CAJI / Azais Khalsi · 2024

La qualification juridique d’un incident cyber ne consiste pas à coller immédiatement une étiquette pénale sur un fait technique. Elle suppose une méthode en chaîne, partant de la matérialité technique, passant par la qualification du dommage, l’identification des données ou systèmes touchés, la détermination du cadre normatif applicable, puis l’examen des obligations de notification, de gouvernance et, dans certains cas, des enjeux internationaux. En droit français, le socle pénal se trouve principalement dans les articles 323-1 à 323-7 du code pénal, relatifs aux atteintes aux systèmes de traitement automatisé de données. En parallèle, NIS2 structure la gestion des risques et la notification des incidents significatifs pour les entités concernées, tandis que le RGPD encadre les violations de données à caractère personnel, notamment via les articles 33 et 34. Enfin, certaines opérations graves peuvent relever de la souveraineté, de la responsabilité internationale ou, à un seuil plus élevé, du droit international applicable aux opérations dans le cyberespace. (Légifrance)

L’objectif du présent guide est donc de proposer une méthodologie de qualification pénale et juridique des incidents cyber, utilisable par un juriste, un analyste cyber, un RSSI, un DPO, un enquêteur ou un chercheur. Il ne s’agit pas seulement de dire “c’est un ransomware” ou “c’est une fuite de données”, mais de répondre de manière structurée à cinq questions : qu’est-ce qui s’est techniquement passé ? quel bien juridique est atteint ? quelle qualification pénale ou réglementaire s’impose ? quelles obligations de notification existent ? le cas soulève-t-il une dimension internationale ? Cette logique est cohérente avec les textes français, européens et les positions françaises sur le cyberespace. (Légifrance)

1. Principe directeur : toujours partir du fait technique

La première règle méthodologique est simple : la qualification juridique ne commence pas par le droit, mais par le fait. Un incident cyber doit d’abord être décrit techniquement avec précision. Il faut identifier au minimum : le vecteur d’entrée, la nature de l’accès, les systèmes concernés, les données affectées, les opérations réalisées par l’attaquant, la durée de présence, les effets produits, et, si possible, les indicateurs d’attribution ou de campagne. Tant que cette base n’est pas stabilisée, toute qualification reste fragile. Cette exigence est d’autant plus importante que le droit pénal français distingue des comportements différents : accès ou maintien frauduleux, entrave ou altération du fonctionnement, atteintes aux données, mise à disposition d’outils, tentative. (Légifrance)

Autrement dit, il faut d’abord répondre à des questions très concrètes. Y a-t-il eu simple tentative de connexion ou compromission effective ? L’attaquant est-il entré dans le système ou s’est-il seulement approché d’un point d’accès ? A-t-il exfiltré, supprimé, modifié, chiffré ou seulement consulté des données ? Le fonctionnement du système a-t-il été ralenti, interrompu, faussé, ou est-il resté intact ? Ce n’est qu’après ce diagnostic que le juriste peut commencer à qualifier utilement l’incident. Le droit pénal des STAD repose précisément sur cette granularité. (Légifrance)

2. Étape 1 : qualifier l’objet atteint

La première opération juridique consiste à identifier ce qui a été atteint. En matière cyber, plusieurs objets peuvent être concernés en parallèle.

Le premier objet est le système de traitement automatisé de données lui-même. Le code pénal français protège directement le système dans sa dimension d’accès, de maintien et de fonctionnement. Les articles 323-1 et 323-2 visent respectivement l’accès ou le maintien frauduleux dans tout ou partie d’un système, et l’entrave ou la falsification de son fonctionnement. (Légifrance)

Le deuxième objet est la donnée. L’article 323-3 réprime l’introduction, l’extraction, la détention, la reproduction, la transmission, la suppression ou la modification frauduleuse de données contenues dans un système. Cette couche est centrale dans les incidents d’exfiltration, de wiper, de chiffrement, de sabotage informationnel ou de manipulation de bases. (Légifrance)

Le troisième objet possible est la donnée à caractère personnel. Dès qu’un incident porte sur des données identifiables relatives à des personnes physiques, le RGPD entre potentiellement en scène, non à titre de qualification pénale principale, mais à titre de régime de sécurité, de notification et d’information. Les articles 32, 33 et 34 du RGPD structurent précisément la sécurité du traitement, la notification à l’autorité de contrôle et la communication aux personnes concernées. (EUR-Lex)

Le quatrième objet, dans certains cas, est l’infrastructure critique ou l’entité régulée. Là, le raisonnement bascule du seul pénal vers le terrain de la gouvernance et de la résilience sous NIS2, notamment lorsque l’incident affecte une entité essentielle ou importante au sens de la directive. L’article 21 traite des mesures de gestion des risques, et l’article 23 des obligations de notification d’incidents significatifs. (EUR-Lex)

3. Étape 2 : distinguer les quatre grandes familles d’incidents

Pour qualifier correctement, il est utile de répartir les incidents en quatre grandes familles, sachant qu’un même cas peut relever de plusieurs d’entre elles.

La première famille est celle des intrusions. On parle ici d’accès ou de maintien frauduleux, avec ou sans dommage apparent immédiat. L’exemple type est la compromission de compte, la connexion illégitime à un environnement d’administration, ou l’exploitation d’une vulnérabilité ouvrant un accès système. Le cœur de qualification est alors souvent l’article 323-1. (Légifrance)

La deuxième famille est celle des atteintes au fonctionnement. Elle vise les dénis de service, les sabotages, les blocages, certaines formes de ransomware lorsqu’ils paralysent le système, et plus largement tout ce qui empêche ou fausse le fonctionnement normal d’un STAD. Ici, l’article 323-2 devient central. (Légifrance)

La troisième famille est celle des atteintes aux données. Exfiltration, suppression, altération, chiffrement, insertion de données, empoisonnement d’environnement, falsification de fichiers ou de journaux : autant de faits qui appellent une lecture au regard de l’article 323-3. (Légifrance)

La quatrième famille est celle des violations de données personnelles. Une atteinte à la confidentialité, à l’intégrité ou à la disponibilité de données à caractère personnel peut déclencher l’analyse RGPD, même si l’incident relève aussi des infractions des articles 323-1 et suivants. L’EDPB rappelle que la violation de données comprend la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles. (EDPB)

4. Étape 3 : la chaîne de qualification pénale de base

La méthode CAJI peut être formulée sous la forme d’une séquence simple.

Question 1 : y a-t-il eu accès ou maintien frauduleux dans un système ?
Si oui, l’article 323-1 constitue le point de départ. Cet article réprime l’accès ou le maintien frauduleux dans tout ou partie d’un système de traitement automatisé de données. Il prévoit des peines aggravées lorsque les faits ont entraîné suppression ou modification de données, ou altération du fonctionnement, et des aggravations supplémentaires lorsque le système de données personnelles est mis en œuvre par l’État. (Légifrance)

Question 2 : le fonctionnement du système a-t-il été entravé ou faussé ?
Si oui, l’article 323-2 doit être mobilisé. Il vise l’entrave ou le fait de fausser le fonctionnement du système. Il s’applique classiquement aux dénis de service, aux paralysies applicatives, à certains sabotages et, selon les circonstances, à des effets de chiffrement ou de corruption entraînant indisponibilité. (Légifrance)

Question 3 : les données ont-elles été introduites, extraites, modifiées, supprimées ou transmises frauduleusement ?
Si oui, l’article 323-3 devient central. C’est la qualification reine pour les incidents d’exfiltration, de modification malveillante, d’effacement ou de manipulation de données. (Légifrance)

Question 4 : y a-t-il eu outillage ou préparation ?
L’article 323-3-1 incrimine la détention, l’offre, la cession ou la mise à disposition d’outils conçus pour commettre les infractions du chapitre, sauf motif légitime, notamment de recherche ou de sécurité informatique. L’article 323-4 traite de l’entente. Cette couche est importante dans les incidents de red team mal encadrée, d’arsenalisation ou de diffusion d’outils offensifs. (Légifrance)

Question 5 : y a-t-il tentative ?
L’article 323-7 réprime aussi la tentative de plusieurs de ces délits. Cela est crucial lorsqu’un incident a été interrompu avant compromission complète mais qu’un commencement d’exécution est caractérisable. (Légifrance)

5. Typologie de qualification par scénarios

Un phishing réussi conduisant à la compromission d’un compte de messagerie professionnel peut appeler une qualification d’accès frauduleux au système ou au service concerné, voire d’atteinte aux données si des extractions ont eu lieu. Si la compromission donne lieu à une fraude au virement, d’autres qualifications de droit commun peuvent s’ajouter, mais le noyau cyber initial reste souvent 323-1 et éventuellement 323-3. (Légifrance)

Un ransomware appelle en général une qualification en plusieurs couches : accès frauduleux initial, maintien, atteinte au fonctionnement si le système est paralysé, atteinte aux données si chiffrement, suppression ou exfiltration. En pratique, l’analyse pénale la plus sérieuse est cumulative, non exclusive. (Légifrance)

Un DDoS relève plus spontanément de l’entrave au fonctionnement au sens de l’article 323-2, à condition que l’impact sur le fonctionnement soit établi. (Légifrance)

Une exfiltration de base clients engage très classiquement l’article 323-3 pour l’extraction ou la transmission frauduleuse de données, et peut simultanément constituer une violation de données à caractère personnel au sens du RGPD. (EUR-Lex)

Une attaque supply chain demande une qualification plus fine. Le fait générateur peut être, selon le cas, accès frauduleux dans l’environnement du fournisseur, altération de données ou de code, atteinte au fonctionnement, voire diffusion d’un composant compromis. Pénalement, on repart toujours des opérations concrètes effectivement commises, puis on regarde les conséquences réglementaires éventuelles pour les entités touchées. (Légifrance)

6. Étape 4 : vérifier immédiatement la couche RGPD

Dès qu’une donnée à caractère personnel est concernée, il faut ouvrir une seconde branche d’analyse. Le RGPD ne remplace pas le droit pénal, mais il ajoute un régime propre.

L’article 33 impose la notification à l’autorité de contrôle en cas de violation de données personnelles, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. L’article 34 impose la communication aux personnes concernées lorsque le risque est élevé. La CNIL et l’EDPB rappellent explicitement cette architecture. (CNIL)

La bonne méthode est donc la suivante : après la qualification pénale de base, le juriste doit se demander si l’incident a affecté la confidentialité, l’intégrité ou la disponibilité de données personnelles. Si oui, il faut qualifier le niveau de risque, apprécier si la notification à la CNIL est requise, et déterminer si l’information des personnes s’impose. Les sources européennes rappellent que la violation peut résulter d’une divulgation non autorisée, d’un accès non autorisé, d’une perte ou d’une indisponibilité. (EDPB)

Autrement dit, un incident peut être, en même temps :

• une intrusion pénalement qualifiable ;
• une violation de données personnelles ;
• et, selon l’entité concernée, un incident significatif NIS2.

7. Étape 5 : ouvrir la branche NIS2 si l’entité est concernée

Lorsque l’entité victime entre dans le périmètre de NIS2, l’incident ne doit plus être lu uniquement comme un fait infractionnel. Il devient aussi un événement de gouvernance et de résilience.

L’article 21 de la directive impose aux entités concernées des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité de leurs réseaux et systèmes d’information. L’article 23 organise un mécanisme de notification en plusieurs temps pour les incidents significatifs. (EUR-Lex)

La méthode de qualification doit donc intégrer une question supplémentaire : l’incident affecte-t-il une entité essentielle ou importante, ou une entité soumise à un régime équivalent ? Si oui, il faut examiner non seulement la nature de l’attaque, mais aussi :

• l’ampleur de l’impact ;
• la continuité de service ;
• la criticité sectorielle ;
• les obligations de notification ;
• la sécurité de la chaîne d’approvisionnement ;
• l’éventuel défaut préalable de gouvernance du risque. (EUR-Lex)

Le point clé, ici, est que NIS2 ne crée pas une qualification pénale nouvelle du fait d’attaque, mais ajoute un cadre de responsabilité organisationnelle. Un même incident peut donc produire :

• une qualification pénale à l’encontre de l’auteur ;
• une analyse de conformité à l’encontre de l’entité touchée ;
• et une exigence de notification aux autorités compétentes.

8. Étape 6 : déterminer si une dimension internationale existe

Tous les incidents cyber ne soulèvent pas des questions de droit international. Mais certains oui, et il faut savoir les repérer tôt.

La première hypothèse est celle de la transnationalité pénale classique : auteurs, infrastructures, victimes et preuves répartis entre plusieurs États. Cela renforce les enjeux de coopération, sans encore basculer dans le droit international public.

La deuxième hypothèse est celle d’une attribution étatique ou paraétatique. La France rappelle, dans sa doctrine sur le droit international appliqué au cyberespace, que le principe de souveraineté s’applique au cyberespace, que des opérations peuvent violer cette souveraineté, constituer une intervention illicite, voire, selon leur gravité, relever de l’usage de la force ou de l’attaque armée. (Ministère des Armées)

La troisième hypothèse est celle d’une opération relevant de la conflictualité hybride, du renseignement offensif ou d’une campagne structurée d’influence/perturbation. Là encore, la qualification pénale interne ne disparaît pas, mais elle n’épuise plus le cas. Il faut alors distinguer :

• la qualification pénale du fait ;
• la qualification réglementaire de l’incident ;
• la lecture internationale de l’opération.

La France a d’ailleurs rendu publiques certaines attributions officielles, notamment contre APT28/GRU, ce qui montre que le passage du pénal à l’international n’est pas théorique. (Le Monde.fr)

9. La matrice CAJI de qualification

Pour rendre la méthode opérationnelle, on peut proposer une matrice en sept colonnes.

Colonne 1 : fait technique brut
Exploitation CVE, compromission d’identifiants, DDoS, exfiltration, chiffrement, altération, faux ordre de virement, compromission supply chain.

Colonne 2 : objet atteint
Système, fonctionnement, données, données personnelles, continuité de service, infrastructure critique.

Colonne 3 : qualification pénale principale
323-1, 323-2, 323-3, 323-3-1, 323-4, 323-7, voire qualifications complémentaires hors chapitre STAD si nécessaire.

Colonne 4 : couche données personnelles
Oui / non ; risque / risque élevé ; notification CNIL ; information des personnes. (CNIL)

Colonne 5 : couche NIS2
Entité concernée ou non ; incident significatif ou non ; notification ; gouvernance et supply chain. (EUR-Lex)

Colonne 6 : couche internationale
Purement interne, transnational, attribution incertaine, attribution publique, question de souveraineté, conflictualité hybride. (Ministère des Armées)

Colonne 7 : degré de certitude
Qualification certaine, probable, provisoire, à confirmer.

Cette dernière colonne est essentielle. Une qualification sérieuse doit toujours distinguer ce qui est établi de ce qui est encore hypothétique.

10. Trois erreurs méthodologiques à éviter

La première erreur consiste à qualifier trop tôt. Dès qu’un analyste voit “ransomware”, il peut être tenté d’écrire directement “attaque au système”. Or il faut encore établir la séquence technique exacte, l’atteinte au fonctionnement, l’atteinte aux données, et les éventuelles violations de données personnelles. (Légifrance)

La deuxième erreur consiste à confondre qualification pénale et qualification réglementaire. Un incident peut être juridiquement grave au sens de NIS2 ou du RGPD sans que l’on soit encore en mesure d’identifier précisément l’auteur. À l’inverse, une infraction pénale peut être caractérisée alors même que l’incident n’entre pas dans le périmètre NIS2. (EUR-Lex)

La troisième erreur consiste à sur-internationaliser tout incident. Le fait qu’une infrastructure, un malware ou une campagne présente des indices étrangers ne signifie pas automatiquement qu’on doive parler de violation de souveraineté ou d’acte étatique. Le passage au droit international suppose un raisonnement plus exigeant. (Ministère des Armées)

11. Formulation prête à l’emploi

Tu peux insérer dans une note ou un protocole la formulation suivante :

La qualification juridique d’un incident cyber suit une logique séquentielle. Elle commence par l’établissement du fait technique, puis par l’identification de l’objet atteint : système, fonctionnement, données, données à caractère personnel ou continuité de service. Elle se poursuit par la mobilisation des incriminations pénales pertinentes, principalement les articles 323-1 à 323-7 du code pénal, avant d’ouvrir, selon les cas, une branche RGPD en présence de données personnelles et une branche NIS2 lorsque l’entité victime relève du champ de la directive. Dans les cas les plus graves ou les plus structurés, une lecture complémentaire en droit international public peut être nécessaire, notamment lorsque l’opération soulève des questions de souveraineté, d’attribution étatique ou de conflictualité hybride. (Légifrance)

12. Conclusion

Le bon juriste cyber ne raisonne ni par réflexe technique pur, ni par automatisme pénal. Il raisonne en couches. Le point de départ est toujours l’analyse technique du fait ; le premier cercle juridique est pénal ; le second cercle est celui des données personnelles ; le troisième est celui de la résilience et de la notification sectorielle ; le quatrième, plus rare mais décisif, est celui du droit international. Les articles 323-1 à 323-7 du code pénal donnent l’ossature de la répression des atteintes aux systèmes et aux données. Le RGPD ajoute le régime des violations de données personnelles, en particulier via les articles 33 et 34. NIS2 apporte, avec ses articles 21 et 23, une logique de gouvernance du risque et de notification des incidents significatifs. Et la doctrine française sur le cyberespace rappelle que certains incidents, lorsqu’ils s’inscrivent dans des opérations étatiques ou hybrides, peuvent devoir être relus au prisme de la souveraineté et de la responsabilité internationale. (Légifrance)