Actions sur le document

L’infraction de vol de données enfin consacrée ?

K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Matthieu Bourgeois, Amira Bounedjoum, 25/03/2015

L’infraction relative au vol de données numériques a longtemps posé de nombreuses difficultés en matière pénale. Défini comme étant « la soustraction frauduleuse du bien d’autrui » (art. L.311-1 c. pén.) – ce qui sous-entend une dépossession du propriétaire –, le vol semble exclure les éléments immatériels dont l’appréhension s’effectue par duplication. Leur détenteur légitime de données ne s’en trouvant jamais pas dépossédé, les tribunaux considèrent qu’en l’absence de soustraction matérielle, le délit de vol n’est pas constitué. Ce que nous appelons donc communément « vol de données » correspond en réalité à l’extraction de celles-ci par un tiers non autorisé. Si dans un autre contexte, les tribunaux ont déjà implicitement reconnu qu’une donnée constitue un bien, notamment en qualifiant d’abus de confiance le fait de détourner des informations, le législateur fait ici un autre pas en ce sens en consacrant une nouvelle infraction que certains continueront d’appeler – improprement – le « vol de données ».
1. L'introduction d'une nouvelle infraction
La loi 2014-1353 du 13 novembre 2014 (renforçant les dispositions relatives à la lutte contre le terrorisme ») a consacré une nouvelle infraction en ajoutant à l’article L323-3 du code pénal les dispositions suivantes (gras) : « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende. »

Cette nouvelle rédaction vient combler efficacement un vide, rendant désormais inutile le recours au texte relatif au vol et mettant un terme au débat qu’il suscitait quant à son applicabilité.

2. Une nouvelle infraction qui complète opportunément l’arsenal de protection des données
De prime abord, il est permis de s’interroger sur l’articulation de cette nouvelle protection avec celle offerte par le droit de producteur de base de données (« droit sui generis ») et le droit d’auteur qui répriment déjà la reproduction ou l’extraction d’une base de données. En effet, le producteur d’une base de données – à savoir la personne qui prend l’initiative et le risque des investissements correspondant – bénéficie d’une protection par le droit sui generis sur le contenu de sa base ; il a ainsi le droit d’interdire l’extraction ou la réutilisation totale ou partielle du contenu de sa base de données. En outre, lorsque la structure et/ou le contenu de la base de données comporte un apport intellectuel caractérisant une création originale, elle peut également bénéficier de la protection par le droit d’auteur, permettant à son titulaire d’interdire toute reproduction et représentation de la base de données.

En conséquence, dans la mesure où les atteintes aux données numériques par duplication, extraction ou transmission existaient déjà dans notre dispositif, était-ce utile d’introduire cette nouvelle infraction dans le code pénal ?

« Oui », nous semble-t-il, car la protection du droit sui generis ainsi que du droit d’auteur nécessite que celui qui s’en prévaut prouve l’existence respectivement d’un « investissement substantiel » ainsi que d’une « originalité », preuves bien souvent délicates à rapporter en pratique. Cette nouvelle loi offre l’intérêt de présenter une arme juridique aux détenteurs de données qui ne sont pas protégeables par le droit sui generis ni par le droit d’auteur.

3. Quid du concours de qualifications ?
Cet arsenal juridique conduit à ce qu’un même fait – l’extraction de données – puisse correspondre à plusieurs incriminations sanctionnées par différents textes. La jurisprudence a dégagé le principe selon lequel un même fait ne peut entrainer une double déclaration de culpabilité en raison de qualifications différentes (« non bis in idem »). Dans un tel cas, le fait est punissable « sous sa plus haute expression pénale », c’est-à-dire sur le fondement du texte protégeant l’intérêt social le plus élevé.

Dans l’hypothèse d’une extraction frauduleuse de données – mettant en concurrence les dispositions du code pénal avec celles du code de la propriété intellectuelle – il est permis de penser que ce sont les dispositions du code pénal qu’il faudrait, seules, appliquer. Cela reste naturellement sujet à débat, toute la question étant de savoir quel intérêt social (entre la protection de la propriété intellectuelle et la protection plus générale des biens) il faut faire prévaloir ici.

La réponse à cette question n’est pas neutre lorsque l’on sait que l’article 323-3 du code pénal prévoit des peines plus sévères (5 ans d’emprisonnement/75 000 € d’amende) que celles du code de la propriété en matière de contrefaçon de base de données ou de droit d’auteur (3 ans d’emprisonnement/300 000 € d’amende). Affaire à suivre, donc…


Retrouvez l'article original ici...

Vous pouvez aussi voir...