La Cour de cassation, par un arrêt du 7 janvier 2020, dit que l’infraction prévue à l’article 323-3-1 du Code pénal ne peut être reprochée à des concepteurs et distributeurs de logiciels dès lors que celles prévues aux articles 323-1 à 323-3 CP ne peuvent être caractérisées.

On sait que la fraude fiscale liée à l’utilisation de logiciels de caisse est une préoccupation importante pour l’administration fiscale. De nombreuses affaires ont mis en lumière la pratique consistant à effacer des écritures comptables afin de diminuer le chiffre d’affaires imposable.
La loi de Finances 2016 [1] a introduit l’obligation pour tous les commerçants et restaurateurs qui utilisent une caisse enregistreuse de se doter d’un logiciel de caisse certifié NF525 depuis le 1er janvier 2018 et des contrôles sont effectués par les agents du fisc pour vérifier auprès des commerçants l’utilisation d’un logiciel accrédité par la norme.

Mais c’est dans le cadre du contrôle fiscal sur place de l’entreprise que la DGFIP peut constater l’utilisation d’un logiciel frauduleux. Outre la mise en cause de l’utilisateur du système permissif, l’administration fiscale a plusieurs fois demandé au juge de mettre en œuvre une action contre le concepteur du logiciel. Or, s’il ne fait aucun doute que la fraude fiscale est réalisée avec un moyen informatique, l’utilisateur (propriétaire d’une licence d’exploitation numérique) doit être poursuivi car bénéficiaire de la fraude au premier chef, on a pu se demander si le concepteur du logiciel pouvait être poursuivi.

C’est à cette question que l’arrêt de cassation [2] vient répondre en partie.

1) Les faits et la procédure.

L’administration fiscale a déposé plainte contre la société Alliance software, qui a conçu et développé un logiciel de gestion à l’usage des pharmacies, et contre la société Alliadis, qui en a assuré la commercialisation. Le motif de la plainte est la cession et mise à disposition sans motif légitime de moyens spécialement adaptés pour commettre une atteinte frauduleuse à un système de traitement automatisé de données [3].

Les contrôles fiscaux opérés sur un grand nombre de pharmacies, au cas particulier, mais d’autres professions sont visées (coiffure, restaurant notamment), avaient permis de constater que le logiciel de gestion intégrait une fonctionnalité permettant de faire disparaître des écritures comptables. Celles-ci étaient mises en œuvre par la saisie d’un mot de passe particulier par l’opérateur. Elles étaient aussi sélectionnées par le logiciel dans la mesure où il s’agissait de ventes de produits payées en espèces et non liées à une prescription médicale ou au paiement d’un tiers. L’effacement était réalisé avant l’arrêt de la comptabilité, le Z de caisse.
Etant donné les exigences des logiciels de caisse quant à la traçabilité des opérations, existait de surcroît une manipulation externe au logiciel, effectuée directement en ligne de commande, qui permettait de détruire les traces de ces effacements par simple suppression du fichier qui les contenait.

Somme toute, le concepteur avait élaboré un système parfait de fraude !

Le procureur de la République a ouvert une information judiciaire contre personne non dénommée pour les faits d’offre, cession, mise à disposition sans motif légitime de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données, prévus aux articles 323-3-1 et 323-3 du Code pénal.

Le juge d’instruction ayant rendu une ordonnance de non-lieu à suivre, le procureur de la République près la cour d’appel de Poitiers et l’administration fiscale, partie civile, ont formé un pourvoi contre l’arrêt de la chambre de l’instruction de ladite cour, en date du 3 juillet 2018. Pour la petite histoire, seuls les arguments de l’administration fiscale ont été vus en cassation car le mémoire déposé par le Procureur l’a été en retard [4].

Par son arrêt de janvier 2020, la Cour de Cassation met les choses en ordre en indiquant que l’infraction prévue à l’article 323-3-1 CP ne peut être reprochée aux sociétés Alliance software et Alliadis, concepteur et distributeur, dès lors que celles prévues aux articles 323-1 à 323-3 ne peuvent être caractérisées.

2) La définition des infractions.

Avant d’aller plus loin, il est peut être nécessaire de définir les infractions elles-mêmes que l’administration fiscale comme le parquet ont pris l’habitude de lier un peu trop rapidement.

L’infraction de l’article 323-3-1 CP s’exprime ainsi : « Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée ».

Deux éléments importants constituent le texte : l’existence d’un motif légitime qui exonère de la faute [5] et l’action qui consiste par elle-même à céder un programme informatique pour commettre l’infraction de fraude. Cette fraude est constituée par l’accession ou le maintien frauduleux dans un STAD [6] ou la suppression/modification de données contenues dans le système [7]. Le fait d’entraver ou de fausser le fonctionnement d’un STAD est également réprimé [8] ainsi que le fait d’introduire frauduleusement des données dans un STAD, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données [9] [10].

On comprend bien tout l’intérêt qu’il y avait pour l’administration à vouloir lier tous ces articles du Code pénal ensemble. Si on veut éradiquer la fraude fiscale, il est en effet plus facile (le vérificateur a moins de difficultés à découvrir le pot aux roses lors de chaque contrôle), moins chronophage (moins de contrôles à effectuer dans un contexte de réduction des effectifs de la DGFIP) et plus efficace (en terme de rendement de l’impôt) d’avoir un outil pénal orienté vers les concepteurs et distributeurs de logiciels que vers les utilisateurs.

La Cour de cassation écarte ce raisonnement car elle n’est pas chargée de la mise en œuvre d’une politique fiscale.
Elle le fait au motif suivant : « pour confirmer l’ordonnance ayant dit n’y avoir lieu à suivre, l’arrêt retient que le logiciel conçu et commercialisé permettait à son acquéreur, propriétaire des données, de faire disparaître des lignes d’écriture relatives à des ventes payées en espèces, avant qu’elles ne soient arrêtées d’un point de vue comptable. Les juges en déduisent que l’infraction prévue à l’article 323-3-1 du Code pénal ne peut être reprochée aux sociétés Alliance software et Alliadis, dès lors que celles prévues aux articles 323-1 à 323-3 ne peuvent être caractérisées ».

Pour se prononcer en ce sens, elle rappelle que « les atteintes aux systèmes de traitement automatisé de données prévues aux articles 323-1 à 323-3 du Code pénal ne sauraient être reprochées à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système ».

En d’autres termes, on ne saurait reprocher à un concepteur de logiciel de mettre à la disposition d’un utilisateur un programme qui lui servira pour modifier les données dont il est propriétaire.

3) La portée relative de l’arrêt.

Les concepteurs et distributeurs de logiciels ne sauraient trop vite se réjouir de cet arrêt en s’imaginant que toute poursuite est désormais exclue à leur encontre.

En effet, la Haute Cour dit seulement que les infractions des articles 321-1 à 3 CP doivent d’abord être caractérisées avant de pouvoir envisager l’infraction de l’art. 323-3-1 CP.

La Cour dit aussi que l’intervention sur un STAD avant que les écritures comptables ne soient arrêtées n’est pas forcément frauduleuse car, ce qui compte en définitive, c’est l’écart qui existerait du fait de l’intervention frauduleuse entre le chiffre d’affaire réalisé et le chiffre d’affaire déclaré au fisc.

La Cour d’appel, suivie par la Cour de Cassation, estime que le logiciel permettait à son acquéreur uniquement de modifier ses propres écritures comptables. Aussi, lorsque l’utilisateur emploie le programme pour effacer certaines lignes d’écriture, l’exploitant ou le commerçant ne commet pas l’infraction de suppression frauduleuse des données au sens de l’article 323-3 du code pénal. D’après les magistrats, pour être frauduleuse au sens de la loi, la suppression devait être faite à l’insu du propriétaire des données. Dès lors, le logiciel en cause ne tombe pas sous le coup de l’article 323-3-1 CP.

D’autres intervenants sur les STAD ne sont pas à l’abri de poursuites. Les infractions des articles 323-1 à 3 relatives aux atteintes à un STAD protègent les systèmes au bénéfice de leur propriétaire. Et cette qualité n’est pas donnée au salarié de l’entreprise par exemple, ceci même si le salarié disposait d’un droit d’accès autorisé [11]. Le détournement de fonds par un salarié peu scrupuleux au niveau de la caisse est sanctionné.

L’intervention informatique peut aussi consister pour un spécialiste dans le conseil en sécurité informatique et notamment la surveillance des menaces et vulnérabilités des systèmes informatiques, [12] à diffuser sur son portail internet des scripts permettant d’exploiter des failles de sécurité informatique, directement visibles sur le site et accessibles à tous. La diffusion des scripts permettant leur utilisation malveillante aux fins de piratage de STAD, un juge d’instruction avait renvoyé en correctionnel l’expert en informatique, estimant qu’il était susceptible de tomber sous le coup des dispositions de l’article 323-3-12 du code pénal. Le TGI de Montpellier avait prononcé la relaxe au motif que le site n’incitait en aucune façon à l’utilisation des codes à des fins malveillantes ou de piratage informatique car la seule intention qui avait animé l’auteur était un souci d’information des menaces existantes non corrigées à destination des utilisateurs de programmes. La Cour d’Appel n’a pas partagé cette façon de voir et a condamné l’expert car il existait un risque d’utilisation à des fins de piratage par un public particulier en recherche de ce type de déviance. L’intervention sur un STAD est donc coupable même si elle n’est pas directe.

Gageons que cet arrêt déterminera prochainement un nouveau texte de loi à l’initiative de la DGFIP qui voudra mettre en avant la responsabilité des concepteurs car c’est un excellent moyen de prévention de la fraude fiscale.

Patrick Cocheteux Avocat Associé PCX Avocats & oui-avocats.fr Patrick Francis Cocheteux Juriste PCX Avocats