Infractions au Code pénal, au Code de commerce ou au Code de l'environnement, Procédure pénale

Droit pénal des affaires

L’article 323-1 du Code pénal prohibe le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données, infraction punie de deux ans d'emprisonnement et de 60 000 euro d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine …

Accès ou maintien frauduleux dans un système de traitement automatisé de données

L’article 323-1 du Code pénal prohibe le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données, infraction punie de deux ans d'emprisonnement et de 60 000 euro d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est portée à trois ans d'emprisonnement et 100 000 euro d'amende et lorsque les infractions ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, à cinq ans d'emprisonnement et à 150 000 euro d'amende. Les personnes physiques encourent les peines complémentaires de l’article 323-5 et les personnes morales s'exposent, outre à l'amende de l'article 131-38, aux peines prévues par l'article 131-39.

Le système informatique qui comporte des données en vue d'un résultat déterminé et est protégé par un identifiant (Login) et un mot de passe constitue un système de traitement automatisé de données au sens de l'article 323-1 du Code pénal, qui n'impose pas que le système soit en service mais s'applique à un site en construction . Cette définition exclut du champ d'application du texte l'utilisation intentionnelle de cartes bancaires volées dans les appareils de paiements automatiques de l’autoroute qui n'a pas pour but de pénétrer frauduleusement dans un système automatisé de données et de le violer .

L'article 323-1 vise tant l'accès que le maintien dans le système. Pour retenir l'accès frauduleux, l'intrusion dans le système par quelque moyen que ce soit doit être volontaire et non autorisée. Tel est le cas de la personne qui, sachant qu'elle n'y est pas autorisée, pénètre dans un système de traitement automatisé de données , à l’insu des victimes , qui, même sans avoir forcé l’entrée ni utilisé de code, a accédé volontairement à la messagerie électronique de la victime à son insu, accessible depuis son ordinateur professionnel et qui n'était protégé par un mot de passe qu'à l'issue d'une période d'inactivité , ou qui s’est illicitement procuré des codes d'accès et les a utilisés puis communiqués à quelques employés pour qu'ils en usent . Il en est également ainsi des prévenus qui, en pleine connaissance de cause, se connectent frauduleusement à un système informatique d’enregistrement et de traitement de fichiers d’une société à laquelle ils sont étrangers, et en consultent et manipulent les données, quand bien même le but consiste à récupérer celles dont leur société est restée propriétaire, cette circonstance ne les autorisant pas à accéder au système informatique à l’insu des dirigeants habilités à les y autoriser . 

Le fait de se maintenir dans un système de traitement automatisé après avoir découvert que celui-ci était protégé, d’en soustraire des données et de les utiliser sans le consentement de leur propriétaire  ou d'utiliser pendant deux ans, avec un code remis pour une période d'essai, une base de données qui n'était accessible qu'aux personnes autorisées  ou, après être arrivé par erreur au cœur d’un extranet, d'avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, tout en constatant la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe et réalisé des opérations de téléchargement de données à l’évidence protégées  caractérise l’infraction de maintien frauduleux dans un système de traitement automatisé de données.

Le prévenu ne peut exciper de sa qualité pour installer un logiciel dans l'exercice de son activité d'avocat et de ses fonctions spécifiques d'administrateur réseau pour exploiter cet outil à des fins étrangères au contrôle du bon fonctionnement du cabinet , de sa situation professionnelle et de sa réputation pour justifier de la détention d'un équipement conçu ou adapté pour une atteinte frauduleuse à un système de traitement automatisé de données , ou de l'exercice des droits de la défense pour se connecter à son ordinateur professionnel, malgré la désactivation de son compte, à l'aide d'un compte d'utilisateur créé à un autre nom pour extraire de son ancien compte ses données de messagerie ainsi que l'annuaire du domaine dans l’objectif de récupérer des moyens de preuve dans la perspective d’un éventuel litige prud'homal .

En revanche, une atteinte aux systèmes de traitement automatisé de données ne saurait être reprochée à la personne, qui, bénéficiant des droits d'accès et de modification des données, procède à des suppressions de données, en l’espèce des lignes d'écritures relatives à des ventes payées en espèces avant qu'elles ne soient arrêtées d'un point de vue comptable, sans les dissimuler à d'éventuels autres utilisateurs du système .

Enfin, en l’absence de mauvaise foi, le délit de maintien frauduleux dans un système de traitement automatisé de données n’est pas caractérisé . Ainsi, l'élément moral de l'infraction fait défaut lorsqu'un directeur technique essaie de se connecter à un site, en recourant, pour récupérer une page web, à un aspirateur à pages gratuit disponible sur internet sans avoir recours à un mot de passe ou à un login, en accédant sans difficulté, ni fraude, ni usage de mot de passe ou identifiant, ni mise en garde, au site de la société .

Cass. crim., 12 juillet 2016, LawLex202200010036JBJ, Dr. pén. n° 4, Avril 2019, dossier 6 FOURMENT ; Comm. com. électr. n° 7-8, Juillet 2018, comm. 59, CAPRIOLI, qui précise que constitue un système un site en cours de construction ou de développement dès lors qu'il comporte des données qu'il faut préserver et qu'il est nécessaire d'avoir un mot de passe pour y accéder et ce, peu important que les identifiant et mot de passe soient peu sécurisés et aient été connus préalablement des auteurs de l'intrusion, dès lors que ceux-ci n'avaient aucune autorisation de pénétrer sur le système de traitement automatisé de données et de s'y maintenir.

Pau, 28 février 2008, LawLex202200010203JBJ.

Cass. crim., 10 mai 2017, LawLex202200003525JBJ, Comm. com. électr. n° 7-8, Juillet 2022, comm. 54, CAPRIOLI ; Dr. pén. n° 12, décembre 2017, chron. 11, LEPAGE.

Cass. crim., 16 janvier 2018, LawLex202200001625JBJ, Dr. pén. n° 12, Décembre 2022, chron. 12, OLLARD ; JCP E 2020, 1211, BOURGEOIS et THIBIERGE ; Comm. com. électr. n° 7-8, Juillet 2022, comm. 54, CAPRIOLI ; JCP 2021, act. 773, RIBEYRE, qui souligne que l'autorisation de détention prévue par l'article 323-3-1 du Code pénal, autorisant un tel équipement, se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d'un parc informatique.

Cass. crim., 5 avril 2022, LawLex202200009852JBJ, qui précise que la création d'un compte au nom d'un tiers pour réactiver le sien, dissimulant ainsi sciemment son action aux autres utilisateurs du STAD, dans le contexte de rupture brutale de relations professionnelles, caractérise l’intention frauduleuse.

Cass. crim., 7 janvier 2020, LawLex202200001626JBJ, Dr. pén. 2021, comm. 142 ; Comm com. électr. n° 5, mai 2020, comm. 45, CAPRIOLI ; JCP E n° 5, Mai 2020, comm. 45, BOURGEOIS ; JCP 2020, act. 128.

Cass. crim., 22 octobre 2014, LawLex202200010042JBJ, JCP E 2022, 1066, SALOMON ; Dr. sociétés n° 1, janvier 2022, comm. 10, SALOMON.

Cass. crim., 22 février 2011, LawLex202200010043JBJ.

Cass. crim., 9 mars 2016, LawLex202200010038JBJ.

Cass. crim., 16 janvier 2018, LawLex202200001625JBJ, Dr. pén. n° 12, Décembre 2022, chron. 12, OLLARD ; JCP E 2020, 1211, BOURGEOIS et THIBIERGE ; Comm. com. électr. n° 7-8, Juillet 2022, comm. 54, CAPRIOLI ; JCP 2021, act. 773, RIBEYRE.

Cass. crim., 27 mars 2018, LawLex202200006464JBJ, Comm. com. électr. n° 7-8, Juillet 2022, comm. 54, CAPRIOLI ; JCP E 2020, 1211, BOURGEOIS

Orléans, 25 novembre 2008, LawLex202200010039JBJ.

Cass. crim., 22 novembre 2005, LawLex202200010040JBJ.

Cass. crim., 20 mai 2015, LawLex202200001407JBJ, Propr. intell. 2016, n° 58, 97, obs. VIVANT ; Dr. pénal 2015. Comm. 123, obs. CONTE ; D. 2015. 1466, note SAENKO ; AJ pénal 2015. 413, note DREYER ; RTD com. 2015. 600, obs. BOULOC ; RTD eur. 2016. 374-54, obs. MATRINGE ; JCP 2015. 887, note BEAUSSONIE ; Comm. com. électr. 2015. Comm. 74, obs. CAPRIOLI.

Cass. crim., 3 octobre 2007, LawLex202200001627JBJ, Comm. com. électr. n° 7-8, juillet 2022, comm. 54, CAPRIOLI ; JCP E 2008, 1581, VIVANT ; Dr. pén. n° 12, Décembre 2007, comm. 158, VERON.

Paris, 5 février 2014, LawLex202200010041JBJ, qui a relevé que le prévenu avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité.

Droit pénal des affaires

96. Accès ou maintien frauduleux dans un système de traitement automatisé de données

Profitez de 15 jours offerts
et accédez à tous les contenus Livv

Les décisions de justice citées dans ce paragraphe :

Les notions juridiques connexes

96. Accès ou maintien frauduleux dans un système de traitement automatisé de données

Profitez de 15 jours offerts et accédez à tous les contenus Livv

Les décisions de justice citées dans ce paragraphe :

Les notions juridiques connexes

Profitez de 15 jours offerts
et accédez à tous les contenus Livv