Loi Godfrain et Pentest : Cadre légal des tests de pénétration en France
La loi Godfrain du 5 janvier 1988 — loi n° 88-19 relative à la fraude informatique — est le texte fondateur du droit pénal français en matière de cybercriminalité. Codifiée aux articles 323-1 à 323-7 du Code pénal, elle pénalise l'accès frauduleux ou le maintien frauduleux dans un système de traitement automatisé de données. En matière de tests de pénétration, cette loi a une implication directe : tout pentest réalisé sans autorisation préalable écrite du propriétaire du système constitue potentiellement une infraction pénale, même si l'intention est bienveillante. Ce guide explique le cadre légal français des tests de pénétration, les conditions d'une mission légale, ce que doit contenir l'autorisation de test et les obligations RGPD associées.
Pourquoi la loi Godfrain encadre directement les missions de pentest
La loi Godfrain est la pierre angulaire du droit français applicable à la cybersécurité offensive. Ses dispositions couvrent précisément les actions réalisées lors d'un test de pénétration : l'accès à un système (Art. 323-1), l'introduction, la suppression ou la modification de données (Art. 323-3), et les actions entravant le fonctionnement d'un système (Art. 323-2). La jurisprudence française a clairement établi que l'intention de l'auteur n'est pas un élément constitutif de l'infraction — ce qui compte est l'acte objectif d'accès non autorisé. Un consultant en cybersécurité qui teste un système sans autorisation explicite commet une infraction, même s'il agit « pour le bien » de l'entreprise. Cette réalité juridique crée des obligations contractuelles précises pour les prestataires de pentest et leurs clients. En pratique, toute mission de pentest professionnelle en France doit être couverte par un contrat de prestation ou une lettre de mission contenant une autorisation explicite de test avec le périmètre précisément défini. L'ANSSI recommande dans ses guides que les contrats de pentest incluent systématiquement une clause d'autorisation formelle signée par une personne habilitée. Le RGPD (Règlement (UE) 2016/679) ajoute une couche supplémentaire de complexité : si le pentest est susceptible d'accéder à des données personnelles, des précautions supplémentaires s'imposent, notamment la documentation des mesures pour éviter la divulgation non autorisée de données personnelles identifiées lors des tests.
- Code pénal Art. 323-1 (accès frauduleux) : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. » — tout accès non autorisé, même bienveillant, constitue cette infraction.
- Code pénal Art. 323-2 (entrave au fonctionnement) : « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. » — les tests de charge, les injections DoS ou les crash tests sans autorisation tombent sous cette infraction.
- Code pénal Art. 323-3 (modification de données) : « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. » — toute exploitation de vulnérabilité modifiant des données sans autorisation est concernée.
- Code pénal Art. 323-3-1 (outils de cybercriminalité) : « Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues aux articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée. » — noter la mention « sans motif légitime notamment de recherche ou de sécurité informatique » qui protège les outils de pentest légitimes.
- Convention de Budapest sur la cybercriminalité (STCE n° 185) : ratifiée par la France en 2006 — elle harmonise les dispositions pénales européennes sur la cybercriminalité et constitue le cadre international dans lequel s'inscrit la loi Godfrain.
- RGPD Art. 32 et missions de pentest : un test de pénétration susceptible d'accéder à des données personnelles constitue un traitement de données personnelles devant être documenté dans le registre des activités de traitement (Art. 30 RGPD) ; des mesures techniques doivent garantir que les données découvertes lors du pentest ne sont pas conservées au-delà de la durée de la mission.
- Responsabilité pénale des personnes morales (Code pénal Art. 121-2) : une entreprise peut être pénalement responsable si ses dirigeants ou ses salariés réalisent un accès non autorisé à des systèmes tiers, même dans un contexte de tests de sécurité non mandatés — la culture « hack éthique non contractualisé » est illégale en France.
Comment structurer un pentest légalement conforme en France
- Contrat de prestation ou lettre de mission (indispensable) : le document contractuel doit explicitement autoriser le prestataire à tenter de compromettre les systèmes définis, signé par un représentant légal de l'organisation cliente ou la personne expressément déléguée à cet effet.
- Définition précise du périmètre de test : liste exhaustive des adresses IP, noms de domaine, applications, APIs et systèmes physiques inclus dans le périmètre — toute action hors périmètre expose le prestataire à une responsabilité pénale au titre de l'Art. 323-1.
- Clause de limitation du périmètre tiers : si les systèmes testés hébergent des données ou services de tiers (hébergeurs cloud, SaaS), une clause d'exclusion ou une autorisation supplémentaire des tiers est nécessaire — les fournisseurs cloud ont leurs propres politiques de pentest qu'il faut respecter (AWS Penetration Testing Policy, Azure Penetration Testing Rules).
- Clause de traitement des données personnelles (RGPD) : le contrat doit définir les obligations du prestataire en cas de découverte de données personnelles lors du pentest — destruction sécurisée, non-divulgation, mesures de pseudonymisation dans les rapports, accord de traitement des données au sens de l'Art. 28 RGPD.
- Clause de notification des vulnérabilités critiques : le contrat doit préciser le délai et la procédure de notification en cas de découverte d'une vulnérabilité critique pendant le test — notamment si un risque immédiat pour les données personnelles est identifié (notification CNIL sous 72h selon le RGPD Art. 33).
- Accord de confidentialité (NDA) : le prestataire s'engage à ne pas divulguer les informations découvertes lors du pentest — les rapports contiennent des informations sensibles sur les vulnérabilités des systèmes qui ne doivent pas être accessibles à des tiers.
- Assurance responsabilité civile professionnelle du prestataire : le contrat doit mentionner la couverture d'assurance du prestataire pour les éventuels dommages causés lors des tests — notamment les interruptions de service accidentelles ou les dommages aux données.
- Fenêtres de test et règles d'engagement (Rules of Engagement) : définir les plages horaires de test autorisées, les actions interdites (DoS réel, destruction de données), les procédures d'urgence en cas d'incident, les contacts de sécurité à alerter immédiatement si une vulnérabilité critique est découverte.
Exemple de finding
Découverte de données personnelles non chiffrées dans un bucket S3 public — risque RGPD
Lors de la phase de reconnaissance du test de pénétration (dans le périmètre contractuellement autorisé), un bucket Amazon S3 configuré en accès public a été identifié. Il contient des fichiers de logs d'application incluant des adresses email, des numéros de téléphone et des adresses IP d'utilisateurs, non chiffrés et librement accessibles depuis Internet. L'exposition de ces données personnelles constitue une violation de données au sens de l'Art. 4 §12 du RGPD, susceptible d'obligation de notification à la CNIL dans un délai de 72 heures (RGPD Art. 33). Le prestataire de pentest a notifié immédiatement cette découverte au contact de sécurité désigné dans le contrat, conformément à la clause de notification des vulnérabilités critiques, avant toute documentation détaillée dans le rapport final.
Correction : Supprimer immédiatement l'accès public au bucket S3 (S3 Block Public Access activé) et vérifier toutes les politiques de bucket pour détecter d'autres expositions similaires. Procéder à une évaluation des risques RGPD sur les données exposées — identifier les personnes dont les données ont potentiellement été accessibles et la durée d'exposition. Notifier la CNIL si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées (RGPD Art. 33, délai 72h). Mettre en place une politique de classification des données stockées en cloud avec contrôles automatiques (AWS Config, Azure Policy) pour détecter les expositions futures. Activer le chiffrement côté serveur (SSE-S3 ou SSE-KMS) pour tous les buckets S3 de production.
Référence : RGPD Art. 33 (notification de violation) · RGPD Art. 4 §12 (définition de violation) · CWE-200 Exposure of Sensitive Information · Code pénal Art. 323-3 (extraction de données) · Loi Godfrain Art. 323-1 (dans le contexte d'une découverte non mandatée)
Pentest légal vs non légal en France : comparaison
| — | Scan gratuit | Matproof Sentinel | Consultance classique |
|---|---|---|---|
| Moteur de scan automatisé | ✓ (aperçu 3 min) | ✓ Scan complet | ✗ Manuel uniquement |
| Couverture OWASP Top 10 | Partielle | ✓ Complète | ✓ Complète |
| Preuve d'exploitation | ✗ | ✓ Par finding | ✓ Par finding |
| Mapping réglementaire (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisé | ✓ Manuel |
| Rapport PDF prêt pour l'audit | ✗ | ✓ Instantané | ✓ Livraison 2–4 semaines |
| Scans continus / récurrents | ✗ | ✓ Par déploiement | ✗ Engagement annuel |
| Délai avant premier résultat | ~3 min | ~30 min scan complet | 2–4 semaines |
| Prix | €0 | À partir de €149 | €8 000–€25 000 |
| Revue de code source (SAST) | ✗ | ✓ Plan Growth | ✓ Périmètre défini |
| Tests API (REST/GraphQL) | ✗ | ✓ Automatisé | ✓ Manuel |
Missions de pentest légalement encadrées
- 1 scan pentest complet
- Résultats priorisés par IA avec CVSS 3.1
- Proof-of-exploit pour chaque finding
- Rapport PDF (prêt pour l'audit)
- Mapping réglementaire (DORA, NIS2, ISO 27001)
- Scans illimités (jusqu'à 3 domaines)
- Surveillance continue
- Intégration CI/CD (GitHub, GitLab)
- Tous les mappings réglementaires
- Support prioritaire
- Scans + domaines illimités
- Tests authentifiés / White-Box
- Tests d'API et d'infrastructure cloud
- Account manager sécurité dédié
- SLA réponse 24h
Questions fréquentes sur le cadre légal des tests de pénétration en France
Qu'est-ce que la loi Godfrain et depuis quand est-elle en vigueur ?
La loi Godfrain (loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique, du nom du secrétaire d'État aux Postes et Télécommunications de l'époque) est la première loi française spécifiquement dédiée à la criminalité informatique. Elle a été intégrée dans le Code pénal aux articles 323-1 à 323-7 lors de la refonte du Code pénal en 1994, et a été modifiée plusieurs fois depuis — notamment par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) et la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme.
Un consultant qui teste son propre SI sans contrat formel enfreint-il la loi Godfrain ?
Non — la loi Godfrain punit l'accès « frauduleux » à un système de traitement automatisé de données. Si vous êtes le propriétaire du système ou si vous avez l'autorisation du propriétaire, il n'y a pas de caractère frauduleux. Cependant, en entreprise, « le SI de l'entreprise » appartient à la personne morale — un salarié, même le RSSI, doit avoir une autorisation formelle de la direction pour réaliser des tests offensifs sur le SI de son employeur. Sans cette autorisation, il existe un risque de poursuites disciplinaires voire pénales en cas de dommage accidentel.
Que doit contenir l'autorisation de test de pénétration pour être valide en France ?
Une autorisation de test de pénétration valide en France doit inclure : l'identité précise des parties (prestataire et client), la description précise du périmètre de test (adresses IP, domaines, applications, systèmes), la durée de la mission (dates de début et de fin), la mention explicite de l'autorisation d'accéder aux systèmes et de tenter des exploitations dans le périmètre défini, les actions expressément interdites, la clause de confidentialité, et la signature d'un représentant légal ou d'une personne expressément habilitée. Un contrat type de pentest conforme au droit français inclut toutes ces mentions.
Que se passe-t-il si un prestataire de pentest cause accidentellement un dommage lors d'un test autorisé ?
Si le prestataire agit dans le cadre d'une autorisation contractuelle régulière, sa responsabilité civile professionnelle couvre les dommages accidentels. La responsabilité pénale (Art. 323-2) ne s'applique pas si l'entrave au fonctionnement résulte d'une action autorisée et de bonne foi dans le périmètre contractuel. C'est pourquoi l'assurance responsabilité civile professionnelle du prestataire et les Rules of Engagement précisant les actions interdites (pas de DoS en production, pas de destruction de données) sont essentielles dans tout contrat de pentest.
Les outils de pentest (Metasploit, Nmap, Burp Suite) sont-ils légaux en France ?
L'Art. 323-3-1 du Code pénal mentionne explicitement le « motif légitime notamment de recherche ou de sécurité informatique » comme exception à la pénalisation de la détention d'outils de hacking. En pratique, les outils de pentest professionnels (Metasploit, Nmap, Burp Suite, Nessus) sont légaux à détenir et utiliser en France dans un contexte de sécurité informatique professionnelle. Ce qui devient illégal, c'est leur utilisation pour accéder à des systèmes sans autorisation. La frontière est donc l'autorisation, pas l'outil.
Comment le RGPD impacte-t-il les missions de pentest en France ?
Le RGPD (applicable depuis mai 2018) impose plusieurs obligations lors d'un pentest : le prestataire est un sous-traitant au sens de l'Art. 28 RGPD et un accord de traitement des données doit être signé ; si des données personnelles sont susceptibles d'être accessibles lors du test, elles doivent être traitées avec des garanties adéquates (pseudonymisation dans les rapports, destruction sécurisée après la mission) ; en cas de découverte d'une violation de données personnelles lors du pentest, le client doit évaluer son obligation de notification à la CNIL (Art. 33) dans un délai de 72h ; la CNIL peut être informée des activités de pentest dans le cadre du registre des traitements (Art. 30 RGPD).
Qu'est-ce que le « bug bounty » en France et est-il encadré légalement ?
Le bug bounty (programme de récompense pour la découverte de vulnérabilités) est une pratique légale en France dans la mesure où le programme définit clairement le périmètre autorisé et les règles d'engagement. La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a introduit une disposition spécifique (Art. 47) créant une immunité pénale partielle pour les chercheurs en sécurité qui signalent des vulnérabilités à l'ANSSI en bonne foi. Les programmes de bug bounty privés (HackerOne, Bugcrowd) constituent une autorisation contractuelle de test dans le périmètre défini et sont légaux en France.
Un prestataire de pentest peut-il être poursuivi si le client n'avait pas l'autorité pour mandater le test ?
Oui — si le « client » qui a signé le contrat de pentest n'avait pas l'autorité pour autoriser l'accès aux systèmes testés (par exemple, un salarié qui mandate un pentest du SI de son employeur sans autorisation de la direction), le prestataire risque des poursuites pénales. C'est pourquoi les prestataires de pentest professionnels vérifient systématiquement que le signataire de l'autorisation est bien un représentant légal de l'organisation propriétaire des systèmes, ou dispose d'une délégation de pouvoir formelle. Cette vérification fait partie du processus de qualification de Matproof.
Approfondir — articles de blog associés
Démarrez un pentest légalement encadré en France
Matproof génère automatiquement le cadre contractuel de votre mission de test de pénétration, incluant l'autorisation de test, les Rules of Engagement et la clause de traitement des données personnelles RGPD. Conformité loi Godfrain garantie pour chaque mission.
Démarrer le pentest légal