Code pénal - Partie Législative
par Sébastien FONTAINE (_SebF)

1 - Introduction
2 - Livre III - Titre II - Chapitre III
        2.1 - Article 323-1
        2.2 - Article 323-2
        2.3 - Article 323-3
        2.4 - Article 323-3-1
        2.5 - Article 323-4
        2.6 - Article 323-5
        2.7 - Article 323-6
        2.8 - Article 323-7
3 - Livre II - Titre II - Chapitre VI - Section 5
        3.1 - Article 226-16
        3.2 - Article 226-16-1-A
        3.3 - Article 226-16-1
        3.4 - Article 226-17
        3.5 - Article 226-18
        3.6 - Article 226-18-1
        3.7 - Article 226-19
        3.8 - Article 226-19-1
        3.9 - Article 226-20
        3.10 - Article 226-21
        3.11 - Article 226-22
        3.12 - Article 226-22-1
        3.13 - Article 226-22-2
        3.14 - Article 226-23
        3.15 - Article 226-24
4 - Discussion autour de la documentation
5 - Suivi du document

1 - Introduction

Vous trouverez ici les extraits de tous les articles du code pénal concernant la sécurité informatique. Il est très important de prendre conscience que les interdictions et obligations existent et que les condamnations relatives sont très clairement définies.

On peux distinguer 2 parties du code pénal qui relate chacun sa spécificité :

1^ère partie : Livre III - Titre II - Chapitre III

Cette partie est relatif à tout ce qui touche la sécurité du système d'information en général. Elle est positionnée à cette emplacement du code pénal :

LIVRE III - Des crimes et délits contre les biens
    TITRE II - Des autres atteintes aux biens
        CHAPITRE III - Des atteintes aux systèmes de traitement automatisé de données

2^nde partie : Livre II - Titre II - Chapitre VI - Section 5

Cette partie est relatif à tout ce qui touche la l'individu et ses droits. Elle est positionnée à cette emplacement du code pénal :

LIVRE II - Des crimes et délits contre les personnes
    TITRE II - Des atteintes à la personne humaine
        CHAPITRE VI - Des atteintes à la personnalité
            SECTION 5 - Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques

2 - Livre III - Titre II - Chapitre III

2.1 - Article 323-1

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-575 du 21 juin 2004 art. 45 I Journal Officiel du 22 juin 2004)

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.

2.2 - Article 323-2

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-575 du 21 juin 2004 art. 45 II Journal Officiel du 22 juin 2004)

Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

2.3 - Article 323-3

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-575 du 21 juin 2004 art. 45 III Journal Officiel du 22 juin 2004)

Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

2.4 - Article 323-3-1

(inséré par Loi nº 2004-575 du 21 juin 2004 art. 46 I Journal Officiel du 22 juin 2004)

Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

2.5 - Article 323-4

(Loi nº 2004-575 du 21 juin 2004 art. 46 II Journal Officiel du 22 juin 2004)

La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

2.6 - Article 323-5

Les personnes physiques coupables des délits prévus au présent chapitre encourent également les peines complémentaires suivantes :

1 - L'interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l'article 131-26 ;

2 - L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise ;

3 - La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ;

4 - La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ;

5 - L'exclusion, pour une durée de cinq ans au plus, des marchés publics ;

6 - L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ;

7 - L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article 131-35.

2.7 - Article 323-6

Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies au présent chapitre.
Les peines encourues par les personnes morales sont :

1 - L'amende, suivant les modalités prévues par l'article 131-38 ;

2 - Les peines mentionnées à l'article 131-39.

L'interdiction mentionnée au 2º de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.

2.8 - Article 323-7

(Loi nº 2004-575 du 21 juin 2004 art. 46 II Journal Officiel du 22 juin 2004)

La tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.

3 - Livre II - Titre II - Chapitre VI - Section 5

3.1 - Article 226-16

(Loi nº 92-1336 du 16 décembre 1992 art. 360 et 373 Journal Officiel du 23 décembre 1992 en vigueur le 1er mars 1994)
(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2º du I de l'article 45 de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

3.2 - Article 226-16-1-A

(inséré par Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Lorsqu'il a été procédé ou fait procéder à un traitement de données à caractère personnel dans les conditions prévues par le I ou le II de l'article 24 de la loi nº 78-17 du 6 janvier 1978 précitée, le fait de ne pas respecter, y compris par négligence, les normes simplifiées ou d'exonération établies à cet effet par la Commission nationale de l'informatique et des libertés est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

3.3 - Article 226-16-1

(inséré par Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi nº 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

3.4 - Article 226-17

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

3.5 - Article 226-18

(Loi nº 94-548 du 1 juillet 1994 art. 4 Journal Officiel du 2 juillet 1994)
(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

3.6 - Article 226-18-1

(inséré par Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

3.7 - Article 226-19

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.
Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

3.8 - Article 226-19-1

(inséré par Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

En cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende le fait de procéder à un traitement :

1 - Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des données transmises et des destinataires de celles-ci ;

2 - Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant.

3.9 - Article 226-20

(Loi nº 2000-321 du 12 avril 2000 art. 5 Journal Officiel du 13 avril 2000)
(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.
Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.

3.10 - Article 226-21

(Loi nº 95-116 du 4 février 1995 art. 34 Journal Officiel du 5 février 1995)
(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

3.11 - Article 226-22

(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
(Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.
La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 Euros d'amende lorsqu'elle a été commise par imprudence ou négligence.
Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.

3.12 - Article 226-22-1

(inséré par Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.

3.13 - Article 226-22-2

(inséré par Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Dans les cas prévus aux articles 226-16 à 226-22-1, l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné. Les membres et les agents de la Commission nationale de l'informatique et des libertés sont habilités à constater l'effacement de ces données.

3.14 - Article 226-23

(Loi nº 2004-801 du 6 août 2004 art. 14 Journal Officiel du 7 août 2004)

Les dispositions de l'article 226-19 sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en oeuvre ne se limite pas à l'exercice d'activités exclusivement personnelles.

3.15 - Article 226-24

(Loi nº 2004-801 du 6 août 2004 art. 14 II Journal Officiel du 7 août 2004)

Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies à la présente section.
Les peines encourues par les personnes morales sont :

1 - L'amende, suivant les modalités prévues par l'article 131-38 ;

2 - Les peines mentionnées aux 2º, 3º, 4º, 5º, 7º, 8º et 9º de l'article 131-39.

L'interdiction mentionnée au 2º de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.

4 - Discussion autour de la documentation

Vous pouvez poser toutes vos questions, vos remarques et vos expériences à propos des articles du code pénal. Pour cela, rendez-vous sur le Forum Sécurité.

5 - Suivi du document

Version 1.0, le 17 janvier 2007, par Sébastien FONTAINE, création du document.