Computer Fraud and Abuse ActLa Computer Fraud and Abuse Act (CFAA) est une loi du gouvernement fédéral américain mise en vigueur en 1986 qui porte sur la sécurité des systèmes d'information. Il s'agit d'un amendement à une loi sur les fraudes informatiques : U. S. C., Title 18, Part I, Chapter 47, § 1030[1], qui fait maintenant partie du Comprehensive Crime Control Act of 1984 (en). Cette loi interdit tout accès à un ordinateur sans autorisation préalable ou tout accès qui excède les autorisations[2]. Origine du texteLe rapport de la commission de la Chambre des représentants sur le projet de loi original sur la fraude informatique a qualifié le film techno-thriller WarGames de 1983, dans lequel un jeune adolescent de Seattle (joué par Matthew Broderick) pénètre par effraction dans un super-ordinateur militaire américain programmé pour prédire les résultats possibles d'une guerre nucléaire et déclenche presque involontairement la troisième guerre mondiale, de "représentation réaliste des capacités de composition et d'accès automatiques de l'ordinateur personnel"[3]. Le CFAA a été rédigé pour étendre le droit de la responsabilité civile existant aux biens incorporels, tout en limitant en théorie la compétence fédérale aux cas "présentant un intérêt fédéral impérieux, c'est-à-dire lorsque des ordinateurs du gouvernement fédéral ou de certaines institutions financières sont impliqués ou lorsque le crime lui-même est de nature interétatique", mais ses définitions larges ont débordé sur le droit des contrats. En plus de modifier un certain nombre de dispositions de l'article 1030 original, la CFAA a également criminalisé d'autres actes liés à l'informatique. Les dispositions portaient sur la distribution de codes malveillants et les attaques par déni de service. Le Congrès a également inclus dans la CFAA une disposition criminalisant le trafic de mots de passe et d'éléments similaires[4]. Depuis lors, la loi a été modifiée à plusieurs reprises - en 1989, 1994, 1996, en 2001 par la loi USA PATRIOT de 2002, et en 2008 par la loi sur l'application et la restitution des vols d'identité. À chaque modification de la loi, les types de comportement qui tombaient sous sa portée ont été étendus. En janvier 2015, Barack Obama a proposé d'étendre la CFAA et la Racketeer Influenced and Corrupt Organizations Act (RICO Act) dans sa proposition de modernisation des autorités chargées de l'application de la loi pour lutter contre la cybercriminalité[5]. Marc Rogers, organisateur du DEF CON et chercheur de Cloudflare, le sénateur Ron Wyden et la représentante Zoe Lofgren ont déclaré qu'ils s'opposaient à cette proposition au motif qu'elle rendrait illégales de nombreuses activités régulières sur Internet et qu'elle s'éloignait davantage de ce qu'ils essayaient d'accomplir avec la loi d'Aaron[6]. Ordinateurs protégésLes seuls ordinateurs, en théorie, couverts par le CFAA sont définis comme des "ordinateurs protégés". Ils sont définis à l'article 18 U.S.C. § 1030(e)(2) comme étant un ordinateur :
Critiques du CFAADes condamnations pénales ont été prononcées pour des violations de la CFAA dans le cadre du droit civil, pour des violations de contrats ou de conditions de service. De nombreux actes courants et plus ou moins graves en ligne, tels que le partage de mots de passe et la violation de droits d'auteur, peuvent transformer un délit de CFAA en crime. Les sanctions sont sévères, similaires aux peines encourues pour la vente ou l'importation de drogues, et peuvent être disproportionnées. Les procureurs ont utilisé la CFAA pour protéger des intérêts commerciaux privés et pour intimider les membres du "free-culture movement", en dissuadant les comportements indésirables, mais légaux[8]. Tim Wu a qualifié la CFAA de "pire loi en matière de technologie"[9]. Le CFAA présente de plus en plus d'obstacles réels pour les journalistes qui font des reportages importants pour l'intérêt du public[10]. Comme le journalisme de données devient de plus en plus "un bon moyen d'arriver à la vérité des choses [...] en cette ère post-vérité", comme l'a dit un journaliste de données à Google, le besoin de plus de clarté autour du CFAA augmente[11]. Notes et références
|