Fifty shades of consentement

sm pentest

Comme je l’indiquais dans mon précédent billet, la jurisprudence pénale est inexistante en ce qui concerne le pentesting.

La doctrine (chez les juristes, ce terme qualifie un quorum d’individus atteints de calvitie passant le plus clair de leur temps à paraphraser des lois, compiler des décisions et essayer d’en tirer quelque chose de plus ou moins pertinent) n’est pas très diserte.

Dans cette hypothèse, et malgré toutes les réserves qu’implique cette figure de style, une analogie s’impose. Parce qu’en droit on s’amuse d’un rien, notamment en 1ère ou 2ème année, et parce que c’est bon pour google analytics, nous allons nous pencher sur le sadomasochisme. Sans tabou mais avec certaines limites toutefois concernant évidemment la portée de la comparaison.

Ce n’est une surprise pour personne. Le droit n’a pas attendu les succès consécutifs de Pulp fiction et Fifty shades of grey pour s’intéresser aux combinaisons en latex et aux nœuds de marins.

Fifty shades of law

Le code pénal interdit – en théorie – de fouetter ses fréquentations, de les attacher ou de leur accrocher des pinces aux tétons.

Selon l’acharnement et/ou l’abnégation des participants, les qualifications pourraient aller des blessures légères (sans incapacité totale de travail – s’exprimant en jours et mesurant la gravité des blessures en matière pénale) aux actes de torture et de barbarie, en passant par l’agression sexuelle et le viol.

En admettant pour les besoins de la démonstration que la partie « victime » soit réellement parfaitement consentante, le viol et l’agression sexuelle sont impossibles. Leurs textes d’incriminations exigent l’absence du consentement préalable. L’Etat ne réprime pas l’acte sexuel mais sa réalisation contrainte.

De la même manière, mais parce que lui bénéficie de l’autorisation de la loi outre le consentement de sa victime, le dentiste ne sera pas condamné pour torture s’il se rate lamentablement lors d’une extraction un tantinet sauvage.

Le consentement

Une tolérance existe également pour les sportifs. Sous conditions que les règles soient respectées, un placage raté conduisant un joueur au cimetière n’aura pas pour effet d’envoyer le maladroit en prison. Idem pour la boxe et les coups et blessures.

Cependant, le principe général qu’il ne faut pas perdre de vue hormis les deux hypothèses précitées est que le consentement de la victime est indifférent au droit pénal. Celui-ci ne se contente pas de protéger les citoyens mais aussi l’ordre public.

Ainsi réprime-t-il en toute hypothèse le meurtre (l’euthanasie est interdite) ou la torture car il s’agit là de défendre l’ordre public. (Je n’ai pas de définition pour l’ordre public. Elle serait de toute façon bien trop variable en fonction des époques – notion parfaitement et uniquement fonctionnelle – à chercher plutôt chez certains philosophes que les juristes).

Pour en revenir à nos moutons de cuir vêtus, ils ne finissent pourtant pas tous en prison.

En quelque sorte, le droit pénal se contractualise.

Le droit européen considère que ce qui se passe dans la chambre à coucher ou à la cave relève de la liberté individuelle et que le droit pénal n’a pas à y fourrer son nez. (Cour européenne des droits de l’homme – Arrêt du 17 février 2005)

Les décisions des juridictions françaises sont contradictoires. Des condamnations ont pu intervenir même lorsque le consentement était bien établi en raison de la violence des pratiques. Toutefois, le point d’achoppement tient en général à la valeur du consentement ou à sa disparition en chemin, sinon d’ailleurs la police n’aurait pas été appelée et la justice saisie.

Et la question de sa portée

De cela deux conclusions peuvent être tirées concernant les tests d’intrusion.

La première est relative au consentement du pentesté. C’est de sa qualité que dépendra le risque pénal.

La seconde est une question. Les délits informatiques ne comprenant pas dans leur rédaction une notion de fraude, de dol, peuvent-ils être absous par le consentement ?

Si pour réaliser un pentest il est nécessaire d’entraver le fonctionnement du système ou de le fausser, l’accord n’exclut pas tout risque pénal compte-tenu de la rédaction du texte de l’incrimination.

L’incertitude théorique perdurera tant que la Cour de cassation n’aura pas été amenée à statuer sur ce point, ce qui n’arrivera peut-être jamais.

Le processus mou de contractualisation du droit pénal peut laisser penser, comme pour les SM ou les sportifs, que le consentement du maître du système suffit à protéger le testeur de poursuites pénales.

Cependant, si un intérêt général s’attache de près ou de loin aux STAD (Système de Traitement Automatisé des Données) qui auront été entravés ou faussés, des poursuites sont parfaitement imaginables.

Cette difficulté écartée, nous allons pouvoir nous attacher au consentement du point de vue pénal mais aussi civil.

A suivre…