Proposition de directive relative aux attaques visant les systèmesd’informations

Face aux évolutions de la cybercriminalité, une proposition de directive a été déposée par la Commission européenne le 30 septembre 2010. Celle-ci ne vise pas à mettre en place un nouveau système de répression, mais à adapter celui existant avec la décision cadre du 24 février 2005.

Cette décision avait pour objet de renforcer la coopération judiciaire entre les Etats membres face à l’augmentation des infractions liées aux nouvelles technologies.

Cette décision cadre présentant des lacunes et les dangers liés aux atteintes aux systèmes d’informations se développant, un nouveau texte a été déposé afin de répondre à ces nouvelles menaces.

Si le texte reprend les dispositions actuellement en vigueur, il ajoute de nouvelles infractions et prévoit une harmonisation des sanctions pénales. Les articles 3 à 5 de la proposition de directive reprennent des infractions existantes, à savoir l’accès et le maintien frauduleux dans un système d’informations, l’atteinte à l’intégrité des données et l’atteinte à l’intégrité des systèmes d’informations.

Le texte reprend également les dispositions relatives à la responsabilité des personnes morales dans les cas où elles tirent profit de la commission de ces infractions. En revanche, de nouvelles infractions relatives à l’interception de données et à la mise à disposition d’outils pour commettre les infractions relatives à l’attaques des systèmes informatiques, font leur apparition. L’article 6 prévoit ainsi que :

« Les Etats membres prennent les mesures nécessaires pour faire en sorte que l’interception intentionnelle, par des moyens techniques, de transmissions non publiques de données informatiques vers un système d’informations ou à partir ou à l’intérieur d’un tel système, y compris d’émissions électromagnétiques à partir d’un système d’informations contenant des données informatiques, devienne une infraction pénale punissable si l’auteur la commet sans en avoir le droit ».

Quant à l’article 7, il sanctionne le fait d’utiliser, produire ou encore faire l’acquisition, dans le but de commettre ces infractions :

• d’un « dispositif, notamment un programme informatique, essentiellement conçu ou adapté aux fins de commettre l’une des infractions visées aux articles 3 à 6 » ;
• d’un « mot de passe d’un ordinateur, un code d’accès ou des données de même nature, grâce auxquelles il est possible d’accéder à tout ou partie d’un système d’informations ».

Par ailleurs, la proposition de directive prévoit les peines applicables à ces infractions. Ainsi, l’article 9-1 de la proposition de directive impose aux Etats membres de sanctionner ces actes par des sanctions « effectives, proportionnées et dissuasives ». Elle met également en place une peine minimale d’emprisonnement de 2 ans.

Enfin, il est prévu à l’article 15 l’obligation pour les Etats membres de mettre en place un système d’enregistrement, de production et de communication des statistiques sur ces infractions.

Proposition de directive COD/2010/0273 du 30-9-2010

Observatoire législatif, Fiche de procédure