Le piratage informatique est une cyberattaque. Cette dernière est définie par le gouvernement comme étant une atteinte à des systèmes informatiques réalisée dans un but malveillant. Ces attaques peuvent aussi bien cibler les entreprises que les particuliers. Avocat en cybercriminalité à Paris, nous vous accompagnons dans votre difficulté.
Le piratage informatique est réprimé par le Code pénal comme étant une infraction qui porte atteinte au système de traitement automatisé de données ainsi qu’aux données qu’il contient.
À ce jour, la notion de système de traitement automatisé de données n’a pas de définition légale officielle.
Néanmoins, l’article 4 du Règlement général sur la protection des données définit le traitement des données comme étant « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ».
Comment porter plainte pour piratage informatique ?
Si vous êtes une entreprise ou une personne physique et que vous avez été victime d’un piratage informatique, vous pouvez déposer une plainte pénale sur le fondement d’un ou plusieurs des articles mentionnés ci-dessous en fonction de l’atteinte subie en l’espèce.
L’assistance d’un avocat spécialisé en droit pénal du numérique est fondamentale pour vous aider à déterminer la nature précise de l’atteinte que vous avez subie.
Vous devez rassembler tous les éléments de preuves en votre possession et conserver, voir sauvegarder tous les logs, c’est-à-dire les fichiers informatiques présents sur votre système de traitement automatisé des données.
Il est possible d’adresser directement cette plainte au procureur de la République du tribunal judiciaire dont vous dépendez par courrier recommandé avec accusé de réception.
Il est également possible de déposer cette plainte après de la brigade de gendarmerie ou au commissariat de police.
Il est également possible de déposer une plainte auprès de la Commission nationale de l’informatique et des libertés (CNIL) contre le responsable de traitement s’il n’a pas assuré la protection des données personnelles prévue par le Règlement général sur la protection des données personnelles.
Sa responsabilité peut être engagée s’il n’a pas mis en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement des données est effectué conformément au RGPD.
La CNIL a la capacité de délivrer des amendes administratives dont le montant peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.
C’est pour cette raison que les entreprises traitant des données personnelles doivent impérativement se conformer à la réglementation applicable sur la protection des données personnelles. Plusieurs mesures sont à mettre en place afin d‘assurer une protection suffisante et d’éviter toute sanction.
Si vous souhaitez bénéficier d'avantages d’informations à ce sujet, vous pouvez consulter notre article «Données personnelles et mise en conformité RGPD ».
Quelles sont les sanctions prévues pour lutter contre le piratage informatique ?
Les articles 323-1 et suivant du Code pénal contiennent de nombreuses dispositions sanctionnant différentes atteintes causées par le piratage informatique.
Ces sanctions ne sont pas applicables aux mesures mises en œuvre par les agents habilités des services de l'État désignés par arrêté du Premier ministre, qui sont autorisés à porter atteinte au système de traitement automatisé de données pour assurer, hors du territoire national, la protection des intérêts fondamentaux de la Nation.
L’accès frauduleux dans un système de traitement automatisé de données
Le piratage informatique est un délit consacré à l’article 323-1 du Code pénal.
Cette infraction est décrite comme étant le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données.
Le piratage informatique est puni de deux ans d'emprisonnement et de 60 000 € d'amende.
Cette peine peut s’élever à trois ans d'emprisonnement et de 100 000 € d'amende lorsque le piratage informatique a eu pour effet la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système.
L’entrave portée au système de traitement automatisé de données
L’article 323-2 du Code pénal punit de cinq ans d’emprisonnement et de 150 000 € d’amende le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de donnée.
L’entrave au système de traitement automatisé de données peut prendre différentes formes mais elle doit avoir pour effet de porter atteinte au bon fonctionnement du système.
Un virus informatique est par exemple constitutif d’une entrave au système de traitement automatisé de données.
Le Tribunal de Grande Instance de Le Mans a rendu un arrêt en date du 7 novembre 2003 dans lequel il a condamné un prévenu pour avoir entravé le système de traitement automatisé gérant les services de messageries électroniques d’une société en saturant les boîtes aux lettres électroniques.
L’atteinte aux données contenues dans le système de traitement automatisé de données
L’article 323-3 du Code pénal sanctionne également le fait de porter atteinte aux données contenues dans le système de traitement automatisé de données. Le simple fait d’introduire frauduleusement des données dans un système de traitement automatisé des données ou d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données constitue une infraction est punie de cinq ans d’emprisonnement et de 150 000 € d’amende.
Chacune des infractions précédemment citées est plus lourdement punie lorsqu’elles ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'État.
La peine peut alors être portée jusqu’à sept ans d’emprisonnement et 300 000 € d’amende.
Le fait de détenir, de céder, d’importer ou de mettre à disposition des données conçues pour commettre les infractions prévues aux articles 323-1 à 323-3 du Code pénal.
L’article 323-3-1 du Code pénal énonce que le fait de détenir un instrument, un programme informatique, conçu ou spécialement adapté pour commettre une ou plusieurs infractions suscitées est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.
Le fait de s’associer en vue de porter atteinte à un système automatisé de données.
L’article 323-4 du Code pénal dispose que la participation à un groupement formé ou à une entente établie en vue de préparer une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.
Si ces infractions ont été commises en bande organisée, c’est-à-dire tout groupement formé ou toute entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou plusieurs infractions (article 132-71 du Code pénal) et à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'État, la peine est portée à dix ans d'emprisonnement et à 300 000 € d'amende.
La responsabilité pénale des personnes morales peut également être engagée
Si vous êtes une personne morale, vous pouvez également faire l’objet d’une plainte pour les infractions précédemment citées. L’amende prévue à l’égard des personnes morales est consacrée à l’article 131-38 du Code pénal, celle-ci peut être égale au quintuple de celle prévue pour les personnes physiques.
Les sanctions supplémentaires prévues pour les personnes physiques
L’article 323-5 du Code pénal prévoit des sanctions supplémentaires pour les personnes physiques coupables des infractions précédemment citées.
- « L'interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l'article 131-26 ;
- L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise ;
- La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ;
- La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ;
- L'exclusion, pour une durée de cinq ans au plus, des marchés publics ;
- L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ;
- L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article 131-35. »
La tentative des délits prévus par les articles 323-1 à 323-3-1 est également punie des peines prévues pour ces infractions, même en cas d’échec, conformément à l’article 323-7 du Code pénal.
Nos prestations
- Accompagnement en cas de piratage informatique
Notre cabinet Avomedias vous accompagne si vous avez été victime d’un piratage informatique. Nous évaluons votre préjudice afin de déterminer la ou les procédures les plus appropriées à engager en fonction du préjudice que vous avez subi. Nous pouvons rédiger à vos côtés votre plainte.
- Représentation en cas de procédure contentieuse
Notre cabinet Avomedias vous représente et défend vos intérêts ainsi et ceux de votre entreprise en cas de procédure contentieuse devant les différentes juridictions.