L’administration fiscale a déposé plainte contre une société concepteur et développeur d’un logiciel de gestion à l’usage des pharmacies, et contre la société qui en a assuré la commercialisation, pour cession et mise à disposition sans motif légitime de moyens spécialement adaptés pour commettre une atteinte frauduleuse à un système de traitement automatisé de données (STAD).

L’administration fiscale a découvert, au sein d’officines de pharmacies, que ce logiciel intégrait une fonctionnalité permettant, après saisie d’un mot de passe personnel, de faire disparaître des lignes d’écritures relatives à des ventes payées en espèces.

Une manipulation externe au logiciel, effectuée directement en ligne de commande, permettait de détruire les traces de ces effacements par suppression du fichier les contenant.

La Cour de cassation, dans un arrêt du 7 janvier 2020, a estimé que les juges, dans l’ordonnance de non-lieu puis dans l’arrêt d’appel, avaient justifié leurs décisions en estimant que les sociétés qui ont conçu et commercialisé un logiciel de caisse permettant aux utilisateurs de faire disparaître des lignes d’écriture comptables relatives à des ventes payées en espèce avant arrêté comptable, ne peuvent se voir reprocher l’infraction prévue à l’article 323-3-1 du code pénal, dès lors que celles prévues aux articles 323-1 à 323-3 ne peuvent être caractérisées.

Il est précisé que l’article 323-3-1 du Code pénal punit « Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée »

La Cour considère donc que la chambre de l’instruction a justifié sa décision, et indique qu’« en effet, les atteintes aux systèmes de traitement automatisé de données prévues aux articles 323-1 à 323-3 du code pénal ne sauraient être reprochées à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système. »

Ainsi, il ne saurait être reproché à un édieur de logiciel de commercialiser un logiciel permettant à l’utilisateur, propriétataire des données de les modifier. Pour être frauduleuse la suppression devait être faite à l’insu du propriétaire des données.

Cass. Crim, 7 janv. 2020, n° 18-84.755

Nathalie Bastid – Avocate associée

Pour plus d’informations, vous pouvez la contacter bastidnathalie@gmail.com – 06.09.68.51.54