Données intégrées dans un système de traitement automatisé de données (STAD)
Bien que le « vol de données » ou « vol d’informations » soit reconnu en droit pénal, il est possible de faire sanctionner certaines infractions, comme l'aspiration de données, commises en présence d’un Système de traitement automatisé de données (STAD). Ces infractions sont regroupées sous l'appellation de « fraude informatique ».
- Lexique : Système de traitement automatisé de données (STAD)
« Tout ensemble composé d’une ou plusieurs unités de traitement, de mémoires, de logiciels, de données, d’organes d’entrées-sorties, et de liaisons qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs de sécurité ».
- Arrêté du 22 décembre 1981 relatif à l'enrichissement du vocabulaire informatique
Voir également le Rapport n° 214 (1987-1988) de M. Jacques THYRAUD, déposé le 22 décembre 1987, lors des débats parlementaires de la loi n° 88-19 du 5 janvier 1988 (dite loi « Godfrain »).
Une définition a également été produite en jurisprudence. - Voir, par exemple, dans l’affaire Kerviel, Cour de cassation, Ch. criminelle, 19 mars 2014, n° 2-87.416 qui définit le système automatisé comme étant un « ensemble d'opérations réalisées par des moyens automatiques, relatif à la collecte, l'enregistrement, l'élaboration, la modification, la conservation, la destruction, l'édition de données et d'une façon générale leur exploitation ».
I. Vol de données
Lexique : Vol
Le vol est défini comme « la soustraction frauduleuse de la chose d’autrui ».
En droit, le vol ne concerne, en principe, que les choses matérielles.
Le délit de soustraction ne peut être constitué en présence d’une chose incorporelle, car il n’y a pas de dépossession du détenteur initial. Les données, considérées par les économistes comme des biens non rivaux, peuvent être détenues et utilisées simultanément par plusieurs personnes. Le vol de données est donc difficile à caractériser en pratique.
Toutefois, après avoir longtemps exigé la soustraction des documents eux-mêmes et non pas seulement des informations contenues dans les documents, la jurisprudence de la chambre criminelle de la Cour de cassation admet aujourd’hui la soustraction frauduleuse de données.
II. Délit de fraude informatique
A. Définition de l'atteinte à un STAD
Les atteintes peuvent consister dans le fait :
- d'accéder ou de se maintenir de manière frauduleuse dans un STAD,
- de porter atteinte au fonctionnement ou aux données d'un STAD,
- d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient,
Il peut également s’agir de simples actes préparatoires, d'atteintes potentielles ou d'atteintes effectives au STAD.
B. Sanctions d’une atteinte à un STAD
Les sanctions diffèrent selon le degré de gravité des actes :
- L’accès ou le maintien frauduleux, dans un STAD, est puni de trois ans d’emprisonnement et de 100 000 euros d’amende et de cinq ans d'emprisonnement et de 150 000 euros d'amende s'il est doublé d'une atteinte au STAD et aux données qu'il contient. – Article 323-1 du Code pénal
- Pour les atteintes au fonctionnement d'un STAD et les atteintes aux données contenues dans le STAD, la sanction est de cinq ans d'emprisonnement et de 150 000 euros d'amende. – Article 323-2 du Code pénal
- Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. – Article 323-3 du Code pénal
- Les peines sont alourdies (sept ans d’emprisonnement et 300 000 euros d’amende) lorsque les infractions ont été commises à l'encontre de STAD contenant des données à caractère personnel mis en œuvre par l'État.
- Les peines principales peuvent, comme dans d'autres domaines, être assorties de peines complémentaires. – Article 323-5 du Code pénal