Den franske straffelov indeholder en række bestemmelser til at straffe cyberangreb og krænkelse af personoplysninger. Artikel 226-16 til 226-24 omhandler lovovertrædelser i forbindelse med manglende overholdelse af bestemmelserne i den generelle databeskyttelsesforordning (GDPR) og den franske databeskyttelseslov (Loi Informatique et Libertés).
Disse overtrædelser omfatter uautoriseret brug af persondata, svigagtig indsamling af data og manglende overholdelse af forpligtelser vedrørende sikkerhed og anmeldelse af brud på datasikkerheden.
Artikel 226-16 i den franske straffelov siger, at: »Den handling, herunder uagtsomhed, der består i at behandle eller lade behandle personoplysninger uden at overholde de formaliteter, der kræves i henhold til loven forud for deres gennemførelse, straffes med fem års fængsel og en bøde på 300.000 euro […].
Artikel 226-18 i den franske straffelov regulerer også tilfælde af krænkelse eller tyveri af personoplysninger. I denne artikel står der, at »indsamling af personoplysninger med svigagtige, uretfærdige eller ulovlige midler straffes med fem års fængsel og en bøde på 300.000 euro«.
Der er også en generel artikel om svigagtig adgang til et automatiseret databehandlingssystem (STAD). Artikel 321-1 i straffeloven siger, at “svigagtig adgang til eller forbliven i hele eller dele af et automatiseret databehandlingssystem straffes med tre års fængsel og en bøde på 100.000 euro.
Hvis resultatet er enten sletning eller ændring af data i systemet eller en ændring af systemets funktion, er straffen fem års fængsel og en bøde på 150.000 euro […]”.
Det er også vigtigt at bevare stk. 1 i artikel 323-2 i straffeloven, som siger, at »Hindring eller fordrejning af driften af et automatiseret databehandlingssystem straffes med fem års fængsel og en bøde på 150.000 euro«.
Det mentale element i lovovertrædelsen tyveri eller krænkelse af personoplysninger:
Det mentale element, eller den kriminelle hensigt, er afgørende for klassificeringen af disse lovovertrædelser. Artikel 121-3 i den franske straffelov siger, at »der er ingen forbrydelse eller forseelse uden hensigt til at begå den«. Denne regel betyder, at gerningsmanden til en forbrydelse eller forseelse skal have haft til hensigt at begå den for at blive betragtet som ansvarlig, hvilket omfatter hensigten med adfærden og hensigten med resultatet.
I forbindelse med brud på persondatasikkerheden kan der være tale om hacking eller ondsindet udtræk af persondata. Visse brud kan dog også skyldes uagtsomhed, især når det drejer sig om dataansvarlige, der er underlagt forpligtelserne i RGPD, som f.eks. manglende sikkerhed.
For at definere tyveri af persondata er vi nødt til at henvise til den generelle definition af tyveri. Tyveri er den svigagtige fjernelse af en anden persons ejendom, og det moralske element udgøres, når gerningsmanden opfører sig som ejeren af ejendommen, vel vidende at han eller hun ikke har nogen rettigheder over den.
I en afgørelse af 20. maj 2015 (nr. 14-81.336) bekræftede kassationsdomstolen det moralske element i svigagtig vedligeholdelse og tyveri af data og understregede, at den anklagede var klar over, at han befandt sig i et beskyttet område, idet han havde bemærket tilstedeværelsen af adgangskontrol (login og adgangskode).
På trods af at den oprindelige adgang blev lettet af en teknisk fejl, blev dataene bevidst vedligeholdt og brugt til personlige formål uden tilladelse, hvilket viser svigagtig hensigt, som er et moralsk element, der kræves for at klassificere lovovertrædelserne.
Krænkelse af personoplysninger er kendetegnet ved utilsigtet eller ulovlig ødelæggelse, tab, ændring eller uautoriseret videregivelse af personoplysninger. Det moralske element i denne type lovovertrædelse kan skyldes uagtsomhed, f.eks. menneskelige fejl eller teknisk svigt, eller ondsindet hensigt, f.eks. uautoriseret adgang eller videregivelse til ondsindede formål.
Det materielle element i lovovertrædelsen tyveri eller brud på persondatasikkerheden :
Kassationsdomstolens afgørelse af 28. juni 2017 (nr. 16-81.113) illustrerer, at uautoriseret kopiering af computerfiler, selv om de er frit tilgængelige på et internt netværk, udgør tyveri, når gerningsmanden handler uden dataejerens viden og mod dennes vilje.
I denne sag kopierede en advokat sin kollegas personlige dokumenter, som var tilgængelige uden adgangskode på den fælles server for deres professionelle partnerskab, og sendte dem til formanden for advokatsamfundet.
Domstolen fastslog, at selv om det var nemt at få adgang til filerne, var tilegnelsen af dem svigagtig, fordi den blev foretaget til formål, der ikke havde noget med virksomhedens drift at gøre, uden forudgående tilladelse fra dokumenternes ejer. Denne afgørelse bekræfter, at det materielle element i tyveri kan bestå i simpel uautoriseret kopiering af data, uanset den tekniske tilgængelighed.
Elementet i et brud på persondatasikkerheden kan således være ødelæggelse, tab, ændring, uautoriseret videregivelse eller uautoriseret adgang til persondata. Eksempler er uautoriseret brug af adgangskoder eller installation af spyware.
Kassationsdomstolens strafferetlige afdeling illustrerer i en afgørelse af 10. maj 2017 (nr. 16-81.822) det materielle element i en overtrædelse af persondatabeskyttelse, især i forbindelse med uautoriseret brug af adgangskoder.
I denne sag installerede en advokat spyware (keylogger) på sin kones computer, som også er advokat, for at få adgang til hendes private korrespondance. Kassationsdomstolen stadfæstede appeldomstolens afgørelse og understregede, at brugen af softwaren til andre formål end overvågning af advokatfirmaets drift udgjorde en lovovertrædelse i form af svigagtig opretholdelse af adgang til computersystemet.
Med venlig hilsen / Kind regards
Cabinet Nicolas BRAHIN
Advokatfirma i NICE, Lawyers in NICE
Camilla Nissen MICHELIS
Assistante – Traductrice
1, Rue Louis Gassin – 06300 NICE (FRANCE)
Tel : +33 493 830 876 / Fax : +33 493 181 437
Camilla.nissen.michelis@brahin-avocats.com
www.brahin-avocats.com
