Accueil
Le quotidien du droit en ligne
-A+A
Article

Trafic de moyens et atteintes aux STAD : précisions sur éléments constitutifs

Aucune atteinte ne saurait être reprochée à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système.

par Alice Roquesle 7 février 2020

Par un arrêt du 7 janvier 2020, la chambre criminelle vient rappeler le lien qu’entretiennent l’infraction de trafic de moyens destinés à commettre des infractions en matière informatique et les infractions d’atteintes aux systèmes de traitement automatisé de données (STAD). Elle apporte également des précisions quant à l’élément moral de ces dernières.

En l’espèce, un logiciel de gestion à l’usage des pharmacies intégrait une fonctionnalité permettant à son acquéreur, propriétaire des données, d’effacer des lignes d’écritures relatives à des ventes payées en espèces, avant qu’elles ne soient arrêtées d’un point de vue comptable. Seule une manipulation externe au logiciel permettait ensuite de détruire toute trace de ces effacements.

À la suite d’une plainte de l’administration fiscale visant la société conceptrice du logiciel et la société assurant sa commercialisation, une information judiciaire était ouverte contre personne non dénommée pour les faits d’offre, cession, mise à disposition sans motif légitime de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données, faits prévus et réprimés aux articles 323-3-1 et 323-3 du code pénal.

Le juge d’instruction rendait une ordonnance de non-lieu à suivre, confirmée par la chambre de l’instruction qui estimait que l’infraction de trafic de moyens destinés à commettre des atteintes aux systèmes de traitement automatisé de données ne pouvait être reprochée aux sociétés « dès lors que celles prévues aux articles 323-1 à 323-3 ne p[ouvai]ent être caractérisées ».

La chambre criminelle estime que la chambre d’instruction avait justifié sa décision car « les atteintes aux systèmes de traitement automatisé de données prévues aux articles 323-1 à 323-3 du code pénal ne sauraient être reprochées à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système ».

La chambre criminelle rappelle ainsi qu’il ne saurait y avoir d’infraction de trafic de moyens destinés à commettre des infractions en matière informatique si l’utilisation du moyen ne permet pas d’engendrer des infractions d’atteintes aux systèmes de traitement automatisé de données.

S’agissant du lien qu’entretiennent ces infractions, la chambre criminelle considère que justifie sa décision la chambre d’instruction qui estime que l’infraction prévue à l’article 323-3-1 du code pénal ne peut être reprochée, dès lors que celles prévues aux articles 323-1 à 323-3 du code pénal ne peuvent être caractérisées.

L’article 323-3-1 du code pénal dispose que « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée ».

Est ainsi incriminée une forme de complicité autonome, qui doit faciliter la réalisation d’infractions spécifiques, les atteintes prévues aux articles 323-1 à 323-3 du code pénal. L’infraction prévue à l’article 323-3-1 du code pénal pourrait être perçue comme une infraction de « moyen » visant à permettre la réalisation d’une infraction « fin ».

Il ressort de la lettre du texte que le comportement doit porter sur un objet défini « un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles 323-1 à 323-3 du code pénal ».

Contrairement à la complicité, l’infraction « fin » n’a pas à avoir été tentée ou réalisée pour que l’infraction de trafic de moyens destinés à commettre des atteintes aux données puisse être caractérisée. Cependant, il faut que l’utilisation du moyen puisse engendrer l’infraction « fin ».

Une question pouvait se poser sur la caractérisation de l’infraction si d’autres outils étaient nécessaires à la commission d’une atteinte aux systèmes de traitement automatisé de données.

En rejetant l’argument du demandeur selon lequel l’infraction de mise à disposition de données conçues ou spécialement adaptées pour commettre une ou plusieurs infractions en matière informatique est constituée « quand bien même d’autres outils auraient été utiles pour commettre l’infraction », la Cour de cassation sous-entend que l’utilisation du moyen doit à elle seule permettre la réalisation des infractions « fin » or tel n’était pas le cas en l’espèce.

C’est ce que souligne la Cour, en estimant que « les atteintes aux systèmes de traitement automatisé de données prévues aux articles 323-1 à 323-3 du code pénal ne sauraient être reprochées à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système ».

C’est la première fois que la chambre criminelle est amenée à se poser la question de la possible caractérisation des infractions définies aux articles 323-1 à 323-3 du code pénal à l’encontre du propriétaire du système de traitement automatisé de données, qui procède à des suppressions afin de dissimuler des opérations comptables.

S’agissant des incriminations définies aux articles 323-1 et 323-3 du code pénal, le terme « frauduleusement », fait naître l’exigence de « la conscience, pour les contrevenants, de l’irrégularité de leurs actes » (v., not., Rép. pén., Cybercriminalité, par F. Chopin, nos 17 s.). L’infraction définie à l’article 323-2 du code pénal doit également comporter un élément intentionnel en application de l’article 121-3 du code pénal selon lequel, sauf disposition contraire, les délits nécessitent l’intention de les commettre. La preuve de l’élément moral se déduit des faits traduisant la conscience de l’interdit.

Si la chambre criminelle n’a pas été confrontée à la question de la caractérisation des infractions à l’encontre du propriétaire des données, elle a déjà été confrontée à la question du droit d’accès des utilisateurs et sa réponse diffère selon la nature de l’infraction.

S’agissant de l’accès ou maintien frauduleux réprimé à l’article 323-1 du code pénal, la Cour de cassation a estimé que la conscience de l’absence de droit d’accès était une condition nécessaire à la caractérisation de l’infraction. Elle a notamment pu estimer que « se rend coupable de l’infraction prévue à l’article 323-1 du code pénal la personne qui, sachant qu’elle n’y est pas autorisée, pénètre dans un système de traitement automatisé de données » (Crim. 16 janv. 2018, n° 16-87.168 P, Dalloz actualité, 12 févr. 2018, obs. M. Recotillet ; D. 2018. 172 ; ibid. 2259, obs. G. Roujou de Boubée, T. Garé, C. Ginestet, S. Mirabail et E. Tricoire ; AJ pénal 2018. 205, obs. J.-B. Thierry ; RSC 2018. 480, obs. P. Mistretta ; ibid. 701, obs. E. Dreyer ; 9 mars 2016, n° 14-86.795, RSC 2016. 540, obs. J. Francillon ; ibid. 2017. 81, obs. A. Giudicelli ; Legalis.net 2 mai 2016) ou s’y maintient (Crim. 10 mai 2017, n° 16-81.822, Dalloz jurisprudence).

Ainsi, en cas d’accès normal, les infractions d’accès ou de maintien frauduleux dans un système informatisé de données ne peuvent être caractérisées (Grenoble, 4 mai 2000, JCP 2001. IV. 1473).

S’agissant du fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données, définit à l’article 323-2, la Cour de cassation n’a, ne semble-t-il, pas encore été saisie de la question.

S’agissant de l’introduction, de la suppression ou de la modification frauduleuse de données incriminées à l’article 323-3 du code pénal, l’habilitation de la personne ne s’oppose pas à la caractérisation de l’infraction. La chambre criminelle a ainsi pu estimer que « le seul fait de modifier ou de supprimer, en violation de la réglementation en vigueur, des données contenues dans un système de traitement automatisé, caractérise le délit prévu à l’article 323-3 du code pénal, sans qu’il soit nécessaire que ces modifications ou suppressions émanent d’une personne n’ayant pas un droit d’accès au système ni que leur auteur soit animé de la volonté de nuire » (Crim. 8 déc. 1999, n° 98-84.752 P, D. 2001. 627 , obs. J.-L. Navarro ; RTD com. 2000. 744, obs. B. Bouloc ; Dr. pénal 2000, n° 53, obs. Véron ; Gaz. Pal. 2000. 2. Somm. 2134, note Boulanger et Coletti).

Cette différence avec la position adoptée pour la répression des comportements incriminés à l’article 323-1 du code pénal semble s’expliquer par le fait que l’article 323-3 réprime « l’action sur la “donnée”, et non sur “l’information” elle-même » (v., not., Rép. pén., Cybercriminalité, préc., n° 33), c’est l’altération de la donnée qui doit être frauduleuse et non l’accès ou le maintien dans le système. Une altération peut être frauduleuse quand bien même l’utilisateur avait des droits d’accès.

En l’espèce, la chambre criminelle estime que l’ensemble des infractions prévues aux articles 321-1 à 323-3 du code pénal ne saurait être caractérisé si la personne bénéficie des droits d’accès et de modification et ne dissimule pas ses actes à d’éventuels autres utilisateurs. C’est ici le cumul entre le droit d’accès et de modification et l’absence de dissimulation qui semble s’opposer à la caractérisation de l’infraction. En effet, l’utilisation du logiciel ne permettait pas la dissimulation des effacements, seule une manipulation externe pouvait y conduire.

La formulation de la solution laisse à penser que les infractions peuvent être caractérisées à l’encontre de la personne qui, bénéficiant des droits d’accès et de modification des données, procéderait à des suppressions de données en les dissimulant à d’éventuels autres utilisateurs du système.

Il semble donc que, davantage que la qualité de propriétaire ou d’accédant habilité, ce soit le fait de procéder à une suppression de données à l’insu des autres utilisateurs du système qui soit déterminant pour caractériser les infractions prévues aux articles 323-1 à 323-3 du code pénal. Ce point mériterait d’être clarifié au sein des futures jurisprudences de la Cour de cassation.

L’utilisation du logiciel ne permettant pas d’engendrer une infraction d’atteinte aux systèmes de traitement automatisé de données sans recours à des manipulations externes, il ne peut être défini comme « un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 » et n’entre donc pas dans le champ d’application de l’article 323-3-1 du code pénal.

Par cet arrêt, la Cour de cassation rappelle le champ d’application spécifique des infractions d’atteintes aux systèmes de traitement automatisé de données qui ne saurait être le même que l’infraction de mise à disposition de logiciels ou systèmes facilitant une dissimulation des recettes, spécialement incriminée à l’article 1770 undecies du code général des impôts.