Actualités - Réponse de la Commission européenne à la [...]

Les infractions contre les systèmes d’information auront désormais leur définition communautaire. En prévoyant des « règles minimales relatives aux éléments constitutifs des infractions », le projet [europa.eu.int - PDF] donne les critères devant être remplis pour qu’un acte soit criminalisé. L’objectif déclaré par la Commission est clairement d’assurer le rapprochement des règles pénales des Etats membres, en particulier pour des comportements graves.

Dans ce but, la proposition institue des délits communs d’accès illicite à un système d’information et d’interférence illicite avec celui-ci. Des circonstances aggravantes ont même été prévues afin de lutter contre le terrorisme et le crime organisé.

Des incriminations communes aux Etats membres

Le projet définit les deux infractions suivantes :

1.– l’accès illicite à des systèmes d’information : le fait d’accéder, intentionnellement et sans en avoir le droit à « toute partie d’un système d’information faisant l’objet de mesures de protection particulières, ou avec l’intention de porter préjudice à une personne physique ou morale, ou avec celle d’obtenir un avantage économique » (art. 3).

2.– l’interférence illicite avec des systèmes d’information : le fait de « perturber gravement ou d’interrompre le fonctionnement d’un tel système en introduisant, transmettant, endommageant, effaçant, détériorant, modifiant, supprimant ou rendant inaccessibles des données informatiques » ou le fait d’« effacer, de détériorer, d’altérer, de supprimer ou de rendre inaccessibles des données informatiques lorsque l’acte est commis avec l’intention de porter préjudice à une personne physique ou morale » (art. 4).

Il punit également l’incitation, l’aide ou la complicité volontaires à commettre l’une de ces infractions (art. 5).

Des peines de un an à quatre d’emprisonnement

La proposition vise à réprimer des actes graves qui ont été commis intentionnellement. Elle n’impose donc pas aux Etats membres de criminaliser les agissements qu’ils estiment mineurs ou insignifiants ou les actions découlant d’une négligence, même grave, ou de toute autre imprudence dès lors qu’elles sont dénuées de caractère intentionnel.

Les infractions visées aux articles 3, 4 et 5 sont punies d’une peine maximale qui ne peut être inférieure à un an. Des sanctions beaucoup plus lourdes sont envisagées lorsque ces infractions sont accompagnées de « circonstances aggravantes » (art. 7). Celles-ci visent précisément les actes qui ont été commis « dans le cadre d’une organisation criminelle », ceux qui ont provoqué « une perte économique importante, (…) des dommages corporels à une personne physique ou un dommage important à une partie de l’infrastructure critique de l’Etat membre », ou ceux qui ont entraîné « des profits importants ». Dans ces conditions, la durée maximale de la peine d’emprisonnement ne peut être inférieure à quatre ans.

Une responsabilité pour les personnes morales

Le projet contient des dispositions permettant de tenir une personne morale pour responsable des attaques contre des systèmes d’informations (art. 9). Celle-ci pourra être poursuivie et punie dès lors que les actes délictueux auront été commis, pour son compte, par une personne agissant individuellement ou membre d’un de ses organes.

Sa responsabilité pourra également survenir lorsqu’un défaut de surveillance ou de contrôle, sans lequel l’infraction n’aurait pu être commise, est imputable à une personne en charge de la surveillance. A noter que notre droit pénal réprime d’ores et déjà déjà le fait de ne pas prendre toutes les précautions utiles pour préserver la sécurité des informations nominatives contenues dans un traitement automatisé (art. 226-17 du Code pénal). 

La compétence des juridictions

Rappelant la dimension internationale des infractions portant sur des attaques contre des systèmes d’information, la proposition réserve au juge une large compétence. Celui-ci pourra non seulement connaître des actes visant des systèmes d’information installés dans les Etats membres de l’UE mais également des infractions perpétrées depuis le territoire de l’UE visant des systèmes d’information situés dans des pays tiers (art. 11).

Par ce projet de décision-cadre, la Commission a montré qu’elle souhaitait adresser un message dissuasif fort aux auteurs potentiels d’attaques contre des systèmes d’information. Il complète un arsenal juridique déjà conséquent puisque, outre les propositions antérieures de la Commission concernant la procédure d’extradition par un mandat d’arrêt européen et le rapprochement des législations en matière de terrorisme entérinées lors du Conseil européen de Laeken des 14 et 15 décembre 2001, une convention internationale sur la cybercriminalité adoptée dans le cadre du Conseil de l’Europe est ouverte à la signature depuis novembre 2001 (actualité du Forum du 13/11/2001).