Réponse publiée le 14 juin 2016

Les articles 323-1 à 323-3 du code pénal sanctionnent les agissements dirigés contre les « systèmes de traitement automatisé de données » ou STAD. L'intrusion dans un système automatisé de données présente en pratique différentes finalités, comme par exemple la défiguration de sites et les attaques en déni de service distribué (« DDoS attack ») dirigées contre des systèmes informatiques d'institutions ou de sociétés ciblées qui, pour des raisons idéologiques ou commerciales, ont pour conséquence de dégrader ou de rendre indisponible un service ou l'accès à un service ou bien le piratage d'informations sensibles au sein d'une entreprise (fichier client, procédé de fabrication …). La loi no 2014-1353 renforçant les dispositions relatives à la lutte contre le terrorisme a étendu le champ d'application de l'article 323-3 du code pénal et a introduit une circonstance aggravante de bande organisée. L'article 16 introduit dans cette loi par la commission des lois de l'Assemblée nationale vient en effet modifier l'article 323-3 du code pénal réprimant les atteintes à l'intégrité des données, soit le fait d'introduire frauduleusement des données et de supprimer ou de modifier frauduleusement des données, afin que soit également réprimé le fait d'extraire, de détenir, de reproduire ou de transmettre frauduleusement des données. Cette modification de l'article 323-3 du code pénal, vise à remédier aux limitations du droit français qui ne sanctionnait pas le vol de données mais uniquement l'effraction, sans se soucier de ses suites dont notamment la captation des éléments accessibles, leur recel ou leur détention frauduleuse. Par ailleurs, l'article 17 de la même loi prévoit, à un nouvel article 323-4-1 du code pénal, que les atteintes aux STAD des articles 323-1 à 323-3-1 puissent être commises en bande organisée. Cette circonstance aggravante de commission en bande organisée est circonscrite aux seules atteintes commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat. Les atteintes aux STAD commises en bande organisée sont punies de dix ans d'emprisonnement et de 150.000 euros d'amende. Par ailleurs, la loi du 24 juillet 2015 a procédé à un réhaussement significatif des quanta de peine d'amende appliqués aux articles 323-1 à 3. La préconisation de la délégation parlementaire au renseignement a donc été satisfaite par le législateur.