Le cas Fireworld a fait les gros titres avant hier. Cet éditeur a développé une série d’arguments nauséabonds pour inciter à l'achat de ses solutions, et notamment permettre à ses clients également parents de savoir si « leur fils est gay ». La vente et l'usage de ce genre de dispositif se frottent toutefois à une législation très précise. Explications.
« S’il est homosexuel, vous ne serez peut-être jamais grand parent, et vous n'aurez pas le bonheur de connaître vos petits-fils »… Les arguments développés par Fireworld pour inciter le client à acheter ses outils d’espionnage ont évidemment fait bondir, des associations LGBT à la secrétaire d’État à l’égalité femmes-hommes, en passant par une myriade de réactions sur les réseaux sociaux, dans les commentaires, etc. (notre actualité).
Au-delà de ces visées marketing crasses, gorgées d'optimisation dans les moteurs de recherche, un point ombragé reste à mieux éclairer : celui de l'encadrement de la vente et de l'usage des outils de surveillance.
La licéité de ces solutions de surveillance, côté vendeurs
Du côté des vendeurs, l’article 226-3 du Code pénal est plutôt clair. Il interdit sans détour « la fabrication, l'importation, la détention, l'exposition, l'offre, la location ou la vente d'appareils ou de dispositifs techniques de nature à permettre la réalisation d'opérations pouvant constituer l'infraction prévue par le second alinéa de l'article 226-15 ». Ces faits sont lourdement punis, jusqu’à cinq ans d'emprisonnement et 300 000 € d'amende.
Pour enclencher l’article 226-3, encore faut-il vérifier que la solution soit « de nature à permettre » l’une des opérations tombant dans le périmètre de l’infraction décrite à un autre article, le 226-15 du même code. Il s’agit là d’une référence aux différentes atteintes au secret des correspondances ou à l’interception des communications (« le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance »).
Le même article 226-3 punit de la même façon la mise à disposition de logiciels « ayant pour objet la captation de données informatiques » sans consentement de la victime, via keylogging, capture d’écran,... comme mentionné aux articles articles 706-102-1 et 706-102-2 du Code de procédure pénale.
En somme, proposer d’une manière ou d’une autre un logiciel taillé pour porter atteinte à la vie privée peut être interdit en France et engendrer quelques soucis aux responsables, selon l’analyse opérée par la justice.
Un régime soumis à autorisation du Premier ministre
Dans notre pays, la circulation de solutions très intrusives est en outre soumise à un carcan administratif pour éviter une foire à l’espionnage. Sans ces règles, en effet, nous trouverions des armées bruyantes de chevaux de Troie ou de keyloggers jusque dans les rayons des supermarchés.
Pour résumer, de tels logiciels doivent en théorie décrocher une autorisation ministérielle, en pratique délivrée par l’ANSSI pour le compte du Premier ministre. Elle est accordée selon différents critères, classés et donc non publics, comme nous l'a confirmé l'agence.
Dans le dédale des textes, les « dispositifs matériels et logiciels, de nature à permettre l'interception, l'écoute, l'analyse, la retransmission, l'enregistrement ou le traitement de correspondances émises, transmises ou reçues sur des réseaux de communications électroniques » par exemple, entrent typiquement dans le champ de l'autorisation en vertu d’un arrêté du 4 juillet 2012.
De la même manière, figurent tous « les dispositifs techniques (...) spécifiquement conçus pour, sans le consentement des intéressés, accéder aux données informatiques, les enregistrer, les conserver et les transmettre, telles qu'elles sont stockées dans un système informatique, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un tel système, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques audiovisuels. »
Ajoutons, lorsque les verrous n'ont pas été apposés sur les messages publicitaires, la possibilité d’agir sur le fondement de l’article 23 sur la liberté de la presse. La loi de 1881 permet spécialement de punir « d'une action qualifiée crime ou délit » ceux qui, sur un site accessible au public notamment, « auront directement provoqué » à commettre une infraction. Voilà pourquoi l'éditeur - qui n'a toujours pas diffusé la moindre mention légale - consacre une page entière pour expliquer notamment que « si vous ne respectez pas la loi en utilisant le logiciel espion FIREWORLD Controller, vous serez seul responsable de vos actes et vous en paierez les conséquences si la personne que vous contrôlez / espionnez décide de porter plainte. »
La licéité de ces solutions, côté acheteurs
Du côté des utilisateurs, prudence de rigueur. Outre l’article 226-15, celui qui fait usage de solutions d'espionnage risque de se frotter aussi aux foudres de l’article 226-1 du Code pénal.
Il punit d’un an d’emprisonnement et 45 000 euros d’amende le fait de porter, d’une manière quelconque, atteinte à la vie privée. Une infraction constituée dès la captation des paroles prononcées à titre privé ou la fixation de l’image de personnes qui se trouvent dans un lieu non public. Et encore, s'ajoutent les éventuels dommages et intérêts au civil, pour violation de l'intimité.
Selon les caractéristiques propres à chaque logiciel et les faits de l'espèce, d'autres textes peuvent s’appliquer. Installer un keylogger sur une machine distante sur laquelle on n’a aucun droit, peut permettre d’actionner l’article 323-1 du Code pénal, issu de la loi Godfrain. Il réprime cette fois de deux ans d'emprisonnement et de 60 000 euros d'amende « le fait de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données ».
Mieux : selon l’article 323-3, le fait de reproduire frauduleusement les données que ce système contient entraîne cette fois jusqu’à cinq ans d'emprisonnement et 150 000 euros d'amende pour la personne reconnue coupable. D’ailleurs, un éditeur qui, sans s’armer de motif légitime, propose des solutions d’espionnage « conçues ou spécialement adaptées » pour commettre ces deux dernières infractions pourra être puni « des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ».