🔍 Criminalistique informatique
Science appliquée à l’analyse des traces numériques dans un contexte juridique
📁 Glossaire › Juridique & Expertise • Public visé : avocats, juristes, enquêteurs • Mise à jour : février 2026
🔎 Définition rapide
La criminalistique informatique (ou forensique numérique) est la discipline scientifique qui consiste à identifier, préserver, extraire, analyser et présenter des preuves numériques dans un cadre juridique. Elle s’applique aux ordinateurs, téléphones, serveurs, réseaux et tout dispositif capable de stocker ou de transmettre des données numériques.
📋 Les 5 phases de la criminalistique informatique
| Phase | Description |
|---|---|
| 1. Identification | Repérer les sources potentielles de preuves numériques (appareils, comptes, logs) |
| 2. Préservation | Saisir et protéger les données pour empêcher toute altération (chaîne de custody) |
| 3. Extraction | Créer une copie forensique bit-à-bit des données |
| 4. Analyse | Examiner les données pour trouver des éléments pertinents (fichiers supprimés, logs, métadonnées) |
| 5. Présentation | Rédiger un rapport d’expertise clair et admissible devant le tribunal |
⚖️ Cadre juridique — Québec
La criminalistique informatique s’inscrit dans un cadre légal strict au Québec, tant pour la collecte de preuves que pour leur utilisation au tribunal.
Loi concernant le cadre juridique des technologies de l’information (LCCJTI)
- Article 5 — Un document technologique a la même valeur juridique qu’un document papier, si son intégrité est assurée. 🔗 Source officielle
- Articles 34-40 — Règles sur la conservation et la transmission sécurisées des documents technologiques.
Code civil du Québec
- Art. 2837-2842 — Conditions d’admissibilité de la preuve technologique. L’intégrité, la fiabilité et la traçabilité doivent être démontrées. 🔗 Source officielle
- Art. 2839 — Présomption d’intégrité si le document respecte les standards reconnus.
Code criminel du Canada
- Art. 487.012 — Mandat de perquisition informatique. Autorise la saisie et la copie de données.
- Art. 342.1 — Utilisation non autorisée d’ordinateur (piratage, intrusion).
- Art. 430(1.1) — Méfait relatif aux données (destruction, altération).
Implication pratique : Tout expert en criminalistique informatique doit suivre des protocoles rigoureux pour que les preuves recueillies soient admissibles en cour. Toute erreur méthodologique peut entraîner le rejet des preuves.
🎯 Applications concrètes en litige
La criminalistique informatique intervient dans de nombreux types de litiges :
| Type de litige | Objectif de l’analyse |
|---|---|
| Vol de données | Prouver qu’un employé a copié des fichiers confidentiels |
| Harcèlement en ligne | Identifier l’auteur de messages anonymes ou de faux profils |
| Fraude financière | Retracer les transactions et les communications |
| Violation de contrat | Prouver l’existence ou la suppression de documents clés |
| Cyberattaque | Analyser les logs pour identifier la source de l’intrusion |
| Divorce/séparation | Récupérer des preuves de communications ou de géolocalisation |
🛠️ Outils et techniques utilisés
Logiciels forensiques
- FTK (Forensic Toolkit)
- EnCase Forensic
- X-Ways Forensics
- Autopsy (open-source)
- Cellebrite (mobile)
Techniques courantes
- Récupération de fichiers supprimés
- Analyse de métadonnées
- Examen de journaux système (logs)
- Décryptage de communications
- Chronologie des événements (timeline)
✅ Bonnes pratiques
- Faire appel à un expert qualifié dès que possible
- Ne pas manipuler les appareils avant la saisie
- Documenter chaque étape (chaîne de custody)
- Utiliser des copies forensiques, jamais les originaux
- Calculer et vérifier les hash SHA-256
❌ Erreurs à éviter
- Allumer un ordinateur éteint ou déverrouiller un téléphone
- Copier des fichiers avec un simple copier-coller
- Laisser des intervenants non qualifiés manipuler les appareils
- Négliger de documenter les actions effectuées
- Travailler directement sur l’appareil original
📦 Cas vécu (anonymisé)
Litige commercial — vol de propriété intellectuelle
Un entrepreneur soupçonne son ancien associé d’avoir copié des listes de clients et des documents stratégiques avant de quitter l’entreprise pour fonder une compagnie concurrente. L’expert en criminalistique informatique :
- Saisit l’ordinateur portable de l’ex-associé via mandat de cour
- Crée une copie forensique bit-à-bit du disque dur
- Analyse les logs du système et découvre que 2 500 fichiers ont été copiés sur une clé USB externe 3 jours avant le départ
- Récupère les métadonnées des fichiers supprimés et confirme qu’il s’agit des listes clients et des plans d’affaires
- Rédige un rapport d’expertise détaillant la chronologie des événements, avec captures d’écran et preuves forensiques
Résultat : Le rapport est déposé en preuve au tribunal. Face à la rigueur de l’analyse et à la solidité de la chaîne de custody, l’ex-associé accepte un règlement à l’amiable incluant la restitution des données et des dommages importants.
🔗 Termes reliés
🔒 Besoin d’un expert en criminalistique informatique?
Nos experts possèdent les certifications reconnues (CFCE, ACE, EnCE) et respectent les normes ISO/IEC 27037 et NIST SP 800-86. Chaque analyse suit des protocoles rigoureux garantissant l’admissibilité des preuves devant les tribunaux québécois.
Sans frais : 1-888-796-8706 • Courriel : expertise@firmeh2e.com
Dernière mise à jour : février 2026 • Ce glossaire fournit des définitions à titre informatif et ne constitue pas un avis juridique.
