Cybersécurité - Les lois et règlements

Le droit civil et pénal en vigueur au Canada et dans d’autres pays englobe beaucoup de menaces en ligne. En outre, de nombreux pays ont des lois spécifiques pour traiter les crimes informatiques. Cette section aborde les lois canadiennes et américaines touchant la cybersécurité.

La réglementation canadienne

Le Code criminel

Section 184: Interception des communications

La section 184 du Code criminel rend illégal le fait d’intercepter une communication privée. Il y est stipulé que quiconque « intercepte volontairement une communication privée » au moyen « d’un dispositif électromagnétique, acoustique, mécanique ou autre » est coupable d’un acte criminel et passible d’un emprisonnement maximal de cinq ans (Code criminel, 1985). Cela ne s’applique pas si l’auteur de la communication a consenti à son interception, si cette interception est nécessaire pour la fourniture du service, si la personne est un agent de la paix possédant un mandat ou si la personne est un agent de l’Etat chargé d’identifier une transmission non autorisée ou d’empêcher un acte illicite ou des lésions corporelles.

Section 342: Vol, falsification, etc. de cartes de crédit et utilisation non autorisée d’ordinateur

La section 342 du Code criminel rend illégal le fait de voler, de falsifier une carte de crédit ou d’en fabriquer une fausse (soit en ligne ou hors ligne, même si la majorité des fraudes en ligne entrent dans cette catégorie) de même que d’utiliser un ordinateur dans l’intention de commettre une infraction. Il y est stipulé que :

  • Quiconque vole, falsifie une carte de crédit ou en fabrique une fausse, a en sa possession ou utilise une carte de crédit ou en fait le trafic alors qu’il sait qu’elle a été obtenue, fabriquée ou falsifiée est coupable d’un acte criminel ou d’une infraction mineure.
  • Quiconque est déclaré avoir fabriqué, acheté ou vendu « quelque instrument, dispositif, appareil, matériel ou chose » qu’il sait utilisé ou destiné à fabriquer de fausses cartes de crédit devant servir à commettre une infraction est passible d’un emprisonnement maximal de dix ans.
  • Quiconque obtient des services d’ordinateur ou utilise un ordinateur dans l’intention de commettre une infraction est également passible d’un emprisonnement maximal de 10 ans. Quiconque utilise ou a en sa possession un mot de passe d’ordinateur ou permet à une autre personne de l’utiliser dans  l’intention de commettre une infraction recevra une sentence similaire.

Sections 402 et 403: Vol d’identité et fraude à l’identité

Ces sections abordent les problèmes de vol d’identité [hyperlien à « Vol d’identité » dans la section Pourriels, arnaques et fraudes] et de fraude à l’identité [hyperlien à  
« Usurpation d’identité » dans la section Pourriels, arnaques et fraudes], deux risques assez courants en ligne. La section 402.2 du Code criminel stipule que quiconque,

« sciemment, obtient ou a en sa possession des renseignements identificateurs sur une autre personne » qui seront utilisés dans l’intention de commettre un acte criminel comme la fraude, la supercherie ou le mensonge, commet une infraction. Le fait d’offrir en vente ou de vendre de tels renseignements est également punissable par la loi et passible d’un emprisonnement maximal de cinq ans. La section 403 du Code criminel traite spécifiquement de la fraude à l’identité et punit d’un emprisonnement maximal de dix ans quiconque, « frauduleusement, se fait passer pour une autre personne ».

Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil (Fighting Internet and Wireless Spam Act)

La Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique, mieux connue sous le nom de Fighting Internet and Wireless Spam Act (FISA) ou la Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil, a été mise en application le 15 décembre 2010.

Cette loi modifie la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur les télécommunications et la Loi sur la protection des renseignements personnels et les documents électroniques dans le but de renforcer les dispositions pour combattre le vol d’identité, l’hameçonnage et les logiciels espions. [1] Un tableau plus complet de la réglementation ainsi que des conseils sur la façon dont les entreprises et les citoyens canadiens peuvent combattre les pourriels sont disponibles sur le site Fightspam du gouvernement du Canada (http://fightspam.gc.ca/ ou combattrelepourriel.gc.ca).

Loi sur la protection des renseignements personnels et les documents électroniques (Personal Information Protection and Electronic Documents Act)

La Loi sur la protection des renseignements personnels et les documents électroniques, connue généralement sous l’acronyme PIPEDA, expose les règles selon lesquelles toute  organisation peut collecter des renseignements personnels au Canada de même que ses obligations pour empêcher l’acquisition de toute donnée qu’elle a collectée par des tiers. Cette loi s’applique seulement aux entreprises et aux organisations privées (la Loi sur la protection des renseignements personnels prévoit la façon dont le gouvernement fédéral collecte et traite les renseignements personnels). Conformément à la PIPEDA, chaque personne possède cinq droits fondamentaux : savoir quels renseignements une organisation a sur vous ; corriger tout renseignement inexact ; déposer une plainte auprès de l’organisation ou d’une association industrielle comme l’Association canadienne du marketing ; déposer une plainte auprès du Commissariat à la protection de la vie privée au Canada ; porter plainte, dans certains cas, à la Cour fédérale du Canada.

Projets de loi C-50 et C-51

Deux projets de loi déposés devant le Parlement, C-50 (Loi visant à améliorer l’accès aux outils d’enquête sur les crimes graves) et C-51 (Loi sur les pouvoirs d’enquête au 21e siècle), changeront considérablement les façons d’enquêter des services de police canadiens sur la cybercriminalité s’ils sont adoptés. Ils donnent aux agents de la paix plus de latitude pour intercepter des communications électroniques sans mandat et donnent aux juges plus de pouvoir pour obliger les fournisseurs de télécommunications, les fournisseurs de services Internet et les moteurs de recherche à surveiller, stocker, conserver et divulguer des communications par courrier électronique, par Internet et par téléphone.  

La réglementation américaine

À l’instar d’Internet, la cybercriminalité ne connaît pas de frontières : dans de nombreux cas, les arnaqueurs sont actifs dans plus d’un pays. Comme dans notre Code criminel, les lois américaines traitent également des enjeux liés à la cybersécurité, mais il existe des différences notables dans la manière de les aborder.

Computer Fraud and Abuse Act (United States Code, Title 18, Part 1, Chapter 47, s. 1030)

Le titre 18 du United States Code, qui traite des crimes et des procédures pénales, n’accorde pas autant d’attention à la cybersécurité que le Code criminel du Canada : une seule section traite spécifiquement des crimes informatiques. Dans la partie 1, chapitre 47, section 1030, on y examine la fraude et autres activités en lien avec les ordinateurs, interdisant toute utilisation non autorisée d’ordinateurs lorsqu’une telle utilisation est faite dans l’intention d’obtenir des renseignements protégés ou confidentiels. L’utilisation non autorisée de tout ordinateur utilisé par une agence gouvernementale, appartenant à une institution financière ou contenant du matériel qui pourrait nuire aux États-Unis est illégale, tout comme l’est l’utilisation d’un ordinateur dans l’intention de l’endommager, de commettre une fraude ou d’extorquer. [2]

Electronic Communications Privacy Act

Cette loi rend illégal le fait pour des gouvernements ou leurs agents d’intercepter ou de stocker des communications électroniques sans mandat ou autorisation de même nature. Elle oblige les fournisseurs de services Internet à rendre possible l’écoute électronique de leurs utilisateurs pour les gouvernements, ce qui nécessite encore un mandat. [3]

Cyber Security Enhancement Act

Cette loi permet aux fournisseurs de services Internet de transmettre à la police et aux agences gouvernementales les données personnelles de leurs clients s’ils choisissent de le faire et croient que lesdites données sont en lien avec un crime. Si le fournisseur de services est prêt à collaborer, la police ou les agences gouvernementales n’auront pas forcément besoin d’un mandat pour obtenir ces données personnelles. [4]

Federal Trade Commission’s OnGuard Online      

OnGuardOnline.gov, le site Web du gouvernement fédéral des États-Unis géré par la Federal Trade Commission, fournit des informations pour aider les gens à éviter les arnaques et à sécuriser leurs ordinateurs. On y donne également des conseils sur comment se comporter intelligemment et protéger les enfants en ligne.

 


 

[1] Industry Canada, (2011). Bill C-28: Canada’s Anti-Spam Legislation. Extrait de Industry Canada Website: http://www.ic.gc.ca/eic/site/ecic-ceac.nsf/eng/h_gv00567.html
[2] May, M. (2004). Federal Computer Crime Laws. Extrait de http://www.sans.org/reading_room/whitepapers/legal/federal-computer-crime-laws_1446
[3] Ibid.
[4] Ibid.