Le Code pénal réprime les faits de piratage informatique, tels que les délits d’accès ou de maintien frauduleux dans un système informatique, le fait d’entraver ou de fausser le fonctionnement d’un système informatique, le fait de frauduleusement transmettre, supprimer, modifier des données, ou le fait de participer à un groupement formé ou à une entente établie en vue de la préparation, d’une ou de plusieurs de ces infractions.

I. Définition du système de traitement automatisé de données.

La notion de « système de traitement automatisé des données » (STAD) est utilisé par le code pénal mais n’y est pas définie.

Néanmoins, lors des travaux préparatoires de la loi Godfrain de 1988 relative à la fraude informatique précitée, une définition du STAD avait été proposée.

En effet, bien qu’écartée par l’Assemblée Nationale, cette définition offre une première vision de ce qu’est un système de traitement automatisé des données : « tout ensemble composé d’une ou plusieurs unités de traitement, de mémoires, de logiciels, de données, d’organes d’entrées-sorties et de liaisons, qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs déterminés » [1].

Selon la doctrine, cette définition appelle deux remarques :
 les éléments énumérés dans cette définition ne sont pas exhaustifs ;
 les éléments qui composent le système peuvent être de natures différentes (ex : ordinateur, mémoire de l’ordinateur, programmes contenues dans l’ordinateur, logiciels, informations codées sous forme de données etc.).

La notion de « système » suppose que ces éléments soient réunis dans le but de produire un résultat déterminé : le traitement automatisé de données [2]. Elle suppose également que tous les éléments forment un ensemble.

La notion de « donnée » doit être considérée comme « la représentation d’une information, la forme et non la substance d’un élément de connaissance quelconque » [3].

Par exemple, constituent un STAD :
 le système carte bancaire « CB » [4] ;
 un logiciel, par exemple de notation [5] ;
 le réseau « France Télécom » [6] ;
 un site web hébergé sur un serveur informatique et connecté sur le réseau Internet [7].

II. Les atteintes punissables à un système de traitement automatisé des données.

Le code pénal sanctionne plusieurs atteintes aux systèmes de traitement automatisé des données.

Ces infractions partagent une condition préalable : l’existence d’un système de traitement automatisé de données.

A. L’accès ou le maintien frauduleux dans un système de traitement automatisé de données (article 323-1).

L’article 323-1 alinéa 1 du Code pénal punit de deux ans d’emprisonnement et de 60 000 € d’amende « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ».

L’objectif de ce texte est de sanctionner toute personne qui cherche à prendre connaissance d’informations, confidentielles ou non, qui sont contenues dans un système de traitement automatisé des données dont l’accès lui est interdit.

Par exemple, constitue cette infraction : le fait de prendre connaissance de sujets de concours par un accès irrégulier dans un STAD [8], ou encore le fait pour une personne, sachant qu’elle n’y est pas autorisée, de pénétrer dans un STAD par l’installation d’un « keylogger », logiciel espion [9].

Le Code pénal prévoit deux circonstances aggravantes spécifiques à ce délit :

La première tient compte des effets de l’accès ou du maintien frauduleux :

« Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système » : la peine est alors portée à trois ans d’emprisonnement et 100 000 € d’amende [10].

La seconde, venant en cascade, vise un certain type de données : les données caractère personnel mis en œuvre par l’Etat.

En effet, « lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat », la peine est portée à cinq ans d’emprisonnement et à 150 000 € d’amende [11].

Par exemple, la base de données des Titres Electroniques Sécurisés (TES) utilisée pour la délivrance des passeports biométriques est considérée comme un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat.

B. L’action d’entraver ou de fausser le fonctionnement d’un système automatisé de données [12].

L’article 323-2 du Code pénal punit de cinq ans d’emprisonnement et de 150 000 € d’amende, « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ».

Le but de cette disposition est de sanctionner toute atteinte à l’intégrité du système de traitement automatisé des données.

Par exemple, constitue une entrave au fonctionnement d’un STAD, le blocage du code d’accès ou encore l’envoi de messages massifs types « spam ». Ainsi, doit être condamné pour entrave à un système de traitement automatisé gérant les services de messageries électroniques d’une société, le prévenu, qui, en saturant les boites aux lettres électroniques de nombreux membres de la société, lui a causé un préjudice commercial [13].

Comme en matière d’accès et de maintien frauduleux, le code pénal prévoit une cause d’aggravation s’attachant à certaines données mises en œuvre par l’Etat : « lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende » [14].

C. L’introduction, l’extraction, la détention, la reproduction, la transmission, la suppression ou la modification frauduleuse de données [15]

L’article 323-3 alinéa 1 punit de cinq ans d’emprisonnement et de 150 000 € d’amende, « le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ».

L’objectif de ce texte est de punir toute atteinte à l’intégrité non plus du système en lui même mais des données qu’il contient.

Par exemple, commet cette infraction le prévenu qui a introduit frauduleusement des données dans un système en s’attachant à leurrer un terminal de paiement en manipulant et décryptant les données et en insérant sur des cartes de nouvelles données aptes à tromper [16] ou encore, la modification de données est caractérisée lorsque l’auteur accède à un STAD et modifie les données des comptes clients (adresses mails, lieu de livraison) de sites marchands [17].

De la même manière que pour les deux infractions précédentes, le code pénal prévoit une aggravation tenant compte du type de données (à caractère personnel) et de l’auteur du système (l’Etat) : « lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende » [18].

D. L’importation, la détention, l’offre, la cession ou la mise à disposition d’un équipement, un instrument, un programme informatique pour atteindre un STAD [19].

L’article 323-3-1 du Code pénal dispose que : « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée ».

L’objectif de cette disposition est de lutter contre la prolifération des virus sur les réseaux informatiques.

Il vise donc à sanctionner tout marché ou trafic de moyens destinés à commettre les infractions visées aux articles 323-1 à 323-3 précités.

Par exemple, est constitutif de l’infraction la détention d’un « keylogger » installé sans motif légitime, en vue d’intercepter à l’insu d’un médecin, par l’espionnage de la frappe du clavier, les codes d’accès et accéder aux courriels échangés par les praticiens [20].

E. La participation à un groupement formé ou à une entente établie en vue de la préparation, d’une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1 [21]

L’article 323-4 du Code pénal énonce que : « la participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1 est punie des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée ».

Le but de ce texte est de punir de manière spécifique l’association de malfaiteurs en matière d’atteinte à un STAD.

L’entente doit se caractériser par la présence d’un ou plusieurs faits matériels (ex : échange d’informations) ayant pour finalité de commettre l’une des atteintes à un STAD prévue aux articles 323-1 à 323-3-1.

III. L’atteinte non punissable à un système de traitement automatisé des données.

Le Code pénal prévoit expressément une exclusion de responsabilité pénale [22] :
« Le présent chapitre n’est pas applicable aux mesures mises en œuvre, par les agents habilités des services de l’Etat désignés par arrêté du Premier ministre parmi les services spécialisés de renseignement mentionnés à l’article L811-2 du code de la sécurité intérieure, pour assurer hors du territoire national la protection des intérêts fondamentaux de la Nation mentionnés à l’article L811-3 du même code ».

Cette disposition a pour but de permettre à certains agents de services spécialisés de porter atteinte à des systèmes de traitement automatisé des données afin d’assurer, hors du territoire national, la protection des intérêts fondamentaux de la Nation.

IV. Régime juridique des atteintes au STAD.

1. Tentative.

L’article 323-7 du code pénal prévoit que : « la tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines ».

2. Circonstance aggravante.

En vertu de l’article 323-4-1, ces infractions voient leur peine aggravée à dix ans d’emprisonnement et à 300 000€ d’amende lorsque l’infraction est commise en bande organisée à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat.

3. Peines complémentaires.

L’article 323-5 du Code pénal prévoit un arsenal de peines complémentaires pour les personnes physiques : l’interdiction pour une durée de cinq ans au plus des droits civiques, civils et de la famille, l’exclusion pour une durée de cinq ans au plus des marchés publics, l’affichage ou diffusion de la décision.

4. Responsabilité pénale des personnes morales (sociétés, associations, ...)

L’article 323-6 du Code pénal énonce que les personnes morales peuvent être déclarées pénalement responsables de ces infractions.

Elle encourent à ce titre, une amende (telle que prévue à l’article 131-38) ainsi que les peines prévues par l’article 131-39 (dissolution, placement sous surveillance judiciaire, exclusion des marchés publics).

Avi Bitton, Avocat, et Julie Palayer, Juriste Courriel: [->avocat@avibitton.com] Site: [->https://www.avibitton.com]