Directive relative aux attaques visant les systèmes d'information

Justice

Texte E 5692

Renforcement de la coopération et rapprochement
des règles pénales en matière de cybercriminalité

COM (2010) 517 final

(Procédure écrite du 1^er décembre 2010)

La présente proposition de directive a pour objet de remplacer la décision-cadre du 24 février 2005 relative aux attaques visant les systèmes d'information. Cette décision-cadre avait pour but de renforcer la coopération entre les autorités judiciaires et les autres autorités chargées de l'application de la loi dans les États membres grâce à un rapprochement de leurs règles pénales et elle conduisait à créer une législation européenne réprimant les infractions liées aux systèmes informatisés d'information. Les États membres étaient tenus de prendre les mesures nécessaires à la transposition de la décision-cadre le 16 mars 2007 au plus tard.

En 2008, dans un rapport du 24 février (COM (2008) 448), la Commission a révélé de notables progrès dans la lutte contre les attaques visant les systèmes d'information, mais elle remarquait d'abord que la transposition de la décision-cadre n'était pas encore générale et qu'en outre de nouveaux types d'attaque étaient apparus. Pour faire face à cette inquiétante évolution, elle envisageait donc l'adoption de mesures plus efficaces.

On sait que la cybercriminalité a souvent un caractère transnational et que le signalement des infractions est encore insuffisant. De plus, les divergences entre législations et procédures pénales nationales peuvent donner lieu à des différences dans les enquêtes et les poursuites pénales si bien que le traitement réservé à ces infractions n'est pas uniforme.

C'est pourquoi la proposition de directive tient compte des nouvelles méthodes adoptées par les délinquants pour commettre des infractions informatiques comme, par exemple, la méthode connue sous le nom du « réseau zombie ». Cette méthode consiste à contaminer par des virus informatiques un groupe d'ordinateurs donné ; ce réseau d'ordinateurs est ensuite utilisé pour lancer des cyber-attaques. Ces zombies sont dirigés à l'insu de leurs utilisateurs par un centre de commande et de contrôle parfois lointain et toujours difficile à repérer. Le désordre peut se propager et atteindre jusqu'à cent mille ordinateurs chaque jour.

Aujourd'hui, au niveau de l'Union, la décision-cadre introduit un niveau minimal de rapprochement des législations des États membres pour pouvoir incriminer plusieurs types d'infraction informatique et notamment l'accès illicite à un système d'information, l'atteinte à l'intégrité des données ainsi que l'instigation, la complicité et la tentative d'infraction. Cependant cette décision-cadre comporte plusieurs failles imputables à la taille et au nombre des infractions actuelles ; elle ne tient pas suffisamment compte de la gravité des infractions et ne prévoit pas de sanctions à leur mesure. La proposition de directive tente de remédier à ces lacunes.

En effet, il est apparu nécessaire que l'Union intervienne dans ce domaine, qu'elle incrimine les formes d'infractions qui ne figurent pas dans la décision-cadre et en particulier les nouvelles cyber-attaques comme les « réseaux zombies » et qu'elle lève les obstacles aux enquêtes et aux poursuites dans les affaires frontalières.

La directive devrait donc reprendre les dispositions de la décision-cadre et comprendre aussi les nouvelles dispositions suivantes :

- incriminer la production, la vente, l'acquisition, l'importation, la distribution ou la mise à disposition d'outils utilisés pour commettre des infractions informatiques ;

- prévoir des circonstances aggravantes (ampleur de l'attaque, dissimulation de l'identité réelle de l'auteur...) ;

- introduire des mesures pour améliorer la coopération européenne en matière de justice pénale ;

- établir des statistiques sur les infractions informatiques.

Cette proposition de directive a pour base juridique l'article 83, paragraphe 1, du traité sur le fonctionnement de l'Union européenne: « Le Parlement européen et le Conseil, statuant par voie de directives conformément à la procédure législative ordinaire, peuvent établir des règles minimales relatives à la définition des infractions pénales et des sanctions dans les domaines de criminalité particulièrement grave revêtant une dimension transfrontalière résultant du caractère ou des incidences de ces infractions ou d'un besoin particulier de les combattre sur des bases communes ».

Le principe de subsidiarité est respecté dans la mesure où les objectifs poursuivis par la proposition de directive ne peuvent être réalisés de manière satisfaisante par les États membres. En effet, la cybercriminalité à grande échelle s'organise à partir de lieux et de pays différents. Les objectifs de la proposition de directive seront mieux réalisés au niveau de l'Union, car la proposition poursuivra le rapprochement du droit pénal des États membres et de leurs règles de procédure et empêchera ainsi les délinquants d'aller s'installer dans des États membres ayant une législation plus laxiste à l'égard des attaques informatiques. Enfin les définitions communes des attaques permettront échanger des informations et de rassembler et comparer des données pertinentes.

On remarquera enfin que, même si actuellement les définitions des infractions dans le code pénal français ne sont pas parfaitement semblables à celles contenues dans la proposition de directive, les exigences de sanctions minimales prévues dans le projet de directive, à savoir une peine d'emprisonnement maximale d'au moins deux ans dans un cas simple et d'au moins cinq ans en cas de circonstances aggravantes sont, au contraire, déjà satisfaites par le code pénal français dans ses articles 323-1 à 323-7.

La proposition de directive a une faible incidence budgétaire sur l'Union puisque plus de 90% du coût estimé à 5.913.000 euros serait supporté par les États membres.

Cette proposition de directive se contente donc d'adapter une législation communautaire déjà existante à l'évolution de la criminalité informatique, elle-même fruit de l'évolution technique, et à ce titre, elle ne devrait pas soulever de problème particulier.

Par conséquent, la commission a décidé de ne pas intervenir plus avant sur ce texte.