Le vol de données informatiques

Publié le Modifié le 20/04/2016 Vu 9 453 fois 3
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

La "technologisation" rend plus friable les remparts de protection des données informatiques. Toute entreprise ou administration publique peut être exposée à une intrusion dans son système informatique et à un pillage des données. Ces données n'en demeurent pas moins des biens, propriété exclusive de l’entité qui les détient. L’intrusion dans le système informatique de cet établissement constitue une infraction pénale.

La "technologisation" rend plus friable les remparts de protection des données informatiques. Toute entrepri

Le vol de données informatiques

L'introduction dans un système de traitement automatisé de données et le maintien dans ce système, après découverte de son caractère protégé, caractérise le délit de maintien frauduleux dans un système de traitement automatisé de données, (STAD), article 323-1 du Code pénal et un vol, article 311-1 et 311-3 du Code pénal.

L'objectif de cette intrusion est la captation des données informatiques qui composent le STAD.

Les enjeux ne sont pas neutres, impliquant la violation de données confidentielles, de secrets d'affaires ou de droit de propriété intellectuelle.

De plus en plus fréquemment, les juridictions ont à connaitre de cette infraction complexe.

La position du droit pénal évolue sur la fraude informatiques et le vol de données informatiques.

En témoigne l'arret rendu dans l'affaire "Bluetouff" par la chambre criminelle de la Cour de cassation le 20 mai 2015 (n°14.81336).

La Cour de cassation confirme la condamnation du blogueur "Bluetouff", du chef de maintien frauduleux dans un STAD... et de vol.

L'infraction de vol est-elle adaptée aux soustractions de données informatiques ? Oui, antérieurement à 2014, faute de mieux, et non aujourd'hui !

L'arret du 20 mai 2015 important, il illustre le changement de paradigme. La Cour retient que la captation de données informatiques, à l'insu de leur propriétaire et la fixation sur un support des données constitue un vol, au sens de l'article 311-1 du Code pénal, une soustraction frauduleuse du bien d'autrui.

La Cour retient que les données informatiques, par essence dématérialisées, constituent des biens susceptibles de faire l'objet d'une appropriation frauduleuse. La solution est curieuse.

La qualification de vol retenue en l'espèce est critiquable car le vol sanctionne une dépossession frauduleuse, or, en l'espèce, elle est retenue pour un téléchargement, dont le titulaire des données conserve une liberté d'utilisation.

Le principe de l'interprétation stricte de la loi pénale s'en est trouvé quelque peu atteint...

La qualification d'abus de confiance semble davantage appropriée et déjà retenue en jurisprudence, contre le salarié qui capte frauduleusement les données informatiques de son employeur (C.Cass. crim. 22 octobre 2014, n°13-82630).

Les données informatiques sont-elles devenues un bien, susceptible de soustraction frauduleuse ? NON !

Le débat semble cloturer avec la récente modification de l'article 323-3 du Code pénal, par la loi n°2014-1353 du 13 novembre 2014, qui étend le champ d'application de l'introduction dans un STAD aux actes, notamment, d'extraction frauduleuse de données.

La répression est plus sévère que le vol, cinq ans d'emprisonnement et 150.000 Euros d'amende, contre trois ans et 45.000 Euros d'amende encourus pour le vol.

La qualification de vol fait office d'infraction-relais pour les faits commis antérieurement à l'entrée en vigueur de la loi du 13 novembre 2014, plus sévère car créeant un nouvel interdit pénal (l'extraction), la répression encourue étant aussi plus sévère que le vol.

La loi nouvelle étant plus sévère, sur l'incrimination... comme sur la peine, point de rétroactivité !

La loi n°2015-912 du 24 juillet 2015 a aggravé la peine d'amende encourue de l'article 323-3 du Code pénal, passant de 75.000 Euros à 150.000 Euros.

C'est pourquoi le fondement du vol a été employé dans l'affaire "Bluetouff", meme s'il est discutable.

Il est à noter que le fondement du vol n'a pas été employé dans le cadre d'une affaire examinée par le Tribunal correctionnel d'Annecy, dont le jugement a été rendu le 04 décembre 2015.

En l'espèce, une inspectrice du travail et un salarié d'une entreprise était poursuivis pour l'introduction dans un STAD d'une entreprise, et l'extraction de données de l'entreprise, informations concernant des licenciements à venir, publiées dans la presse.

Le vol n'a pas été retenu pour cette extraction, seule une condamnation pour l'accès et le maintien dans un STAD a été prononcée, démontrant ainsi, l'inadaptation de la loi pénale qui existait jusqu'à la loi du 13 novembre 2014, permettant de réprimer l'extraction de données informatiques.

Désormais, c'est le texte spécialisé de l'article 323-3 du Code pénal qu'il convient d'appliquer à la soustraction de données informatiques, conformément à l'adage specialia generalibus derogant.

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

1 Publié par Visiteur
26/03/2016 13:03

Article intéressant qui rend plus accessible la ligne de partage étroite entre le vol et la soustraction de données.

2 Publié par Visiteur
12/08/2016 17:48

Bonjour,
quelle infraction relever au salarié d'une association ( loi 1901 ) qui :
- s'introduit dans les fichiers informatiques de son association
- récupère les adresses mails des adhérents
- se sert de ces adresses mails pour démarcher les adhérents en vue de constituer une nouvelle association ?
Merci beaucoup

3 Publié par Visiteur
14/08/2016 13:54

Bonjour,

Je vous conseille d'adresser une plainte au procureur de la République près le tribunal de grande instance, sur le fondement de l'article 323-3 du Code pénal, qui incrimine le fait d'extraire frauduleusement des données d'un système de traitement automatisé de données, en relatant les faits

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.

A propos de l'auteur
Blog de Noé MARMONIER Avocat

Bienvenue sur mon blog juridique !

 

Noé MARMONIER 

 

Avocat au Barreau de Lyon

 

Master I de droit privé et sciences criminelles

 

Master II droit de l'entreprise spécialité droit de la propriété intellectuelle

 

Proximité, performance et approche business oriented sont mes valeurs

 

Lyon

 

 

 

Types de publications
Retrouvez-nous sur les réseaux sociaux et sur nos applications mobiles
Confirmation
A description can appear on the right
OK
Console de DEBUG