Cybersécurité - Les lois et règlements

Le droit civil et pénal en vigueur au Canada et dans d’autres pays englobe beaucoup de menaces en ligne. En outre, de nombreux pays ont des lois spécifiques pour traiter les crimes informatiques. Cette section aborde les lois canadiennes et américaines touchant la cybersécurité.

La réglementation canadienne

Le Code criminel

Section 184: Interception des communications

La section 184 du Code criminel rend illégal le fait d’intercepter une communication privée. Il y est stipulé que quiconque « intercepte volontairement une communication privée » au moyen « d’un dispositif électromagnétique, acoustique, mécanique ou autre » est coupable d’un acte criminel et passible d’un emprisonnement maximal de cinq ans (Code criminel, 1985). Cela ne s’applique pas si l’auteur de la communication a consenti à son interception, si cette interception est nécessaire pour la fourniture du service, si la personne est un agent de la paix possédant un mandat ou si la personne est un agent de l’État chargé d’identifier une transmission non autorisée ou d’empêcher un acte illicite ou des lésions corporelles.

Section 342: Vol, falsification, etc. de cartes de crédit et utilisation non autorisée d’ordinateur

La section 342 du Code criminel rend illégal le fait de voler, de falsifier une carte de crédit ou d’en fabriquer une fausse (soit en ligne ou hors ligne, même si la majorité des fraudes en ligne entrent dans cette catégorie) de même que d’utiliser un ordinateur dans l’intention de commettre une infraction. Il y est stipulé que :

  • quiconque vole, falsifie une carte de crédit ou en fabrique une fausse, a en sa possession ou utilise une carte de crédit ou en fait le trafic alors qu’il sait qu’elle a été obtenue, fabriquée ou falsifiée est coupable d’un acte criminel ou d’une infraction mineure;
  • toute personne qui « produit, a en sa possession, vend ou offre en vente […], écoule ou rend accessible un dispositif conçu ou adapté principalement pour commettre une infraction prévue [à l’article] 342.1 » est « passible d’un emprisonnement maximal de deux ans »;
  • toute personne qui « frauduleusement […] utilise des données […] relatives à une carte de crédit […] qui permettraient l’utilisation de celle-ci ou l’obtention de services liés à son utilisation, fait le trafic de ces données ou permet à une autre personne de les utiliser » est « passible d’un emprisonnement maximum de dix ans ».

Sections 402 et 403: Vol d’identité et fraude à l’identité

Ces sections abordent les problèmes de vol d’identité [hyperlien à « Vol d’identité » dans la section Pourriels, arnaques et fraudes] et de fraude à l’identité [hyperlien à « Usurpation d’identité » dans la section Pourriels, arnaques et fraudes], deux risques assez courants en ligne. La section 402.2 du Code criminel stipule que quiconque, « sciemment, obtient ou a en sa possession des renseignements identificateurs sur une autre personne » qui seront utilisés dans l’intention de commettre un acte criminel comme la fraude, la supercherie ou le mensonge, commet une infraction. Le fait d’offrir en vente ou de vendre de tels renseignements est également punissable par la loi et passible d’un emprisonnement maximal de cinq ans. La section 403 du Code criminel traite spécifiquement de la fraude à l’identité et punit d’un emprisonnement maximal de dix ans quiconque, « frauduleusement, se fait passer pour une autre personne ».

Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil (Fighting Internet and Wireless Spam Act)

La Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique, mieux connue sous le nom de Fighting Internet and Wireless Spam Act (FISA) ou la Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil, a été mise en application le 15 décembre 2010.

Cette loi modifie la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur les télécommunications et la Loi sur la protection des renseignements personnels et les documents électroniques dans le but de renforcer les dispositions pour combattre le vol d’identité, l’hameçonnage et les logiciels espions.[1] Un tableau plus complet de la réglementation ainsi que des conseils sur la façon dont les entreprises et les citoyens canadiens peuvent combattre les pourriels sont disponibles sur le site Fightspam du gouvernement du Canada (http://fightspam.gc.ca/ ou combattrelepourriel.gc.ca).

Loi sur la protection des renseignements personnels et les documents électroniques (Personal Information Protection and Electronic Documents Act)

La Loi sur la protection des renseignements personnels et les documents électroniques, connue généralement sous l’acronyme LPRPDE, expose les règles selon lesquelles toute organisation peut collecter des renseignements personnels au Canada de même que ses obligations pour empêcher l’acquisition de toute donnée qu’elle a collectée par des tiers. Cette loi s’applique seulement aux entreprises et aux organisations privées (la Loi sur la protection des renseignements personnels prévoit la façon dont le gouvernement fédéral collecte et traite les renseignements personnels). Conformément à la LPRPDE, chaque personne possède cinq droits fondamentaux : savoir quels renseignements une organisation a sur vous ; corriger tout renseignement inexact ; déposer une plainte auprès de l’organisation ou d’une association industrielle comme l’Association canadienne du marketing ; déposer une plainte auprès du Commissariat à la protection de la vie privée au Canada ; porter plainte, dans certains cas, à la Cour fédérale du Canada.

Loi sur la protection des Canadiens contre la cybercriminalité

Cette loi a ajouté plusieurs nouvelles infractions au Code criminel, rendant illégale la publication non consensuelle d’une image intime et donnant aux juges le pouvoir d’ordonner la suppression d’images intimes qui ont été partagées sans consentement et la propagande haineuse des systèmes en ligne. Il est aussi illégal de produire, d’importer, de vendre ou de distribuer des dispositifs qui donnent accès à un service ou à une installation de télécommunications « sans acquittement des droits exigibles » ou d’accéder illégalement à un ordinateur ou à un système informatique. L’hameçonnage par courriel et une gamme de comportements de « piratage », classés comme « méfaits à l’égard de données informatiques », ont également été ajoutés au Code criminel. Cette loi élargit aussi les pouvoirs policiers afin d’accéder à des données informatiques dans le cadre d’une enquête.

La réglementation américaine

À l’instar d’Internet, la cybercriminalité ne connaît pas de frontières : dans de nombreux cas, les arnaqueurs sont actifs dans plus d’un pays. Comme dans notre Code criminel, les lois américaines traitent également des enjeux liés à la cybersécurité, mais il existe des différences notables dans la manière de les aborder.

Computer Fraud and Abuse Act (United States Code, Title 18, Part 1, Chapter 47, s. 1030)

Le titre 18 du United States Code, qui traite des crimes et des procédures pénales, n’accorde pas autant d’attention à la cybersécurité que le Code criminel du Canada : une seule section traite spécifiquement des crimes informatiques. Dans la partie 1, chapitre 47, section 1030, on y examine la fraude et autres activités en lien avec les ordinateurs, interdisant toute utilisation non autorisée d’ordinateurs lorsqu’une telle utilisation est faite dans l’intention d’obtenir des renseignements protégés ou confidentiels. L’utilisation non autorisée de tout ordinateur utilisé par une agence gouvernementale, appartenant à une institution financière ou contenant du matériel qui pourrait nuire aux États-Unis est illégale, tout comme l’est l’utilisation d’un ordinateur dans l’intention de l’endommager, de commettre une fraude ou d’extorquer. [2]

Electronic Communications Privacy Act

Cette loi rend illégal le fait pour des gouvernements ou leurs agents d’intercepter ou de stocker des communications électroniques sans mandat ou autorisation de même nature. Elle oblige les fournisseurs de services Internet à rendre possible l’écoute électronique de leurs utilisateurs pour les gouvernements, ce qui nécessite encore un mandat. [3]

Cyber Security Enhancement Act

Cette loi permet aux fournisseurs de services Internet de transmettre à la police et aux agences gouvernementales les données personnelles de leurs clients s’ils choisissent de le faire et croient que lesdites données sont en lien avec un crime. Si le fournisseur de services est prêt à collaborer, la police ou les agences gouvernementales n’auront pas forcément besoin d’un mandat pour obtenir ces données personnelles. [4]

Federal Trade Commission’s OnGuard Online      

OnGuardOnline.gov, le site Web du gouvernement fédéral des États-Unis géré par la Federal Trade Commission, fournit des informations pour aider les gens à éviter les arnaques et à sécuriser leurs ordinateurs. On y donne également des conseils sur comment se comporter intelligemment et protéger les enfants en ligne.

Lois et réglementation en Europe

ENISA (European Union Agency for Cybersecurity)

Cette agence de l’Union européenne a pour but d’assurer un haut niveau de cybersécurité dans l’ensemble de l’Europe[5]. Elle a été créée en 2004, et la EU Cybersecurity Act est venue la compléter en 2019. Les principaux objectifs de l’agence sont de contribuer à la cyberpolitique de l’Union européenne, d’accroître la confiance dans les produits, les services et les processus liés aux TIC grâce à des programmes de certification en cybersécurité, de collaborer avec les États membres et les organismes de l’Union européenne, et d’aider l’Europe à se préparer aux défis de cybersécurité de demain[6].

EU Cybersecurity Act

Cette loi complète les efforts de l’agence européenne de cybersécurité (ENISA) et établit un cadre de certification pour les produits, les services et les processus numériques[7]. Elle comprend aussi un cadre de certification pour les produits, les services et les processus liés aux TIC. Toutes les entreprises qui font des affaires en Union européenne doivent certifier leurs produits liés aux TIC une seule fois afin qu’ils soient reconnus dans l’ensemble de l’Union européenne[8].

RGPD (Règlement général sur la protection des données)

Ce règlement est parallèle à la LPRPDE au Canada, bien que les règles soient considérablement plus strictes et les sanctions plus sévères. Même s’il a été rédigé et adopté en Union européenne, le RGPD affecte des organisations du monde entier qui ciblent ou recueillent des données auprès d’habitants de l’Union européenne. Entré en vigueur le 25 mai 2018, il impose des sanctions sévères contre quiconque enfreint ses normes de sécurité et de protection de la vie privée, les sanctions pouvant coûter des dizaines de millions d’euros[9]. Les sanctions imposées à quiconque enfreint le RGPD sont très élevées. Les deux paliers de sanctions peuvent atteindre un maximum de 20 millions d’euros ou 4 % des revenus globaux (selon le plus élevé des deux montants), et les sujets des données peuvent demander une réparation des préjudices[10].

 


[1] (2010). Bill C-28. Parlement du Canada. Consulté sur le site https://www.parl.ca/DocumentViewer/fr/40-3/projet-loi/C-28/sanction-royal

[2] May, M. (2004). Federal Computer Crime Laws http://www.sans.org/reading_room/whitepapers/legal/federal-computer-crime-laws_1446

[3] Ibid.

[4] Ibid.

[5] ENISA. (2020) About ENISA. Consulté sur le site https://www.enisa.europa.eu/about-enisa

[6] European Commission (2019). The EU Cybersecurity Act. Consulté sur le site https://ec.europa.eu/digital-single-market/en/eu-cybersecurity-act

[7] Ibid.

[8] Ibid.

[9] European Union (2018) What is GDPR, the EU’s new data protection law? Consulté sur le site https://gdpr.eu/what-is-gdpr/

[10] Ibid.