Pour rappel, le Livre 3 du Code pénal s’intitule “Des crimes et délits contre les biens”. Au nombre des infractions qui sont classées dans ce livre, on retrouve notamment des délits très communs tels que le vol, l’escroquerie, l’abus de confiance, etc. Les articles du Code pénal réprimant les atteintes aux biens sont donc tous numérotés dans les 311-1 et suivants.
À titre liminaire, il convient de relever que certaines infractions réprimées par le Livre 3 du Code pénal et désormais considérées comme “classiques” ont été incriminées après l’entrée en vigueur du nouveau Code pénal. Tel est par exemple le cas du délit général de blanchiment incriminé par l’article 324-1 depuis la loi n°96-392 du 13 mai 1996.
De plus, la jurisprudence de la Cour de cassation a également apporté son lot de modifications à la législation réprimant les atteintes aux biens, depuis l’entrée en vigueur du Nouveau Code pénal. L’on peut citer pêle-mêle l’incrimination de l’auto-blanchiment {1}ou très récemment, la répression de faits portant sur un immeuble et qualifiés d’abus de confiance {2}.
L’apparition d’Internet et surtout le développement exponentiel de la technique et l’utilisation quotidienne des outils numériques et informatiques ont, par ailleurs, fait naître une nouvelle forme de criminalité (mais également de délinquance), désignée par le terme cybercriminalité. Ce terme est composé du préfixe cyber soulignant la dimension informatique et réseau de ces nouveaux comportements infractionnels.
Les systèmes et les réseaux numériques sont au cœur de la caractérisation des infractions servant d’assise à la répression de ces nouveaux comportements.
Il convient, d’ores-et-déjà, de souligner ô combien la conjonction du droit et de la technique peut apporter son lot de difficultés tant du point de vue de la caractérisation de l’infraction que du point de vue de la délimitation du champ d’incrimination. Nous y reviendrons.
Au titre de l’étude de l’adaptation du Livre 3 du Code pénal à ces nouveaux comportements infractionnels, seront surtout envisagés les outils numériques en tant qu’objets de l’infraction. En effet, le Nouveau Code pénal de 1994 a repris la législation antérieure en matière d’atteintes aux systèmes de traitement automatisé des données (ci-après atteintes aux STAD). De nombreuses réformes ont, depuis, étayé la répression de la cybercriminalité en droit français, afin de mieux appréhender ces comportements qui étaient inconnus dans les années 50 et qui n’étaient qu’à leurs prémices dans les années 80.
Ceci étant dit, cet article sera l’occasion de revenir plus avant sur les évolutions majeures dont le Livre 3 du Code pénal a fait l’objet, sans s’attarder sur l’évolution de la répression des atteintes aux biens. Afin d’exposer le droit positif en matière de répression de la cybercriminalité et de rendre hommage à l’adoption du Nouveau Code pénal de 1994, seront envisagés successivement la législation antérieure à l’entrée en vigueur du Nouveau Code pénal (I) puis l’état actuel de textes permettant la répression des atteintes aux STAD (II) et enfin, une analyse critique de l’ensemble (III).
I) La législation antérieure à l’entrée en vigueur du Nouveau Code pénal
Le délit de vol : Très classiquement, le vol est incriminé en droit français. L’article 379 de l’ancien Code pénal {3} disposait que “[q]uiconque a soustrait frauduleusement une chose qui ne lui appartient pas est coupable de vol”. Le Nouveau Code pénal, codifié par la loi n°92-685 du 22 juillet 1992, entré en vigueur le 1er mars 1994, a quelque peu modernisé la formule tout en conservant les éléments de définition antérieurs. L’article 311-1 du Nouveau Code pénal dispose en effet que “[l]e vol est la soustraction frauduleuse de la chose d'autrui”.
Les nouveaux comportements infractionnels : Depuis 1810, l’élément matériel du vol simple est caractérisé par une soustraction (c’est-à-dire l’action de prendre, enlever, ravir {4}). Au titre des conditions préalables, sont exigés que l’objet du vol soit une chose et que cette chose appartienne à autrui. C’est là où le bât blesse. Le terme “chose” désigne, en droit, un bien matériel pouvant être manipulé. En vertu du principe d’interprétation stricte de la loi pénale (art. 111-4 C.pén.), le vol ne peut donc porter que sur un bien corporel.
Or, en droit français, les biens meubles sont corporels (ex : toute chose caractérisée par son existence concrète telle qu’une clé USB) ou incorporels (ex : tout bien qui n’a pas d’existence matérielle tel qu’une information). La jurisprudence devait ainsi trancher la question de l’application du délit de vol à la soustraction d’un bien incorporel. Pour le dire autant, la Cour de cassation a eu à se prononcer sur le point de savoir si la “chose” au sens du délit de vol pouvait être un bien incorporel.
La jurisprudence en matière de vol de biens incorporels : Les biens meubles incorporels ne peuvent pas faire l’objet d’une appréhension directe en raison de leur inexistence matérielle. Néanmoins, leur soustraction est possible par l’appréhension de leur contenant, de leur support matériel. Tel est notamment le cas lorsque sont soustraits un document (Crim. 1er mars 1989, n°88-82.815) ou encore une disquette (Crim. 12 janv. 1989, n°87-82.265, arrêt Bourquin). Or, il faut garder à l’esprit que l’auteur de la soustraction est davantage intéressé par le contenu que par le contenant soustrait. Bien souvent, une fois que l’information désirée est en la possession de l’auteur des faits, le contenant est remis à sa place et la soustraction du bien corporel cesse. Alors, la répression de celui qui vole une information contenue sur une feuille de papier en raison du seul vol de ladite feuille de papier, qui potentiellement a été remise à sa place, n’était pas une représentation fidèle de la réalité. L’appréhension par le droit de ce comportement infractionnel particulier semblait par conséquent lacunaire.
Pour cette raison, la jurisprudence a reconnu le vol d’informations par soustraction de la photocopie. La caractérisation du vol ne supposait plus seulement un déplacement matériel mais également un déplacement « intellectuel », grâce à la notion prétorienne de “vol d’usage” (Crim. 19 févr. 1959). Partant, la soustraction d’informations pendant le temps nécessaire à leur reproduction était sanctionnée en raison de l’usurpation de la faculté de reproduction des documents appartenant à leur propriétaire (Crim. 8 janv. 1979, n°77-93038, Logabax).
Néanmoins, il était toujours question d’appréhender la soustraction du contenant. La répression de la soustraction du contenu n’était donc permise que par le biais de la soustraction du contenant.
Puisque les incriminations de droit commun ont montré leurs limites, le législateur a créé de nouvelles infractions.
L’adoption de la loi n°88-19 du 5 janvier 1988 relative à la fraude informatique dite loi Godfrain : Dans les années 1980, le législateur permet l’appréhension spécifique des comportements caractérisant une fraude informatique. Est alors instauré un véritable droit répressif de la fraude informatique au sein du droit pénal spécial.
Cette loi crée en effet un chapitre III « De certaines infractions en matière informatique », dans l’ancien Code pénal ; les anciens articles 462-2 à 462-9 incriminant les atteintes aux systèmes de traitement automatisé des données (STAD), les atteintes aux produits informatiques et la tentative de ces délits.
Dès 1988, il avait été question d’incriminer le recel de données obtenues frauduleusement {5}. Toutefois, la définition restreinte du recel de l’ancien Code pénal ne permettait pas une appréhension efficace des comportements infractionnels. Puisque l’adoption du Nouveau Code pénal a, en 1992, été l’occasion pour le législateur de consacrer l’acception large du délit de recel (c’est-à-dire l’incrimination du recel-profit à l’article 321-1 alinéa 2 du Nouveau Code pénal), la question de l’incrimination spécifique du recel de données n’avait plus lieu d’être.
Le Nouveau Code pénal, entré en vigueur le 1er mars 1994, reprend évidemment la législation répressive portant sur les atteintes aux STAD. Cette législation a toutefois fait l’objet de multiples modifications.
II) La répression des atteintes aux STAD en droit positif
Les articles 323-1 à 323-8 du Nouveau Code pénal répriment différentes formes d'atteintes aux STAD.
D’abord, il convient de relever que la définition du STAD pose problème, d’autant plus qu’il s’agit d’une condition préalable à la caractérisation de ces infractions. En effet, dès que la technique se mêle au droit et a fortiori lorsque le droit peine à s’en saisir, des difficultés intellectuelles surgissent. De plus, ni l’ancien Code pénal, ni le Nouveau Code pénal ne définissent ce système. Pour autant, cette question et subsidiairement celle du champ d’application des outils répressifs ont été résolues lors des débats parlementaires portant sur la loi de 1988.
Selon les parlementaires, un système de traitement automatisé de données est « tout ensemble composé d’une ou plusieurs unités de traitement, de mémoires, de logiciels, de données, d’organes d’entrées-sorties et de liaisons qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs de sécurité » {6}.
Ceci étant dit, il faudra pardonner l’inventaire à la Prévert réalisé ci-après, mais celui-ci est nécessaire à la présentation de la législation applicable et de ses adaptations. Sont en effet incriminés le fait :
D’accéder ou de se maintenir, frauduleusement, dans un STAD (art. 323-1 N.C.pén.). Il n’y a toutefois pas de concours réel entre l’accès et le maintien ;
D’entraver ou de fausser le fonctionnement d’un STAD (art. 323-2 N.C.pén.) ;
D’introduire, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier, frauduleusement, les données d’un STAD (art. 323-3 N.C.pén.) ;
Il y a un concours idéal entre l’accès frauduleux et la modification frauduleuse qui, le plus souvent, se résout en faveur de la seconde infraction.
D'importer, de détenir, d'offrir, de céder ou de mettre à disposition un outil permettant la commission des infractions précédentes (art. 323-3-1 N.C.pén.)
Cass. Crim. 07 janvier 2020, n° 18-84.755 — Mise à disposition de moyens – atteinte frauduleuse à un STAD – relaxe Deux sociétés ayant respectivement développé et commercialisé un logiciel de gestion à l’usage des pharmacies sont poursuivies pour cession et mise à disposition sans motif légitime de moyens permettant de commettre une atteinte à un STAD (art. 323-3-1 C.pén.). Le logiciel permettait au propriétaire des données de faire disparaître des lignes d’écriture relatives à des ventes payées en espèces, avant qu’elles ne soient arrêtées d’un point de vue comptable. Le juge d’instruction rend une ordonnance de non-lieu. La chambre de l’instruction confirme. La Cour de cassation rejette les pourvois car les atteintes aux STAD « ne sauraient être reprochées à la personne qui, bénéficiant des droits d’accès et de modifications des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système ». L’infraction ne serait caractérisée que si le pharmacien, propriétaire des données, avait procédé aux suppressions en le cachant aux autres utilisateurs du système. |
De réaliser une association de malfaiteurs en vue de commettre les infractions précédentes (art. 323-4 N.C.pén.)
Des circonstances aggravantes sont prévues (art. 323-4-1 et 323-4-2 N.C.pén.) tout comme des peines complémentaires (art. 323-5 N.C.pén.). La tentative de ces délits est spécialement incriminée (art. 323-7 N.C.pén.).
Les apports de la loi n°2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur :
|
III) Analyse critique de la législation en matière d’atteintes aux STAD
De nombreux auteurs se sont interrogés sur le point de savoir si la répression de la cybercriminalité nécessitait des dispositions spécifiques ou si les dispositions de droit commun étaient suffisantes. Au vu de l’évolution de la jurisprudence et des nombreuses modifications de la législation tendant vers toujours plus de spécificités dans ce contentieux, il semble qu’une réponse simple mais pas simpliste peut être avancée.
Le législateur a choisi d’adopter des dispositions spécifiques pour appréhender, au plus près de la réalité matérielle, la cybercriminalité et la cyberdélinquance.
Il est toutefois opportun d’observer que si l’adoption d’une législation spécifique aux atteintes aux STAD avait semblé clarifier la répression du vol d’informations en pratique, il semblerait que les choses ne soient pas si évidentes. La Cour de cassation a récemment admis la caractérisation d’un vol d’information sans qu’il n’y ait passage par un support matériel (Cass. Crim., 20 mai 2015, n°17-81.336 ; Cass. Crim., 7 nov. 2018, n°17-82.459).
Pour autant, les arrêts au fond ont été rendus alors que la qualification de fraude informatique (art. 323-3 C.pén.) ne permettait pas de qualifier pénalement le fait d’extraire d’un système informatique des informations. En effet, c’est une loi de 2014 qui a étendu le champ d’application de ce délit. Donc, la portée de ces arrêts est à relativiser. Partant, il semble opportun de conclure que cette jurisprudence ne semble pas avoir vocation à se maintenir, la qualification de fraude informatique devant être préférée.
Pour conclure, d’aucuns arguent du caractère technique de cette matière et ils auraient raison. Nous l’avons vu, le droit de la cybercriminalité est irrigué par de nombreuses notions techniques, transversales, obscures et surtout non-juridiques, ce qui rend l’appréhension de cette matière complexe. Pour autant, le législateur a, dans le Nouveau Code pénal, fait œuvre de pédagogie, pour délimiter précisément et encadrer clairement ce chapitre du Livre 3 du Code pénal. De plus, quelques modifications de la législation applicable ont eu lieu au cours des trois dernières décennies pour permettre au droit de s’adapter aux évolutions numériques et informatiques.
Reste que des difficultés terminologiques demeurent tant en matière d’atteintes aux STAD qu’en matière de refus de délivrer une convention secrète de déchiffrement d’un moyen de cryptologie {7}. Quand le droit et l’informatique se mêlent, les juristes et les techniciens s'en(-)mêlent.
Juliette SUSSOT
{1} Crim. 14 juin 2017, n° 16-84.921
{2} Crim. 13 mars 2024, n°22-83.689
{3} Tel que codifié par la loi du 19 février 1810, promulguée le 1er mars 1810
{4} Pour la jurisprudence fondamentale ayant retenu cette définition du vol V. notamment Cass. Crim., 18 nov. 1937 {5} Rapport n° 2468, 1991-1992, 1re session ordinaire, Doc. AN, p. 117
{6} Texte n° 1009 transmis à l'Assemblée nationale le 4 novembre 1987 {7} Sur cette question, voir le focus publié le 23 octobre 2023 “Droit pénal spécial : réflexions sur l’article 434-15-2 du Code pénal”
Bibliographie :
Lucas de Leyssac, « Une information seule est-elle susceptible de vol ou d'une autre atteinte aux biens ? », D. 1985. chron. 43
R. GASSIN, Le droit pénal de l'informatique, D. 1986. Chron. 35
M. VÉRON, Droit pénal spécial, 4e éd., 1994, Masson, p. 222
J LARGUIER, Droit pénal spécial, 1994, Dalloz, p. 178
Répertoire de droit pénal et de procédure pénale, Recel – Patrick MAISTRE DU CHAMBON
Répertoire IP/IT et communication, Cybercriminalité – Frédéric CHOPIN