La Commission européenne propose de légiférer sur la cybercriminalité
Publié le 05/05/2002 par Thibault Verbiest, Janice Dervaux
Ce mois d’avril est décidément florissant d’initiatives européennes en matière de société de l’information. Dans la foulée de l’adoption et de la publication du nouveau cadre réglementaire des communications électroniques (voir notre actualité), la Commission, sur la base de sa compétence d’initiative législative dans le domaine de la justice et des affaires intérieures, a adopté,…
Ce mois d’avril est décidément florissant d’initiatives européennes en matière de société de l’information.
Dans la foulée de l’adoption et de la publication du nouveau cadre réglementaire des communications électroniques (voir notre actualité), la Commission, sur la base de sa compétence d’initiative législative dans le domaine de la justice et des affaires intérieures, a adopté, ce 19 avril, une proposition de décision-cadre du Conseil relative aux attaques visant les systèmes d’information.
Quatre constats majeurs sont à la base de cette proposition de décision-cadre :
- Le phénomène, désormais bien connu, de la convergence croissante des réseaux et des systèmes d’information ;
- La menace que constituent les attaques contre des systèmes d’information, notamment dues à la criminalité organisée et au terrorisme, pour la réalisation d’une société de l’information plus sûre et d’un espace de liberté, de sécurité et de justice ;
- Les vides juridiques et les différences considérables existant au sein des législations des Etats membres dans le domaine de la sécurité de l’information qui freinent la lutte contre la criminalité organisée et le terrorisme, et font obstacle à une coopération policière et judiciaire efficace en cas d’attaques contre les systèmes d’information ;
- Le caractère transnational des réseaux de communication électroniques qui implique que les attaques perpétrées acquièrent une dimension internationale ce qui rend nécessaire et urgent de poursuivre le rapprochement des droits pénaux dans ce domaine.
La proposition de décision-cadre vise donc les attaques perpétrées à l’encontre des systèmes d’information et définit cette notion centrale de « système d’information » comme étant « les ordinateurs et réseaux de communication électroniques, ainsi que les données informatiques stockées, traitées, récupérées ou transmises par ces derniers en vue de leur fonctionnement, utilisation, protection et maintenance ».
Dans l’exposé des motifs, la Commission précise que cette définition, technologiquement neutre, doit être entendue dans son sens le plus large eu égard à la convergence entre les réseaux de communications électronique et les différents systèmes qu’ils connectent. Partant, cette notion de système d’information couvre donc les ordinateurs personnels autonomes, les agendas électroniques personnels, les téléphones mobiles, les intranets, les extranets, et, bien entendu, les réseaux, serveurs et autres infrastructures d’Internet.
Trois types d’actes sont érigés en infraction pénale :
- L’accès illicite à des systèmes d’information, lequel consiste en l’accès intentionnel, sans en avoir le droit, à l’ensemble ou à une partie d’un système d’information faisant l’objet de mesures de protection particulières, ou avec l’intention de porter préjudice à une personne physique, ou morale ou avec l’intention d’obtenir un avantage économique;
- L’interférence illicite avec des systèmes d’information qui consiste, de manière intentionnelle et sans en avoir le droit, à perturber gravement ou interrompre le fonctionnement d’un système d’information en introduisant, transmettant, endommageant, effaçant, détériorant, modifiant, supprimant ou rendant inaccessibles des données informatiques ; ou à effacer, détériorer, altérer, supprimer ou rendre inaccessible des données informatiques d’un système d’information lorsque l’acte des commis avec l’intention de porter préjudice à une personne physique ou morale ;
- L’incitation, aide, complicité et tentative de commission d’accès illicite à des systèmes d’information ou d’interférence illicite avec des systèmes d’information.
Au niveau des sanctions, la Commission fait état de peines pécuniaires ainsi que de peines privatives de liberté qui peuvent varier de une à quatre années en cas de circonstances aggravantes (lorsque l’infraction a été commise dans le cadre d’une organisation criminelle ou lorsqu’elle a causé ou entraîné une perte économique importante, des dommages importants ou encore qu’elle a permis de générer des profits importants).
La proposition prévoit, outre la poursuite des infractions commises par des personnes physiques, qu’une responsabilité peut être attribuée aux personnes morales dès lors que les infractions visées ont été commises à leur profit ou encore que ces infractions sont la résultante d’un défaut de surveillance ou de contrôle (par exemple d’un employé) imputable à la personne morale. La responsabilité de la personne morale n’exclut nullement la poursuite de l’auteur, personne physique, ayant commis l’infraction.
En cas de mise en cause de la responsabilité d’une personne morale, des sanctions spécifiques sont prévues : amendes pénales ou non, déchéance d’aides publiques, interdiction d’exercer une activité commerciale, etc…
Pour ce qui est de la compétence des juridictions des Etats membres, celle-ci est établie dès lors que l’infraction est commise en tout ou en partie sur le territoire d’un Etat membre (consécration de notre critère traditionnel de l’ « ubiquité »). La proposition prévoit, en outre, deux autres critères attributifs de compétence : lorsque l’auteur de l’infraction est un ressortissant de l’Etat membre et lorsque l’infraction est commise au profit d’une personne morale établie sur le territoire de cet Etat membre.
Cependant, ces deux derniers critères sont de nature à conférer une compétence extraterritoriale qui n’est pas reconnue dans les traditions juridiques de certains Etats membres. Partant, l’application de ces deux critères de compétence est laissée au libre choix des Etats membres.
Dans l’hypothèse où une infraction relèverait de la compétence de plusieurs Etats membres, ceux-ci doivent coopérer pour décider lequel d’entre eux poursuivra les auteurs de l’infraction visée et ce aux fins de tenter de centraliser la procédure dans un seul Etat membre.
Cette proposition de décision-cadre a été transmise ce 19 avril au Conseil pour adoption. Une fois adoptée, les Etats membres auront jusqu’au 31 décembre 2003 pour se conformer à cette décision-cadre étant entendu que dans le cas d’un tel instrument, les Etats membres ne sont liés qu’en ce qui concerne le résultat à atteindre et restent libres du choix des moyens pour y parvenir.