L'accès d'un informaticien à votre ordinateur est-il la porte ouverte à toutes les curiosités ? En théorie non puisque le Code pénal interdit le hacking, c'est-à-dire l'accès non autorisé à un système informatique. A cet égard, on distingue le hacking commis par une personne ayant accès au système informatique mais qui, avec une intention frauduleuse ou dans le but de nuire, a outrepassé les limites de son autorisation (interne), de celui commis par quelqu'un qui, sachant qu'il n'y est pas autorisé, accède ou se maintient dans un système informatique (externe).
...

L'accès d'un informaticien à votre ordinateur est-il la porte ouverte à toutes les curiosités ? En théorie non puisque le Code pénal interdit le hacking, c'est-à-dire l'accès non autorisé à un système informatique. A cet égard, on distingue le hacking commis par une personne ayant accès au système informatique mais qui, avec une intention frauduleuse ou dans le but de nuire, a outrepassé les limites de son autorisation (interne), de celui commis par quelqu'un qui, sachant qu'il n'y est pas autorisé, accède ou se maintient dans un système informatique (externe). Dans les deux cas, les peines encourues peuvent aller jusqu'à 5 ans de prison et/ou 400.000 euros d'amendes. D'autres sanctions pénales sont possibles, par exemple en cas de violations du RGPD ou de la confidentialité des communications électroniques (comme les e-mails sauvegardés). Des sanctions civiles sont également envisageables, par exemple pour non-respect d'obligations contractuelles de confidentialité, voire pour la violation par un employé de son obligation de confidentialité visée dans la loi sur les contrats de travail. A l'inverse, si un service technique est amené à intervenir dans le cadre du contrôle que peut exercer un employeur sur les outils mis à disposition de ses travailleurs, ce contrôle n'est pas absolu, tenant compte notamment de la convention collective de travail n° 81 sur les données de communications électroniques. En pratique, il est parfois malaisé de savoir si le service technique a débordé de sa mission et, dans l'affirmative, d'en rapporter la preuve. Tout est fonction des circonstances d'espèce... et d'interprétation. Par exemple, dans son arrêt du 24 janvier 2017, la Cour de cassation a considéré qu'une infraction de hacking interne doit s'apprécier au regard des droits d'accès effectivement accordés à un employé, et pas au regard des éléments auxquels cet employé doit avoir accès pour sa fonction. Ce qui est certain, c'est que le risque d'une atteinte à la confidentialité, l'intégrité et/ou la disponibilité de ces données sera moindre en cas de " bonne hygiène de vie informatique ". Certaines organisations privées et administrations publi-ques déploient d'ailleurs toujours plus d'efforts en matière d'éducation à la cybersécurité, que ce soit au travers d'une IT policy/charte informatique ou d'exercices en ligne, par exemple avec des tests de détection de phishing, c'est-à-dire la réception d'e-mails mal- veillants avec une pièce jointe infectée ou un lien renvoyant vers une page web infectée, lesquels permettent l'installation d'un logiciel de ransomware qui encrypte les données des utilisateurs dans l'idée de les restituer en échange d'une rançon. Le site internet du Centre pour la cybersécurité Belgique www.ccb.belgium.beregorge de conseils pratiques en la matière. Par exemple, saviez-vous que le site www.nomoreransom.orgpublie les outils de déchiffrement de certains ransonware ? Par Nicolas Roland, avocat associé chez Younity.