Le systeme de traitement automatise de donnees (STAD) est la notion fondatrice du droit penal informatique francais. Introduite par la loi n. 88-19 du 5 janvier 1988 dite “loi Godfrain”, cette notion structure l’ensemble des infractions prevues aux articles 323-1 a 323-8 du Code penal. Pourtant, le legislateur a deliberement choisi de ne pas la definir. Ce silence, loin d’etre une lacune, constitue un choix de politique legislative dont les consequences se mesurent encore aujourd’hui, a l’heure de NIS2 et du Cyber Resilience Act.

L’absence volontaire de definition legale

Le choix du legislateur de 1988 de ne pas definir le STAD est un fait remarquable dans l’histoire du droit penal francais, ou le principe de legalite des delits et des peines (article 111-3 du Code penal) impose normalement une definition precise des elements constitutifs de l’infraction. Le rapporteur de la loi, le senateur Jacques Thyraud, avait explicitement assume ce choix en indiquant que toute definition risquerait d’etre rapidement depassee par l’evolution technologique.

Cette approche teleologique a permis au texte de traverser pres de quatre decennies sans modification substantielle de son champ d’application. Comme nous l’analysons dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II), cette absence de definition n’est pas un vide juridique : elle traduit la volonte du legislateur de proteger un objet – le systeme informatique – dont la nature meme est evolutive. Le STAD est ainsi une notion fonctionnelle plutot qu’une notion structurelle.

Les elements constitutifs degages par la jurisprudence

En l’absence de definition legale, la doctrine et la jurisprudence ont progressivement degage les contours de la notion de STAD. Trois elements constitutifs peuvent etre identifies.

Un ensemble de moyens materiels et logiciels

Le STAD suppose d’abord l’existence d’un ensemble d’elements materiels (hardware) et logiciels (software) formant un tout coherent. Cette approche rejoint la notion d’universalite de fait en droit des biens, c’est-a-dire un ensemble de biens meubles affectes a une meme destination et traites comme une unite juridique. Comme nous le demontrons dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II), le systeme informatique presente cette particularite de reunir des elements corporels (serveurs, terminaux, cables) et des elements incorporels (logiciels, donnees) en une unite fonctionnelle qui depasse la somme de ses composants.

Un traitement automatise

Le systeme doit proceder a un traitement automatise, c’est-a-dire une suite d’operations realisees par des moyens automatiques, sans intervention humaine directe a chaque etape. Le terme “automatise” distingue le STAD d’un simple outil mecanique : c’est la capacite de traitement autonome qui qualifie le systeme. Cette condition est remplie des lors qu’un processeur execute des instructions programmees sur des donnees.

Le traitement de donnees

Enfin, le systeme doit traiter des donnees, entendues au sens large comme toute representation d’information sous une forme conventionnelle destinee a etre traitee par un systeme informatique. La jurisprudence n’a jamais exige que les donnees traitees soient des donnees personnelles au sens de la loi Informatique et Libertes ou du RGPD : toute donnee numerique entre dans le champ de la notion.

Le perimetre jurisprudentiel du STAD

La jurisprudence a progressivement etendu la notion de STAD a un ensemble tres large de systemes, bien au-dela des ordinateurs classiques envisages en 1988.

Les systemes classiques

Les serveurs, postes de travail, reseaux informatiques d’entreprise et bases de donnees constituent le noyau historique de la notion de STAD. La Cour de cassation a tres tot admis que le reseau informatique d’une entreprise, considere dans sa globalite, constitue un STAD (Cass. crim., 5 avril 1994). De meme, un site web heberge sur un serveur a ete qualifie de STAD par la jurisprudence (CA Paris, 18 decembre 2007, affaire Kitetoa), tout comme un systeme de messagerie electronique.

Les autocommutateurs telephoniques

L’une des premieres extensions significatives de la notion a concerne les autocommutateurs telephoniques (PABX). La Cour de cassation a juge qu’un autocommutateur telephonique constitue un STAD, dans la mesure ou il procede au traitement automatise des donnees d’appel (Cass. crim., 3 octobre 2007). Cette qualification a permis de poursuivre les auteurs de phreaking (fraude telephonique) sur le fondement des articles 323-1 et suivants.

Les terminaux et objets connectes

Plus recemment, la notion de STAD a ete etendue aux smartphones, tablettes et, par extension logique, aux objets connectes (IoT). Un telephone portable equipe d’un systeme d’exploitation et d’applications constitue incontestablement un STAD au sens de la loi Godfrain. Cette extension est d’une importance capitale pour l’application du Cyber Resilience Act aux produits comportant des elements numeriques, puisque chaque objet connecte constitue potentiellement un STAD protege par le droit penal.

Les systemes industriels et SCADA

Les systemes de controle industriel (ICS) et les systemes SCADA (Supervisory Control and Data Acquisition) entrent egalement dans le champ de la notion de STAD. Cette qualification est essentielle pour la protection penale des infrastructures critiques visees par l’ANSSI dans le cadre de la directive NIS2, dans la mesure ou une cyberattaque contre un systeme SCADA peut etre poursuivie sur le fondement des articles 323-1 et suivants du Code penal.

Le STAD comme universalite de fait : l’analyse doctrinale

Dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II), nous defendons l’idee que le STAD constitue une universalite de fait – un ensemble de biens corporels et incorporels reunis par la volonte de leur proprietaire et affectes a une destination commune. Cette qualification rend compte de la realite du systeme informatique, permet d’appliquer les regles du droit des biens, et explique pourquoi le legislateur a protege le “systeme” dans sa globalite plutot que ses composantes isolement.

Cette analyse rejoint le traitement du fonds de commerce en droit commercial : un ensemble d’elements disparates reunis en une universalite protegee par le droit. Le STAD est plus que la somme de ses composants – il constitue une entite juridique autonome dont la protection penale se justifie par la valeur de l’ensemble.

Les implications pratiques pour la cybersecurite

La qualification penale des incidents

Pour les equipes de reponse aux incidents, documenter precisement la nature du systeme affecte lors d’une fuite de donnees ou d’une intrusion est essentiel pour faciliter la qualification penale lors du depot de plainte.

NIS2 et le Cyber Resilience Act

La directive NIS2 utilise la notion de “reseau et systeme d’information” (article 6, point 1), definie plus largement que le STAD. Le Cyber Resilience Act (reglement (UE) 2024/2847) introduit la notion de “produit comportant des elements numeriques”. Chaque produit relevant du CRA constitue potentiellement un STAD au sens du droit penal francais.

Cette superposition des qualifications – STAD en droit penal, produit numerique en droit du CRA, reseau et systeme d’information en droit NIS2 – cree un maillage juridique dense. Pour les systemes traitant des donnees personnelles, s’ajoute l’obligation de securiser les donnees (article 32 du RGPD). Les responsables de traitement doivent envisager la securite de leurs STAD sous ce double prisme, penal et reglementaire.

Conclusion

La notion de STAD, vieille de pres de quarante ans, demeure la pierre angulaire du droit penal informatique francais. Son absence de definition legale, qui aurait pu constituer une faiblesse, s’est revelee etre une force : elle a permis au texte de s’adapter a l’evolution technologique sans necessiter de refonte legislative. Du serveur central des annees 1980 a l’objet connecte des annees 2020, le STAD a su englober chaque nouvelle generation de systemes informatiques.

L’enjeu actuel reside dans l’articulation de cette notion nationale avec les definitions europeennes introduites par NIS2 et le CRA. Loin d’obsoletiser la notion de STAD, ces textes la renforcent en l’inscrivant dans un cadre europeen coherent. Pour les professionnels de la cybersecurite et du droit, maitriser cette notion reste indispensable pour comprendre le cadre penal applicable aux atteintes aux systemes d’information.

FAQ

Qu’est-ce qu’un STAD au sens du droit penal francais ?

Un systeme de traitement automatise de donnees (STAD) est un ensemble de moyens materiels et logiciels permettant de traiter des donnees de maniere automatisee. La notion n’est pas definie par la loi mais a ete precisee par la jurisprudence. Elle englobe les ordinateurs, serveurs, reseaux, sites web, smartphones, objets connectes et systemes industriels. C’est la notion clef des articles 323-1 et suivants du Code penal, qui sanctionnent les atteintes aux systemes informatiques.

Un site web ou un objet connecte est-il un STAD ?

Oui. La jurisprudence a progressivement etendu la notion de STAD a l’ensemble des systemes informatiques modernes. Un site web heberge sur un serveur a ete expressement qualifie de STAD par la cour d’appel de Paris. Par extension logique, tout objet connecte disposant d’un processeur et traitant des donnees constitue un STAD. Cette qualification est importante pour l’application du Cyber Resilience Act, qui impose des exigences de securite aux produits comportant des elements numeriques.

Quel est le lien entre la notion de STAD et la directive NIS2 ?

La directive NIS2 utilise la notion de “reseau et systeme d’information”, plus detaillee que le STAD du droit francais. Les deux notions couvrent des perimetres largement similaires mais relevent de regimes juridiques distincts : le STAD est une notion de droit penal (repression des atteintes), tandis que la notion NIS2 est une notion de droit administratif (obligations de securite et notification). Lors de la transposition, le legislateur francais devra articuler ces deux notions de maniere coherente.