Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Coopération judiciaire pénale: lutte contre attaques visant les systèmes d'information

2010/0273(COD)

La commission des libertés civiles, de la justice et des affaires intérieures a adopté le rapport de Monika HOHLMEIER (PPE, DE) sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision-cadre 2005/222/JAI du Conseil.

La commission parlementaire recommande que la position du Parlement européen adoptée en première lecture suivant la procédure législative ordinaire modifie la proposition de la Commission comme suit :

Objet de la directive : la directive vise à fixer les règles minimales concernant la définition des infractions pénales et des sanctions en matière d'attaques visant les systèmes d'information. Elle vise également à faciliter la prévention de ces infractions et à améliorer la coopération entre les autorités judiciaires et les autres autorités compétentes.

Définitions : une définition a été ajoutée pour définir le comportement ou l’accès "sans droit": il s’agit d’un accès, d’une atteinte à l'intégrité, d’une interception, ou de tout autre comportement non autorisé par le propriétaire ou autre détenteur de droits au système ou à une partie du système, ou non prévu par la législation nationale.

Á noter également que dans les considérants, une définition a été introduite sur ce qu’il faut entendre par «interception» : celle-ci doit se comprendre (sans que cette liste soit limitative), comme l'écoute, le contrôle ou la surveillance du contenu des communications, et l'obtention du contenu des données, soit directement, au moyen de l'accès aux systèmes d'information et de leur utilisation, soit indirectement, au moyen de dispositifs d'écoute électroniques.

Atteinte à l'intégrité d'un système : les États membres sont appelés à prendre les mesures nécessaires pour ériger en infraction pénale punissable le fait de provoquer une perturbation grave ou une interruption du fonctionnement d'un système d'information, en introduisant, transmettant, endommageant, effaçant, détériorant, altérant, supprimant ou rendant inaccessibles des données informatiques lorsque l'acte est commis de manière intentionnelle et sans droit, au moins dans les cas où les faits ne sont pas sans gravité. Il en va de même pour une atteinte à l'intégrité des données ou en cas d’interception illégale au sens de la directive.

Incitation, complicité et tentative : des mesures devront également être prévues pour faire en sorte d'ériger en infraction pénale punissable le fait d'inciter à commettre l'une des infractions visées à la directive ou de s'en rendre complice. Les États membres sont également appelés à faire en sorte d'ériger en infraction pénale punissable la simple tentative de commettre ces infractions.

Sanctions et peines : dans un considérant, il est précisé que des sanctions pénales sont au moins prévues pour les cas où les faits ne sont pas sans gravité. Ils peuvent déterminer, en fonction de la loi et de la pratique nationales, ce qui constitue un cas sans gravité (par exemple, lorsque les dommages causés par l'infraction et/ou le risque qu'elle comporte pour les intérêts publics ou privés, comme pour l'intégrité d'un système informatique ou de données informatiques, ou pour l'intégrité, les droits ou les autres intérêts d'une personne, sont peu importants ou de nature telle qu'il n'est pas nécessaire d'appliquer des sanctions pénales dans le cadre du seuil légal ou d'engager la responsabilité pénale).

En tout état de cause, les infractions visées à la directive seront passibles de peines suivantes :

  • peines d'emprisonnement maximales d'au moins 2 ans, si les faits ne sont pas sans gravité ;
  • peines d'emprisonnement maximales d'au moins 3 ans, si certaines infractions visées à la directive sont commises de manière intentionnelle, et si un nombre important de systèmes d'information sont atteints au moyen d'un outil conçu ou adapté à cette fin. ;
  • peines d’emprisonnement maximales d’au moins 5 ans, si certaines des infractions visées à la directive sont commises :
  • dans le cadre d'une organisation criminelle ; ou
  • causent un préjudice considérable ; ou encore
  • contre un système d'information faisant partie d'une infrastructure critique.

En outre, si certaines infractions sont commises par l'utilisation abusive des données à caractère personnel d'une autre personne, en vue de gagner la confiance d'une tierce partie, causant ainsi un préjudice au propriétaire légitime de l'identité, ces éléments pourront être considérés comme des circonstances aggravantes. Un considérant précise à cet effet que l'usurpation d'identité et d'autres infractions du même type nécessite une action au niveau de l'UE dans le cadre, à terme, d'un instrument horizontal global au niveau de l'UE.

Compétence: les États membres sont appelés à informer la Commission de leur décision d'élargir leur compétence à l'égard des infractions visées à la directive qui ont été commises en dehors de leur territoire, par exemple dans les cas suivants:

  • si l'auteur de l'infraction réside habituellement sur son territoire; ou
  • si l'infraction a été commise pour le compte d'une personne morale établie sur leur territoire.

Point de contact national : les États membres devront veiller à disposer d'un point de contact national opérationnel et à recourir au réseau existant de points de contact opérationnels, disponibles 24h/24 et 7jrs/7 et à mettre en place des procédures pour pouvoir, en cas de demandes urgentes, indiquer, dans un délai maximal de 8 heures, au moins si la demande d'aide sera satisfaite, ainsi que la forme et le délai estimé pour la réponse.

Collecte de données : il est précisé qu’il est nécessaire de recueillir des données comparables sur les infractions visées à la directive et de les transmettre à des agences spécialisées comme Europol et l'Agence européenne chargée de la sécurité des réseaux et de l'information en fonction de leurs missions et de leurs besoins en information. L’objectif est de générer une vision plus complète du problème de la cybercriminalité et du niveau de sécurité des réseaux et de l'information au niveau de l'UE et de permettre ainsi de formuler des réponses plus efficaces

Remplacement de la décision-cadre 2005/222/JAI : il est clairement spécifié que la directive vise à remplacer la décision-cadre 2005/222/JAI relative aux attaques visant des systèmes d'information.

Rapports : la Commission devra enfin présenter au Parlement européen et au Conseil, au plus tard 4 ans à compter de l’adoption de la présente directive, un rapport évaluant dans quelle mesure les États membres ont pris les dispositions nécessaires pour s’y conformer, accompagné, le cas échéant, de propositions législatives. À cet égard, la Commission devra également tenir compte des évolutions techniques et juridiques dans le domaine de la cybercriminalité, en particulier au regard du champ d'application de la directive.