Actualités


Archives

Atteintes aux systèmes de traitement automatisé des données

Atteintes aux systèmes de traitement automatisé des données

Rappelons que les articles 323-1 et suivants du code pénal répriment les atteintes aux système automatisés de données.

Parmi ces infractions, les articles 323-3 et 323-3-1 du code pénal prohibent respectivement :

  • Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ;
  • Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3.

Dans cette affaire, l’administration fiscale avait déposé plainte auprès du procureur de la République contre la société A., qui a conçu et développé un logiciel de gestion à l’usage des pharmacies, et contre la société Al. qui en a assuré la commercialisation, pour cession et mise à disposition sans motif légitime de moyens spécialement adaptés pour commettre une atteinte frauduleuse à un système de traitement automatisé de données.

Ce logiciel intégrait une fonctionnalité permettant, après saisie d’un mot de passe personnel, de faire disparaître des lignes d’écritures relatives à des ventes payées en espèces, à la condition qu’elles ne soient pas liées à une prescription médicale ou au paiement d’un tiers, avant qu’elles ne soient arrêtées d’un point de vue comptable.

Le juge d’instruction, suivi par la chambre de l’instruction, a dit n’y avoir lieu à poursuivre aux motifs que les infractions n’étaient selon eux pas caractérisés.

Ils ont considéré que parce que le logiciel permettait à son acquéreur, propriétaire des données, de faire disparaître des lignes d’écriture relatives à des ventes payées en espèces avant qu’elles ne soient arrêtées d’un point de vue comptable, l’infraction prévue à l’article 323-3-1 du code pénal ne pouvait être reprochée dès lors que celles prévues aux articles 323-1 à 323-3 ne peuvent être caractérisées en l’absence d’introduction frauduleuse dans le système.

La Cour de Cassation suit ce raisonnement et rappelle que les atteintes aux systèmes de traitement automatisé de données prévues aux articles 323-1 à 323-3 du code pénal précitées ne peuvent pas être reprochées à la personne qui, bénéficiant des droits d’accès et de modification des données, a procédé à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système. (Crim. 7 janvier 2020 n° 18-84.755)

Bénédicte Rochet