L’Europe sur le point d’harmoniser la lutte contre la cybercriminalité
Publié le 12/10/2014 par Etienne Wery
Il reste un an à peine avant le 4 septembre 2015. A cette date, les États devront avoir transposé la directive 2013/40 relative aux attaques contre les systèmes d’information. Il reste du travail aussi bien sur le plan légal qu’en matière de coopération entre Etats. Petite synthèse à un an de l’échéance.
But de la directive
La directive a pour objectif de rapprocher le droit pénal des États membres dans le domaine des attaques contre les systèmes d’information en fixant des règles minimales concernant la définition des infractions pénales et les sanctions applicables.
Elle vise aussi à renforcer la coopération entre les autorités compétentes, notamment la police et les autres services spécialisés chargés de l’application de la loi dans les États membres, ainsi que les agences et organes spécialisés compétents de l’Union, tels qu’Eurojust, Europol et son Centre européen de lutte contre la cybercriminalité et l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA).
La directive remplace la décision-cadre 2005/222/JAI.
Pourquoi un cadre harmonisé ?
Les systèmes d’information représentent un élément essentiel de l’interaction politique, sociale et économique au sein de l’Union. La société est très dépendante de ce type de systèmes et ce phénomène va croissant.
Les attaques contre les systèmes d’information, et en particulier celles liées à la criminalité organisée, constituent une menace croissante au sein de l’Union et à l’échelle mondiale, et l’éventualité d’attaques terroristes ou politiques contre les systèmes d’information qui font partie de l’infrastructure critique des États membres et de l’Union suscite de plus en plus d’inquiétude.
Il existe plusieurs infrastructures critiques dans l’Union, dont l’arrêt ou la destruction aurait un impact transfrontalier significatif.
On constate une tendance à la perpétration d’attaques à grande échelle de plus en plus dangereuses et récurrentes contre des systèmes d’information qui peuvent souvent être critiques pour les États membres ou pour certaines fonctions du secteur public ou privé. Parallèlement, des méthodes de plus en plus sophistiquées sont mises au point.
Des cyberattaques à grande échelle sont susceptibles de provoquer des dommages économiques notables, tant du fait de l’interruption des systèmes d’information et des communications qu’en raison de la perte ou de l’altération d’informations confidentielles importantes d’un point de vue commercial ou d’autres données.
Par ailleurs, il y a lieu en particulier de veiller à sensibiliser les petites et moyennes entreprises innovantes aux menaces liées à ces attaques et à leur vulnérabilité à cet égard, en raison de leur dépendance accrue à l’égard du bon fonctionnement et de la disponibilité des systèmes d’information et de leurs ressources limitées en matière de sécurité de l’information.
Des définitions harmonisées
Quatre définitions sont introduites :
· « système d’information » : un dispositif isolé ou un ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données informatiques, ainsi que les données informatiques stockées, traitées, récupérées ou transmises par ce dispositif ou cet ensemble de dispositifs en vue du fonctionnement, de l’utilisation, de la protection et de la maintenance de celui-ci;
· « données informatiques »: une représentation de faits, d’informations ou de concepts sous une forme qui se prête à un traitement informatique, y compris un programme de nature à faire en sorte qu’un système d’information exécute une fonction;
· « personne morale »: une entité à laquelle le droit en vigueur reconnaît le statut de personne morale, à l’exception des États ou des entités publiques agissant dans l’exercice de prérogatives de puissance publique, ou des organisations internationales relevant du droit public;
· « sans droit »: un comportement visé dans la présente directive, y compris un accès, une atteinte à l’intégrité ou une interception, qui n’est pas autorisé par le propriétaire du système ou d’une partie du système ou un autre titulaire de droits sur celui-ci ou une partie de celui-ci, ou n’est pas permis par le droit national.
Des incriminations harmonisées
1. Accès illégal à des systèmes d’information.
A ce titre, les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable l’accès sans droit, lorsqu’il est intentionnel, à tout ou partie d’un système d’information, lorsque l’acte est commis en violation d’une mesure de sécurité, au moins lorsqu’il ne s’agit pas de cas mineurs.
2. Atteinte illégale à l’intégrité d’un système
Les États membres doivent prendre les mesures nécessaires pour ériger en infraction pénale punissable le fait de provoquer une perturbation grave ou une interruption du fonctionnement d’un système d’information, en introduisant, en transmettant, en endommageant, en effaçant, en détériorant, en altérant, en supprimant ou en rendant inaccessibles des données informatiques lorsque l’acte est commis de manière intentionnelle et sans droit, au moins lorsqu’il ne s’agit pas de cas mineurs.
3. Atteinte illégale à l’intégrité des données.
Sont visés et constituent une infraction pénale punissable le fait d’effacer, d’endommager, de détériorer, d’altérer, de supprimer ou de rendre inaccessibles des données informatiques d’un système d’information lorsque l’acte est commis de manière intentionnelle et sans droit, au moins lorsqu’il ne s’agit pas de cas mineurs.
4. Interception illégale
Cette obligation vise l’interception, effectuée par des moyens techniques, de transmissions non publiques de données informatiques à destination, en provenance ou à l’intérieur d’un système d’information, y compris les émissions électromagnétiques provenant d’un système d’information transportant de telles données informatiques, lorsque l’acte est commis de manière intentionnelle et sans droit, au moins lorsqu’il ne s’agit pas de cas mineurs.
Les outils utilisés pour commettre les infractions
Pour les Etats, il convient d’ériger en infraction pénale punissable la production, la vente, l’obtention pour utilisation, l’importation, la diffusion ou d’autres formes de mise à disposition intentionnelles de certains outils (programme et mot de passe notamment) lorsque l’acte est commis sans droit et dans l’intention de l’utiliser pour commettre l’une des infractions visées ci-dessus.
Une compétence élargie
On retiendra essentiellement que les États membres établissent leur compétence à l’égard des infractions visées ci-dessus, lorsque l’infraction a été commise:
a) en tout ou en partie sur leur territoire; ou
b) par un de leurs ressortissants, au moins dans les cas où l’acte constitue une infraction là où il a été commis.
L’entraide et l’échange d’informations
Chaque Etat membre va devoir se doter d’un point de contact national opérationnel et doit recourir au réseau existant de points de contact opérationnels, disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept. Ils devront communiquer à la Commission le point de contact ainsi désigné et la Commission transmettra ces informations aux autres États membres et aux agences et organes spécialisés compétents de l’Union.
En outre les États membres devront veiller également à mettre en place des procédures afin que, en cas de demandes urgentes d’assistance, l’autorité compétente indique, dans un délai de huit heures à compter de la réception de la demande, au moins si la demande sera satisfaite, et la forme et le délai estimé pour cette réponse.