Computer Fraud and Abuse Act
La Computer Fraud and Abuse Act (CFAA) est une loi du gouvernement fédéral américain mise en vigueur en 1986 qui porte sur la sécurité des systèmes d'information. Il s'agit d'un amendement à une loi sur les fraudes informatiques : U. S. C., Title 18, Part I, Chapter 47, § 1030[1], qui fait maintenant partie du Comprehensive Crime Control Act of 1984 (en). Cette loi interdit tout accès à un ordinateur sans autorisation préalable ou tout accès qui excède les autorisations[2].
Origine du texte
Le rapport de la commission de la Chambre des représentants sur le projet de loi original sur la fraude informatique a qualifié le film techno-thriller WarGames de 1983, dans lequel un jeune adolescent de Seattle (joué par Matthew Broderick) pénètre par effraction dans un super-ordinateur militaire américain programmé pour prédire les résultats possibles d'une guerre nucléaire et déclenche presque involontairement la troisième guerre mondiale, de "représentation réaliste des capacités de composition et d'accès automatiques de l'ordinateur personnel"[3].
Le CFAA a été rédigé pour étendre le droit de la responsabilité civile existant aux biens incorporels, tout en limitant en théorie la compétence fédérale aux cas "présentant un intérêt fédéral impérieux, c'est-à-dire lorsque des ordinateurs du gouvernement fédéral ou de certaines institutions financières sont impliqués ou lorsque le crime lui-même est de nature interétatique", mais ses définitions larges ont débordé sur le droit des contrats. En plus de modifier un certain nombre de dispositions de l'article 1030 original, la CFAA a également criminalisé d'autres actes liés à l'informatique. Les dispositions portaient sur la distribution de codes malveillants et les attaques par déni de service. Le Congrès a également inclus dans la CFAA une disposition criminalisant le trafic de mots de passe et d'éléments similaires[4].
Depuis lors, la loi a été modifiée à plusieurs reprises - en 1989, 1994, 1996, en 2001 par la loi USA PATRIOT de 2002, et en 2008 par la loi sur l'application et la restitution des vols d'identité. À chaque modification de la loi, les types de comportement qui tombaient sous sa portée ont été étendus.
En janvier 2015, Barack Obama a proposé d'étendre la CFAA et la Racketeer Influenced and Corrupt Organizations Act (RICO Act) dans sa proposition de modernisation des autorités chargées de l'application de la loi pour lutter contre la cybercriminalité[5]. Marc Rogers, organisateur du DEF CON et chercheur de Cloudflare, le sénateur Ron Wyden et la représentante Zoe Lofgren ont déclaré qu'ils s'opposaient à cette proposition au motif qu'elle rendrait illégales de nombreuses activités régulières sur Internet et qu'elle s'éloignait davantage de ce qu'ils essayaient d'accomplir avec la loi d'Aaron[6].
Ordinateurs protégés
Les seuls ordinateurs, en théorie, couverts par le CFAA sont définis comme des "ordinateurs protégés". Ils sont définis à l'article 18 U.S.C. § 1030(e)(2) comme étant un ordinateur :
- exclusivement à l'usage d'une institution financière ou du gouvernement des États-Unis, ou de tout ordinateur, lorsque le comportement constitutif de l'infraction affecte l'utilisation de l'ordinateur par ou pour l'institution financière ou le gouvernement ; ou qui est utilisé dans le cadre du commerce ou de la communication entre États ou à l'étranger ou qui a une incidence sur ceux-ci, y compris un ordinateur situé en dehors des États-Unis qui est utilisé d'une manière qui a une incidence sur le commerce ou la communication entre États ou à l'étranger.
- Dans la pratique, tout ordinateur ordinaire, y compris les téléphones cellulaires, est soumis à la juridiction de la loi en raison de la nature interétatique de la plupart des communications sur Internet[7].
Critiques du CFAA
Des condamnations pénales ont été prononcées pour des violations de la CFAA dans le cadre du droit civil, pour des violations de contrats ou de conditions de service. De nombreux actes courants et plus ou moins graves en ligne, tels que le partage de mots de passe et la violation de droits d'auteur, peuvent transformer un délit de CFAA en crime. Les sanctions sont sévères, similaires aux peines encourues pour la vente ou l'importation de drogues, et peuvent être disproportionnées. Les procureurs ont utilisé la CFAA pour protéger des intérêts commerciaux privés et pour intimider les membres du "free-culture movement", en dissuadant les comportements indésirables, mais légaux[8].
Tim Wu a qualifié la CFAA de "pire loi en matière de technologie"[9].
Le CFAA présente de plus en plus d'obstacles réels pour les journalistes qui font des reportages importants pour l'intérêt du public[10]. Comme le journalisme de données devient de plus en plus "un bon moyen d'arriver à la vérité des choses [...] en cette ère post-vérité", comme l'a dit un journaliste de données à Google, le besoin de plus de clarté autour du CFAA augmente[11].
Notes et références
- U.S. Code, Title 18, Part I, Chapter 47, § 1030. Consulter (en) « 18 U.S.C. § 1030 », sur Cornell University Law School,
- H. Marshall Jarrett et Michael W. Bailie, « Prosecution of Computer Crimes », sur justice.gov, Office of Legal Education Executive Office for United States Attorneys, (consulté le )
- H.R. Rep. 98-894, 1984 U.S.C.C.A.N. 3689, 3696 (1984).
- Jarrett, H. Marshall; Bailie, Michael W. (2010). "Prosecution of Computer". justice.gov. Office of Legal Education Executive Office for United States Attorneys. 3 juin, 2013.
- (en) « SECURING CYBERSPACE - President Obama Announces New Cybersecurity Legislative Proposal and Other Cybersecurity Efforts », sur whitehouse.gov, (consulté le )
- (en) Dana Liebelson, « Democrats, Tech Experts Slam Obama's War On Hackers », sur HuffPost, (consulté le )
- Corey Varma, « What is the Computer Fraud and Abuse Act », sur CoreyCarma.com,
- Tiffany Curtiss, « Computer Fraud and Abuse Act Enforcement: Cruel, Unusual, and Due for Reform », sur Washington Law Review
- Christian Sandvig, Karrie Karahalios, « "Most of what you do online is illegal. Let's end the absurdity" », sur The Guardian,
- Victoria Baranetsky, « "Data Journalism and the Law" », sur Columbia Journalism Review,
- Victoria Baranetsy, « Data Journalism and the Law », sur Columbia Journalism Review,