« La proposition de décision-cadre du Conseil relative aux attaques visant les systèmes d’information, présentée par la Commission le 19 avril dernier, vise à rapprocher les législations pénales des Etats membres afin d’assurer « la réalisation d’une société de l’information plus sûre et d’un espace de liberté, de sécurité et de justice ».

La Commission et le Conseil européen ont en effet constaté que le droit pénal de chacun des Etats membres comporte « des vides juridiques et des différences importantes susceptibles d’entraver » la lutte contre la cybercriminalité qui est par nature transnationale.

La présente proposition vise certaines menaces dirigées contre les systèmes d’information, tels que : « les ordinateurs personnels autonomes, les agendas électroniques personnels, les téléphones mobiles, les intranets, les extranets et, naturellement, les réseaux, serveurs et autres infrastructures d’Internet. », ainsi que les données informatiques stockées, traitées, récupérées ou transmises.

• Elle répertorie trois types d’attaques contre les systèmes d’informations :

- l’accès non autorisé à des systèmes d’information (article 3) :

La proposition de décision-cadre réprime l’accès illicite :

- « contre toute partie d’un système d’information faisant l’objet de mesures de protection particulières ;

- ou avec l’intention d’obtenir un avantage économique. ».

Ainsi les systèmes d’information ayant subi un acte de piratage et ne disposant pas de mesures techniques de protection seront néanmoins protégés par le droit à condition toutefois que soit établie une intention de porter préjudice ou de tirer un avantage économique.

- L’interférence illicite de systèmes d’information (article 4 a) :

Cette infraction couvre le fait de « perturber gravement ou interrompre le fonctionnement d’un système d’information en introduisant, transmettant, endommageant, effaçant, détériorant, modifiant, supprimant ou rendant inaccessibles des données informatiques ».

Les termes « perturber gravement », élément constitutif de l’infraction, ne sont pas définis, de sorte qu’il appartiendra à chaque Etat membre de déterminer des critères objectifs pour qu’un système d’information soit considéré comme étant gravement perturbé.

La Commission précise que « des troubles ou des perturbations mineurs du fonctionnement des services ne devraient pas être considérés comme remplissant le critère de gravité ».

Par introduction et transmission de données informatiques, le texte vise les « attaques par déni de services » qui consistent à submerger les serveurs ou les fournisseurs de services Internet par l’envoi massif de messages électroniques générés automatiquement.

Les autres éléments constitutifs de l’infraction portent notamment sur l’emploi des virus informatiques dont l’objectif est de perturber ou interrompre les fonctions du système d’information lui-même.

- l’exécution de logiciels malveillants modifiant ou détruisant des données (article 4 b) :

La proposition de décision réprime également le fait d’« effacer, détériorer, altérer, supprimer ou rendre inaccessibles des données informatiques d’un système d’information lorsque l’acte est commis avec l’intention de porter préjudice à une personne physique ou morale.».

Cette incrimination vise les attaques virales portant sur le contenu des systèmes d’information (données informatiques), ainsi que les dégradations de sites Internet.

• La proposition de décision-cadre punit l’incitation ou l’aide volontaire à commettre des infractions contre des systèmes d’information ainsi que le fait de s’en rendre complice intentionnellement.

Les Etats membres seront également tenus d’incriminer les tentatives d’infractions contre les systèmes d’informations (article 5).

• Ils devront prévoir des sanctions proportionnées à la gravité de l’infraction, sachant que la peine maximale d’emprisonnement ne pourra être inférieure à un an dans les cas graves.

A cet égard, la Commission précise que « la notion de cas graves exclut les cas dans lesquels l’acte commis n’a pas entraîné de préjudice ou d’avantage économique » (article 6).

Les cas graves d’infractions contre un système d’information, en raison des peines encourues, entrent dans le champ d’application du mandat d’arrêt européen ainsi que de la décision-cadre du Conseil sur le blanchiment d’argent, l’identification, le dépistage, le gel ou la saisie et la confiscation des instruments et des produits du crime.

Le texte communautaire prévoit des circonstances aggravantes si l’infraction est commise :

- dans le cadre d’une organisation criminelle,

- ou a causé ou entraîné une perte économique importante, directe ou indirecte, des dommages corporels à une personne physique ou un dommage important à une partie des infrastructures critiques d’un Etat membre,

- ou a entraîné des profits importants.

Dans ces cas, non exhaustifs, la durée maximale des peines privatives de liberté ne pourra pas être inférieure à quatre ans.

• La présente proposition de décision-cadre prévoit la responsabilité des personnes morales lorsque les infractions prévues sont commises à leur profit, ou lorsqu’un défaut de surveillance ou de contrôle pouvant leur être imputable a rendu possible une infraction à leur profit par une personne placée sous leur autorité (article 9).

A cet égard les Etats membres devront prévoir des peines pénales et civiles « effectives, proportionnées et dissuasives », ainsi que des peines complémentaires telles que :

- la déchéance du bénéfice d’avantages ou d’aides d’Etat,
- l’interdiction temporaire ou définitive d’exercer une activité commerciale,
- un placement sous contrôle judiciaire,
- ou une mesure judiciaire de dissolution.

• Au niveau des compétences juridictionnelles, compte tenu de la dimension internationale des infractions relatives aux systèmes d’information, chaque autorité judiciaire d’un Etat membre sera compétente pour les réprimer dès lors qu’elles sont commises par une personne physique ou morale présente sur son territoire, même si l’infraction vise un système d’information en dehors de celui-ci.

De plus, même si l’auteur d’une infraction visant un système d’information n’était pas physiquement présent sur son territoire, l’autorité judiciaire nationale sera compétente dès lors qu’elle vise un système d’information situé sur son territoire.

Chaque Etat membre doit prendre les mesures nécessaires en vue d’établir sa compétence lorsqu’il refuse:

- de livrer une personne présumée auteur d’une attaque visant un système d’information ou condamnée pour l’avoir commise à un autre Etat membre ou à un pays tiers,

- de l’extrader vers cet Etat membre ou pays tiers.

Enfin, lorsqu’une infraction relève de la compétence de plusieurs Etats membres, ces derniers doivent coopérer pour décider quelle juridiction nationale poursuivra les auteurs de l’infraction.

Aux fins de l’échange d’informations relatives aux attaques visant un système d’information, les Etats membres devront désigner des points de contact opérationnels 24 heures sur 24 et 7 jours sur 7.

La mise en Å“uvre de cette proposition de décision-cadre par les Etats membres est prévue pour le 31 décembre 2003 au plus tard. »