Une fonctionnalité d’un logiciel peut-elle engager la responsabilité pénale de son éditeur ?
3 mars 2020.
L’administration fiscale avait déposé une plainte à l’encontre la société Alliance Software qui conçoit et développe un logiciel de gestion pour les pharmacies, et la société Alliadis qui en assure la commercialisation.
L’administration fiscale s’était en effet rendu compte que « ce logiciel intégrait une fonctionnalité, permettant après la saisie d’un mot de passe personnel, de faire disparaître des lignes d’écritures relatives à des ventes payées en espèces, à la condition qu’elles ne soient pas liées à une prescription médicale ou au paiement d’un tiers avant qu’elles ne soient arrêtées d’un point de vue comptable. Par ailleurs une manipulation externe au logiciel, effectuée directement en ligne de commande, permettrait de détruire les traces de ces effacements par simple suppression du fichier qui les contient. »
Une enquête est ouverte pour les faits d’offre, cession, mise à disposition sans motif légitime de moyens conçus ou spécialement adaptés pour commettre une atteinte à un système de traitement automatisé de données (« d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données ») , prévus aux articles 323-3-1 et 323-3 du code pénal.
Une ordonnance de non-lieu est rendue par le juge d’instruction. Le procureur de la république et l’administration fiscale en relèvent appel. La Cour d’appel confirme l’ordonnance de non lieu.
Un pourvoi en cassation est alors formé par le procureur de la république et l’administration fiscale. La Cour de Cassation s’est donc penchée sur cette question (arrêt du 7 janvier 2020 (n° de pourvoi 18-84755))
La Cour de cassation confirme le non lieu au motif que « les atteintes aux systèmes de traitement automatisé de données prévues aux articles 323-1 à 323-3 du Code Pénal ne sauraient être reprochées à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système ».
Il est intéressant de noter la dernière nuance de la Cour de cassation concernant la non-dissimulation « à d’éventuels autres utilisateurs du système » des modifications effectuées sur le logiciel.
La décision aurait-elle été toute autre si la trace les suppressions de données n’est pas identifiable ? La question reste ouverte.
A l’aune de cette décision, dans le secteur déjà très règlementé des logiciels de gestion et de caisse, nous pensons que la conception, l’implémentation et l’utilisation desdits logiciels doit prendre en compte la conformité règlementaire face aux exigences de l’administration fiscale mais également les risques juridiques sur un plan plus global.
Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats, expert Contrats IT et négociations
et Marine Hardy, avocat responsable du Pôle Sécurité
ITLAW Avocat mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes, tels que l’intégration de progiciels.
Nous contacter