Phénomènes cybercriminels - Jusletter

Mark Spas

Phénomènes cybercriminelsDescriptions et réponses juridiques

L’auteur énumère les phénomènes cybercriminels de manière non-exhaustive, endonnant pour chacun une description détaillée ainsi qu’une réponse juridique. Lacontribution se veut facile d’accès et utile pour les praticiens notamment.

Catégories d’articles: ContributionsDomaines juridiques: Droit pénal et droit de l’informatique; Droit pénal suissepartie spéciale

Proposition de citation: Mark Spas, Phénomènes cybercriminels, in : Jusletter 10 novembre 2014

ISSN 1424-7410, http://jusletter.weblaw.ch, Weblaw AG, [email protected], T +41 31 380 57 77

Mark Spas, Phénomènes cybercriminels, in : Jusletter 10 novembre 2014

Table des matières

1 L’usurpation d’identité1.1 Description1.2 Réponse juridique

2 Phishing2.1 Description2.2 Réponse juridique

3 Hacking3.1 Le piratage de compte (ou account hijacking)3.2 Piratage de sites Web (Website hacking)3.3 Réponse juridique

4 Malware4.1 Description4.2 Réponse juridique

5 Botnets (ou réseau de zombies)5.1 Description5.2 Réponse juridique

6 DoS / DDoS6.1 Description6.2 Réponse juridique

7 La Cyber-escroquerie7.1 Description

7.1.1 Escroqueries générales via des sites web, des plates-formes de ventes aux en-chères et de petites annonces

7.1.1.1 Les magasins en ligne frauduleux7.1.1.2 Les fausses annonces immobilières7.1.1.3 L’escroquerie aux services escrow ou de transport7.1.1.4 L’escroquerie par fausses confirmations/suspensions de paiement

7.1.2 Fraude à la commission7.1.3 «ăRomance scamă» (arnaque aux sentiments)7.1.4 L’aide financière par usurpation d’identité7.1.5 Les faux ordres de virement internationaux (abrégéă: FOVI)7.1.6 Les faux appels de type «ăMicrosoftă»

7.2 Réponse juridique8 Cybersex

8.1 Sextortion8.1.1 Description

8.1.1.1 Réponse juridique8.2 Sexting

8.2.1 Description8.2.2 Réponse juridique

8.3 Grooming8.3.1 Description8.3.2 Réponse juridique

8.4 La pornographie (p.ex. «ăteen modellingă»)9 Cyber-concurrence déloyale

9.1 SPAM9.1.1 Description9.1.2 Réponse juridique

9.2 Le Cybersquatting9.2.1 Description

9.2.1.1 Réponse juridique9.3 Les commentaires négatifs frauduleux

9.3.1 Description

2


9.3.2 Réponse juridique9.4 L’utilisation frauduleuse d’une forme juridique

9.4.1 Description9.4.2 Réponse juridique

10 Le Cyber-blanchiment10.1 Description10.2 Réponse juridique

11 De quelques infractions liées à la cybercriminalité11.1 La soustraction de données (art. 143 CP)11.2 L’accès indu à un système informatique (art. 143bis CP)11.3 La détérioration de données (art. 144bis CP)11.4 L’utilisation frauduleuse d’un ordinateur (art. 147 CP)11.5 Pornographie (art. 197 CP)11.6 Mise en circulation et réclame en faveur d’appareils d’écoute, de prise de son et de prisede vues (art. 179sexies CP)11.7 Violation du domaine secret ou du domaine privé au moyen d’un appareil de prises devues (art. 179quater CP)

1 L’usurpation d’identité

1.1 Description

[Rz 1] Il n’y a pas de définition universellement acceptée de la notion d’usurpation d’identité1.Nonobstant le caractère mouvant de l’usage de cette notion, on entend généralement par « usur-pation d’identité » : « des infractions pénales qui consistent à obtenir et à utiliser defaçon frauduleuse (à l’ insu et sans le consentement) les données personnelles d’uneautre personne »2. Le terme « fraude à l’identité » est parfois utilisé comme synonyme, bienqu’il englobe aussi le fait d’utiliser une fausse identité qui n’est pas nécessairement réelle3. Lesdonnées personnelles concernant une personne réelle ou fictive peuvent être utilisées à des fins mal-veillantes pour commettre de nombreux actes illicites : falsification de documents ou de donnéesinformatiques (surtout lors de l’obtention d’une fausse identité), atteinte à l’honneur (diffamati-on, calomnie, etc.), traitement illicite de données personnelles (y compris des données sensiblesou des profils de la personnalité), infractions contre le patrimoine (en particulier l’escroquerie), leblanchiment d’argent, etc.

[Rz 2] Une usurpation d’identité peut se décomposer en trois phases4 :

• phase 1 : l’acquisition des informations personnelles. Cette acquisition peut se faire par diversmoyens tels que le vol physique, l’utilisation de moteurs de recherches, le hameçonnage ( «phishing », cf. point 2). L’obtention d’informations peut évidemment aussi se faire à l’aide de «malwares » (cheval de Troie, Keyloggers, Spyware, etc., cf. point 4) ainsi que d’autres attaquesinformatiques ayant pour but d’accéder indûment à des systèmes informatiques ( « brute force», « attaque par dictionnaire », etc.).

1 Comité de la Convention Cybercriminalité (T-CY), note d’orientation nř4, « fraude par usurpation d’ identitéet hameçonnage », adoptée lors de la 9ème réunion plénière du T-CY, juin 2013 (disponible via le lien suivant: http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/T-CY%282013%298FREV_GN4_id%20theft_V10adopted.pdf).

2 Ibidem.3 Comité de la Convention Cybercriminalité (T-CY), note d’orientation nř4, op. cit. (note 1).4 Ibidem.

3

http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/T-CY%282013%298FREV_GN4_id%20theft_V10adopted.pdf

http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/T-CY%282013%298FREV_GN4_id%20theft_V10adopted.pdf


• phase 2 : la possession et la cession des données personnelles (p.ex., la vente de ces informationsà autrui).

• phase 3 : l’utilisation des renseignements personnels pour se livrer à des activités frauduleusesou commettre d’autres infractions, par exemple en prenant l’identité d’une autre personnepour exploiter des comptes en banque ou des cartes de crédit, ouvrir de nouveaux comptes,contracter des prêts et crédits, commander des biens et services ou diffuser des programmesmalveillants.

[Rz 3] En résumé, l’usurpation d’identité n’est bien souvent qu’un acte préparatoire, parfois néces-saire à la commission d’autres agissements criminels, comme la fraude informatique (y compris lehameçonnage et les conduites analogues).

1.2 Réponse juridique

[Rz 4] La plupart des ordres juridiques n’ont pas créé d’infraction spécifique réprimant la seuleusurpation d’identité. Cela peut venir du fait que les auteurs d’usurpation d’identité commettentgénéralement d’autres délits plus graves, comme la falsification de documents ou de données infor-matiques lors de l’obtention d’une fausse identité, des infractions contre le patrimoine, ou encorele blanchiment d’argent.

[Rz 5] Contrairement au droit pénal italien et français qui punissent la seule usurpation d’identité,jusqu’à un an d’emprisonnement et 15’000 euros d’amende s’agissant du droit français (art. 222-16-1 de la loi d’orientation et de programmation pour la performance de la sécurité intérieure[LOPPSI II]), l’usurpation d’identité n’est en soi pas punissable en droit suisse. Le Conseil fédérala d’ailleurs refusé de légiférer en la matière estimant que l’usurpation d’identité n’est quasimentjamais un but en soi, mais sert le plus souvent une intention spécifique, telle qu’exprimée dans lesinfractions mentionnées ci-dessous (liste non exhaustive)5 :

• une atteinte à l’honneur (art. 173 ss du Code pénal [CP], regroupant notamment ladiffamation, la calomnie et l’injure) ;

• si l’auteur se fait passer pour un fonctionnaire, c’est l’art. 287 CP (usurpation de fonctions)qui s’applique ;

• une atteinte aux droits de la personnalité (art. 28 ss. du Code civil [CC], ainsi que la Loifédérale sur la protection des données [LPD]) ;

• une violation du domaine secret au sens de l’art. 179quater CP, deuxième hypothèse ;• une soustraction de données (art. 143 et 179novies CP) ;• un accès indu à un système informatique (art. 143bis CP) ;• une détérioration de données (art. 144bis CP) ;• un faux dans les titres (art. 251 CP).• une utilisation frauduleuse d’un ordinateur (art. 147 CP)• une escroquerie (art. 146 CP)

5 http://www.parlament.ch/f/suche/pages/geschaefte.aspx?gesch_id=20133726 (réponse du Conseil fédéral du6 novembre 2013 à la motion de M. Jean Christophe Schwaab). http://www.parlament.ch/f/suche/pages/geschaefte.aspx?gesch_id=20143288 (réponse du Conseil fédéral du 21 mai 2014 à la motion de M. RaphaëlComte).

4

cavallostar.ch/plaintext/speisekarte/pizzafan/index.html

http://www.admin.ch/opc/fr/classified-compilation/19370083/index.html



http://www.parlament.ch/f/suche/pages/geschaefte.aspx?gesch_id=20133726




2 Phishing

2.1 Description

[Rz 6] Le terme anglais « phishing » est la contraction des mots « password » (mot de passe) et «fishing » (pêcher). En français, le mot « phishing » se traduit par « hameçonnage » et « filoutage»6.

[Rz 7] L’hameçonnage est une technique utilisée par des fraudeurs pour obtenir desrenseignements personnels dans le but de perpétrer une ou plusieurs infractions liéesà l’usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à untiers de confiance banque, administration, etc. afin de lui soutirer des renseignements personnels: mot de passe, numéro de carte de crédit, date de naissance, etc. C’est une forme d’attaqueinformatique reposant sur l’ingénierie sociale (manipulation consistant à obtenir un bien ou uneinformation, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes ; on parleégalement de « faille humaine »)7. Elle peut se faire par courrier électronique et/ou par des sitesweb falsifiés, ou encore via d’autres moyens électroniques.

[Rz 8] Le mode opératoire classique consiste à envoyer un grand nombre de courriels avec uneadresse d’expédition falsifiée ou imitée. Ces courriels informent la victime potentielle que ses don-nées de connexion (nom d’utilisateur et mot de passe) pour un site d’enchères, par exemple, nesont plus sûrs ou plus à jour, et qu’elles doivent être reconfirmées au moyen d’un lien présent dansle message. L’adresse de l’expéditeur ayant été falsifiée ou imitée, le lien en question n’amèneradonc pas l’internaute sur la page originale du site légitime (dans ce cas le site d’enchères), maissur une page très semblable et montée de toute pièce par les escrocs. Si l’internaute introduit sesinformations personnelles sur cette page il devient immédiatement « victime », car les escrocs nevont évidemment pas tarder à s’en servir.

[Rz 9] De manière générale, les escrocs ignorent dans quelle banque la victime possède un compte,mais préfèrent miser sur les envois en masse de leurs courriers électroniques. Par conséquent, ilarrive souvent que ces tentatives d’obtention illégale de données d’identification échouent chez despersonnes qui n’ont rien à voir avec l’institut financier visé par l’attaque.

[Rz 10] Il existe plusieurs variantes pour réaliser du « phishing » :

• le « spear phishing » : contrairement à l’hameçonnage traditionnel basé sur l’envoi d’unmessage générique à un grand nombre de destinataires, le « spear phishing » se focalise sur unnombre limité d’utilisateurs auquel est envoyé un message fortement personnalisé8 ;

• le « vishing » : il s’agit de l’utilisation de la technologie VoIP (voix sur IP ou voice over IP)dans le but de duper quelqu’un en lui faisant divulguer des informations personnelles et/oufinancières9 ;

• le « smishing » : c’est l’équivalent du « phishing » réalisé par SMS10.

[Rz 11] Il existe d’autres techniques, non basées sur l’ingénierie sociale, mais néanmoins assezproches du « phishing » classique dans le sens où la victime est trompée par un faux site web ou

6 http://www.cybercrime.admin.ch/content/kobik/fr/home/themen/phishing.html.7 http://www.securite-informatique.gouv.fr/gp_rubrique33.html.8 http://fr.wikipedia.org/wiki/Spear_phishing.9 http://www.gendarmerie.interieur.gouv.fr/fre/Sites/Gendarmerie/A-la-loupe/Le-vishing.10 http://www.journaldunet.com/solutions/0608/060831-smishing.shtml.

5

http://www.securite-informatique.gouv.fr/gp_rubrique33.html

http://fr.wikipedia.org/wiki/Spear_phishing

http://www.gendarmerie.interieur.gouv.fr/fre/Sites/Gendarmerie/A-la-loupe/Le-vishing

http://www.journaldunet.com/solutions/0608/060831-smishing.shtml


une fausse fenêtre :

• le « pharming » : est une technique de piratage informatique exploitant des vulnérabilitésDNS (Domain Name System, soit le protocole chargé de la résolution des noms de domaineen adresses IP)11. Cette technique vise à ce que pour une requête DNS relative à un nom dedomaine spécifique, ce ne soit pas l’IP réelle du nom de domaine qui soit donnée mais celle d’unsite frauduleux12. Les pirates y parviennent généralement par deux moyens : soit ils modifientà leur avantage les données du serveur DNS local, soit ils se servent d’un logiciel malveillant(cf. point 4 « malware ») qui va changer les paramètres réseaux du système informatique dela victime13 ;

• le « in session phishing » : cela consiste, comme le « phishing » classique, à récupérerdes informations confidentielles chez la cible en lui faisant croire que sa banque ou un autreorganisme de confiance lui demande des informations sensibles. Seulement ici, l’attaque inter-vient généralement durant l’utilisation d’un site de confiance sécurisé14. Une fenêtre « pop-up »s’affiche (le plus souvent par l’exécution d’un code JavaScript) invitant l’internaute à réinscrireson identifiant et son mot de passe. Une fois les informations validées, l’instigateur de l’attaquepeut les réutiliser15.


[Rz 12] Alors que la réponse juridique semble assez aisée à l’égard du « pharming » et du « insession phishing » (il y a notamment une détérioration de données au sens de l’art. 144bis CP et,suivant les cas, une soustraction de données ou un accès indu à un système informatique, art. 143et 143bis CP), elle l’est beaucoup moins s’agissant de la composition et de l’envoi de courriels «phishing » ; une punissabilité ne pouvant être envisagée que sous l’angle du faux dans les titres(art. 251 du CP). Si les éléments constitutifs objectifs de cette infraction ne sont pas réalisés, lacréation et l’expédition de courriels de « phishing » n’est en principe pas punissable16 :

• au sens de CP 143 : il n’y a pas de soustraction de données, parce que l’auteur n’a pas dûsurmonter des mesures de sécurité protégeant les données. Spontanément, la victime transmetà l’auteur les données parce qu’elle se trompe sur l’identité de celui-ci (cf. point 11.1)17.

• l’accès indu à un système informatique selon l’art. 143bis CP n’est pas non plus réalisé;l’auteur d’un courriel « Phishing » ne surmonte ou désactive aucunes barrières d’accès (cf.point 11.2)18.

• l’état de fait de CP 179novies (soustraction de données personnelles) n’est en principepas non plus réalisé, parce que des données d’accès de compte ne sont pas des données person-nelles sensibles ou des profils de la personnalité au sens de la LPD (cf. art. 3 let. c et d LPD).

11 http://fr.wikipedia.org/wiki/Pharming.12 Ibidem.13 http://fr.wikipedia.org/wiki/Pharming.14 http://fr.wikipedia.org/wiki/In-session_phishing.15 Ibidem.16 Matthias Ammann, « Sind Phishing-Mails strafbar ? » AJP 2006, p. 195 ss. Traduction : Flurin von Planta.17 Ibidem.18 Matthias Ammann, op. cit. (note 16), p. 195 ss, Traduction : Flurin von Planta.

6

http://fr.wikipedia.org/wiki/Pharming

http://fr.wikipedia.org/wiki/Pharming

http://fr.wikipedia.org/wiki/In-session_phishing


Même en présence de telles données, l’art. 179novies CP ne semble pas pouvoir s’appliques, carl’auteur doit avoir soustrait les données d’un « fichier » (art. 3 let. g LPD)19.

• le faux dans les titres : pour déterminer si les sites Internet ainsi que les courriels envoyéspar les cybercriminels à leurs victimes peuvent constituer un faux dans les titres numériques(art. 110 al. 4 et 251 ch. 1 CP), plusieurs conditions doivent être remplies20. En premier lieu,il faut être en présence d’un titre au sens de l’art. 110 al. 4 CP21. Selon cette disposition,sont des titres tous les écrits ou signes destinés et propres à prouver un fait ayant une portéejuridique (art. 110 al. 4 principio CP). Les données sont assimilées à un écrit (art. 110 al.4 in fine CP). « Propre à prouver » veut dire que l’écrit peut être utilisé pour prouver unfait, alors que « destiné à prouver » signifie que l’écrit doit avoir été conçu pour servir depreuve22. Cette preuve doit se rapporter à un fait ayant une portée juridique, soit un fait quia une incidence sur la création, la modification ou la suppression d’un droit23. Dès lors, laquestion de savoir si un site web ou un courriel constitue un titre au sens de l’art.110 al. 4 CP doit s’analyser en fonction des circonstances24. Dans ce sens, un courrierélectronique aura la qualité de titre s’il demande au destinataire, par exemple, de fournir sesdonnées de compte ou de carte de crédit afin de renouveler les données ou pour des motifsde sécurité dans le but de bloquer la carte de crédit ou éviter la fermeture du compte25. Parailleurs, une prise de connaissance d’un tel courriel n’est pas nécessaire pour que l’infractionde faux dans les titres soit consommée26. À l’égard des sites web frauduleux, ceux-ci pourrontêtre considérés comme des titres, notamment lorsqu’ils imitent des sessions de e-banking devéritables organismes bancaires, soit, en d’autres termes, que ces sites usurpent l’identité deces organismes27.

[Rz 13] Sous l’angle des éléments constitutifs subjectifs au sens de l’art. 251 CP, il faut que l’auteurait agi intentionnellement et dans le dessein de nuire à autrui ou d’obtenir un avantage illicite28.L’avantage illicite s’interprète largement, il peut être patrimonial ou de toute autre nature29. Selonla jurisprudence, il suffit que l’auteur souhaite améliorer sa situation personnelle30. Ainsi, cettecondition est réalisée lorsque l’auteur d’un courriel de « phishing » tente d’obtenir des donnéesconfidentielles dans le but de les revendre ou de les utiliser31.

• La question de la réalisation de l’escroquerie au sens de l’art. 146 CP ou celle de l’art.147 CP concernant l’utilisation frauduleuse d’un ordinateur ne se pose qu’au moment

19 Ibidem.20 Jérémie Müller, La Cybercriminalité économique au sens étroit, Schultess, Zurich, 2012, p. 82.21 Ibidem.22 Jérémie Müller, op. cit. (note 20), p. 82.23 Jérémie Müller, op. cit. (note 20), p. 82.24 Ibidem.25 Jérémie Müller, op. cit. (note 20), p. 82.26 Ibidem.27 Jérémie Müller, op. cit. (note 20), p. 82.28 Ibidem, p. 83.29 Bernard Corboz, « les infractions en droit suisse » Volume 2, 3ème édition, Stämpfli SA, Berne 2010, p.

265, ph. 179 ss.30 ATF 129 IV 160, consid. 3.5.31 Jérémie Müller, op. cit. (note 20), p. 83.

7

http://entscheide.weblaw.ch/cache/f.php?url=links.weblaw.ch%2FBGE-129-IV-155


de l’utilisation des données recueillies par le « phishing »32. En réalité, c’est l’art. 147 CPqu’il y a lieu de retenir et non l’art. 146 CP33. Le fait d’envoyer des courriels de « phishing »constitue un acte préparatoire pour une utilisation frauduleuse d’un ordinateur selon l’art. 147CP34. Conformément à l’art. 260bis CP, un tel acte préparatoire n’est pas punissable en droitsuisse (contrairement à la situation en Allemagne), car l’art. 147 CP ne fait pas partie de laliste exhaustive des infractions dont les actes préparatoires sont punissables. « Ce n’est qu’aumoment du transfert bancaire, soit au moment de l ’utilisation des données obtenues parle « phishing » que les agissements deviennent punissables sous l’empire de l’art.147 CP . Ce n’est que si l ’ auteur décide de se servir des données soustraites pour ouvrir unesession à la place de sa victime et effectuer un paiement ou un transfert d’argent en lignequ’ il se rendra coupable d’utilisation frauduleuse d’un ordinateur (art. 147 al. 1 CP) — etnon d’escroquerie — puisque l’auteur trompe une machine, et non un être humain,par l’utilisation indue de données ». À noter que l’art. 148 CP réprimant l’abus decartes-chèques et de cartes de crédit n’est pas applicable, car cette infraction n’estréalisable que par le titulaire de la carte35.

3 Hacking

[Rz 14] Le « hacking » consiste à s’introduire illégalement dans le système informatiqued’autrui. Le terme « hacker » peut désigner autant une personne mal intentionnée qui va tenter des’introduire dans un système informatique afin d’y installer des programmes malveillants (cf. point4 ci-dessous « malware »), voler des données confidentielles, s’adonner à l’usurpation d’identité,etc., qu’une personne recherchant des failles de sécurité pour participer à leur correction et ainsicontribuer à une meilleure sécurité de l’informatique en général. Le « hacker » ne cherche pasnécessairement un profit pécuniaire dans les actions qu’il réalise. Le « hacker » peut agir notam-ment par plaisir, jeu, convictions religieuses ou politiques (dans ces deux derniers cas, le terme «hacktivisme » est souvent utilisé).

[Rz 15] Il n’est pas question de faire ici une liste des techniques de « hacking » et encore moins deles expliquer, tant celles-ci sont nombreuses et complexes. Il convient plutôt de donner de brèvesexplications sur le piratage de compte (ou « account hijacking ») et le défaçage de sites web (enanglais : « website defacement »).

3.1 Le piratage de compte (ou account hijacking)

[Rz 16] L’« account hijacking » désigne le fait de s’introduire illégalement dans lecompte ou l’espace privé d’une personne afin ensuite de réaliser diverses infractions.Il peut s’agir d’un compte de messagerie, d’un réseau social, d’un compte bancaire, etc. Les «hackers » y parviennent par plusieurs méthodes, dont, par exemple, le « phishing », à l’aide de

32 Matthias Ammann, op. cit. (note 16), p. 195 ss, Traduction : Flurin von Planta.33 Ibidem.34 Matthias Ammann, op. cit. (note 16), p. 195 ss, Traduction : Flurin von Planta.35 Jérémie Müller, op. cit. (note 20), p. 95.

8


« malware », mais également par les techniques dites par « force brute » et par « dictionnaire ».Ces deux dernières méthodes consistent à essayer un grand nombre de combinaisons : toutes lescombinaisons possibles en fonction d’un certain nombre de caractères s’agissant de l’attaque par «force brute », et une grande série de mots de passe potentiels pour l’attaque par « dictionnaire ».Ces deux types d’attaques fonctionnent bien lorsque les mots de passe d’accès à des comptes sontcourts et/ou trop courants, raison pour laquelle il est toujours hautement recommandé de créerdes mots de passe d’une certaine longueur, mêlant des chiffres, des lettres et caractères spéciaux.

[Rz 17] Une fois qu’ils se sont introduits dans les comptes de leurs victimes, les « hackers » peuventréaliser plusieurs méfaits en usurpant ou non l’identité du titulaire du compte piraté, comme parexemple, soustraire des données personnelles, voire sensibles ou des profils de la personnalité,requérir une aide financière auprès des contacts du compte (cf. point 7, « cyber escroquerie »),modifier des données enregistrées sur le compte, effectuer des opérations financières frauduleuses,récupérer d’autres mots de passe relatifs à d’autres comptes en ligne, perpétrer d’autres attaquesinformatiques au nom du titulaire du compte piraté et ainsi brouiller les pistes, etc.

3.2 Piratage de sites Web (Website hacking)

[Rz 18] Les « hackers » tentent également de pénétrer dans les serveurs de sites et/oude modifier leur contenu, voire d’en soutirer des données (p.ex. des données de cartes decrédit des clients). Pour ce faire, plusieurs techniques existent et elles reposent presque toutes surune faille du site web ou du système d’exploitation du serveur Web. Parmi celles résultant d’unefaille du site Internet, citons en particulier le cross site scripting (ou attaque XSS) et les injectionsSQL. Dans les deux cas, il s’agit d’introduire du code informatique dans les champs formulaire dusite web visé ou dans la barre d’adresse du navigateur.

[Rz 19] Le piratage de sites Web, lorsqu’il est réalisé de manière illicite, peut viser plusieurs buts, enparticulier la défiguration pour y afficher, par exemple, des convictions politiques ou religieuses,par défi, mais aussi l’ajout d’une page servant au « phishing », ou tout simplement le vol de données(p.ex. des mots de passe de clients) enregistrées sur le serveur hébergeant le site.

[Rz 20] Un « défacement », défaçage ou défiguration (defacing en anglais) est un anglicismedésignant la modification non sollicitée de la présentation d’un site web. Il s’agit donc de détour-nement de site Web par un « hacker »36. Comme susmentionné, les défigurations sont provoquéespar l’utilisation de failles présentes sur une page Web (via p.ex. des injections SQL consistant àinjecter du code informatique dans les champs formulaire d’un site Internet) ou tout simplementune faille du système d’exploitation du serveur Web37. La plupart du temps, les sites défigurésle sont uniquement sur la page d’accueil38. Le « défacement » n’entraîne pas en soi de perte dedonnées, mais en tout cas une modification39.

36 http://fr.wikipedia.org/wiki/D%C3%A9facement.37 Ibidem.38 http://fr.wikipedia.org/wiki/D%C3%A9facement.39 Ibidem.

9

http://fr.wikipedia.org/wiki/D%C3%A9facement

http://fr.wikipedia.org/wiki/D%C3%A9facement



[Rz 21] Les réponses juridiques face aux « hacking » sont évidemment multiples vu qu’il peutprendre plusieurs formes et viser plusieurs buts. De manière générale, ce sont les articles 143,143bis et 144bis (cf. point 11.1—11.3) qui auront tendance à s’appliquer. Suivant les cas,d’autres dispositions pourront évidemment entrer en ligne de compte en concours avec les articlesprécités, p.ex. l’art. 146 CP concernant l’escroquerie, l’art. 179novies CP traitant de la soustractionde données sensibles ou des profils de la personnalité.

4 Malware

4.1 Description

[Rz 22] Souvent, les pirates informatiques essayent d’installer un « malware » (un programmemalveillant) sur le système informatique de la victime. Après l’installation de ce « malware », lepirate va par exemple pouvoir récupérer toutes les données tapées au clavier (numéros de cartes decrédit, mots de passe ou toute autre information confidentielle). Il pourrait également transformerl’ordinateur en « bot », c’est-à-dire utiliser l’ordinateur piraté comme relais pour l’envoi de pourriels(spams), attaquer d’autres infrastructures informatiques (DDoS) ou effectuer toute activité illégaleen faisant croire que la source du délit est l’ordinateur piraté.

[Rz 23] Concernant plus précisément les logiciels malveillants, il existe des dizaines de milliers deprogrammes malveillants et de nouveaux sont créés chaque jour. Le terme « virus » ne représen-te qu’une partie des menaces : le générique « malware » (programme malveillant), contractionde l’expression anglophone malicious software, convient mieux. Il désigne tout programme oulogiciel spécifiquement conçu ou modifié à des fins malhonnêtes ou frauduleuses40.

[Rz 24] Les « malware » peuvent s’attraper de différentes manières : par une pièce-jointe dans une-mail, par l’échange de clés UBS, ou tout simplement par le téléchargement de logiciels41.

[Rz 25] Les « malware » englobent les virus, les chevaux de Troie, les vers, les « spyware »,les « scareware » ou « rogueware », ainsi que les « ransomware ». Les créateurs de « malware» ou ceux qui les diffusent se servent très fréquemment de l’actualité, d’un évènement, d’un besoinou des sentiments pour inciter les victimes à télécharger le logiciel malveillant.

Virus

[Rz 26] Les virus42 informatiques sont de petits programmes logiciels conçus pour se propagerd’un ordinateur à l’autre et en perturber le fonctionnement. Il s’agit de petits segments de codeexécutable (ou « script ») qui peuvent se greffer à un programme ; ils en modifient alors la structurede manière à se dupliquer dans un autre programme hôte.

[Rz 27] Les virus peuvent prendre plusieurs formes, notamment des images amusantes, cartes devux ou fichiers audio et vidéo, le tout très souvent mis en pièce jointe dans un courriel. Ils peuventcontaminer les fichiers ou programmes normaux, le contenu du secteur de démarrage du disquedur, les commandes d’une application (macro incluse dans le document).

40 http://www.ac-nantes.fr/67553624/0/fiche___pagelibre/&RH=1293182077371.41 http://assistance.orange.fr/virus-ver-cheval-de-troie-les-differencier-878.php.42 http://assistance.orange.fr/virus-ver-cheval-de-troie-les-differencier-878.php.

10

http://www.ac-nantes.fr/67553624/0/fiche___pagelibre/&RH=1293182077371

http://assistance.orange.fr/virus-ver-cheval-de-troie-les-differencier-878.php



[Rz 28] Un virus peut corrompre, soustraire ou supprimer des données de l’ordinateur, utiliser unprogramme de messagerie pour se propager à d’autres ordinateurs ou même effacer tout le contenudu disque dur. Ils peuvent également provoquer un ralentissement de l’ordinateur, une prise decontrôle à distance de l’ordinateur infecté.

Cheval de Troie (ou « Trojan », « Troyen »)

[Rz 29] Un cheval de Troie est un programme qui va se cacher derrière une application utile etinfecter discrètement un système, permettant ainsi d’en prendre le contrôle à distance. Un chevalde Troie n’est en principe pas destiné à se reproduire et est conçu pour une action ciblée. Lessolutions antivirus conventionnelles peuvent détecter et supprimer les virus, mais pas forcément leschevaux de Troie, notamment ceux qui ont déjà pénétré dans le système. Un cheval de Troie peutavoir plusieurs effet, en particulier récupérer des mots de passe ou toute autre donnée confidentielleprésente sur le poste infecté, utiliser la machine infectée comme serveur de données piratées (jeux,films) ou pour attaquer d’autres machines en engageant la responsabilité de la machine infectée.Un cheval de Troie peut donc rapidement transformer l’ordinateur en zombie (cf. « botnets », point5).

Ver

[Rz 30] Contrairement au virus, le ver43 (en anglais « worm ») informatique est un logiciel conçupour se copier lui-même depuis un ordinateur vers un autre ordinateur sans intervention humaine,ceci en utilisant les capacités et faiblesses d’un réseau (faille de sécurité de Windows par exemple).La principale fonctionnalité d’un ver n’est pas destructrice mais consiste avant tout á se reproduire,le plus souvent par courriels ainsi que par l’utilisation de protocoles réseaux.

[Rz 31] Les vers peuvent se dupliquer pour atteindre un nombre considérable. Par exemple, un verpeut envoyer des copies de lui-même à chaque contact d’un carnet d’adresses, pour ensuite envoyerd’autres copies aux contacts des contacts, et ainsi de suite.

[Rz 32] Certains vers se propagent très rapidement. Ils encombrent les réseaux, surchargent etralentissent l’ordinateur, notamment lors de l’affichage de pages web.

Logiciel espion

[Rz 33] Un « logiciel espion »44 ou « spyware » désigne communément un logiciel réalisant, le plussouvent sans obtention d’un accord préalable de la victime, des actions telles que :

• affichage de publicités (« adware ») ;• recueil d’informations personnelles ;• modification de la configuration de votre ordinateur.

[Rz 34] Cela ne signifie pas que tous les logiciels générant des publicités ou suivant les activitésen ligne sont malveillants. Par exemple, si une personne s’abonne à un service de musique gratuit,il peut devoir « payer » ce service en acceptant de recevoir des publicités ciblées. Ainsi, si lesconditions générales sont acceptées, la personne concernée pourra recevoir de la publicité, voireque la société suive ses activités en ligne à l’aide d’un « spyware ».

Faux logiciels de sécurité (ou « rogueware », « scareware »)

[Rz 35] Ces malwares, également connus sous le nom de « scareware »45 ou « rogueware », sont

43 Ibidem.44 http://assistance.orange.fr/virus-ver-cheval-de-troie-les-differencier-878.php.45 http://assistance.orange.fr/virus-ver-cheval-de-troie-les-differencier-878.php.

11




généralement présentés comme antivirus / anti espions ; ils affichent des messages (p.ex. sous formede fenêtre pop-up effrayante et menaçante) proposant le nettoyage du poste informatique, celui-ciétant prétendument « très infecté ». Dans certains cas, le « malware » peut empêcher l’accès aubureau ou le lancement de certains logiciels de sécurité, comme l’antivirus. Par ce biais, les auteursessaient de convaincre les victimes à télécharger, moyennant paiement, un logiciel ou un fichierpour éliminer les soi-disant menaces. Tout comme les menaces affichées sont imaginaires, le logicielest inutile, voire lui-même malveillant.

Les rançologiciels (ou « ransomware »)

[Rz 36] Le « ransomware » est un malware qui, une fois contracté, fait apparaître un messageà l’écran, généralement avec un en-tête d’une autorité de police (on parle alors aussi de « policeransomware »), informant que l’ordinateur de la victime est bloqué suite à des activités illégales surle web (p.ex. consultation de pornographie illégale). Selon le message (qui peut apparaître en fondd’écran, par le biais d’une fenêtre, ou encore dès que le navigateur s’ouvre), il serait possible dedébloquer l’ordinateur à l’aide d’une clé ou d’un code que l’on peut obtenir en payant une certainesomme d’argent. Suivant les variantes, seul le navigateur est affecté, mais certains « ransomware» bloquent complètement l’ordinateur de la victime et cryptent l’entier du disque dur (comme lecélèbre « CryptoLocker »).


[Rz 37] Il n’est pas possible de faire une analyse juridique pour tous les types de « malwares ». Lelecteur est dès lors renvoyé aux dispositions propres à la cybercriminalité, à savoir les articles 143,143bis et 144bis CP, sans exclure l’application concurrente d’autres dispositions évidemment. Anoter que les « malwares », en particulier les « ransomwares », destinés à monnayer la restitutiondes données, la divulgation de l’emplacement des données, la clé de cryptage servant à déchiffrerles données, ainsi que la faille de sécurité utilisée, constituent une extorsion au sens de l’art. 156al. 1 CP. Pour plus de détails, cf. réponse juridique « sextortion », point 8.1.2.

5 Botnets (ou réseau de zombies)

5.1 Description

[Rz 38] Le terme « botnet » peut désigner : « un groupe d’ordinateurs qui ont été contami-nés par des logiciels malveillants (virus informatiques). Un tel réseau d’ordinateurscompromis (« zombies ») peut être activé pour exécuter certaines actions, commeattaquer des systèmes d’ information (cyber attaques). Les « zombies » peuvent êtrecontrôlés, souvent à l’ insu des utilisateurs de ces ordinateurs, par un autre ordina-teur, également appelé « centre de commande et de contrôle »46.

[Rz 39] Grossièrement, il y a trois moyens d’infecter un système informatique : par le biais d’une

46 Comité de la Convention sur la Cybercriminalité (T-CY), note d’orientation nř 2 du T-CY, « Dispositions dela Convention de Budapest visant les botnets », proposition établie par le Bureau pour observations par lesmembres et les observateurs du T-CY et pour examen à la 9ème réunion plénière du T-CY, juin 2013 (dispo-nible via le lien suivant : http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/TCY_2013_6F_GN2_botnets_V5public.pdf).

12

http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/TCY_2013_6F_GN2_botnets_V5public.pdf

http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/TCY_2013_6F_GN2_botnets_V5public.pdf


faille de sécurité (p.ex. dans le système d’exploitation ou dans le navigateur Internet), en craquantles codes d’accès (p.ex. via une attaque « brute force » ou « par dictionnaire », techniques parti-culièrement efficaces si les codes sont faibles), ou encore en envoyant des courriels auxquels sontannexés un programme malveillant déguisé en fichier d’aspect inoffensif47.


[Rz 40] Le fait que les « botnets » soient constitués d’ordinateurs reliés entre eux n’est donc pasun critère pertinent, car il faut un critère d’intention frauduleuse et l’absence d’autorisation48.L’élément essentiel est que les ordinateurs des « botnets » sont utilisés sans autorisation,à des fins criminelles et, généralement, pour causer des dégâts majeurs49. Les « botnets» peuvent réaliser plusieurs infractions en fonction de l’action précise qu’ils accomplissent :

• tout d’abord, la création et l’exploitation d’un « botnet » nécessitent un accès illégal à dessystèmes informatiques (art. 143bis CP)50. D’ailleurs, celui qui met sur pied un système de« fast flux » (système qui permet de dissimuler des sites web malveillants, p.ex. de « phishing», en utilisant les caractéristiques techniques du protocoles DNS, à savoir attribuer plusieursadresses IP à un même nom de domaine pour éviter que le site malveillant soit repéré, du moinspas trop rapidement) à l’aide de « botnets » sans que l’on puisse lui reconnaître la qualité decoauteur, réalise l’infraction de soustraction à l’action pénale (art. 305 CP)51 ;

• ces « botnets » peuvent ensuite utiliser des moyens techniques pour intercepter des transmissi-ons non publiques de données informatiques à destination, en provenance ou à l’intérieur d’unsystème informatique (p.ex. via un « keylogger » puis de les stocker dans un fichier texte quisera ensuite envoyé à l’auteur via Internet)52. Sous l’angle du droit suisse, c’est l’art. 143CP qui s’applique à cette hypothèse, sans oublier l’art. 179novies CP si on est en présence dedonnées personnelles au sens de la LPD. Selon MÜLLER, par opposition à l’utilisation d’unefaille de sécurité et au hacking, l’infection par le biais d’un courriel frauduleux ne tombe passous le coup de l’art. 143bis al. 1 CP, car l’auteur n’accède pas au système informatique de savictime53. L’infection se fait en quelque sorte à distance. Il s’agit uniquement d’un canal parlequel l’auteur peut envoyer des ordres à la machine infectée54 ;

• la création d’un « botnet » altère toujours, et peut endommager, effacer, dégrader ou supprimerdes données informatiques. Ils peuvent également entraver le fonctionnement d’un systèmeinformatique, notamment au moyen d’attaques par déni de service distribué (DDoS)55. C’estl’art. 144bis ch. 1 CP qui trouve application ici. A noter qu’un cybercriminel qui utilise lapuissance de calcul de l’ordinateur d’un tiers pour atteindre ses buts se rend coupable aussid’obtention frauduleuse d’une prestation au sens de l’art. 150 CP, car cette disposition

47 Jérémie Müller, op. cit. (note 20), p. 141.48 Comité de la Convention sur la Cybercriminalité (T-CY), note d’orientation nř 2 du T-CY, op. cit. (note 46).49 Ibidem.50 Comité de la Convention sur la Cybercriminalité (T-CY), note d’orientation nř 2 du T-CY, op. cit. (note 46).51 Jérémie Müller, op. cit. (note 20), p. 149.52 Comité de la Convention sur la Cybercriminalité (T-CY), note d’orientation nř 2 du T-CY, op. cit. (note 46).53 Jérémie Müller, op. cit. (note 20), p. 146.54 Ibidem.55 Comité de la Convention sur la Cybercriminalité (T-CY), note d’orientation nř 2 du T-CY, op. cit. (note 46).

13


punit spécifiquement l’utilisation d’un système de traitement des données qui appartient à untiers et que l’auteur n’est pas autorisé à utiliser56 ;

• dans la mesure où les « botnets » sont tous constitués par le biais de dispositifs illégaux, soitdes logiciels de détérioration de données, leur fabrication, importation, téléchargement, etc.,constitue une infraction (art. 144bis ch. 2 CP, importation, détention de logiciels dedétérioration de données) ;

• selon la façon dont il a été conçu, le « botnet » peut introduire, altérer, effacer ou supprimerdes données informatiques, engendrant des données non authentiques dans l’intention qu’ellessoient prises en compte ou utilisées à des fins illégales comme si elles étaient authentiques57.Les « botnets » peuvent causer la perte d’un bien appartenant à une personne et permettreà une autre personne d’obtenir un bénéfice économique en s’introduisant, altérant, effaçantou supprimant des données informatiques et/ou en portant atteinte au fonctionnement d’unsystème informatique58 ;

• les « botnets » peuvent notamment diffuser des contenus qui relèvent de l’exploitation d’enfants(art. 197 CP), diffuser illégalement des données qui sont protégées par les lois relatives à lapropriété intellectuelle (Loi sur le droit d’auteur ; LDA), envoyer des spams (éventuellement,art. 3 let. o de la loi fédérale contre la concurrence déloyale [LCD]) ou des courrielsde « phishing » (éventuellement, art. 251 CP — faux dans les titres)59.

6 DoS / DDoS

6.1 Description

[Rz 41] « Les attaques DoS (denial of service attack) visent à rendre un service in-disponible pour ses utilisateurs par divers moyens, dont la saturation des ordinateursou réseaux ciblés par des demandes de communication externes, qui ralentit l ’accèsau service pour les utilisateurs légitimes. Les attaques DDoS (Distributed Denial ofService attack) sont des attaques par déni de service exécutées par plusieurs ordi-nateurs en même temps »60. Il existe actuellement plusieurs manières de lancer des attaquesDoS et DDoS, par exemple envoyer des requêtes incorrectes à un système informatique, dépasser lenombre maximal d’utilisateurs ou envoyer un nombre de courriers électroniques supérieur à celuique le serveur peut recevoir et traiter. Dans les deux cas, souvent l’auteur exige le paiement d’unesomme d’argent en échange de la cessation de l’attaque61.

56 Jérémie Müller, op. cit. (note 20), p. 146, 147.57 Comité de la Convention sur la Cybercriminalité (T-CY), note d’orientation nř 2 du T-CY, op. cit. (note 46).58 Ibidem.59 Comité de la Convention sur la Cybercriminalité (T-CY), note d’orientation nř 2 du T-CY, op. cit. (note 46).60 Comité de la Convention sur la Cybercriminalité (T-CY), note d’orientation nř 5 du T-CY, « sur les attaques

DDOS », proposition établie par le Bureau pour observations par les membres et les observateurs du T-CYet pour examen à la 9ème réunion plénière du T-CY, juin 2013 (disponible via le lien suivant : http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/T-CY%282013%2910F_guidanceNote5_DDOS_attacks_V3.pdf

61 Ibidem.

14



http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/T-CY%282013%2910F_guidanceNote5_DDOS_attacks_V3.pdf





[Rz 42] La qualification juridique d’une attaque DDoS est une question controversée en doctrine.Dès lors, la question de la qualification reste ouverte62.

[Rz 43] D’après Morellon, il y a lieu d’appliquer l’art. 179septies CP (utilisation abusived’une installation de télécommunication) à l’égard de l’auteur qui utilise une installationde télécommunication pour mettre hors d’usage le système informatique d’une victime63. Selonl’art. 179septies CP, il faut que l’auteur agisse par méchanceté ou espièglerie. En d’autres termes,l’auteur cherche à se procurer une satisfaction par le dommage ou le désagrément qu’il cause àautrui (la méchanceté), ou il agit un peu follement, par bravade ou sans scrupules afin de satisfaireun caprice momentané (l’espièglerie)64. Sans exclure totalement l’application de cet article, celui-cine s’appliquera pas, faute d’agissement par méchanceté ou d’espièglerie, si l’auteur d’une attaqueDDoS souhaite faire du tort à un concurrent pour en tirer un profit65.

[Rz 44] Puisque une attaque DDoS provoque une mise hors d’usage des données, d’aucuns estimentqu’il faut appliquer l’art. 144bis ch. 1 CP réprimant la détérioration de données, car la victime nepeut plus accéder à ses données66. Une partie de la doctrine rejette cette opinion au motif que lamise hors d’usage au sens de l’art. 144bisCP nécessite une détérioration. Or, une attaque DDoS n’aaucune incidence sur les données en tant que telles67.

[Rz 45] À noter que face à une mise hors d’usage d’un service d’intérêt général (p.ex. l’exploitationd’une entreprise publique de transports ou de communication), il faut envisager l’application del’art. 239 ch. 1 al. 1 CP (entraves aux services d’intérêt général).

[Rz 46] D’après Schwarzenegger, l’attaque DDoS réalise les conditions de la contrainte del’art. 181 CP, bien que cette infraction n’ait pas été prévue à cet effet68. Au sens de cettedisposition, la contrainte exercée sur la victime peut prendre la forme de violence, d’une menaced’un dommage sérieux ou de tout autre acte l’entravant dans sa liberté d’action69. Alors qu’uneattaque DDoS provoque déjà un préjudice à la victime, ce n’est pas la menace d’un dommage sérieuxqu’il faut retenir in casu ni la violence (qui ne vise que l’influence physique par la force humaine),mais l’entrave dans la liberté d’action70. Cette notion doit s’interpréter restrictivement selonla doctrine et la jurisprudence ; l’intensité de l’entrave doit être comparable à la menace d’undommage sérieux ou l’usage de la violence71. Vu le monde numérique dans lequel nous vivonsactuellement, il convient d’admettre d’une mise hors d’usage illicite d’un système informatique

62 Jérémie Müller, op. cit. (note 20), p. 107.63 Laurent Moreillon, « Nouveaux délits informatiques sur Internet », medialex, 2001, p. 24—25.64 ATF 121 IV 137, consid. 5b.65 Jérémie Müller, op. cit. (note 20), p. 157.66 Rolf H. Weber, « E-Commerce und Recht: Rechtliche Rahmenbedingungen elektronischer Geschäftsformen

», 2. Auflage, Zürich, 2010, p. 541 et autres auteurs cités.67 Ibidem.68 Stefan Heimgartner, « Die Internationale Dimension von Internetstraffällen-Strafhoheit und internationale

Rechtshilfe in Strafsachen », in: Schwarzenegger Christian/Arter Oliver/Joerg Florian S. (Hrsg.), Internet-Recht und Strafrecht, 4. Tagungsband, Bern, 2005, p. 126.

69 Jérémie Müller, op. cit. (note 20), p. 158.70 Ibidem.71 Jérémie Müller, op. cit. (note 20), p. 158—159, ATF 119 IV 301 consid. 2a. Contrainte admise par le Tribu-

nal fédéral pour une voiture bloquée pendant 30 minutes (Arrêt du Tribunal fédéral 6B.536/2008 du 5 novem-bre 2008, consid. 3) et même pendant 10 minutes (ATF 119 IV 301, consid. 3), ainsi que dans un cas où uneautoroute avait été bloquée par des manifestants (ATF 134 IV 216, consid. 4.4).

15



http://entscheide.weblaw.ch/cache/f.php?url=links.weblaw.ch%2F05.11.2008_6B_536-2008




constitue une entrave dans la liberté d’action de la victime72. L’art. 181 CP exige en plus quele moyen de contrainte utilisé par l’auteur oblige la victime à faire, à ne pas faire ou à laisserfaire un acte. En l’occurrence, une attaque DDoS oblige la victime à utiliser d’autres moyens decommunication ou d’attendre que l’auteur cesse l’attaque73.

[Rz 47] Dans le cas où l’auteur d’une attaque DDoS souhaite soutirer de l’argent àla victime, c’est l’art. 156 ch. 1 CP (extorsion et chantage, cf. point 8.1.1.1) qui s’applique,sous l’angle de la menace d’un dommage sérieux, et non l’art. 181 CP, car la première dispositionabsorbe la seconde74. En pratique, l’auteur d’une attaque DDoS menace la victime de continuerà ralentir ou bloquer son système informatique si elle ne lui verse pas un certain montant, ce quiréalise la condition de la menace d’un dommage sérieux au sens de l’art. 156 ch. 1 CP. Le caractèresérieux de la menace doit être admis en l’espèce, étant donné l’importance de l’informatique et desréseaux dans notre société actuelle75.

7 La Cyber-escroquerie

7.1 Description

[Rz 48] L’escroquerie (au sens large et non au sens juridique) sur Internet est l’un des délits lesplus courants sur le réseau, essentiellement parce qu’elle peut être réalisée de manière automatiséeet à l’aide d’outils qui rendent leurs auteurs anonymes, d’autant plus qu’il n’y a pas de contactphysique. Souvent aussi, les auteurs veillent à ce que le préjudice des victimes reste suffisammentbas pour éviter qu’elles investissent leur temps dans des recherches et informent les autorités. Ilexiste plusieurs formes de fraude informatique, dont voici les plus courantes :

7.1.1 Escroqueries générales via des sites web, des plates-formes de ventes aux enchèreset de petites annonces

[Rz 49] Il n’est pas possible, non seulement pour des motifs de concisions du présent document,d’énumérer toutes les formes d’escroqueries commises sur les plates-formes d’enchères ou de petitesannonces, mais certaines formes reviennent fréquemment et sont exposées ci-dessous.

[Rz 50] Les auteurs d’escroquerie sur les plates-formes d’enchères en ligne, mais également sur lesplates-formes de petites annonces ou encore via leurs propres sites web, exploitent le fait qu’il n’ya généralement aucun contact physique entre l’acheteur et le vendeur. L’escroquerie consiste leplus souvent à vendre, louer ou céder des objets qui n’existent pas ou que les auteurs nepossèdent pas, puis exiger le paiement, divers frais ou avances avant la remise du bien.Plus rarement, il ne s’agit pas de biens mais de services (p.ex. une offre d’emploi ou debourse d’étude frauduleuse). Si l’escroc joue le rôle d’acheteur, l’escroquerie consisteà exiger la livraison sans avoir l’intention de payer ou en faisant croire qu’un paiementa eu lieu. Sur les sites de ventes aux enchères, une autre forme d’escroquerie consiste,pour un vendeur, à s’associer avec des comparses pour augmenter artificiellement le

72 Jérémie Müller, op. cit. (note 20), p. 159.73 Ibidem.74 Jérémie Müller, op. cit. (note 20), p. 107—108.75 Ibidem.

16


prix.

7.1.1.1 Les magasins en ligne frauduleux

[Rz 51] Les auteurs d’escroquerie sur Internet ne se contentent pas seulement d’utiliser des plates-formes de petites annonces ou de vente aux enchères, ils créent aussi leur propre magasinen ligne. Le professionnalisme de certains sites frauduleux est étonnant et ceux-ci ressemblentparfois fortement à des sites fiables, suscitant ainsi encore plus de confiance au sein des victimespotentielles. Celles-ci sont par ailleurs alléchées par des produits de marque à des prix défiant touteconcurrence. Une fois repérés par les internautes, les escrocs changent simplement leur « enseigne», le nom de domaine du site et quelques éléments de fonds, voire exploitent un seul magasin enligne sous plusieurs dénominations différentes. Pour justifier un envoi et ainsi éviter un blocage desfonds de la part de certains organismes de paiement en ligne, les malfrats envoient de petits objetssans valeurs.

7.1.1.2 Les fausses annonces immobilières

[Rz 52] Les criminels publient une annonce d’un objet immobilier à un prix très allé-chant. Dès qu’une victime répond à l’annonce, l’escroc explique vouloir louer son appartement àun tiers de confiance, car il doit s’en aller à l’étranger pour des raisons professionnelles. À ce stade,les auteurs requièrent diverses données personnelles, y compris une copie des documents d’identitésde la victime. Evidemment, l’appartement est attribué à cette dernière et l’auteur propose rapide-ment une date pour procéder à la visite et mentionne une remise des clés immédiatement à l’issuede la visite. Préalablement à la visite, l’auteur exige un mois de loyer à l’avance en guisede caution, prétextant que d’autres personnes intéressées ne se sont pas rendues à lavisite, lui faisant ainsi perdre du temps. Pour ce faire, l’arnaqueur exige le versement de la cautionvia un service de transfert d’argent qui rend toute traçabilité très difficile. Afin de rassurer la vic-time, l’auteur exhorte la cible à conserver secrètement le numéro de contrôle de la transaction, desorte qu’en cas d’insatisfaction du bien à louer, elle puisse conserver son argent. Malheureusement,pour celles et ceux qui paient, les auteurs peuvent encaisser le montant sans présenter ce numérode contrôle. Pour gagner en crédibilité, les auteurs font également intervenir de faux avocats ounotaires qui doivent se charger de la conclusion du bail, ou encore créent de faussessociétés immobilières à l’aide de sites Internet, dont certains sont très bien réalisés.

7.1.1.3 L’escroquerie aux services escrow ou de transport

[Rz 53] Les véritables sociétés escrow agissent comme des tiers de confiance, ils jouent le rôled’intermédiaire et de gestionnaire des paiements dans les transactions électroniques, là où ache-teurs et vendeurs ne communiquent que par Internet. Une société escrow va garder l’argent dela transaction jusqu’à ce que la marchandise parvienne à l’acheteur puis autoriser le transfert dupaiement au vendeur. Ces sociétés peuvent également agir en tant que médiateurs lorsqu’il y aun différend sur la marchandise livrée. Malheureusement, les cybercriminels créent de fausses so-ciétés escrow, le plus souvent - une fois de plus - par le biais de sites Internet. Ainsi, suivantque l’auteur endosse le rôle d’acheteur ou de vendeur, le vendeur ne recevra aucun versement,respectivement l’acheteur n’obtiendra aucune marchandise.

17


[Rz 54] Il est également observé la création de fausses entités de transport (ou imitant devéritables sociétés) prétendument chargées de livrer des biens se trouvant généralement à l’étrangeret d’encaisser le paiement et/ou des frais au moment de la livraison.

7.1.1.4 L’escroquerie par fausses confirmations/suspensions de paiement

[Rz 55] Les services de paiement en ligne, p.ex. PayPal, sont très réputés. Ils offrent des moyens depaiement rapides et sécurisés. De plus, dans certains cas, leurs conditions générales leur permettentde procéder à un remboursement lorsqu’une marchandise est défectueuse, ne correspond pas à lacommande ou n’a tout simplement pas été livrée. Généralement, un paiement fait via ces servicesoccasionne la réception d’un courriel chez l’acheteur et le vendeur confirmant la transaction. Laparade des cyber-escrocs consiste à imiter ces courriels, tant au niveau du contenuque de l’adresse de messagerie du service de paiement, afin de faire croire au vendeurqu’un paiement a été fait ou est suspendu en attente d’une preuve d’envoi de la marchandise,en espérant toutefois que celui-ci n’ira pas faire de vérifications directes sur son compte auprès duservice de paiement.

7.1.2 Fraude à la commission

[Rz 56] Cette arnaque (également connue sous la dénomination d’arnaque nigériane ou 419 scam)se présente sous la forme d’un e-mail, la plupart du temps envoyé en grande quantité à des per-sonnes indéterminées (soit des spams), dans lequel une personne inconnue affirme qu’ellebénéficiera, dans un proche avenir, d’une très forte somme provenant d’un héritageou d’un fond en déshérence. L’escroc cherche un « associé » pour l’aider à transférerl’argent, bloqué pour diverses raisons, en échange d’un pourcentage. Si la victime accepte, onlui demande continuellement de procéder à divers versements pour couvrir de prétendus frais. Bienentendu, la victime ne recevra aucune récompense. Les victimes sont également invitées à commu-niquer leurs numéros de comptes bancaires et autres données personnelles, ainsi qu’à transmettredes documents signés par leurs soins. Diverses variantes existent, notamment les fausses loteriespar lesquelles les auteurs affirment avoir gagné une forte somme à la loterie ou que la victimea elle-même gagné, alors même que celle-ci n’y a jamais participé. Une fois de plus, divers fraisdoivent être versés pour débloquer les fonds.

7.1.3 «aRomance scama» (arnaque aux sentiments)

[Rz 57] Dans ce type d’arnaque, la victime croit rencontrer l’âme sur. Une complicité se noue au fildes discussions, mais la victime, qui croit dialoguer avec une personne sincère, converseen réalité avec un escroc qui utilisera cette relation pour lui demander de l’argent.La victime est d’abord contactée par le biais d’un simple courriel, d’un réseau social ou encorevia un site de rencontre, généralement par un soi-disant homme très attrayant, plus rarement parune femme. Dans un premier temps, les escrocs tentent de nouer une relation de confiance avecla victime, ceci par le biais de messages d’amour quotidiens, de différentes promesses (mariage,rencontre future, etc.) et de contacts téléphoniques fréquents (p.ex. par Skype). Les malfaiteursutilisent fréquemment de fausses photos et produisent même des documents falsifiés pour mieuxmanipuler leurs victimes. Dans certains cas, en plus de procéder à des recherches d’informationsopen source sur leurs victimes, les escrocs pénètrent dans les espaces privés virtuels des victimes

18


(p.ex. un compte de messagerie) afin de mieux cerner leur profil. Une fois ceci fait, les « arnacoeurs» tentent de soutirer de l’argent aux victimes en avançant divers prétextes, tels que des frais derenouvellement de passeport, des frais de voyage, des frais de soin d’un proche malade, un imprévulors d’un séjour à l’étranger, la création d’une entreprise, voire le renouvellement d’une connexion àInternet, etc. Le moyen de paiement choisi est évidemment un moyen qui rend toute identificationtrès difficile.

7.1.4 L’aide financière par usurpation d’identité

[Rz 58] Un autre phénomène assez proche du « Romance scam » dans le sens où il s’agit égalementde jouer sur les sentiments, mais qui diffère quant à son mode opératoire, consiste à prendrepour cible des proches ou des amis d’une personne par usurpation d’identité. Pource faire, les auteurs s’introduisent p.ex. dans le compte de messagerie ou de réseau social d’unepersonne, puis envoient ensuite un message — souvent en prétextant d’avoir subir uneagression ou un accident lors d’un voyage à l’étranger — à tous les contacts duditcompte en leur demandant une aide financière. Une variante consiste à inviter les cibles àcomposer un numéro payant, évidemment attribué à l’auteur qui en retirera tous les bénéfices, enprétextant là aussi une aide, mais le plus souvent la participation à un concours inexistant.

7.1.5 Les faux ordres de virement internationaux (abrégéa: FOVI)

[Rz 59] Dans sa version classique, une personne se faisant passer pour le directeur d’une société,appelle la banque de celle-ci et l’informe que la société a changé de numéro de téléphone. Il transmetensuite à la banque un ordre de virement international en usurpant la signature du directeur de lasociété. Le banquier responsable va téléphoner au faux numéro de l’entreprise et finit par discuteravec l’escroc qui va simplement confirmer l’ordre de virement.

[Rz 60] Plus fréquente, l’escroquerie « au président » consiste à se faire passer pour le direc-teur d’une entreprise et téléphoner à un service ou une section de cette dernière (p.ex. le servicecomptabilité) et demander de procéder à une opération urgente, confidentielle et exceptionnelle.L’auteur envoie ensuite un courriel en joignant un faux justificatif de l’opération à réaliser, là aussiavec usurpation du nom du réel directeur.

[Rz 61] Ce type d’escroquerie a connu diverses déclinaisons, notamment celle ayant recours au «phishing » où les auteurs interfèrent dans les relations commerciales entre des entreprises et leursclients ou partenaires en envoyant des emails qui reproduisent la forme et le contenu des courrielsque ces entreprises envoient afin de les inciter à procéder au paiement d’une facture pendante ouà venir sur un compte bancaire autre que celui où le paiement doit normalement être fait.

[Rz 62] Dans quelques cas, il y a un véritable « hacking » (usurpation) du compte de messagerieélectronique de la victime. Cette technique permet aux criminels d’intercepter la correspondanceentre une entreprise et ses clients, puis de modifier d’éventuelles factures en faveur des criminels. Lesauteurs peuvent ensuite émettre de faux ordres de virement aux noms des clients en reproduisantles contenus de courriels déjà échangés entre le client et sa banque.

19


7.1.6 Les faux appels de type «aMicrosofta»

[Rz 63] Les auteurs appellent les victimes par téléphone (le plus souvent par VoIP) etprétendent être de Microsoft ou d’une autre entité célèbre dans le domaine informatique. Une foisla victime mise en confiance, ils lui proposent ensuite de résoudre de prétendus problè-mes d’ordinateurs et/ou de vendre une licence pour un logiciel. Leur but est d’accéder àl’ordinateur de la victime en lui faisant faire des opérations (p.ex. l’installation d’un « malware») qui ouvrent un tel accès aux auteurs. Parfois aussi, ils demandent directement des mots depasse. Une fois qu’ils ont accès à l’ordinateur (à distance), les auteurs peuvent s’adonner à pléthored’activités frauduleuses, dont l’énumération n’est même pas nécessaire.


Art. 146Escroquerie1ăCelui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissementillégitime, aura astucieusement induit en erreur une personne par des affirmations fal-lacieuses ou par la dissimulation de faits vrais ou l’aura astucieusement confortée dansson erreur et aura de la sorte déterminé la victime à des actes préjudiciables à sesintérêts pécuniaires ou à ceux d’un tiers sera puni d’une peine privative de liberté decinq ans au plus ou d’une peine pécuniaire.2ăSi l’auteur fait métier de l’escroquerie, la peine sera une peine privative de liberté dedix ans au plus ou une peine pécuniaire de 90 jours-amende au moins.3ăL’escroquerie commise au préjudice des proches ou des familiers ne sera poursuivieque sur plainte.

[Rz 64] Le comportement délictueux consiste à tromper autrui et l’amener ainsi à un ou plusieursactes préjudiciables à ses intérêts pécuniaires ou à ceux d’un tiers76. Il faut donc une tromperiemotivante qui, selon l’art. 146 CP, peut se présenter sous trois formes différentes : des affirmationsfallacieuses, la dissimulation de faits vrais ou conforter une personne dans l’erreur77.Mais la seule tromperie ne suffit pas, il faut encore que celle-ci soit astucieuse78. De plus, il fautque la victime ait été dans l’erreur, c’est-à-dire qu’elle doit se faire une fausse représentation dela réalité79. C’est la tromperie astucieuse qui doit causer l’erreur (sauf dans l’hypothèse où il s’agitde conforter la dupe dans son erreur, car l’erreur préexiste)80. Ensuite, la tromperie astucieuse doitamener la dupe, dans l’erreur, à accomplir un acte préjudiciable à ses intérêts pécuniaires ouà ceux d’un tiers81. L’escroquerie n’est consommée que s’il y a un dommage, ce dommage devantdécouler directement — c’est-à-dire sans autre comportement délictueux de l’auteur — de l’acte

76 Bernard Corboz, » Les infractions en droit suisse », Volume 1, 3ème édition, Stämpfli SA, Berne 2010, p.322, ph. 1.

77 Bernard Corboz, Vol 1, op. cit. (note 76), p. 322, ph. 1.78 Ibidem, p. 326, ph. 16.79 Bernard Corboz, Vol 1, op. cit. (note 76), p. 328, ph. 24.80 Ibidem, p. 328, ph. 25.81 Bernard Corboz, Vol 1, op. cit. (note 76), p. 329, ph. 27.

20


accompli sous l’effet de l’erreur82. Il faut également un rapport de causalité entre les différentséléments susmentionnés : la tromperie astucieuse doit causer l’erreur, cette erreur doit causer l’acteet l’acte doit causer le dommage83.

[Rz 65] Il n’est pas souhaitable de reprendre les diverses formes de « cyber-arnaques » développéesci-dessus et de déterminer pour chacune d’elles si l’infraction d’escroquerie est réalisée, ni mêmede développer en détail tous les éléments objectifs de cette infraction. Il y a plutôt lieu d’analyserles éléments constitutifs de cette infraction de cas en cas. Relevons simplement que l’escroquerie,bien que d’autres infractions puissent entrer en ligne de compte, semble plus aisée à admettre pourles ventes aux enchères truquées que pour la fraude à la commission ou le « Romance scam », vunotamment les nombreuses mises en garde que l’Office fédéral de la police et ses partenaires ontpubliées au cours des dernières années.

[Rz 66] En pratique, c’est surtout le caractère astucieux de la tromperie qui pose le plus de dif-ficultés. Les développements qui suivent se basent sur la jurisprudence du TF. Le seul mensongen’est pas suffisant, mais des machinations particulières de l’auteur non plus84. Ce qu’il faut re-tenir, c’est que le droit pénal ne veut pas protéger la personne trompée qui aurait pu, avec unminimum d’attention que l’on pouvait attendre de sa part, se protéger85. La victime doit entout cas prendre les précautions indispensables et élémentaires pour déceler les allégationsde l’auteur, notamment en procédant à un contrôle facile et usuel ou en ignorant les affirmationsmanifestement mensongères ou invraisemblables86. Cependant, il n’est pas exigé de prendretoutes les mesures de prudence possibles et imaginables87. Il ne suffit pas de prendre com-me référence une personne raisonnable et expérimentée et voir comment celle-ci aurait agi, il fautau contraire prendre en considération la situation particulière de la victime, telle que l’auteur laconnaît et l’exploite, p.ex. une faiblesse d’esprit, un état d’infériorité ou de détresse faisant que lavictime n’est guère en mesure de se méfier de l’auteur88. L’exploitation de ce genre de situations estprécisément l’une des caractéristiques de l’astuce89. En ce qui concerne le « Romance scam », selonle Tribunal fédéral, on ne peut attendre des victimes « amoureuses » une trop grande capacité àremettre en cause les histoires mensongères ou à les critiquer90. La tromperie astucieuse doiten principe être admise, si l’auteur use d’artifices, de manuvres frauduleuses : p.ex.un titre faux, échafauder un véritable édifice mensonger, faire preuve d’une ruse particulière,établir des bulletins de commande fictifs et les signer au nom de prétendus clients pour obtenir desversements indus91.

82 Ibidem, p. 330, ph. 32.83 Bernard Corboz, Vol 1, op. cit. (note 76), p. 332, ph. 38.84 José Hurtado Pozo, « Droit pénal — Partie spéciale » éd. Schulthess Juristische Medien AG, 2009, p. 350,

ph. 1178, p. 352, ph. 1184.85 ATF 135 IV 80 consid. 5.2 ; 128 IV 20 consid. 3a ; 126 IV 171 consid. 2a, 122 IV 205 consid. d, 248, 120 IV

133, 187 consid. 1a.86 José Hurtado Pozo, op. cit. (note 84), p. 351, ph. 1179 ; ATF 72 IV 14/JdT 1946 IV 115, ATF 77 IV

85/JdT 1951 IV 146, ATF 92 IV 65.87 ATF 122 IV 28688 José Hurtado Pozo, op. cit. (note 84), p. 351, ph. 1180, ATF 120 IV 186/JdT 1996 IV 13.89 Ibidem.90 Arrêt du Tribunal fédéral 1B_591/2011 du 18 juin 2012 ; arrêt du Tribunal fédéral 6B_518/2012 du 5 février

2013. Voir aussi : arrêt du Tribunal fédéral 6B_383/2013 du 9 septembre 2013.91 José Hurtado Pozo, op. cit. (note 84), p. 352, ph. 1182 ; ATF 71 IV 207/JdT 1946 IV 85, ATF 74 IV

148/JdT 1948 IV 171, ATF 78 IV 152/JdT 1952 IV 143.

21





















[Rz 67] Selon la jurisprudence, même en l’absence d’artifices, de mises en scène, d’édifices de men-songes ou de manuvres frauduleuses, les seules fausses informations peuvent réaliser la conditionde l’astuce92 :

• lorsqu’il est impossible ou très difficile de contrôler la véracité des informations93 ;• lorsque le contrôle des affirmations est possible, mais que la victime en est dissuadée

ou déterminée par le fait de l’escroc94 ;• lorsque l’auteur présume que la personne dupée accepterait ses dires sans vérifi-

cation, soit p.ex. lorsque sa crédulité la porte à accorder une confiance particulière à l’escroc,soit parce que d’autres circonstances laissent présager la renonciation à un contrôle, commep.ex. les frais ou la perte de temps disproportionné qu’impliqueraient des vérifications95.

[Rz 68] La prévision d’absence de contrôle de la victime doit s’analyser restrictivement. L’astucen’existe que si la prévision qu’il n’y aura pas de contrôle est fondée sur une relationde confiance particulière, sur un règlement ou sur des assurances claires et non passeulement sur de simples observations permettant d’attendre ce comportement96.

[Rz 69] Au surplus, « une tentative punissable d’escroquerie n’est réalisée que si l ’ intentionde l’auteur porte sur une tromperie astucieuse, donc sur un comportement qui ap-paraît objectivement astucieux . On ne saurait conclure que toute tromperie qui ne réussit pasest nécessairement dénuée de caractère astucieux. Abstraction faite de l ’ échec de la tromperie, ilimporte d’examiner si la tromperie prévue paraissait ou non facilement décelable compte tenu despossibilités de protection dont disposait la victime et dont l ’auteur avait connaissance. Autrementdit, c’ est dans le cadre d’un examen hypothétique qu’ il faut déterminer si le plan élaboré parl ’auteur était objectivement astucieux ou non »97.

8 Cybersex

[Rz 70] L’expression « cybersex » désigne l’ensemble des activités liées à la sexualité sur Internet.Sous cette catégorie, nous avons réuni le « sextortion », le « sexting », le « grooming » et lapornographie illégale.

8.1 Sextortion

8.1.1 Description

[Rz 71] Le sextortion (terme né de la contraction de « sexe » et « extorsion »), ouencore « chantage à la webcam », peut se définir comme le fait de soutirer de l’argentsous la menace d’une diffusion d’informations, de photos ou de vidéos à caractère

92 José Hurtado Pozo, op. cit. (note 84), p. 352, ph. 1184.93 Ibidem, p. 352, ph. 1184 ; ATF 72 IV 129/JdT 1947 IV 16.94 José Hurtado Pozo, op. cit. (note 84), p. 353, ph. 1184 ; ATF 72 IV 123/JdT 1945 IV 21 ; ATF 72 IV

156/JdT 1947 IV 82 ; ATF 99 IV 86/JdT 1977 IV 39 ss.95 José Hurtado Pozo, op. cit. (note 84), p. 353, ph. 1184 et autres auteurs cités.96 José Hurtado Pozo, op. cit. (note 84), p. 354, ph. 1187 ; ATF 107 IV 169/JdT 1983 IV 5 ss.97 Arrêt du Tribunal fédéral 6P_11/2007 du 4 mai 2007, consid. 8.2.

22







http://entscheide.weblaw.ch/cache/f.php?url=links.weblaw.ch%2F04.05.2007_6P.11-2007


sexuel ou pornographique. Dans tous les cas, le sexe est utilisé pour un chantage. Lavictime est d’abord contactée par le biais d’un réseau social, généralement par une prétendue femmetrès attrayante. Après un premier échange de messages, la séduisante femme propose à la victimede continuer la conversation sur une plate-forme de vidéocommunication permettant l’usage de lawebcam. La victime voit alors la femme se déshabiller et se livrer à des comportements d’ordresexuel. L’auteur invite ensuite la victime à en faire de même. Si la personne s’exécute, ses faits etgestes seront enregistrés par les cybercriminels, qui la menaceront ensuite de publier les images ouvidéos sur Internet (réseaux sociaux, Youtube, etc.) si elle ne paie pas une certaine somme d’argent.

8.1.1.1 Réponse juridique

[Rz 72] L’extorsion — art. 156 CP :

1. Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissementillégitime, aura déterminé une personne à des actes préjudiciables à ses intérêts pécuni-aires ou à ceux d’un tiers, en usant de violence ou en la menaçant d’un dommage sérieux ,sera puni d’une peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.2. S i l ’ auteur fait métier de l ’ extorsion ou s’ il a poursuivi à réitérées reprises sesagissements contre la victime, la peine sera une peine privative de liberté de un à dixans....

[Rz 73] C’est surtout la menace d’un dommage sérieux qui concerne le « sextortion ». Lamenace, qui peut avoir pour objet une action ou une omission, est un moyen de pression psycholo-gique, en particulier la menace de porter atteinte à la liberté, à l’honneur ou au patrimoine98. Lasimple mise en garde ne suffit pas et il importe peu que l’auteur ne soit pas en mesure d’influencerla survenance de l’évènement préjudiciable ou qu’il n’ait pas l’intention de mettre sa menace àexécution99. Il n’est pas non plus nécessaire que la menace soit expresse, l’ensemble des circonstan-ces dira si celle-ci était sous-entendue100. La menace peut être communiquée par n’importe quelmoyen, notamment via Internet101. La seule menace d’un dommage ne suffit pas, faut-il encoreque ce dommage puisse être qualifié de sérieux. Tel sera le cas si la menace d’un dommage estpropre à entraver le destinataire dans sa liberté de décision, c’est-à-dire le pousser à adopter uncomportement autre que celui qu’il aurait eu s’il avait toute sa liberté de décision, à savoir unacte préjudiciable à ses intérêts pécuniaires102. Le caractère sérieux du dommage doit s’analyserobjectivement et non en fonction du destinataire d’espèce103.

98 Bernard Corboz, Vol 1, op. cit. (note 76), p. 400, ph. 11—13.99 Ibidem, p. 400, ph. 14.100Bernard Corboz, Vol 1, op. cit. (note 76), p. 400, ph. 15.101Ibidem.102Bernard Corboz, Vol 1, op. cit. (note 76), p. 400—401, ph. 16 ; ATF 122 IV 325, consid. 1a.103Ibidem.

23



8.2 Sexting

8.2.1 Description

[Rz 74] Le « sexting », mot-valise anglais formé à partir de sex (« sexe ») et de « texting » (« envoide messages textuels via SMS »), ou textopornographie, est l’acte d’envoyer électroniquementdes textes ou des photographies de nature pornographique, en français des « sextos », surtout d’untéléphone portable à un autre. Il s’agit d’une pratique principalement exercée par les jeunes adulteset les adolescents.

8.2.2 Réponse juridique

[Rz 75] Art. 197 CP : Cf. infra point 11.5

[Rz 76] Art. 198 CP ?, « désagréments causés par la confrontation à un acte d’ordre sexuel», deuxième hypothèse : « celui qui aura importuné une personne par des attouchements d’ordresexuel ou par des paroles grossières ». Selon Weissenberger, les textes et les images ne sontpas clairement inclus dans le but et le libellé de la disposition104. Au sens de l’art. 198 CP, seulssemblent être pris en compte les harcèlements directs. Les lettres, emails, ou encore les SMS nesont donc pas à retenir au sens de l’art. 198 CP105. Dans ces derniers cas, c’est l’art. 197 CPqui s’applique. Un harcèlement verbal peut être réalisé par téléphone ou vidéoconférence, maisl’illicéité sera moindre à cause de l’absence de présence physique directe du délinquant106.

8.3 Grooming

8.3.1 Description

[Rz 77] Dans le but d’abuser sexuellement un enfant, un pédophile doit passer par plusieurs étapes,dont l’une est de choisir une stratégie d’approche. C’est dans ce contexte que la notion de «grooming » intervient. Au sens large, le « grooming » est le fait de prendre contact avecun enfant en vue d’abuser de ce dernier, peu importe le moyen d’approche. Internet,en particulier le « chat-room », est un moyen de communication fréquemment utilisépar les prédateurs sexuels pour établir le premier contact avec un enfant (notion de «grooming » au sens étroit). En droit européen, le terme « grooming » implique le recours à desmoyens électroniques pour établir un contact avec des enfants et les solliciter à des fins sexuelles.Les autres moyens de contact, notamment réels, n’entrent donc pas dans la notion.


[Rz 78] Le seul fait de solliciter ne suffit pas pour incriminer le « grooming », il faut encore quel’auteur ait accompli des actes concrets amenant à une rencontre, tels que le fait de se rendre au

104Matthias Schwaibold/ Kaspar Meng, « Basler Kommentar », Strafgesetzbuch II, Basel 2003, Art. 198, p.1084, ph. 21.

105Ibidem.106Matthias Schwaibold/ Kaspar Meng, « Basler Kommentar », Strafgesetzbuch II, Basel 2003, Art. 198, p.

1084, ph. 21.

24


lieu de rendez-vous prévu (il serait alors punissable sous l’angle de l’art. 187 CP réprimant les actesd’ordre sexuel avec des enfants, du moins pour une tentative)107.

[Rz 79] Partant, comment sanctionner les prédateurs avant même qu’ils ne se rendent sur le lieude rendez-vous ? Dans les investigations que mène le SCOCI dans les « chat-room », il arrive queles prédateurs commettent une ou plusieurs infractions lors des communications, p.ex. : l’envoi depornographie à un mineur (art. 197 al. 1 et 2 CP ; l’art. 197 CP inclut aussi les textes),l’association à un acte d’ordre sexuel (art. 187 CP, l’auteur mêle l’enfant à un acte d’ordre sexuelen le rendant spectateur d’un tel acte, p.ex. en se masturbant via sa webcam)108. Si les conditi-ons des articles précités ne sont pas remplies, mais qu’il y a néanmoins des propos obscènes oudésobligeants, il serait possible d’envisager l’application de l’art. 179septies CP (utilisation abusived’une installation de télécommunication, infraction poursuivie sur plainte). Au sens de cette dis-position, l’utilisation abusive signifie que l’auteur cherche à contacter autrui pour l’importunerou l’inquiéter. Si c’est le contenu du message qui est abusif, la question est plus délicate : l’atteinteaux droits de la personnalité doit être qualitativement plus intense et grave109. Pour les notions deméchanceté et d’espièglerie, dont le Tribunal fédéral n’a pas donné d’interprétation trop restrictive: cf. point 6.2, 2ème paragraphe.

[Rz 80] Une solution légale pour punir la sollicitation à des fins sexuelles consisterait à introduirel’art. 187 CP (actes d’ordre sexuel avec des enfants) dans la liste de l’art. 260bis CP (cet articleréprime les actes préparatoires délictueux de certaines infractions graves telles que le meurtre ou laprise d’otages - liste exhaustive de l’al. 1. Les actes préparatoires sont ceux qui se déroulent avantle commencement d’exécution de l’infraction, soit avant le stade de la tentative). Plusieurs mo-dulations ou interprétations sont ensuite possibles, peut-être pas aller jusqu’à réprimer le premiercontact virtuel comme aux Etats-Unis110, mais p.ex. dès les premières « avances » ou les premiersécrits à caractère sexuel sans être pornographiques au sens juridique. Mais comme l’a dit le Conseilfédéral le 23 novembre 2011, en réponse à la motion Schmid-Federer : « il serait délicat de distin-guer une conversation, même à la limite de la décence, qui remplirait les éléments constitutifs de lasollicitation à des fins sexuelles »111. La Commission des affaires juridiques du Conseil des Etatsa récemment refusé d’entrer en matière, estimant qu’il est à la fois excessif et impraticable d’allerau-delà en rendant déjà punissables les (seules) conversations à caractère sexuel sur Internet112.Il n’y a pas de solution absolue à ce problème, une disposition qui satisferait tout le monde, etune pénalisation de la seule sollicitation toucherait certainement des innocents, mais pour combi-en d’enfants sauvés d’un acte d’ordre sexuel, voire d’un viol ? D’après certaines estimations, lesenfants et adolescents de moins de 15 ans sont dragués après trois minutes en moyenne lorsqu’ilsse rendent dans des « chat-room » et une fille sur trois est harcelée sexuellement jusqu’à l’âge de18 ans et une sur sept abusée sexuellement.

107Bernard Corboz, Vol 1, op. cit. (note 76), p. 797-798, ph. 54.108Ibidem, p. 790, ph. 24 ; ATF 129 IV 169 consid. 3.1.109Bernard Corboz, Vol 1, op. cit. (note 76), p. 678, ph. 7. Des messages obscènes devraient suffire selon cet

auteur et les autres auteurs cités.110http://en.wikipedia.org/wiki/Child_grooming.111http://www.parlament.ch/e/suche/pages/geschaefte.aspx?gesch_id=20114002.112http://www.parlament.ch/f/mm/2014/Pages/mm-rk-s-2014-04-04.aspx.

25


http://en.wikipedia.org/wiki/Child_grooming

http://www.parlament.ch/e/suche/pages/geschaefte.aspx?gesch_id=20114002

http://www.parlament.ch/f/mm/2014/Pages/mm-rk-s-2014-04-04.aspx


8.4 La pornographie (p.ex. «ateen modellinga»)

[Rz 81] Cf. art. 197 CP, point 11.5.

9 Cyber-concurrence déloyale

[Rz 82] L’avènement d’Internet a évidemment ouvert de nouvelles perspectives aux entreprises.Il est désormais aisé pour celles-ci de créer un ou plusieurs sites web servant de vitrine, voire demagasin en ligne. À l’inverse, l’insécurité des réseaux permet aussi à des tiers ou à des entreprisespeu scrupuleuses de porter atteinte assez facilement à leurs concurrents. Cette concurrence déloyalepeut prendre plusieurs formes.

[Rz 83] Sous cette catégorie, sont regroupés les « spams », le « cybersquatting », les « com-mentaires négatifs frauduleux », ainsi que l’utilisation illégale d’une forme juridique.

9.1 SPAM

9.1.1 Description

[Rz 84] Le « spam », courriel indésirable ou pourriel est une communication électroniquenon sollicitée, en premier lieu via le courrier électronique. Il s’agit en général d’envois en grandequantité effectués à des fins publicitaires, mais pas seulement : un très grand nombre de courrielspeut être envoyé à des personnes indéterminées dans le but de faire du « phishing » par exemple.


[Rz 85] L’envoi de « spams » est punissable (sur plainte) en Suisse sous l’angle de la LCD, plusprécisément à l’art. 3 let. o et art. 23 de cette loi. Selon cette disposition (art. 3 let. oLCD), agit de façon déloyale celui qui :

envoie ou fait envoyer, par voie de télécommunication, de la publicité de masse n’ayant aucunlien direct avec une information demandée et omet de requérir préalablement le consentement desclients, de mentionner correctement l ’ émetteur ou de les informer de leur droit à s’y opposergratuitement et facilement; celui qui a obtenu les coordonnées de ses clients lors de la vente demarchandises, d’uvres ou de prestations et leur a indiqué qu’ ils pouvaient s’opposer à l ’ envoi depublicité de masse par voie de télécommunication n’agit pas de façon déloyale s’ il leur adresse unetelle publicité sans leur consentement, pour autant que cette publicité concerne des marchandises,uvres et prestations propres analogues.

[Rz 86] Malheureusement, cette norme ne semble s’appliquer qu’aux courriers indésirables de na-ture publicitaire, sans compter les autres conditions strictes de la disposition susmentionnée113.De plus, érigée en tant que délit formel ou de comportement, la norme est inapplicable lorsquel’auteur agit à l’étranger (art. 3 à 8 CP), c’est-à-dire dans quasiment tous les cas114.

[Rz 87] La Suisse, comme bon nombre d’autres pays européens, applique le système dit « opt-in »,

113Jérémie Müller, op. cit. (note 20), p. 164.114Ibidem.

26


soit qu’il faut au préalable un consentement des clients pour l’envoi de courriels non sollicités (3let. o LCD). Cependant, quelques pays, notamment les USA, appliquent le système du « opt-out», soit que l’envoi de courriels est autorisé, mais que les clients doivent avoir la possibilité d’êtreretirés de la liste des destinataires115. Dès lors, suivant l’endroit où sont envoyés ces spams, lecaractère punissable de l’acte diffère.

9.2 Le Cybersquatting

9.2.1 Description

[Rz 88] L’attribution des noms de domaine est en principe régie par le principe du premier arrivé,premier servi. Les « cybersquatteurs » ont rapidement compris qu’ils pouvaient gagner beaucoupd’argent en achetant des noms de domaine identiques à des raisons de commerce ou desenseignes très connues, ou encore en acquérant des noms de domaine très similaires(à une ou plusieurs lettres près) à des noms déjà enregistrés (on parle alors généralementde « typosquatting »)116. Par ce biais, les « cybersquatteurs » cherchent à profiter de la réputationd’un concurrent ou à revendre les noms de domaine acquis à des prix exorbitants117.

9.2.1.1 Réponse juridique

[Rz 89] Le « cybersquatting » tombe sous le coup de l’art. 3 let. d LCD et peut donc faire l’objetd’une poursuite pénale (art. 23 al. 1 LCD) si le lésé dépose plainte118. À l’instar de l’art. 3 let.o LCD, il s’agit d’un délit de mise en danger abstraite119. Pour que l’infraction soit consommée,il faut que l’auteur accomplisse un acte concret faisant naître une confusion120. Si le seul faitd’acheter un nom de domaine ne devait pas suffire, la création d’un site web peut, suivant soncontenu, consommer l’infraction121.

[Rz 90] À certaines conditions, l’infraction de l’usure (art. 157 CP) devrait entrer en ligne decompte à l’égard du « cybersquatting »122. L’art. 157 ch.1 CP vise à punir celui qui aura exploitéla gêne, la dépendance, l’inexpérience ou la faiblesse de capacité de jugement d’une personne pourobtenir ou se faire promettre une contre-prestation pécuniaire disproportionnée. C’est sous l’anglede la gêne que l’art. 157 ch. 1 CP est susceptible de s’appliquer123. La gêne est une situationcontraignante qui empêche la victime de jouir de toute sa liberté de décision et la contraint àaccorder ou promettre une prestation disproportionnée, situation qui doit s’analyser au cas parcas124. Dans la mesure où les noms de domaine sont attribués au premier arrivé, le seul moyen

115http://en.wikipedia.org/wiki/CAN-SPAM_Act_of_2003.116Jérémie Müller, op. cit. (note 20), p. 165.117Ibidem.118Jérémie Müller, op. cit. (note 20), p. 166.119Ibidem, p. 166.120Jérémie Müller, op. cit. (note 20), p. 166—167.121Ibidem, p. 167.122Jérémie Müller, op. cit. (note 20), p. 165.123Ibidem.124Jérémie Müller, op. cit. (note 20), p. 165.

27

http://en.wikipedia.org/wiki/CAN-SPAM_Act_of_2003


pour un lésé de le récupérer semble être de le racheter, sauf agir en justice, mais la procédure prendgénéralement des années, période pendant laquelle le « cybersquatteur » tirera tous les profits dunom de domaine qu’il a acquis125. Partant, le lésé est en quelque sorte contraint d’accepter le prixproposé par l’auteur, prix qui est très souvent exorbitant et donc usuraire126.

9.3 Les commentaires négatifs frauduleux

9.3.1 Description

[Rz 91] Il arrive souvent que les plates-formes de vente en ligne proposent à leurs utilisateurs depublier des commentaires (feedback). Cependant, il arrive que des commentaires soient abusifs oufrauduleux, pouvant ainsi porter atteinte à l’image d’une entreprise127.


[Rz 92] Ce type d’acte est réprimé par l’art. 3 let. a LCD, d’après lequel « agit de façon déloyalecelui qui dénigre autrui, ses marchandises, ses uvres, ses prestations, ses prix ou ses affaires par desallégations inexactes, fallacieuses ou inutilement blessantes ». Ce comportement est passible d’unepeine privative de liberté de trois ans au plus ou d’une peine pécuniaire (art. 23 al. 1 LCD)128.L’art. 3 let. a LCD pose le même problème que l’art. 3 let. o LCD concernant les spams, c’est àdire celui de la poursuite129. Les deux dispositions sont des délits formels ou de comportement, cequi a pour conséquence que l’auteur ne peut en principe être poursuivi qu’au lieu où il a agi130.Ainsi, si l’auteur se trouve à l’étranger, les deux dispositions précitées ne seront en principe pasapplicables (art. 3 à 8 CP)131.

[Rz 93] À noter qu’une infraction contre l’honneur (art. 173 ss CP) pourrait aussi s’appliquer,toutefois avec le même problème que ci-dessous s’agissant de l’application du droit pénal dansl’espace.

9.4 L’utilisation frauduleuse d’une forme juridique

9.4.1 Description

[Rz 94] Vu l’importance qu’a pris le commerce électronique dans notre société et les nombreuxmagasins en ligne qui ont vu le jour, la tentation est grande pour certains d’utiliser une formejuridique (p.ex. SA, Sarl) qu’ils n’ont pas créée. Une telle utilisation permet de faire croire à laclientèle que l’entité avec laquelle elle souhaite contracter dispose d’une certaine garantie financière.

125Ibidem.126Jérémie Müller, op. cit. (note 20), p. 165.127Jérémie Müller, op. cit. (note 20), p. 166.128Ibidem.129Jérémie Müller, op. cit. (note 20), p. 166.130Ibidem.131Jérémie Müller, op. cit. (note 20), p. 166.

28



[Rz 95] Deux dispositions sont susceptibles de s’appliquer à ce cas d’espèce :

• l’art. 3 let. c LCD, en relation avec l’art. 23 al. 1 LCD, qui s’applique à ce cas d’espèce : «agit de façon déloyale celui qui porte ou utilise des titres ou des dénominations professionnellesinexacts, qui sont de nature à faire croire à des distinctions ou capacités particulières ».

• L’art. 326ter CP : « celui qui, pour désigner une succursale ou un sujet inscrits au registre ducommerce, utilise une dénomination, trompeuse, non conforme à cette inscription et de natureà induire en erreur, ou encore créé l ’ illusion qu’un sujet étranger non inscrit au registre ducommerce a son siège ou une succursale en Suisse, est puni d’une amende ».

10 Le Cyber-blanchiment

10.1 Description

[Rz 96] Le réseau Internet a changé le blanchiment d’argent. Les méthodes de blanchiment classi-ques demeurent toujours intéressantes pour les criminels ; lorsque de fortes sommes d’argent sonten jeu, Internet apporte plusieurs avantages. Les différentes plates-formes financières en ligne per-mettent d’effectuer rapidement plusieurs transactions financières dans le monde entier. Internet apresque remplacé les transferts et transports physiques de l’argent par des virements en ligne, cequi a eu notamment pour effet l’instauration de règles plus strictes pour détecter les transactionssuspectes, bien que les criminels inventent sans cesse de nouvelles techniques de blanchiment. Lalutte contre le blanchiment est essentiellement fondée sur des obligations imposées aux institutionsfinancières qui interviennent dans les transactions financières.

[Rz 97] Le blanchiment de capitaux comprend généralement trois phases : le placement, l’empilageet l’intégration132.

[Rz 98] Concrètement, l’utilisation d’Internet pour blanchir des capitaux est surtout intéressantedans la phase d’empilage ou de masquage, par exemple, lorsque les auteurs utilisent à cet effet descybercasinos133. Ainsi, à moins que les cybercasinos gardent une trace écrite de leurs transactionset les communiquent aux autorités, il est en pratique très difficile de déterminer l’origine des fonds,soit de prouver qu’il ne s’agit pas de gains de jeux mais de capitaux blanchis134.

[Rz 99] Même si la réglementation des transactions financières existe et se durcit, elle reste limitéeet Internet permet aux criminels d’effectuer, à bas coût et de manière relativement anonyme, desvirements internationaux non imposables135. Par ailleurs, les investigations en matière de blanchi-ment d’argent sont encore plus complexes lorsque les auteurs se servent de monnaies virtuelles(p.ex. les Bitcoins, Litecoins, compte e-gold, etc.)136.

[Rz 100] Il faut encore mentionner le fait que les cybercriminels se servent de plus en plus d’intermédiaires

132Union Internationale des télécommunications (UIT), Marco Grecke, « Comprendre la cybercrimina-lité, phénomènes, difficultés et réponses juridiques », septembre 2012, p. 42 (disponible via le lien suivant :http://www.itu.int/en/ITU-D/Cybersecurity/Documents/CybcrimeF.pdf).

133Ibidem, p. 42—43.134Union Internationale des télécommunications (UIT), Marco Grecke, op. cit. (note 132), p. 43.135Ibidem.136Union Internationale des télécommunications (UIT), Marco Grecke, op. cit. (note 132), p. 43.

29

http://www.itu.int/en/ITU-D/Cybersecurity/Documents/CybcrimeF.pdf


pour transférer des capitaux issus du cybercrime. Ces intermédiaires sont engagés par les cyber-criminels pour accomplir un travail soi-disant honnête, alors qu’en réalité ils ne serviront qu’àtransférer l’argent du crime aux criminels. De cette façon, les cybercriminels brouillent les pisteset rendent encore plus difficile les investigations. Ces intermédiaires (parfois de bonne foi) sontappelés des « money mules » lorsqu’il s’agit de transférer de l’argent, et des « packet mules »lorsqu’il s’agit de transférer des choses mobilières.


[Rz 101] D’après l’al. 1 de l’art. 305bis CP réprimant le blanchiment d’argent, est punissable le faitde commettre un acte propre à entraver l’identification de l’origine, la découverte oula confiscation de valeurs patrimoniales (il peut s’agir d’une chose mobilière, immobilière,une créance, un droit, etc.) dont on sait qu’elles proviennent d’un crime (au sens de l’art.10 al. 2 CP)137. Le blanchiment peut donc être réalisé par n’importe quel acte qui est propre àentraîner l’un des effets prévus par la loi ; cette aptitude doit cependant être concrète et établiedans le cas d’espèce138. Il suffit que l’acte soit propre à entraver ; il n’est pas nécessaire qu’ilcause effectivement une entrave (délit de mise en danger abstraite et non de résultat)139. Il y anotamment entrave lorsque l’auteur cache l’argent du crime dans un endroit ou chez un tiers140,s’il fait passer l’argent d’un compte à un autre ou d’un pays à un autre141, s’il fait perdre le lienavec le criminel en transférant les fonds à un homme de paille ou à une société142, s’il achète de lamonnaie virtuelle143.

[Rz 102] À noter que l’auteur de l’infraction peut être son propre blanchisseur ; il ne doit donc pasnécessairement s’agit d’un participant à l’infraction144.

11 De quelques infractions liées à la cybercriminalité

11.1 La soustraction de données (art. 143 CP)

Art. 143 CPSoustraction de données1 Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissementillégitime, aura soustrait, pour lui-même ou pour un tiers, des données enregistrées outransmises électroniquement ou selon un mode similaire, qui ne lui étaient pas destinéeset qui étaient spécialement protégées contre tout accès indu de sa part, sera puni d’une

137FF 1989 II 961, 982.138ATF 122 IV 215, consid. 2.139ATF 127 IV 26 consid. 3a, 126 IV 261 consid. 3a, 124 IV 276 consid. 2.140ATF 119 IV 59 ss.141ATF 120 IV 323 ss ; ATF 129 IV 273 consid. 2.1.142Bernard Corboz, « Les infractions en droit suisse », Volume 2, 3ème édition, Stämpfli SA, Berne 2010, p.

635, ph. 25, avec référence à d’autres auteurs.143Jean-Daniel Schmid / Alexander Schmid, « Bitcoin — eine Einführung in die Funktionsweise sowie eine

Auslegeordnung und erste Analyse möglicher rechtlicher Fragestellungen », in: Jusletter 4 juin 2012, Rz. 12—13.

144ATF 126 IV 261 consid. 3a

30

http://www.amtsdruckschriften.bar.admin.ch/viewOrigDoc.do?id=10105852








http://jusletter.weblaw.ch/publicationsystem/jusletter/juslissues/2012/665/_10300

http://jusletter.weblaw.ch/publicationsystem/jusletter/juslissues/2012/665/_10300



peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.2 La soustraction de données commise au préjudice des proches ou des familiers ne serapoursuivie que sur plainte.

[Rz 103] Une donnée informatique spécialement protégée contre tout accès indu : l’art.143 CP ne concerne que les données auxquelles l’auteur n’a normalement pas accès. Celles-cidoivent encore être protégées contre tout accès indu de la part de l’auteur. La protection doit êtreappropriée aux circonstances ; elle doit être apte à rendre l’accès relativement difficile pour l’auteur; on pense en principe à une protection informatique. Le système de sécurité et la protection doiventconcerner l’utilisateur des données et faire en sorte que toute personne non autorisée en soit tenuéloignée145. Selon une partie de la doctrine, le mot de passe permettant d’accéder aux données, lecryptage de celles-ci par l’ayant droit ou leur protection par un « firewall » constituent des moyenssuffisants146.

[Rz 104] Une soustraction : selon une partie de la doctrine, « il s’agit de tout comportementpar lequel l ’ auteur acquiert directement pour lui-même ou pour un tiers le pouvoir de disposerdurablement de données informatiques d’autrui, p.ex., lorsque l ’auteur copie des données sur sonpropre disque dur [] »147. Le simple fait d’accéder aux données ou d’en prendre connaissance nesuffirait pas. Pour d’autres, il y a soustraction de données dès le moment où l’auteur a eu accèsà la donnée protégée, p. ex., en la lisant et en prenant connaissance, puisqu’il a la possibilité del’introduire sur son propre ordinateur ou de l’utiliser de n’importe quelle manière148.

11.2 L’accès indu à un système informatique (art. 143bis CP)

Art. 143bis

Accès indu à un système informatique1 Quiconque s’introduit sans droit, au moyen d’un dispositif de transmission de données,dans un système informatique appartenant à autrui et spécialement protégé contre toutaccès de sa part est, sur plainte, puni d’une peine privative de liberté de trois ans auplus ou d’une peine pécuniaire.2 Quiconque met en circulation ou rend accessible un mot de passe, un programme outoute autre donnée dont il sait ou doit présumer qu’ils doivent être utilisés dans le butde commettre une infraction visée à l’al. 1 est puni d’une peine privative de liberté detrois ans au plus ou d’une peine pécuniaire.

[Rz 105] Contrairement à l’art. 143 CP, qui a pour objet les données et exige un dessin d’enrichissementillégitime, l’art. 143bis CP concerne les « systèmes informatiques ». D’après la loi, ce système doitêtre spécialement protégé contre tout accès indu de la part des tiers. Cela présuppose que l’ayantdroit ait pris les mesures utiles pour empêcher l’accès à toute personne non-autorisée149. L’auteurdoit donc pénétrer dans le système informatique en détournant ou en déverrouillant les mesures desécurité. Dans ce contexte, le Tribunal fédéral a précisé qu’il suffisait qu’il n’y ait plus de barrières

145José Hurtado Pozo, op. cit. (note 84), p. 315, ph. 1045, avec renvoi à d’autres auteurs.146José Hurtado Pozo, op. cit. (note 84), p. 315, ph. 1045, avec renvoi à d’autres auteurs.147Ibidem, p. 314—315, ph. 1042—1043, avec renvoi à d’autres auteurs.148Ibidem.149José Hurtado Pozo, op. cit. (note 84), p. 319, ph. 1061.

31


informatiques qui puissent sérieusement empêcher l’auteur de prendre connaissance des donnéespour que l’infraction puisse être retenue150. Si l’auteur n’a surmonté ou désactivé aucune barrièred’accès, il n’est pas punissable au sens de l’art. 143bis CP151.

[Rz 106] Selon CORBOZ, l’art. 143bis CP s’efface devant l’art. 144bis ch. 1 CP en raison du caractèresubsidiaire de la première disposition152. Un concours est envisageable entre l’al. 1 de l’art. 143bis

et l’art. 144bis lorsque l’auteur détériore des données qui se trouvent dans un système informatiqueappartenant à un tiers et non à l’ayant droit153. On pourrait argumenter en faveur d’un concoursentre 143/143bis et l’art. 144bis, car si on ne retient qu’une seule des deux infractions, il manqueral’aspect intrusion, respectivement l’aspect de détérioration.

11.3 La détérioration de données (art. 144bis CP)

Art. 144bis

Détérioration de données1 Celui qui, sans droit, aura modifié, effacé, ou mis hors d’usage des données enregistréesou transmises électroniquement ou selon un mode similaire sera, sur plainte, puni d’unepeine privative de liberté de trois ans au plus ou d’une peine pécuniaire.2 Celui qui aura fabriqué, importé, mis en circulation, promu, offert ou d’une quelconquemanière rendu accessibles des logiciels dont il savait ou devait présumer qu’ils devaientêtre utilisés dans le but de commettre une infraction visée au ch. 1, ou qui aura fournides indications en vue de leur fabrication, sera puni d’une peine privative de liberté detrois ans au plus ou d’une peine pécuniaire.Si l’auteur fait métier de tels actes, le juge pourra prononcer une peine privative deliberté de un à cinq ans.

[Rz 107] Contrairement à l’art. 143 al. 1 CP, l’art. 144bis ch. 1 al. 1 CP protège toutes les données.Il n’est pas nécessaire qu’elles soient spécialement protégées contre tout accès indu.

[Rz 108] Ch. 1 : la loi donne une liste exhaustive de ce qu’il faut entendre par « détérioration ».Il y a notamment détérioration de données en cas de modification. D’après la doctrine, « modifier» au sens du ch. 1 signifie que certaines données sont effacées ou rajoutées154. L’introductionde codes malveillants tels que des virus ou des chevaux de Troie relève déjà de cette disposition155.La poursuite a lieu d’office et la peine est plus élevée si l’auteur a créé un dommage considérable(ch. 1 al. 2). Selon la jurisprudence, un dommage est considérable dès qu’il dépasse un montant deCHF 10’000.—156.

[Rz 109] Ch. 2 :

• les actes punissables : la disposition réprime de manière générale la création, l’importation,

150ATF 130 III 28.151José Hurtado Pozo, op. cit. (note 84), p. 320, ph. 1068.152Bernard Corboz, Vol. 1, op. cit. (note 76), p. 292, ph. 15.153José Hurtado Pozo, op. cit. (note 84), p. 322, ph. 1074.154José Hurtado Pozo, op. cit. (note 84), p. 335, ph. 1124 ; Philippe Weissenberger, « Strafrecht II — Art.

111-392 -art. 144bis, Basler Kommentar, M-A. Niggli, H. Wiprächtiger (Hrsg.), 3ème édition, éd. HelbingLichtenhan Verlag, Basel 2013, p. 1163—1164, ph. 5.

155Rapport explicatif de la Convention sur la Cybercriminalité, p. 12, ph. 61 (http://conventions.coe.int/).156ATF 136 IV 117.

32

http://entscheide.weblaw.ch/cache/f.php?url=links.weblaw.ch%2FBGE-130-III-28

http://conventions.coe.int/



la mise en circulation, la promotion, l’offre ou le simple fait de rendre accessibles des logicielsde détérioration de données. La disposition a été formulée comme un délit de mise en dangerabstraite, soit de prendre des mesures à l’encontre de personnes qui fabriquent ou mettent àdisposition de tels logiciels avant même leur usage. Quid du téléchargement ? Il y a lieu deconsidérer que la copie — y compris le téléchargement d’Internet sur un dispositif de stockagede données - est également punissable, ceci par analogie avec l’art. 197 ch. 3 CP (interdictionde la pornographie dure) et la jurisprudence y relative. En effet, bien avant l’introduction duch. 3bis à l’art. 197 CP, le Tribunal fédéral considérait que le téléchargement de pornographiedure constituait un acte de fabrication ou d’importation au sens de l’art. 197 ch. 3 CP157.

• des logiciels de détérioration de données : d’après la loi, il doit s’agir de logiciels, c’est-à-direde programmes utilisables dans un ordinateur pour le traitement de données. La spécificité deces programmes se définit par leur finalité : ils doivent être propres et destinés à provoquerune détérioration de données. Dans cette perspective, il s’agit d’un élément objectif de l’énoncélégal et non pas d’un élément subjectif caractérisant l’intentionnalité du délinquant158.

[Rz 110] Le champ d’application de cette norme est cependant limité, puisqu’elle ne s’appliquequ’aux programmes destinés à commettre une détérioration de données au sens de l’art. 144bis

ch. 1 al. 1 CP. Quid des entités ou personnes qui téléchargent ce type de logiciels dans un butprofessionnel, éducatif ou informatif ? La Suisse a ratifié la Convention du Conseil de l’Europe surla cybercriminalité dont l’art. 6 (abus de dispositifs) prévoit que les Etats Parties n’incriminerontpas le téléchargement de le cadre d’essais autorisés et dans un but de protection d’un systèmeinformatique.

[Rz 111] Par ailleurs, il y aura un concours réel entre les chiffres 1 et 2 de cette disposition si l’auteura téléchargé le malware et a infecté une victime, car il y a clairement deux fautes différentes159.

11.4 L’utilisation frauduleuse d’un ordinateur (art. 147 CP)

Art. 147 CPUtilisation frauduleuse d’un ordinateur1 Celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissementillégitime, aura, en utilisant des données de manière incorrecte, incomplète ou indue ouen recourant à un procédé analogue, influé sur un processus électronique ou similairede traitement ou de transmission de données et aura, par le biais du résultat inexactainsi obtenu, provoqué un transfert d’actifs au préjudice d’autrui ou l’aura dissimuléaussitôt après sera puni d’une peine privative de liberté de cinq ans au plus ou d’unepeine pécuniaire.2 Si l’auteur fait métier de tels actes, la peine sera une peine privative de liberté de dix

157ATF 131 IV 16, Arrêts du Tribunal fédéral 6P.117/2004 et 6S.311/2004 du 11 octobte 2004, ATF 128 IV 25 ;Philippe Weissenberger, op. cit. (note 154), p. 588, ph. 58.

158José Hurtado Pozo, op. cit. (note 84), p. 339, ph. 1137. D’après une jurisprudence zurichoise, ces logicielsou virus informatiques doivent être capables de se reproduire eux-mêmes et d’infecter des fichiers autres queceux qui l’ont été à l’origine — Arrêt zurichois, in ZR 2001 N. 44 ou in BJP 2002 N. 628. La doctrine est divi-sée sur cette question, certains estiment que de simples logiciels espions suffisent, voir p.ex. : Philippe Weis-senberger, op. cit. (note 154), p. 587, ph. 51.

159José Hurtado Pozo, op. cit. (note 84), p. 339, ph. 1143 ; Bernard Corboz, Vol. 1, op. cit. (note 76), p.310, ph. 23.

33






ans au plus ou une peine pécuniaire de 90 jours-amende au moins.3 L’utilisation frauduleuse d’un ordinateur au préjudice des proches ou des familiers nesera poursuivie que sur plainte

[Rz 112] En d’autres termes, cette disposition réprime le fait de s’enrichir illégitimement en influ-ençant le résultat d’un système informatique. Au sens de l’art. 147 CP, c’est la machine qui esttrompée, alors que dans l’escroquerie (art. 146 CP), c’est une personne qui l’est. Pour se rendrepunissable, l’auteur doit premièrement adopter l’un des comportements punissables énumérés parla loi, à savoir, l’utilisation incorrecte, incomplète ou indue de données ou de toute autreaction analogue160. Il y a utilisation incorrecte de données lorsque l’auteur introduit de faus-ses données dans l’ordinateur ou qu’il fausse le fonctionnement du programme161. L’utilisationdes données est incomplète si l’auteur omet volontairement d’indiquer certaines informationsnécessaires162. Dans le cas de l’utilisation indue, l’auteur utilise des données authentiques maissans y être autorisé163. Tel est le cas lorsque l’auteur usurpe l’identité de sa victime pour tromperles systèmes de contrôle sur sa véritable identité. Le législateur a encore introduit une formulegénérale en fin de liste, afin d’anticiper les innovations technologiques qui ne tomberaient pas sousle coup des trois premiers comportements décrits ci-dessus164.

[Rz 113] Le comportement adopté par l’auteur doit ensuite avoir une influence sur le processusélectronique qui engendre un résultat inexact. Le comportement décrit doit porter atteinteaux intérêts pécuniaires d’autrui. Il faut donc la survenance d’un dommage. Enfin, d’un pointde vue subjectif, l’auteur doit avoir agi intentionnellement et dans un dessein d’enrichissementillégitime.

11.5 Pornographie (art. 197 CP)

Art. 1974. Pornographie1 Quiconque offre, montre, rend accessibles à une personne de moins de 16 ans oumet à sa disposition des écrits, enregistrements sonores ou visuels, images ou autresobjets pornographiques ou des représentations pornographiques, ou les diffuse à la radioou à la télévision, est puni d’une peine privative de liberté de trois ans au plus oud’une peine pécuniaire. 2 Quiconque expose ou montre en public des objets ou desreprésentations visés à l’al. 1, ou les offre à une personne sans y avoir été invité, estpuni de l’amende. Quiconque, lors d’expositions ou de représentations dans des locauxfermés, attire d’avance l’attention des spectateurs sur le caractère pornographique decelles-ci n’est pas punissable. 3 Quiconque recrute un mineur pour qu’il participe à unereprésentation pornographique ou favorise sa participation à une telle représentationest puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.4 Quiconque fabrique, importe, prend en dépôt, met en circulation, promeut, expose,

160Bernard Corboz, op. cit. (note 76), p. 339 ss., ph. 1 ss.161Ibidem, p. 339, ph. 4.162Bernard Corboz, op. cit. (note 76), p. 339 ss., ph. 5.163Ibidem, p. 339-340, ph. 6.164Bernard Corboz, op. cit. (note 76), p. 340, ph. 7.

34


offre, montre, rend accessible, met à disposition, acquiert, obtient par voie électroniqueou d’une autre manière ou possède des objets ou représentations visés à l’al. 1, ayantcomme contenu des actes d’ordre sexuel avec des animaux, des actes de violence entreadultes ou des actes d’ordre sexuel non effectifs avec des mineurs, est puni d’une peineprivative de liberté de trois ans au plus ou d’une peine pécuniaire. Si les objets oureprésentations ont pour contenu des actes d’ordre sexuel effectifs avec des mineurs, lasanction est une peine privative de liberté de cinq ans au plus ou une peine pécuniaire.5 Quiconque consomme ou, pour sa propre consommation, fabrique, importe, prend endépôt, acquiert, obtient par voie électronique ou d’une autre manière ou possède desobjets ou représentations visés à l’al. 1, ayant comme contenu des actes d’ordre sexuelavec des animaux, des actes de violence entre adultes ou des actes d’ordre sexuel noneffectifs avec des mineurs, est puni d’une peine privative de liberté d’un an au plusou d’une peine pécuniaire. Si les objets ou représentations ont pour contenu des actesd’ordre sexuel effectifs avec des mineurs, la sanction est une peine privative de libertéde trois ans au plus ou une peine pécuniaire. 6 En cas d’infraction au sens des al. 4et 5, les objets sont confisqués. 7 Si l’auteur agit dans un dessein d’enrichissement, lejuge prononce une peine pécuniaire en plus de la peine privative de liberté. 8 N’est paspunissable le mineur âgé de 16 ans ou plus qui produit, possède ou consomme, avec leconsentement d’un autre mineur âgé de 16 ans ou plus, des objets ou des représentationsau sens de l’al. 1 qui les impliquent. 9 Les objets et représentations visés aux al. 1 à 5qui présentent une valeur culturelle ou scientifique digne de protection ne sont pas denature pornographique.

[Rz 114] Jusqu’à présent, en Suisse, seuls les jeunes de moins de 16 ans étaient protégés contretoute participation dans des représentations sexuelles. La Convention de Lanzarote (Convention duConseil de l’Europe sur la protection des enfants contre l’exploitation et les abus sexuels d’enfants)a fixé cette limite d’âge à 18 ans. Ainsi, les jeunes ayant entre 16 et 18 ans sont également protégéscontre toute participation dans des représentations pornographiques. En conséquence, dorénavant,une représentation sera considérée comme pédopornographique lorsqu’au moins un des acteurs amoins de 18 ans ou paraît avoir moins de 18 ans (art. 197 al. 4 CP).

[Rz 115] Nouveauté supplémentaire, la simple consommation de pornographie dure est interdite. Lapornographie dure comprend des actes d’ordre sexuel impliquant des mineurs, des animaux ou dela violence (art. 197 al. 5 CP). Avec ce changement, la pornographie dure est maintenant interditede manière absolue. Celui qui se contente de visionner de telles représentations est punissable,même s’il n’a rien téléchargé. Despuis le 1er juillet 2014, les représentations ayant comme contenudes actes d’ordre sexuel avec des excréments humains (y compris l’urine) ne sont plus considéréescomme de la pornographie dure, mais comme de la pornographie douce et, partant, non punissables(cf. art. 197 a. 4 et 5 CP).

[Rz 116] La peine est également alourdie dans certains cas : celui qui, notamment, envoie ou met àdisposition de tiers de la pédopornographie réelle risque jusqu’à 5 ans de peine privative de liberté(art. 197 al. 4 CP in fine).

[Rz 117] L’art. 197 CP distingue trois infractions :

• la première vise à protéger les enfants de moins de 16 ans contre la pornographie dure et douce(art. 197 al. 1) ;

• la seconde permet de réprimer la personne qui soumet de la pornographie dure ou douce à unepersonne adulte qui n’en veut pas (art. 197 al. 2) ;

35

http://conventions.coe.int/Treaty/fr/Treaties/Html/201.htm


• et la troisième interdit toute forme de pornographie dure (soit celle impliquant des enfants, desanimaux et de la violence) (art. 197 al. 4 et 5).

[Rz 118] Selon la jurisprudence, par pornographie douce, il faut entendre ce qui réduit l’êtrehumain à un objet d’assouvissement sexuel, dont on peut disposer de n’importe quellefaçon, et qui en donne ainsi une image dégradante165. La représentation pornographique doitavoir pour but de provoquer une excitation sexuelle de la personne qui y est confrontéeet insister exagérément sur les parties génitales166. Le comportement sexuel prendde façon crue, vulgaire et importune la première place, sans connotation humaine etémotionnelle167. Cette définition implique inexorablement la mise en évidence des partiesgénitales168. C’est l’impression générale qui est décisive169.

[Rz 119] Au sens de l’al. 1 de cet article, qui réprime le fait de rendre l’objet ou la représentationpornographique accessible à des jeunes de moins de 16 ans, la manière de rendre accessible importepeu (p.ex. via Internet)170. Le ch. 1 est une infraction de mise en danger abstraite, ce qui signifiequ’il n’est pas nécessaire qu’un jeune de moins de 16 ans ait effectivement accédé à du matérielpornographique, il suffit de rendre accessible, aucun résultat n’est exigé, ni la prise de connaissance,ni la réception171. Selon le TF, l’auteur n’est pas punissable s’il a pris des mesures efficaces pourempêcher l’accès, tout en affirmant qu’un message d’avertissement, une fenêtre dans laquelle il fautentrer sa date de naissance ou un enregistrement sur le site Internet ne suffisent pas, si la mesurene permet pas de vérifier les informations communiquées172.

[Rz 120] Au sens de l’al. 2, les représentations pornographiques se déroulent nécessairementdans un lieu fermé, car il faut offrir aux personnes la possibilité de s’opposer avant qu’ils puissentconsentir173. Un message d’avertissement préalable et adéquat est nécessaire afin d’éviter uneconfrontation non voulue à de la pornographie.

[Rz 121] L’al. 4 de l’art. 197 CP réprime de manière absolue la pornographie dure, soit cellequi, en plus d’être « pornographique », contient des actes d’ordre sexuels avec des personnes demoins de 18 ans, des animaux ou implique de la violence.

• Des actes d’ordre sexuel avec des mineurs (de moins de 18 ans) : selon la jurisprudenceet en vertu de l’art. 187 CP, constituent des actes d’ordre sexuel toutes les activités qui, dansun contexte déterminé, apparaissent objectivement de nature sexuelle174. Il est donc tout afait possible que des photos d’enfants nus dans des positions lascives, même sans accentuationparticulière des parties génitales, puissent être qualifiées de pornographie infantile, car on admetqu’il y a derrière une incitation à accomplir un acte d’ordre sexuel, peu importe que l’auteur

165ATF 131 IV 64, consid. 10.1.2, ATF 117 IV 452, consid. 4c.166ATF 131 IV 64, consid. 10.1.1, ATF 128 IV 260, consid. 2.1.167Ibidem.168ATF 131 IV 64, consid. 10.1.1, ATF 128 IV 260, consid. 2.1.169Ibidem ; ATF 117 IV 452, consid. 4.170Bernard Corboz, op. cit. (note 76), p. 883, ph. 24.171ATF 131 IV 64, JdT 2007 iv 161, p. 164, consid. 10.1.3.172ATF 131 IV 64, JdT 2007 iv 161, p. 166, consid. 10.3 ; Arrêt du Tribunal fédéral 6S.26/2005, consid. 3.1. Voir

aussi Tribunal du district de Zurich (BezGer ZH, 6.9.2006, GG060256, Ziff. II et consid. 1.4.8 et 2.6.1) qui acondamné, faute de vérification suffisante, un système par SMS où l’utilisateur devait lui-même communiquerson âge.

173ATF 128 IV 260, consid. 2.1.174ATF 131 IV 64, JdT 2007 iv 161, consid. 11.2 ; ATF 125 IV 58, consid. 3b.

36










http://entscheide.weblaw.ch/cache/f.php?url=links.weblaw.ch%2F03.06.2005_6S.26-2005





des représentations n’éprouve aucune excitation sexuelle et que l’enfant ne se rend pas comptedu caractère sexuel de l’acte175. Toutes les représentations sexuelles impliquant des enfantssont interdites, y compris celles montrant un enfant seul, des enfants entre eux, qu’ils soientréels ou virtuels (p.ex. un dessin animé présentant un certain réalisme)176. En revanche, desphotos d’enfants nus prises sans que leur pose ait été commandée ou influencée ne doivent pasêtre qualifiées de pornographie infantile (p.ex. instantanés pris sur la plage)177. En outre, il estpossible de trouver sur la toile des images d’enfants dans des positions lascives et des tenuespour le moins érotiques, mais sans révélation des parties génitales. Ce genre de représentations,également appelées teen modelling , ne sont pas punissables, mais demeurent néanmoins dansune zone grise. La notion de mineurs doit s’entendre de la manière suivante : il doit s’agirde personnes ayant moins de 18 ans ou de personnes qui paraissent mineures, même si ellesne le sont pas effectivement178. En effet, en plus de vouloir protéger le développement paisiblede la jeunesse, la disposition a également pour but d’éviter que les consommateurs adultes nesoient tentés par l’imitation179.

• Les actes d’ordre sexuel avec des animaux : les actes de bestialité ou de zoophilie sontvisés ici. Il doit s’agir de relations sexuelles entre un être humain et un animal180. L’actionou l’acte sexuel doit être explicite et directement visible, ce qui suppose une interaction avecles parties génitales, p.ex. une personne manipulant les organes génitaux d’un animal181. Lareprésentation de la sexualité animale n’est pas concernée, tout comme celle impliquant desanimaux irréels, p.ex. sortis de films fantaisistes182.

• Les actes d’ordre sexuel avec violence : cette catégorie vise essentiellement, mais pasuniquement les pratiques sadiques ou masochistes183. Selon une partie de la doctrine, seules lesviolences physiques — humiliantes et dégradantes — sont concernées, même si les douleurs nesont pas intenses184. Ces dernières doivent être représentées expressément et apparaître dansun contexte pornographique (sinon il faut songer à appliquer l’art. 135 CP — représentationde la violence)185. Peu importe que les protagonistes soient consentants ou que la scène soitmal jouée (p.ex. une scène de viol), car là aussi, le but de la norme est d’éviter l’imitation186.

175ATF 131 IV 64, JdT 2007 iv 161, consid. 11.2.176Andreas Donatsch, « Strafrecht III — Delikte gegen den Einzelnen », Andreas Donatsch, Jörg Rehberg,

Niklaus Schmid, 9ème édition, Schulthess Jurstische Medien AG, 2008, P. 516; Bernard Corboz, op. cit.(note 76), p. 891, ph. 57; Kaspar Meng, « Strafrecht II — Art. 111-392 — art. 197 », Basler Kommentar,M-A. Niggli, H. wiprächtiger, 3ème édition, éd. Helbing Lichtenhahn Verlag, Basel, 2013, p. 1422, ph. 13.

177ATF 131 IV 64, JdT 2007 IV 161, p. 179, consid. 11.2 ; ATF 125 IV 58, consid. 3b ; ATF 133 IV 31, consid.6.1.2.

178Stefania Suter-Zürcher, « Die Strafbarkeit der sexuellen Handlungen mit Kindern nach Art. 187 StGB» Collection TstSr Band/Nr. 41, éd. Schulthess Juristische Medien AG, 2003, p. 82—83. Pour une comparai-son internationale (Allemagne, Angleterre, États-Unis, Italie et France) : Ludovic-Adrien Tirelli, « La ré-pression pénale des consommateurs de pédopornographie à l’heure d’Internet » RJL Band/Nr. 35, SchulthessJuristische Medien AG, 2008.

179ATF 131 IV 16, consid. 1.2.180José Hurtado Pozo, op. cit. (note 84), p. 944, ph. 3208.181José Hurtado Pozo, op. cit. (note 84), p. 944, ph. 3208.182Bernard Corboz, op. cit. (note 76), p. 891, ph. 57 ; Kaspar Meng, op. cit. (note 176), p. 1425, ph. 24.183ATF 117 IV 463, sans toutefois expliquer en quoi consistent ces pratiques.184Bernard Corboz, op. cit. (note 76), p. 891, ph. 59 avec renvoi à d’autres opinions convergentes.185José Hurtado Pozo, op. cit. (note 84), p. 945, ph. 3210 ; Bernard Corboz, op. cit. (note 76), p. 891, ph.

59.186Kaspar Meng, op. cit. (note 176), p. 1426, ph. 26.

37







Sans rentrer dans des considérations doctrinales, il serait judicieux, pour déterminer si un actedans une représentation pornographique doit être considéré comme violent, de tenir compte dela répétition, de la durée, et/ou de l’intensité de l’acte, surtout lorsqu’il est infligé de manièreà marquer la conscience de l’observateur187.

11.6 Mise en circulation et réclame en faveur d’appareils d’écoute, de prisede son et de prise de vues (art. 179sexies CP)

Art. 179 sexiesăCPMise en circulation et réclame en faveur d’appareils d’écoute, de prise de son et de prisede vues 1 Celui qui aura fabriqué, importé, exporté, acquis, stocké, possédé, transporté,remis à un tiers, vendu, loué, prêté ou mis en circulation de toute autre manière desappareils techniques servant en particulier à l’écoute illicite ou à la prise illicite de sonou de vues, fourni des indications en vue de leur fabrication ou fait de la réclame enleur faveur, sera puni d’une peine privative de liberté de trois ans au plus ou d’une peinepécuniaire. 2 Lorsque le délinquant a agi dans l’intérêt d’un tiers, celui-ci encourra lamême peine s’il connaissait l’infraction et n’a pas fait tout ce qui était en son pouvoirpour l’empêcher. Lorsque le tiers est une personne morale, une société en nom collectifou en commandite ou une entreprise individuelle, l’al. 1 est applicable aux personnesphysiques qui ont agi ou auraient dû agir en son nom.

[Rz 122] Le téléchargement de programmes informatiques malveillants est-il également punissablesous l’angle de l’art. 179sexies CP ? La loi parle notamment de fabrication et d’importation. Vu leraisonnement ci-dessus en relation avec l’art. 144bis ch.2 CP, le téléchargement doit également êtrepunissable au sens de l’art. 179sexies CP.

[Rz 123] La loi utilise la notion d’« appareils techniques servant en particulier à l’écoute illicite ou àla prise illicite de son ou de vues ». Selon la doctrine, les logiciels informatiques malveillants (p.ex.les chevaux de Troie), pourraient aussi être considérés comme de tels appareils, puisqu’ils serventà rendre accessibles ou à enregistrer, à l’insu de l’utilisateur d’un ordinateur ou d’un téléphoneportable, des images ou des sons, comme p.ex. le contenu de l’écran, une vidéoconférence, ouencore une conversation par Internet188.

11.7 Violation du domaine secret ou du domaine privé au moyen d’un ap-pareil de prises de vues (art. 179quater CP)

Art. 179 quaterăCPViolation du domaine secret ou du domaine privé au moyen d’un appareil de prise devues Celui qui, sans le consentement de la personne intéressée, aura observé avec unappareil de prise de vues ou fixé sur un porteur d’images un fait qui relèvedu domaine secret de cette personne ou un fait ne pouvant être perçu sansautre par chacun et qui relève du domaine privé de celle-ci, celui qui aura tiré

187Dans ce sens en partie : FF 1985 II 1060.188José Hurtado Pozo, op. cit. (note 84), p. 686, ph. 2289 ; Philippe Weissenberger, op. cit. (note 154), p.

1163—1164, ph. 5.

38

http://www.amtsdruckschriften.bar.admin.ch/viewOrigDoc.do?id=10104485


profit ou donné connaissance à un tiers d’un fait qu’il savait ou devait présumer êtreparvenu à sa propre connaissance au moyen d’une infraction visée à l’al. 1, celui quiaura conservé une prise de vues ou l’aura rendue accessible à un tiers, alors qu’il savaitou devait présumer qu’elle avait été obtenue au moyen d’une infraction visée à l’al. 1,sera, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’unepeine pécuniaire.

[Rz 124] La fixation sur un porteur d’images peut concerner n’importe quel support, p.ex., unsystème informatique, et il importe peu de savoir si l’auteur a lui-même observé les faits ou le lieuoù il a agi189. De plus, la reproduction est également punissable, c’est-à-dire fixer sur un porteurd’images une image préexistante190.

[Rz 125] La notion de « domaine secret et privé » est difficile à cerner. Relève du domainesecret un fait connu d’un cercle limité de personnes, qui n’est pas accessible à toute personne quisouhaite le connaître et que la personne veut garder privé ou confidentiel, en ayant pour cela unintérêt légitime (p.ex. des comportements sexuels, des conflits familiaux, des souffrances corporelles,des rencontres galantes, etc.)191. Le domaine privé est une notion plus large, mais restreinte parle fait qu’on ne vise ici que les faits qui ne peuvent être perçus sans autre par chacun192. Là aussi, lanotion est difficile à interpréter, mais il semble que cette seconde variante tende surtout à protégerun lieu où les gens sont en droit de se croire à l’abri des regards indiscrets dont l’accès nécessitele franchissement d’une barrière physique ou juridico-morale193. En revanche, il ne semble pas quela portée aille jusqu’à protéger la vie privée qui se déroule en public194.

Mark Spas, Juriste (BLaw/MLaw) etait Analyste (stagiaire) dans l’office fédéral de la police(fedpol) de 1 octobre 2013 au 1 octobre 2014 au service de coordination de la lutte contre lacriminalité sur Internet (SCOCI).Les liens Internet ont été consultés en octobre 2014.

189Bernard Corboz, op. cit. (note 76), p. 662, ph. 14—15.190Ibidem.191Bernard Corboz, op. cit. (note 76), p. 659, ph. 6.192Ibidem, p. 659, ph. 7.193Bernard Corboz, op. cit. (note 76), p. 660, ph. 7 ; ATF 117 IV 33, consid. 2a ; ATF 118 IV 49, consid. e.194Bernard Corboz, op. cit. (note 76), p. 660, ph. 7.

39

