Crim. 7 janvier 2020, n°18-84755
La Cour de cassation a pu rappeler le champ restreint d’application des articles 323-1 et suivants du Code pénal, relatifs aux atteintes aux systèmes de traitements automatisés de données, ne pouvant servir à sanctionner d’autres infractions que celles qu’ils décrivent.
Dans cette affaire, l’administration fiscale a déposé plainte contre la société Alliance Software qui conçoit et développe un logiciel de gestion pour les pharmacies, et contre la société Alliadis qui en assure la commercialisation.
L’administration fiscale s’était rendue compte que ce logiciel intégrait une fonctionnalité permettant, après saisie d’un mot de passe, de faire disparaître des lignes d’écritures relatives à des ventes payées en espèces avant qu’elles n’entrent en comptabilité, à la condition qu’elles ne soient pas liées à une prescription médicale ou au paiement d’un tiers.
Il était également possible, par une manipulation externe au logiciel, de détruire les traces des effacements par simple suppression du fichier qui les contient.
Une information judiciaire est ouverte par le parquet pour les faits d’offre, cession, mise à disposition sans motif légitime de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données, prévus aux articles 323-3-1 du Code pénal.
Mais le juge d’instruction rend une ordonnance de non-lieu.
Le procureur et l’administration fiscale (intervenant comme partie civile) en ont relevé appel.
Les juges ont rappelé que le logiciel conçu et commercialisé permettait à son acquéreur, propriétaire des données, de faire disparaître les lignes d’écriture, ce qui rendait impossible la caractérisation des frais reprochés.
La Cour de cassation valide ce raisonnement et ajoute que « les atteintes aux systèmes de traitement automatisé de données prévues aux articles 323-1 à 323-3 du code pénal ne sauraient être reprochées à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système ».
Pour éviter d’être en infraction, il faut donc que la personne bénéficie des droits d’accès et de modification des données, et que ces dernières n’aient pas été dissimulées à d’autres utilisateurs.
C’est en fait la fraude fiscale que poursuivait le parquet, ce qui était impossible sous l’article 323-3-1 du Code pénal qui a un champ très restreint.
