À la suite de l’ordre de renvoi, un Sous-comité sur les infractions relatives aux ordinateurs, composé de représentants des trois partis politiques, a été créé le 10 mars 1983. Pendant les audiences, le Sous-comité a entendu les dépositions d’un grand nombre de témoins spécialisés dans des domaines aussi variés que les techniques informatiques, la sécurité et la gestion, le droit de l’information, le droit de la propriété intellectuelle, l’application de la loi, les pratiques bancaires, le droit en matière de protection de la vie privée et de protection du consommateur(27). Le rapport du Sous-comité sur les infractions relatives aux ordinateurs a été déposé à la Chambre des communes le 29 juin 1983(28).

Dans son rapport, le Sous-comité reconnaissait que le droit existant ne régissait pas efficacement un certain nombre de délits reliés à l’informatique et concluait que même si on ne connaissait pas l’ampleur de ce type de criminalité au Canada, il existait suffisamment de possibilités de préjudices graves pour justifier l’adoption de sanctions pénales. Toutefois, le Sous-comité n’était pas convaincu que la meilleure solution consistait à assortit de droits de propriété les produits du logiciel informatique. À son avis, l’application aux données informatisées de la notion de « bien » pourrait entraîner davantage de problèmes qu’elle n’en résoudrait compte tenu de la place de premier plan qu’occupe l’information dans notre système socio-juridique. En outre, le Sous-comité estimait qu’il serait illogique d’interdire le prélèvement de données stockées sur ordinateur sans interdire aussi le prélèvement de données consignées par d’autres méthodes.

Ces considérations ont amené le Sous-comité à s’opposer à ce que les dispositions du Code criminel concernant le vol soient étendues explicitement au détournement de données informatisées. Par contre, il a recommandé la création de deux nouvelles infractions correspondant à certains actes dans le domaine de l’informatique.

l’utilisation non autorisée d’un système informatique (sans apparence de droit); et
la modification ou la destruction non autorisées (sans apparence de droit) de données informatisées.

Le Sous-comité a estimé que l’adoption de sanctions pénales n’était qu’une des façons possibles de prévenir les infractions dans le domaine de l’informatique. Il a insisté sur le rôle prépondérant de la prévention par rapport à la répression en recommandant que les sociétés de services informatiques et les institutions qui se servent d’ordinateurs adoptent les mesures de sécurité qui s’imposent, et que l’éthique fasse partie intégrante de la formation en informatique. Constatant par ailleurs que le détournement de données informatisées était inséparable de la question plus générale du détournement de renseignements, le Sous-comité en a conclu que le problème devait être abordé globalement. À son avis, il faudrait prendre des mesures législatives pour favoriser les recours au civil pour prévenir les détournements de renseignements; c’est pourquoi le Sous-comité a recommandé que les lois applicables en la matière (concernant notamment le droit d’auteur, les brevets, le secret industriel, etc…) soient réévaluées et modifiées au besoin.

B. Solutions législatives
1. Loi de 1985 modifiant le droit pénal

Les modifications législatives apportées au Code criminel sont entrées en vigueur le 4 décembre 1985. Elles s’inspirent substantiellement des recommandations du Sous-comité sur les infractions relatives aux ordinateurs. D’une part, l’utilisation non autorisée d’un ordinateur est interdite par l’article 342.1, qui dispose :

342.1(1) Quiconque, frauduleusement et sans apparence de droit :

a) directement ou indirectement, obtient des services d’ordinateur;

b) au moyen d’un dispositif électromagnétique, acoustique, mécanique ou autre, directement ou indirectement, intercepte ou fait intercepter toute fonction d’un ordinateur;

c) directement ou indirectement utilise ou fait utiliser un ordinateur dans l’intention de commettre une infraction prévue à l’alinéa a) ou b) ou une infraction prévue à l’article 430 concernant des données ou un ordinateur,

est coupable d’un acte criminel et passible d’un emprisonnement maximal de dix ans ou d’une infraction punissable sur déclaration de culpabilité par procédure sommaire.

(2) Les définitions qui suivent s’appliquent au présent article . […]

« ordinateur » : Dispositif ou ensemble de dispositifs connectés ou reliés les uns aux autres, dont l’un ou plusieurs d’entre eux :

a) contiennent des programmes d’ordinateur ou d’autres données;

b) conformément à des programmes d’ordinateur :

(i) soit exécutent des fonctions logiques et de commande,

(ii) soit peuvent exécuter toute autre fonction.

« programme d’ordinateur » : Ensemble de données qui représentent des instructions ou des relevés et qui, lorsque traités par l’ordinateur, lui font remplir une fonction.

« service d’ordinateur » : S’entend notamment du traitement des données de même que la mémorisation et du recouvrement ou du relevé des données.

D’autre part, l’article 430 proscrit le méfait concernant des données en ces termes :

(1.1.) Commet un méfait quiconque volontairement, selon le cas :

a) détruit ou modifie des données;

b) dépouille des données de leurs sens, les rend inutiles ou inopérantes;

c) empêche, interrompt ou gêne l’emploi légitime des données;

d) empêche, interrompt ou gêne une personne dans l’emploi légitime des données ou refuse l’accès aux données à une personne qui y a droit. [...]

(5) Quiconque commet un méfait à l’égard de données est coupable :

a) soit d’un acte criminel et passible d’un emprisonnement maximal de dix ans;

b) soit d’une infraction punissable sur déclaration de culpabilité par procédure sommaire.

(5.1) Quiconque volontairement accomplit un acte ou volontairement omet d’accomplir un acte qu’il a le devoir d’accomplir, si cet acte ou cette omission est susceptible de constituer un méfait qui cause un danger réel pour la vie des gens ou de constituer un méfait à l’égard de biens ou de données est coupable :

a) soit d’un acte criminel et passible d’un emprisonnement maximal de cinq ans;

b) soit d’une infraction punissable sur déclaration de culpabilité par procédure sommaire. […]

(8) Au présent article, « données » s’entend au sens de l’article 342.1.

Ces mesures permettent d’éviter les problèmes qui auraient pu résulter du fait de traiter les données informatiques comme des biens auquel peut être rattaché un droit de propriété. En insistant sur l’interdiction de poser certains actes relatifs aux données informatiques, plutôt que sur leur propriété, il devient effectivement possible de se prononcer sur le genre de méfaits commis dans les affaires McLaughlin et Stewart sans toutefois s’aventurer dans l’aspect plus délicat de la propriété de l’information.

2. Loi modifiant la Loi sur le droit d’auteur, L.C. 1988, c. 15

Également dans l’esprit des recommandations du Sous-comité, d’autres mesures ont été prises concernant l’appropriation non autorisée du matériel informatique. Depuis les modifications apportées à la Loi sur le droit d’auteur en 1988, la définition d’« oeuvres littéraires » englobe les « programmes d’ordinateur », de sorte que ceux-ci sont par le fait même protégés. Or, en plus de permettre des recours civils, la Loi considère l’atteinte aux droits d’auteur comme un délit punissable sur déclaration de culpabilité par procédure sommaire ou par voie de mise en accusation. En outre, dans les deux cas, les peines imposées pour ce genre de délit peuvent maintenant atteindre un million de dollars et cinq ans d’emprisonnement.

* Ce document est inspiré d’une recherche effectuée par Donald Macdonald.

(1) T. Whiteside, Computer Capers, New York, Crowell and Co., 1978, p. 2.

(2) J. Becker, The Investigation of Computer Crime, Washington, département de la Justice des États-Unis, 1980, p. 1.

(3) D. Ingraham, « On Charging Computer Crime », Computer Law Journal, vol. 2, 1980, p. 429 (traduction).

(4) Canada, Changing Times: Banking in the Electronic Age, Ottawa, Comité directeur interministériel des systèmes de paiements électroniques, 1979, p. 250.

(5) Département de la Justice des États-Unis, Bureau de la Statistique de la Justice, Washington (D.C.), Comptuer Crime ? Criminal Justice Resource Manual, 1979, p. 9.

(6) Ibid., p. 10. Il a été appréhendé quand un vérificateur, alerté par le revenu anormalement élevé inscrit sur sa formule d’impôt, a décidé de mener une enquête poussée.

(7) Ibid., p. 13-16.

(8) Ibid., p. 23.

(9) D. Parker, Crime by Computer, New York, Scribner’s, 1976.

(10) Whiteside, (1978), p. 115-126.

(11) S. Sokolik, « Computer Crime ? The Need for Deterrent Legislation », Computer Law Journal, vol. 2, 1980, p. 353-359.

(12) Canada, Changing Times : Banking in the Electronic Age, p. 253.

(13) J. Taber, « A Survey of Computer Crime Studies », Computer Law Journal, vol. 2, 1980, p. 275.

(14) Pour un récit plus détaillé voir : J. Becker « Rifkin, A Documentary History », Computer Law Journal, vol. 2, 1980, p. 471.

(15) Taber (1980), p. 311-327.

(16) R. Kling, « Computer Abuse and Computer Crime as Organizational Activities », Computer Law Journal, vol. 2, 1980, p. 403-406.

(17) Canada, Changing Times : Banking in the Electronic Age, p. 263 et 266.

(18) Dans l’affaire R. c. McMullen (1979), 47 C.C.C. (2d) 499, la Cour d’appel de l’Ontario a posé, comme condition à la recevabilité des imprimés d’ordinateurs en preuve, l’obligation de faire état des étapes du processus intégral de tenue des dossiers (c.-à-d. la saisie des donnés, ainsi que le stockage, l’extraction et la présentation de l’information); en revanche, le même tribunal a par la suite décidé, dans l’affaire R. c. Bell and Bruce (1982), 65 C.C.C. (2d) 377, que les imprimés d’ordinateurs constituaient des « registres » aux termes du paragraphe 29(2) de la Loi sur la preuve au Canada et qu’ils étaient, par conséquent, recevables en preuve. Ce jugement a par la suite été confirmé par la Cour suprême du Canada (Bruce c. La Reine, [1985] 2 R.C.S. 287). Sans doute que les tribunaux d’aujourd’hui reconnaîtraient la recevabilité des éléments de preuve informatiques. Il n’en demeure pas moins que ces normes de recevabilité resent à définir. Kenneth L. Chasse, « Business Documents: Admissibility of Computer-Produced Records », Crown Newsletter, 1991, p. 27.

(19) Paragraphe 287(1) du Code criminel.

(20) Paragraphe 387(1) du Code criminel.

(21) R. c. Christensen et al. (1978), Chitty’s Law Journal, vol. 26, p. 348-353.

(22) La Reine c. McLaughlin (1979), 12 C.R. (3d) 391.

(23) (1980), 18 C.R. (3d) p. 339-345, par Laskin, J.C.

(24) Ibid., p. 349.

(25) La Reine c. Stewart (1982), 68 C.C.C. (2d) 305 (Haute cour de l’Ontario); (1983), 35 C.R. (3d) 105 (Cour d’appel de l’Ontario); (1988), 50 D.L.R. (4^e) 1, C.S.C.

(26) Les dispositions pertinentes du Code criminel stipulent que :

283(1) Commet un vol, quiconque prend frauduleusement et sans apparence de droit, ou détourne à son propre usage ou à l’usage d’une autre personne, frauduleusement et sans apparence de droit, une chose quelconque, animée ou inanimée, avec l’intention,

a) de priver, temporairement ou absolument, son propriétaire, ou une personne y ayant un droit de propriété spécial ou un intérêt spécial, de cette chose ou de son droit ou intérêt dans cette chose.

[…]

b) d’agir à son égard de telle manière qu’il soit impossible de la remettre dans l’état où elle était au moment où elle a été prise ou détournée.

338(1) Est coupable d’un acte criminel quiconque, par la supercherie, le mensonge ou d’autres moyens dolosifs, constituant ou non un faux semblant au sens de la présente loi, frustre le public ou toute personne, déterminée ou non, de quelque bien, argent ou valeur.

(27) Procès-verbaux et témoignages du Sous-comité sur les infractions relatives aux ordinateurs du Comité permanent de la justice et des questions juridiques, 32^e législature, première session, 1980-1981-1982-1983, fascicules n^os 1 à 17.

(28) Ibid., fascicule n^o 18.