8 décembre 2020

Histoire et actualité de la protection des STAD par le droit pénal

La notion de système de traitement automatisé de données (ou STAD) est une notion introduite en droit pénal français par la loi informatique et liberté de 1978, puis reprise par la loi Godfrain du 5 janvier 1988. Elle a alors établi une série de sanctions pour quatre catégories de fautes distinctes : l’intrusion, le maintien frauduleux ou irrégulier, l’entrave au fonctionnement et l’introduction frauduleuse de données. Celle loi a été reprise dans le nouveau code pénal entré en vigueur en 1994 qui a codifié ces fautes au sein des articles 323-1 et suivants.

Un bref historique de la protection des STAD

Aucune de ces lois n’ont pourtant définie cette notion. Une définition en avait été proposée par le Sénat lors des débats parlementaires, cependant, dans le souci de ne pas lier l’incrimination à un état trop passager de la technique, elle n’avait pas été retenue. Pour autant, elle fournit des éléments d’interprétation de la loi : « tous ensemble composé d’une ou plusieurs unités de traitement, de mémoire, de logiciel, de données, d’organes d’entrées-sorties et de liaisons, qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs de sécurité ».

Les tribunaux ont aujourd’hui une conception large de cette notion : le réseau France Télécom, tout comme le réseau Carte bancaire (Trib. cor. Paris, 25 fev. 2000), un disque dur (Cour d’appel de Douai, 7 oct. 1992), un radiotéléphone (Cour d’appel de Paris, 18 nov. 1992), un ordinateur isolé, un réseau local ont pu être reconnu comme étant des systèmes. On peut alors se demander quelle est la limite du STAD : un ordinateur portable, un assistant personnel numérique téléphone portable, une montre, ou encore un objet connecté pourrait être reconnu comme tel.

L’article 323-1 al. 1er du code pénal défini l’intrusion comme le « fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données. »

Si l’incrimination vise tous les modes de pénétration irréguliers d’un STAD, l’accès ne peut l’être que s’il est le fait d’une personne qui n’a pas le droit d’accéder au système ou n’a pas le droit d’y accéder de la façon dont elle y a accédé.

De plus, la loi sanctionne non seulement l’intrusion mais aussi le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données (de celui qui y a accédé par inadvertance, ou de la part de celui qui, même ayant régulièrement pénétré, se serait maintenu frauduleusement).
Ce même article en prévoit les sanctions : « Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 € d’amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 150 000 € d’amende. »

L’article 323-2 quant à lui réprime l’entrave au fonctionnement du système informatique. Il dispose en effet que : « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 € d’amende. Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende. »

L’entrave du fonctionnement d’un système de traitement automatisé de données correspond parfois à une impossibilité totale d’utiliser le système, par exemple le blocage d’un code d’accès ou la paralysie de son fonctionnement.

Elle peut également consister en une simple diminution de la capacité de traitement.

Le trouble peut être permanent, par exemple lorsque le système est infesté d’un virus, il peut également se reproduire à échéance régulière, notamment lorsqu’une « bombe logique » a été insérée pour paralyser régulièrement le fonctionnement du système.

S’agissant de la compétence des juges français, il faut rappeler que si le dommage est survenu au sein d’un système informatique d’une société domiciliée en France ou que l’une des infractions précitées est commise sur le territoire national, les juridictions françaises sont compétentes pour en connaître.

Une notion à l’actualité particulièrement vive

La notion de STAD a aujourd’hui une activité non négligeable. Tout d’abord, du fait de la croissance des biens et réseaux pouvant être qualifiés de système. Mais aussi du fait de la croissance de la cybercriminalité (comprenant, entre autres choses, le cyber espionnage et le cyberterrorisme).

Une telle croissance de l’usage de données informatiques a conduit le législateur, et notamment l’Union européenne, à développer un panel de normes couvrant ces risques. C’est ainsi que depuis le 1er juin 2019, la loi du 6 janvier 1978, dite « Informatique et Libertés », est en vigueur dans une nouvelle rédaction. Elle comporte notamment les dispositions relatives aux « marges de manœuvre nationales » autorisées par le Règlement général sur la protection des données (RGPD) que le législateur a choisi d’exercer ainsi que les mesures de transposition en droit français de la directive « Police-Justice ».  Ces normes souhaitent par exemple garantir que les « personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu’aux données à caractère personnel sur lesquelles porte leur autorisation » (article 99, II, cinquièmement, de la nouvelle loi « Informatique et Liberté »).

Mais cette notion a aussi une actualité particulièrement vive en contentieux. Il a notamment été jugé par la Cour de cassation, le 8 octobre 2014, que « les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la Cnil constituent un moyen de preuve illicite ». Ces informations doivent alors être rejetées des débats. Plus récemment, la chambre criminelle de la Cour de cassation a, dans un arrêt du 7 janvier 2020, jugé « qu’aucune atteinte ne saurait être reprochée à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système ».

Dès lors, afin de se prémunir contre les aléas de ce type de risque, il convient d’insérer dans tous les contrats une clause prévoyant les modalités de la sécurité des données du système. Par exemple, en déterminant les conditions d’accès au serveur (qui et comment peut-on y accéder
Enfin, il est possible de souscrire une assurance contre le risque d’attaque contre les STAD. Vos préjudices seront alors dédommagés.

****
En présence de telles interrogations concernant la sécurité juridique de vos systèmes, le recours à un avocat est important afin d’aiguiller les choix du client. Dans votre intérêt, un avocat vous permettra de définir vos priorités.

Cédric Dubucq

Cédric Dubucq

Ne soyez pas timide.
Partagez notre article.