STAD : définition juridique du système de traitement automatisé de données

Le système de traitement automatisé de données (STAD) est la notion fondatrice du droit pénal informatique français. Introduite par la loi n. 88-19 du 5 janvier 1988 dite “loi Godfrain”, cette notion structuré l’ensemble des infractions prévues aux articles 323-1 à 323-8 du Code pénal. Pourtant, le législateur a délibérément choisi de ne pas la définir. Ce silence, loin d’être une lacune, constitue un choix de politique législative dont les conséquences se mesurent encore aujourd’hui, à l’heure de NIS2 et du Cyber Résilience Act.

L’absence volontaire de définition légale

Le choix du législateur de 1988 de ne pas définir le STAD est un fait remarquable dans l’histoire du droit pénal français, ou le principe de légalité des délits et des peines (article 111-3 du Code pénal) impose normalement une définition precise des éléments constitutifs de l’infraction. Le rapporteur de la loi, le senateur Jacques Thyraud, avait explicitement assumé ce choix en indiquant que toute définition risquerait d’être rapidement depassee par l’évolution technologique.

Cette approche teleologique a permis au texte de traverser près de quatre decennies sans modification substantielle de son champ d’application. Comme nous l’analysons dans notre these de doctorat sur la propriété informatique (T. Devergranne, Paris II), cette absence de définition n’est pas un vide juridique : elle traduit la volonté du législateur de protéger un objet – le système informatique – dont la nature même est évolutive. Le STAD est ainsi une notion fonctionnelle plutôt qu’une notion structurelle.

Les éléments constitutifs degages par la jurisprudence

En l’absence de définition légale, la doctrine et la jurisprudence ont progressivement degage les contours de la notion de STAD. Trois éléments constitutifs peuvent être identifiés.

Un ensemble de moyens matériels et logiciels

Le STAD suppose d’abord l’existence d’un ensemble d’éléments matériels (hardware) et logiciels (software) formant un tout cohérent. Cette approche rejoint la notion d’universalité de fait en droit des biens, c’est-à-dire un ensemble de biens meubles affectés à une même destination et traités comme une unité juridique. Comme nous le demontrons dans notre these de doctorat sur la propriété informatique (T. Devergranne, Paris II), le système informatique présente cette particularité de réunir des éléments corporels (serveurs, terminaux, câbles) et des éléments incorporels (logiciels, données) en une unité fonctionnelle qui dépasse la somme de ses composants.

Un traitement automatisé

Le système doit procéder à un traitement automatisé, c’est-à-dire une suite d’opérations réalisées par des moyens automatiques, sans intervention humaine directe à chaque étape. Le terme “automatisé” distingué le STAD d’un simple outil mécanique : c’est la capacité de traitement autonome qui qualifie le système. Cette condition est remplie dès lors qu’un processeur exécute des instructions programmees sur des données.

Le traitement de données

Enfin, le système doit traiter des données, entendues au sens large comme toute représentation d’information sous une forme conventionnelle destinée a être traitée par un système informatique. La jurisprudence n’a jamais exigé que les données traitées soient des données personnelles au sens de la loi Informatique et Libertés ou du RGPD : toute donnée numérique entre dans le champ de la notion.

Le périmètre jurisprudentiel du STAD

La jurisprudence a progressivement étendu la notion de STAD à un ensemble très large de systèmes, bien au-delà des ordinateurs classiques envisagés en 1988.

Les systèmes classiques

Les serveurs, postes de travail, réseaux informatiques d’entreprise et bases de données constituent le noyau historique de la notion de STAD. La Cour de cassation a très tot admis que le réseau informatique d’une entreprise, considéré dans sa globalite, constitue un STAD (Cass. crim., 5 avril 1994). De même, un site web hébergé sur un serveur a été qualifié de STAD par la jurisprudence (CA Paris, 18 décembre 2007, affaire Kitetoa), tout comme un système de messagerie électronique.

Les autocommutateurs téléphoniques

L’une des premières extensions significatives de la notion a concerné les autocommutateurs téléphoniques (PABX). La Cour de cassation a jugé qu’un autocommutateur téléphonique constitue un STAD, dans la mesure où il procédé au traitement automatisé des données d’appel (Cass. crim., 3 octobre 2007). Cette qualification a permis de poursuivre les auteurs de phreaking (fraude téléphonique) sur le fondement des articles 323-1 et suivants.

Les terminaux et objets connectés

Plus récemment, la notion de STAD a été étendue aux smartphones, tablettes et, par extension logique, aux objets connectés (IoT). Un téléphone portable équipe d’un système d’exploitation et d’applications constitue incontestablement un STAD au sens de la loi Godfrain. Cette extension est d’une importance capitale pour l’application du Cyber Résilience Act aux produits comportant des éléments numériques, puisque chaque objet connecté constitue potentiellement un STAD protégé par le droit pénal.

Les systèmes industriels et SCADA

Les systèmes de contrôle industriel (ICS) et les systèmes SCADA (Supervisory Control and Data Acquisition) entrent également dans le champ de la notion de STAD. Cette qualification est essentielle pour la protection pénale des infrastructures critiques visées par l’ANSSI dans le cadre de la directive NIS2, dans la mesure où une cyberattaque contre un système SCADA peut être poursuivie sur le fondement des articles 323-1 et suivants du Code pénal.

Le STAD comme universalité de fait : l’analyse doctrinale

Dans notre these de doctorat sur la propriété informatique (T. Devergranne, Paris II), nous defendons l’idée que le STAD constitue une universalité de fait – un ensemble de biens corporels et incorporels réunis par la volonté de leur propriétaire et affectés à une destination commune. Cette qualification rend compte de la réalité du système informatique, permet d’appliquer les règles du droit des biens, et explique pourquoi le législateur a protégé le “système” dans sa globalite plutôt que ses composantes isolément.

Cette analyse rejoint le traitement du fonds de commerce en droit commercial : un ensemble d’éléments disparates réunis en une universalité protégée par le droit. Le STAD est plus que la somme de ses composants – il constitue une entité juridique autonome dont la protection pénale se justifié par la valeur de l’ensemble.

Les implications pratiques pour la cybersécurité

La qualification pénale des incidents

Pour les équipes de réponse aux incidents, documenter précisément la nature du système affecte lors d’une fuite de données ou d’une intrusion est essentiel pour faciliter la qualification pénale lors du dépôt de plainte.

NIS2 et le Cyber Résilience Act

La directive NIS2 utilise la notion de “réseau et système d’information” (article 6, point 1), définie plus largement que le STAD. Le Cyber Résilience Act (règlement (UE) 2024/2847) introduit la notion de “produit comportant des éléments numériques”. Chaque produit relevant du CRA constitue potentiellement un STAD au sens du droit pénal français.

Cette superposition des qualifications – STAD en droit pénal, produit numérique en droit du CRA, réseau et système d’information en droit NIS2 – créé un maillage juridique dense. Pour les systèmes traitant des données personnelles, s’ajouté l’obligation de sécuriser les données (article 32 du RGPD). Les responsables de traitement doivent envisager la sécurité de leurs STAD sous ce double prisme, pénal et réglementaire.

Conclusion

La notion de STAD, vieille de près de quarante ans, demeure la pierre angulaire du droit pénal informatique français. Son absence de définition légale, qui aurait pu constituer une faiblesse, s’est revelee être une force : elle a permis au texte de s’adapter à l’évolution technologique sans nécessiter de refonte législative. Du serveur central des années 1980 à l’objet connecté des années 2020, le STAD a su englober chaque nouvelle génération de systèmes informatiques.

L’enjeu actuel réside dans l’articulation de cette notion nationale avec les définitions européennes introduites par NIS2 et le CRA. Loin d’obsoletiser la notion de STAD, ces textes la renforcent en l’inscrivant dans un cadre européen cohérent. Pour les professionnels de la cybersécurité et du droit, maîtriser cette notion reste indispensable pour comprendre le cadre pénal applicable aux atteintes aux systèmes d’information.

FAQ

Qu’est-ce qu’un STAD au sens du droit pénal français ?

Un système de traitement automatisé de données (STAD) est un ensemble de moyens matériels et logiciels permettant de traiter des données de manière automatisée. La notion n’est pas définie par la loi mais a été précisée par la jurisprudence. Elle englobe les ordinateurs, serveurs, réseaux, sites web, smartphones, objets connectés et systèmes industriels. C’est la notion clef des articles 323-1 et suivants du Code pénal, qui sanctionnent les atteintes aux systèmes informatiques.

Un site web ou un objet connecté est-il un STAD ?

Oui. La jurisprudence a progressivement étendu la notion de STAD à l’ensemble des systèmes informatiques modernes. Un site web hébergé sur un serveur a été expressément qualifié de STAD par la cour d’appel de Paris. Par extension logique, tout objet connecté disposant d’un processeur et traitant des données constitue un STAD. Cette qualification est importante pour l’application du Cyber Résilience Act, qui impose des exigences de sécurité aux produits comportant des éléments numériques.

Quel est le lien entre la notion de STAD et la directive NIS2 ?

La directive NIS2 utilise la notion de “réseau et système d’information”, plus détaillée que le STAD du droit français. Les deux notions couvrent des périmètres largement similaires mais relèvent de régimes juridiques distincts : le STAD est une notion de droit pénal (répression des atteintes), tandis que la notion NIS2 est une notion de droit administratif (obligations de sécurité et notification). Lors de la transposition, le législateur français devra articuler ces deux notions de manière cohérente.