Quand l’atteinte à un système de traitement des données frauduleuse devient pénalement réprimable

Une infraction d’atteinte à un système de traitement automatisé de données (STAD) n’est pas caractérisée dès lors que l’altération de données informatiques est effectuée par une personne bénéficiant des droits d’accès et de modification des données et quand bien même la modification aurait été réalisée dans un but frauduleux.

C’est le raisonnement adopté par la Cour de cassation dans l’affaire née d’une plainte déposée par l’Administration fiscale auprès du Procureur de la République.

Les infractions aux STAD réprimées par le code pénal sont nombreuses (articles 323-1 à 323-3 du Code pénal) et englobent l’ensemble des actes commis entre la préparation de l’atteinte jusqu’à sa réalisation effective. Ces infractions renvoient notamment à « l’accès ou le maintien frauduleux dans un STAD », « le fait d’entraver ou de fausser » son fonctionnement ou encore le fait d’y « introduire frauduleusement des données, de détenir, de reproduire, de transmettre, de supprimer ou de modifier les données ».

Les origines de l’affaire

En l’espèce, la plainte a été déposée à l’encontre d’une société éditrice d’un logiciel de gestion destiné aux pharmacies qui intégrait une fonctionnalité permettant de supprimer des lignes d’écritures relatives à des ventes payées en espèces, à la condition que celles-ci ne soient pas liées à des prescriptions médicales ou paiement d’un tiers. Le logiciel prévoyait également la possibilité de supprimer toute traces d’effacement. L’objectif avéré de ces fonctionnalités consistait à faciliter la falsification du chiffre d’affaires dans un but de fraude fiscale.

La plainte de l’Administration fiscale s’appuyait ici sur la qualification de cession et mise à disposition sans motif légitime de moyens spécialement adaptés pour commettre une atteinte frauduleuse à un STAD (article 323-3-1 du code pénal). Encore fallait-il caractériser cette atteinte frauduleuse…

La réponse de la Cour de cassation

Dans sa décision, la Cour de cassation a confirmé la position de la chambre d’instruction en considérant que « les atteintes aux STAD ne sauraient être reprochées à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs ».

Cette décision met l’accent sur l’importance de la détermination du périmètre des droits et des habilitations consentis dans le traitement des données d’une organisation (des données comptables, en l’espèce). En effet, dès lors que l’auteur de l’altération bénéficie des droits et des habilitations l’autorisant à accéder au système en cause, une infraction à un STAD ne saurait être caractérisée.

En l’espèce cela ne signifie pas l’impunité des coupables, mais impose des poursuites sur un autre fondement, adéquat !

Hervé Gabadou

Avocat Associé, Hervé dirige l’activité Digital & Innovation de Deloitte, Société d’Avocats. Il accompagne différents acteurs du secteur privé dans leurs programmes de transformation numérique faisant appel à des technologies […]

Farah Agrebi

Farah est avocat au barreau des Hauts de Seine et a rejoint le cabinet Deloitte Société d’Avocats en 2019. Elle intervient sur des problématiques relatives au droit de l’informatique ainsi […]