52002PC0173

Proposition de décision-cadre du Conseil relative aux attaques visant les systèmes d'information /* COM/2002/0173 final - CNS 2002/0086 */

Journal officiel n° 203 E du 27/08/2002 p. 0109 - 0113


Proposition de DÉCISION-CADRE DU CONSEIL relative aux attaques visant les systèmes d'information

(présentée par la Commission)

EXPOSÉ DES MOTIFS

1. INTRODUCTION

Les réseaux de communication électronique et les systèmes d'information sont aujourd'hui un élément essentiel de la vie quotidienne des citoyens de l'UE et jouent un rôle fondamental pour le succès de l'économie européenne. Les réseaux et les systèmes d'information convergent et sont de plus en plus interconnectés. Cette évolution comporte des avantages nombreux et évidents, mais elle s'accompagne également du risque inquiétant d'attaques intentionnelles contre les systèmes d'information. Ces attaques peuvent prendre des formes très différentes (accès illégal, diffusion de codes malveillants et attaques par déni de service). Elles peuvent avoir n'importe quelle origine géographique, viser tout lieu dans le monde et ce à tout moment. De nouvelles formes d'attaques inattendues pourraient se produire à l'avenir.

Les attaques contre des systèmes d'information constituent une menace pour la réalisation d'une société de l'information plus sûre et d'un espace de liberté, de sécurité et de justice; elles appellent donc une réaction au niveau de l'Union européenne. La présente proposition de décision-cadre sur le rapprochement du droit pénal concernant les attaques contre les systèmes d'information s'inscrit dans le cadre de la contribution de la Commission à cette réponse.

1.1. Types d'attaques contre les systèmes d'information

Les termes "système d'information" sont délibérément utilisés ici dans leur sens le plus large eu égard à la convergence entre les réseaux de communication électronique et les différents systèmes qu'ils connectent. Aux fins de la présente proposition, les systèmes d'information couvrent donc les ordinateurs personnels autonomes, les agendas électroniques personnels, les téléphones mobiles, les intranets, les extranets et, naturellement, les réseaux, serveurs et autres infrastructures d'Internet.

Dans sa communication intitulée "Sécurité des réseaux et de l'information - Proposition pour une approche politique européenne" [1], la Commission a proposé la description suivante des menaces contre les systèmes informatiques:

[1] Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions "Sécurité des réseaux et de l'information - Proposition pour une approche politique européenne" du 6 juin 2001. COM (2001) 298 final.

a) Accès non autorisé à des systèmes d'information. Cela couvre la notion de piratage. Le piratage consiste à accéder sans y être autorisé à un ordinateur ou à un réseau d'ordinateurs. Il peut prendre des formes diverses allant d'une simple exploitation d'informations internes à des attaques de force et à l'interception de mots de passe. Il relève généralement - mais pas toujours - d'une intention malveillante de copier, modifier ou détruire des données. La corruption intentionnelle de sites Internet ou l'accès sans paiement à des services protégés par un accès conditionnel peuvent constituer l'un des objectifs de l'accès non autorisé.

b) La perturbation de systèmes d'information. Il existe différentes manières de perturber des systèmes d'information par des attaques malveillantes. L'un des moyens les plus connus de dégrader les services offerts sur Internet ou d'en dénier l'accès est une attaque par "déni de service" (DdS). Cette attaque est d'une certaine manière similaire au fait d'inonder des télécopieurs de nombreux messages volumineux. Les attaques par déni de service visent à submerger les serveurs ou les fournisseurs de services Internet (FSI) de messages générés automatiquement. D'autres types d'attaques peuvent consister à perturber les serveurs faisant fonctionner le système de nom de domaine (DNS) ou viser les "routeurs". Les attaques ayant pour objectif de perturber les systèmes ont été préjudiciables pour certains sites web prestigieux comme les portails. D'après certaines études, une attaque récente a causé des dommages estimés à plusieurs centaines de millions d'euros, sans compter le préjudice non quantifiable en termes de réputation. Les entreprises comptent de plus en plus sur la disponibilité de leur site Internet pour leurs affaires et celles qui en dépendent pour la fourniture "juste à temps" sont particulièrement vulnérables.

c) Exécution de logiciels malveillants modifiant ou détruisant des données. Le type le plus connu de logiciel malveillant est le virus. Les virus "I Love You", "Melissa" et "Kournikova" en sont des exemples tristement célèbres. Environ 11 % des utilisateurs européens ont vu leur ordinateur domestique (PC) infesté par un virus. Il existe d'autres types de logiciels malveillants. Certains endommagent l'ordinateur lui-même, tandis que d'autres utilisent le PC pour attaquer d'autres éléments du réseau. Certains programmes (appelés "bombes logiques") peuvent rester inactifs jusqu'à ce qu'ils soient déclenchés par un événement comme une date déterminée et causent alors d'importants dommages en modifiant ou en détruisant des données. D'autres programmes semblent être inoffensifs, mais lorsqu'on les lance, ils déclenchent une attaque malveillante (c'est pourquoi on les appelle des "Chevaux de Troie"). D'autres programmes (souvent appelés "vers") n'infestent pas d'autres programmes comme les virus, mais s'autoreproduisent et les copies créées finissent par inonder le système.

d) Interception des communications. L'interception malveillante de communications porte atteinte aux exigences de confidentialité et d'intégrité des utilisateurs. Elle est souvent appelée "sniffing" (reniflage).

e) Présentation mensongère. Les systèmes d'information donnent de nouvelles possibilités de présentation mensongère et de fraude. Le fait d'usurper l'identité ou l'adresse d'une autre personne sur Internet et de l'utiliser à des fins malveillantes est appelé "spoofing" (usurpation).

1.2. La nature du risque

Il existe un besoin manifeste de collecter des informations fiables sur l'ampleur et la nature des attaques contre les systèmes d'information.

Certaines des attaques les plus graves perpétrées contre les systèmes d'information visent les opérateurs de réseaux de communications électroniques et les fournisseurs de services ou les entreprises de commerce électronique. Des domaines plus traditionnels peuvent également être gravement touchés en raison du niveau d'interconnectivité de plus en plus important qui caractérise aujourd'hui l'environnement des communications; ce sont par exemple les industries manufacturières, les services, les hôpitaux, d'autres organismes du secteur public et les gouvernements. Toutefois, les victimes de ces attaques ne sont pas seulement des organisations; les personnes également peuvent subir de graves dommages directs. Le coût économique de certaines de ces attaques pour les organismes publics, les entreprises et les particuliers est très important et risque de rendre les systèmes d'information plus onéreux et moins abordables pour les utilisateurs.

Les attaques décrites ci-dessus sont souvent le fait d'individus agissant de leur propre chef, quelquefois de mineurs qui peuvent ne pas se rendre pleinement compte de la gravité de leurs actes. Une escalade dans le niveau de sophistication et les objectifs visés ne peut toutefois pas être exclue. On redoute en effet de plus en plus que des bandes criminelles organisées n'utilisent les réseaux de communication pour lancer des attaques contre les systèmes d'information à leurs propres fins. Des groupes organisés, spécialisés dans le piratage informatique et la dégradation de sites Internet sont de plus en plus actifs au niveau mondial. Il s'agit, par exemple, des Brazilian Silver Lords et de la Pakistan Gforce, qui tentent d'extorquer de l'argent à leurs victimes en leur proposant une assistance spécialisée après le piratage de leurs systèmes d'information. L'arrestation d'importants groupes de pirates donne à penser que le piratage pourrait de plus en plus constituer un phénomène criminel organisé. Il y a eu récemment des attaques sophistiquées et organisées dirigées vers des droits de propriété intellectuelle, ainsi que des tentatives d'extorsion de sommes importantes auprès d'institutions bancaires [2].

[2] Selon une enquête publiée par la Communications Management Association (CMA), des cyber-attaques ont déjà été perpétrées contre un tiers des grandes entreprises et des organismes du secteur public du Royaume-Uni, y compris contre les services du gouvernement, causant des dommages allant de l'infiltration de comptes bancaires d'entreprises au vol d'informations. Voir l'enquête sur le site suivant:/www.cma.org.

Des failles dans la sécurité des bases de données des sites de commerce électronique donnant accès à des informations relatives aux clients, y compris à des numéros de cartes de crédit, sont également préoccupantes. Ces attaques accroissent les possibilités de fraudes en matière de paiement et obligent, en tout état de cause, les banques à annuler et à ré-émettre des milliers de cartes. Elles ont également pour conséquence de causer un préjudice non quantifiable à la réputation du site et à la confiance des consommateurs dans le commerce électronique. Des mesures de prévention, telles que des conditions minimales de sécurité imposées aux entreprises en ligne qui acceptent les paiements par cartes bancaires, sont examinées dans le cadre du plan d'action pour la prévention de la fraude et de la contrefaçon des moyens de paiement autres que les espèces [3].

[3] Communication de la Commission intitulée "Prévention de la fraude et de la contrefaçon des moyens de paiement autres que les espèces" (COM(2001) 11 final. Adoptée par la Commission le 9 février 2001.

La présente proposition fait partie de la contribution que la Commission entend apporter en réponse à la menace d'une attaque terroriste contre des systèmes d'information vitaux au sein de l'Union européenne. Elle complète les propositions de la Commission visant à remplacer, au sein de l'Union européenne, la procédure d'extradition par un mandat d'arrêt européen [4] et à rapprocher les législations en matière de terrorisme [5] qui ont fait l'objet d'un accord politique lors du Conseil européen de Laeken des 14 et 15 décembre 2001. Considérés conjointement, ces instruments garantiront que les États membres de l'Union européenne disposent d'un droit pénal efficace pour lutter contre le cyberterrorisme et ils renforceront la coopération internationale contre le terrorisme.

[4] Proposition de décision-cadre du Conseil relative au mandat d'arrêt européen. COM(2001) 522 final. Adoptée par la Commission le 19 septembre 2001.

[5] Proposition de décision-cadre du Conseil relative à la lutte contre le terrorisme. COM(2001) 521 final. Adoptée par la Commission le 19 septembre 2001.

La présente proposition ne couvre pas seulement les actes visant les États membres. Elle s'applique également à des actes perpétrés sur le territoire de l'Union européenne et visant des systèmes d'information situés sur le territoire de pays tiers. Cela traduit l'engagement pris par la Commission de lutter contre les attaques contre les systèmes d'information tant au niveau de l'Union européenne qu'au niveau mondial.

En fait, on a observé plusieurs cas récents où des tensions dans les relations internationales ont entraîné une recrudescence d'attaques contre les systèmes d'information, impliquant souvent des sites Internet. Des attaques plus graves pourraient non seulement avoir de graves conséquences financières, mais aussi, dans certains cas, entraîner la perte de vies humaines si elles devaient viser des systèmes hospitaliers ou des systèmes de contrôle du trafic aérien, par exemple. La priorité accordée à différentes initiatives de protection des infrastructures critiques témoigne de l'importance que les États membres attachent à ce problème. C'est ainsi, par exemple, qu'une task force conjointe UE/États-Unis sur la protection des infrastructures critiques [6] a été créée avec la collaboration du ministère américain des affaires étrangères dans le cadre du programme communautaire sur la technologie de la société de l'information (TSI) [7].

[6] Le programme TSI est géré par la Commission européenne. Il fait partie du 5ème programme cadre qui couvre la période 1998-2002. Pour plus d'informations, voir le site http://www.cordis.lu/ist.

[7] Sous les auspices du groupe consultatif conjoint institué en vertu de l'accord de coopération scientifique et technologique Communauté européenne/États-Unis.

1.3. Nécessité de disposer d'informations et de statistiques précises

Il existe peu de statistiques fiables sur l'étendue véritable du phénomène de la criminalité informatique. Le nombre d'intrusions détectées et signalées à ce jour ne donne vraisemblablement pas une idée exacte de toute l'ampleur du problème. Selon une enquête américaine [8], en 1999 seulement 32 % des entreprises répondantes qui avaient été victimes d'une intrusion informatique au cours de l'année précédente l'avaient signalée à la police. Ce pourcentage représentait pourtant une amélioration par rapport à celui de 17 % enregistré pour les années antérieures. De nombreuses raisons ont été avancées pour expliquer ce silence. La prise de conscience et l'expérience des administrateurs de systèmes et des utilisateurs étant encore limitées, nombre d'intrusions ne sont pas détectées. En outre, beaucoup d'entreprises ne sont pas disposées à signaler les cas de malveillance informatique, par souci d'éviter toute mauvaise publicité et afin de ne pas s'exposer au risque de nouvelles attaques. Les services de police, dans leur majorité, ne tiennent pas encore de statistiques sur l'utilisation d'ordinateurs et de systèmes de communication dans ce type de délinquance et dans d'autres formes de criminalité [9]. Le personnel des services répressifs n'a pas la formation adéquate pour détecter et identifier les infractions informatiques et enquêter sur ces infractions. Toutefois, l'Union européenne a commencé à s'attaquer à ce problème en collectant des données chiffrées relatives aux attaques contre les systèmes d'information. Un État membre estime de 30 000 à 40 000 en 1999 le nombre d'attaques contre des systèmes d'information, alors que seulement 105 plaintes officielles ont été enregistrées dans ce domaine. En 1999, sept États membres ont enregistré au total seulement 1 844 dénonciations officielles d'infractions concernant des systèmes d'information et des données informatiques. Cela correspond cependant au double du nombre d'infractions signalées en 1998, où 972 cas seulement ont été enregistrés officiellement dans ces sept États membres [10].

[8] Le Computer Security Institute (CSI) et le Federal Bureau of Investigation (FBI) publient au début de chaque année un rapport intitulé "Computer Crime and Security Survey". Voir le site du CSI et d'autres informations concernant cette étude sur www. gocsi.com.

[9] Le ministère italien de l'Intérieur a publié récemment des statistiques sur ses activités opérationnelles en matière de criminalité informatique en 1999 et 2000 (voir le site http://www.mininterno.it/dip_ps/dcpsffp/index.htm). En 2000, 98 cas de piratage informatique ont été officiellement signalés, soit quatre fois plus qu'en 1999, où seulement 21 cas l'avaient été.

[10] Document du Conseil 8123/01 ENFOPOL 38. Disponible sur le site du Conseil: http://db.consilium.eu.int/jai.

Par ailleurs, il ressort d'une enquête récente [11] que 13 % des entreprises ayant été victimes d'un crime économique ont signalé que l'une des infractions subies relevait de la criminalité informatique. Cette enquête révèle également une inquiétude croissante à l'égard de la criminalité informatique, 43 % des réponses mentionnant la cybercriminalité comme un risque futur. Une autre étude concluait que les pirates et les virus représentent la plus grande menace pour les organisations, les principaux auteurs d'infractions étant des pirates (45 %), d'anciens employés (13 %), des groupes criminels (13 %) et d'actuels employés (11 %) [12]. Ces chiffres devraient continuer à grossir avec l'utilisation accrue des systèmes d'information, l'interconnectivité croissante et la plus forte propension à signaler les attaques. Toutefois, il est clair que des mesures urgentes doivent être prises pour mettre au point un outil statistique à usage de tous les États membres, qui permette de mesurer la criminalité informatique dans l'Union européenne, tant quantitativement que qualitativement. Le point de départ d'une telle analyse est une définition commune au niveau de l'Union européenne des infractions liées aux attaques contre les systèmes d'information.

[11] European Economic Crime Survey 2001, PricewaterhouseCoopers 2001 ( http://www.pwcglobal.com )

[12] The Cybercrime Survey 2001, Confederation of British Industry (voir http://www.cbi.org.uk ).

1.4. Contexte politique dans l'Union européenne

Lors du Conseil européen de Lisbonne de mars 2000, le Conseil européen a souligné l'importance que revêt la transition vers une économie compétitive, dynamique et fondée sur la connaissance, et a invité le Conseil et la Commission à établir un plan global d'action eEurope pour en exploiter toutes les possibilités [13]. Ce plan d'action, élaboré par la Commission et le Conseil et approuvé par le Conseil européen de Feira en juin 2000, comprend des actions visant à renforcer la sécurité des réseaux et prévoit le développement d'une approche coordonnée et cohérente de la délinquance informatique pour la fin 2002.

[13] Conclusions de la présidence, Conseil européen de Lisbonne des 23 et 24 mars 2000, disponibles sur le site http://ue.eu.int/en/Info/eurocouncil/index.htm.

Dans le cadre de sa contribution à ce mandat relatif à la cybercriminalité, la Commission a publié une communication intitulée "Créer une société de l'information plus sûre en renforçant la sécurité des infrastructures d'information et en luttant contre la cybercriminalité" [14]. Elle propose une approche équilibrée pour traiter les problèmes de cybercriminalité, tenant pleinement compte de l'avis de toutes les parties intéressées y compris des services répressifs, des fournisseurs d'accès, des opérateurs de réseaux, d'autres groupes industriels, d'associations de consommateurs, d'autorités chargées de la protection des données et d'associations de protection de la vie privée. La communication propose un certain nombre d'initiatives législatives et non-législatives.

[14] COM (2000) 890 final.

Le programme IDA, dans le cadre duquel les États membres et la Commission travaillent déjà sur une politique de sécurité commune et mettent en place un réseau d'échange d'informations administratives sûr, constitue un important exemple d'action en cours.

L'une des questions clé traitée par la communication concernait la nécessité d'une action efficace pour répondre aux menaces pesant sur l'authenticité, l'intégrité, la confidentialité et la disponibilité des systèmes d'information et des réseaux. De grands progrès ont déjà été accomplis au niveau du droit communautaire. Plusieurs instruments juridiques en vigueur ont des implications spécifiques pour la sécurité des réseaux et de l'information.

La présente décision-cadre complète ce qui a déjà été réalisé pour la protection des systèmes d'information en droit communautaire, par les directives 95/46/CE, 97/66/CE et par la directive 98/84/CE concernant la protection juridique des services à accès conditionnel et des services d'accès conditionnel. En particulier, le cadre européen en matière de télécommunications et de protection des données (notamment les directives 95/46/CE et 97/66/CE [15]) contient des dispositions visant à garantir que les fournisseurs de services de télécommunication accessibles au public soient tenus de prendre les mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité de leurs services et que ces mesures assurent un niveau de sécurité correspondant au risque couru.

[15] JO L 281 du 23 novembre 1995, pp. 31 à 50; JO L 24 du 30 janvier 1998, pp. 1 à 8.

La prévention et l'éducation sont deux des moyens les plus importants et les plus efficaces de traiter ces problèmes. La communication souligne l'importance de la disponibilité, de la mise en place, du déploiement et de l'utilisation efficace de technologies préventives. Elle insiste sur la nécessité de sensibiliser le public aux risques liés à la criminalité informatique, de promouvoir les meilleures pratiques en matière de sécurité des technologies de l'information, de mettre au point des outils et des procédures efficaces pour lutter contre la délinquance informatique, ainsi que d'encourager les avancées en matière de mécanismes d'alerte rapide et de gestion des crises. Le programme communautaire sur les technologies de la société de l'information (IST) [16] fournit un cadre pour le développement des capacités et des techniques nécessaires pour comprendre et relever les défis que commence à poser la délinquance informatique.

[16] Le programme IST est géré par la Commission européenne. Il fait partie du 5e programme-cadre qui couvre la période 1998-2002. Pour plus d'informations, voir le site http://www.cordis.lu/ist.

Plus récemment, le Conseil européen de Stockholm des 23 et 24 mars a reconnu la nécessité d'actions complémentaires dans le domaine de la sécurité des réseaux et de l'information et il a conclu que "le Conseil, en concertation avec la Commission, mettra au point une vaste stratégie en matière de sécurité des réseaux électroniques, prévoyant des mesures de mise en oeuvre pratique. Cette stratégie devrait être prête à temps pour le Conseil européen de Göteborg." La Commission a répondu à cet appel par sa communication intitulée "Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne" [17]. Cette communication analyse les problèmes actuels en matière de sécurité des réseaux et définit un cadre stratégique pour une action dans ce domaine. Elle a été suivie d'une résolution du Conseil, du 6 décembre 2001, relative à une approche commune et à des actions spécifiques dans le domaine de la sécurité des réseaux et de l'information.

[17] COM (2001) 298 final, 6 juin 2001.

Ces initiatives ne suffisent pas en elles-mêmes à fournir toutes les réponses nécessaires à des attaques graves contre les systèmes d'information. Les deux communications de la Commission reconnaissent également qu'il est urgent de rapprocher les dispositions matérielles du droit pénal des États membres de l'Union européenne en matière d'attaques contre les systèmes d'information, tenant ainsi compte des conclusions du Conseil européen de Tampere d'octobre 1999 [18] qui a inscrit la criminalité utilisant des technologies avancées sur une liste limitée de secteurs dans lesquels des efforts doivent être déployés pour trouver un accord sur des définitions, des incriminations et des sanctions communes et qui figure aussi dans la recommandation n° 7 de la stratégie de l'Union européenne sur la prévention et la répression de la criminalité organisée pour le prochain millénaire, qui a été adoptée par le Conseil JAI en mars 2000 [19]. La présente proposition de décision-cadre figure également dans le programme de travail de la Commission pour l'année 2001 [20] et le tableau de bord de la création d'un espace de liberté, de sécurité et de justice, présenté par la Commission le 30 octobre 2001 [21].

[18] http://db.consilium.eu.int/en/Info/eurocouncil/index.htm.

[19] Prévention et contrôle de la criminalité organisée: une stratégie de l'Union européenne pour le prochain millénaire (JO C 124 du 3 mai 2000, p. 1).

[20] http://europa.eu.int/comm/off/work_programme/index_en.htm

[21] http://europa.eu.int/comm/dgs/justice_home. COM(2001) 628 final du 30 octobre 2001.

1.5. La nécessité de rapprocher les droits pénaux des États membres

Dans ce domaine, le droit pénal des États membres comporte des vides juridiques et des différences importantes susceptibles d'entraver la lutte contre la criminalité organisée, le terrorisme et les attaques graves contre des systèmes d'information perpétrées par des personnes individuelles. Le rapprochement des dispositions matérielles des droits pénaux en matière de criminalité utilisant les technologies avancées garantira que les législations nationales sont suffisamment complètes pour que toutes les formes d'attaques graves contre les systèmes d'information puissent faire l'objet d'enquêtes utilisant les techniques et les méthodes disponibles en droit pénal. Il faut que les auteurs de ces infractions soient identifiés et traduits devant la justice et que les tribunaux aient à leur disposition des sanctions appropriées et proportionnées. Un message dissuasif fort pourra ainsi être adressé aux auteurs potentiels d'attaques contre des systèmes d'information.

En outre, ces vides juridiques et ces différences peuvent constituer une entrave à une coopération policière et judiciaire efficace dans le cas d'attaques contre des systèmes d'information. Ces attaques sont souvent transnationales par nature et nécessitent une coopération internationale policière et judiciaire. Le rapprochement des législations améliorera cette coopération en garantissant que l'exigence de double incrimination (selon laquelle une activité doit constituer une infraction dans les deux pays considérés pour que ceux-ci puissent s'entraider sur le plan judiciaire dans le cadre d'une enquête pénale) est remplie. Il permettra aux États membres de l'UE de renforcer leur coopération entre eux ainsi qu'avec les pays tiers (lorsqu'un accord d'assistance judiciaire mutuelle approprié a été conclu).

Il est également nécessaire de compléter les instruments existants au niveau communautaire. La décision-cadre relative au mandat d'arrêt européen [22], l'annexe de la convention Europol [23] et la décision du Conseil instituant Eurojust [24] contiennent des références à la délinquence informatique qu'il convient de définir plus précisément. Aux fins de ces instruments, la délinquence informatique comprend les attaques contre les systèmes d'information telles que définies par la présente décision-cadre qui permettra de parvenir à un niveau de rapprochement bien plus élevé des éléments constitutifs de ces infractions. La présente décision-cadre complète également la décision-cadre relative à la lutte contre le terrorisme [25] qui couvre les actes terroristes causant de graves dommages à une infrastructure, y compris un système d'information, et constituant un danger pour la vie humaine ou entraînant d'importantes pertes économiques.

[22] JO C ..., p...

[23] Acte du Conseil, du 26 juillet 1995, portant établissement de la convention sur la base de l'article K.3 du traité sur l'Union européenne portant création d'un Office européen de police (convention Europol). JO C 316, du 27 novembre 1995, p. 1.

[24] JO C ..., p..

[25] JO C..., p...

1.6. Champ d'application et objet de la décision-cadre

La présente décision-cadre du Conseil a donc pour objet de rapprocher les droits pénaux des États membres en matière d'attaques contre les systèmes d'information et d'optimaliser la coopération policière et judiciaire en ce qui concerne les infractions pénales liées aux attaques contre les systèmes d'information. En outre, la présente proposition contribue aux efforts déployés par l'Union européenne pour lutter contre la criminalité organisée et le terrorisme. L'intention n'est pas d'exiger que les États membres criminalisent des actes mineurs ou insignifiants.

Il ressort clairement de l'article 47 du traité sur l'Union européenne que la présente décision-cadre est sans préjudice du droit communautaire. En particulier, elle n'affecte pas les droits à la vie privée ou à la protection des données et les obligations prévues par le droit communautaire (directives 95/46 et 97/66, par exemple). Elle n'entend pas demander aux États membres de criminaliser les infractions aux règles applicables à l'accès aux données à caractère personnel et à leur divulgation, au secret des communications, à la sécurité du traitement des données à caractère personnel, aux signatures électroniques [26] ou les violations de droits de propriété intellectuelle et elle ne porte pas atteinte à la directive 98/84/CE concernant la protection juridique des services à accès conditionnel et des services d'accès conditionnel [27]. Il s'agit là de questions importantes, mais qui sont déjà couvertes par le droit communautaire en vigueur. Tout rapprochement des droits pénaux dans ces domaines en vue de parvenir à des objectifs législatifs communautaires comme la protection des données à caractère personnel, la rémunération des fournisseurs d'accès à accès conditionnel ou la protection de la propriété intellectuelle doit donc être envisagé dans le cadre du droit communautaire plutôt que dans celui du titre VI du TUE. Par conséquent, la présente décision-cadre couvre seulement les actes mentionnés aux points a) à c) de la section 1.1.

[26] Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques, JO L 13 du 19 janvier 2000.

[27] JO L 320 du 28 novembre 1998, pp. 54 à 57.

L'action législative au niveau de l'Union européenne doit également tenir compte des travaux réalisés dans d'autres enceintes européennes. En ce qui concerne le rapprochement des dispositions matérielles des droits pénaux relatives aux attaques contre des systèmes d'information, c'est le Conseil de l'Europe qui est actuellement le plus avancé. Une convention internationale sur la cybercriminalité y était en préparation depuis février 1997 et elle a été formellement adoptée et ouverte à la signature en novembre 2001. [28] La convention vise à rapprocher une série d'infractions pénales comprenant des infractions contre la confidentialité, l'intégrité et la disponibilité de systèmes et de données informatiques. La présente décision-cadre entend respecter l'approche suivie dans la convention du Conseil de l'Europe pour ces infractions.

[28] La convention se trouve sur Internet dans deux langues: en français sur le site http://conventions.coe.int/treaty/fr/projets/cybercrime.htm.

Lors des discussions du G8 concernant la criminalité utilisant des technologies avancées, deux grandes catégories de risques ont été identifiées. Il s'agit, premièrement des menaces dirigées contre les infrastructures informatiques, à savoir des opérations visant à interrompre, altérer, ou détruire l'information résidente sur les ordinateurs ou les réseaux d'ordinateurs, ou l'ordinateur et les réseaux eux-mêmes, ou à en refuser l'accès et, deuxièmement, des infractions assistées par ordinateur, à savoir des activités malveillantes, comme la fraude, le blanchiment d'argent, la pornographie enfantine, la violation de droits de propriété intellectuelle et le trafic de drogue, facilitées par l'utilisation d'un ordinateur. La présente proposition porte sur la première catégorie de menaces.

Le rapprochement au niveau de l'UE devrait tenir compte des travaux réalisés dans les enceintes internationales et s'inscrire dans la ligne des politiques communautaires actuelles. La présente proposition vise également un rapprochement plus poussé des législations au sein de l'UE que cela n'a été possible dans d'autres enceintes internationales.

2. BASE JURIDIQUE

La création d'un espace de liberté, de sécurité et de justice passe nécessairement par la prévention et la lutte contre la criminalité, organisée ou non, y compris le terrorisme, au moyen d'une coopération plus étroite entre les services répressifs et les autorités judiciaires des États membres et du rapprochement des dispositions pénales de ces États. La présente proposition de décision-cadre a donc pour objet de rapprocher les législations et les réglementations des États membres en matière de coopération policière et judiciaire pénale. Elle prévoit des "règles minimales relatives aux éléments constitutifs des infractions pénales", tout particulièrement dans le domaine de la criminalité organisée et du terrorisme. Elle vise également à "assurer la compatibilité des règles applicables dans les États membres" en vue de faciliter et d'accélérer la coopération entre les autorités judiciaires. Comme il est indiqué dans le préambule de la proposition, l'article 29, l'article 30, point a), l'article 31 et l'article 34, paragraphe 2, point b), du traité sur l'Union européenne en constituent donc la base juridique. La présente proposition n'aura pas d'incidence financière sur le budget des Communautés européennes.

3. LA DÉCISION-CADRE: ARTICLES

Article premier - Champ d'application et objectifs de la décision-cadre

Cet article indique expressément que la décision-cadre vise à rapprocher les règles pénales des États membres réprimant les attaques graves contre les systèmes d'information, afin notamment de contribuer à la lutte contre la criminalité organisée et le terrorisme et, ce faisant, de renforcer le plus possible la coopération judiciaire dans le domaine des infractions pénales liées aux attaques contre les systèmes d'information. Conformément à l'article 47 du traité sur l'Union européenne, la présente décision-cadre n'affecte également pas le droit communautaire. Il s'agit en particulier du droit à la vie privée et à la protection des données, ainsi que des obligations prévues par les directives 95/46 et 97/66. La décision-cadre ne vise pas à exiger des États membres qu'ils criminalisent les infractions aux règles applicables à l'accès aux données à caractère personnel et à leur divulgation, à la confidentialité des communications, à la sécurité du traitement des données à caractère personnel, aux signatures électroniques [29] ou les violations des droits de propriété intellectuelle et elle n'affecte pas la directive 98/84/CE concernant la protection juridique des services à accès conditionnel et des services d'accès conditionnel [30].

[29] Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques, JO L 13 du 19 janvier 2000.

[30] JO L 320 du 28 novembre 1998, pp. 54 à 57.

La présente décision-cadre ne vise pas à exiger des États membres qu'ils criminalisent des actes mineurs ou insignifiants. Ses articles 3 et 4 définissent les critères qui doivent être remplis pour qu'un acte soit criminalisé. Ces critères respectent les possibilités de dérogation et de réserve prévues dans le projet de convention du Conseil de l'Europe sur la cybercriminalité.

Toutes les infractions pénales couvertes par la décision-cadre doivent avoir été commises intentionnellement. Le terme "intentionnel" est expressément utilisé aux articles 3, 4 et 5. Il convient de l'interpréter conformément aux principes normaux de droit pénal des États membres régissant l'intention. Ainsi, la présente décision-cadre n'exige pas la criminalisation d'actions découlant d'une négligence grave ou de toute autre imprudence, mais dénuées de caractère intentionnel. L'intention d'accéder à des systèmes d'information ou d'interférer avec ces systèmes de manière illicite devrait généralement suffire et il ne devrait pas être nécessaire de prouver que l'acte intentionnel visait un système d'information spécifique.

Article 2 - Définitions

La proposition de décision-cadre du Conseil contient les définitions suivantes:

a) "Réseau de communication électronique". Cette définition est la même que celle adoptée par le Conseil et le Parlement européen le 14 février 2002 dans la directive relative à un cadre réglementaire commun pour les réseaux et les services de communications électroniques [31].

[31] La version finale se trouve sur le site suivant: http://europa.eu.int/information_society/topics/telecoms/regulatory/new_rf/index_en.htm

reg

b) "Ordinateur". Cette définition est basée sur l'article 1er du projet de convention du Conseil de l'Europe sur la cybercriminalité. Elle couvre également, par exemple, les ordinateurs personnels autonomes, les agendas électroniques personnels, les décodeurs numériques, les magnétoscopes personnels et les téléphones mobiles (s'ils ont des fonctions de traitement des données, WAP et troisième génération, par exemple), qui ne seraient pas entièrement couverts par la définition des réseaux de communication électroniques.

c) "Données informatiques". Cette définition est fondée sur la définition qu'en donne l'ISO [32]. Elle ne couvre pas des objets physiques comme les livres. Toutefois, elle couvre un livre stocké sous forme de données informatiques (c'est-à-dire sauvegardé dans un format électronique comme fichier de traitement de texte) ou converti en données informatiques par scannage. Par conséquent, la définition précise que les données informatiques doivent avoir été "créées ou mises sous une forme" susceptible d'être traitée par un système d'information ou permettant à un système d'information d'exécuter une fonction.

[32] L'Organisation internationale de normalisation (ISO) est une fédération mondiale d'organismes nationaux de normalisation d'une centaine de pays.

d) "Système d'information". La définition des systèmes d'information est initialement tirée de celle retenue par l'OCDE en 1992 dans ses "Guidelines for the Security of Information Systems" et des définitions antérieures en référence aux réseaux de communications électroniques, aux ordinateurs et aux données informatiques. Cette expression avait également été utilisée dans des instruments de droit communautaire antérieurs, comme la décision du Conseil, du 31 mars 1992, "en matière de sécurité des systèmes d'information" et la recommandation du Conseil, du 7 avril 1995, "concernant les critères communs destinés à évaluer le degré de confiance des systèmes d'information". Elle doit être technologiquement neutre et refléter avec précision l'idée de réseaux et de systèmes interconnectés contenant des données. Elle couvre tant le matériel que les logiciels du système, mais pas le contenu proprement dit de l'information. Elle couvre également les systèmes autonomes. La Commission estime souhaitable d'étendre également aux ordinateurs autonomes la protection accordée par le droit pénal et de ne pas la limiter aux systèmes interconnectés.

e) "Personne morale". Il s'agit d'une définition standard tirée de décisions-cadres antérieures du Conseil.

f) "Personne autorisée". Il s'agit de toute personne ayant le droit, en vertu d'un contrat ou d'une loi, ou l'autorisation légale, d'utiliser, d'administrer, de contrôler, de tester, d'effectuer des recherches scientifiques légitimes ou d'exploiter de toute autre manière un système d'information et qui agit conformément à ce droit ou à cette autorisation. Il peut s'agir de personnes agissant avec le consentement légal d'une autre personne à laquelle une telle autorisation a été donnée expressément. Il est tout particulièrement important que les catégories suivantes de personnes, et d'activités légitimes (dans les limites des droits, autorisations et responsabilités des personnes et conformément aux règles communautaires régissant la protection des données et la confidentialité des communications) ne soient pas criminalisées lorsque la présente décision-cadre sera transposée en droit national:

- les actes des utilisateurs habituels, privés ou professionnels, y compris leur recours au cryptage pour protéger leurs propres communications et données;

- les techniques d'ingénierie inverse, dans les limites prévues par la directive 91/250 du 14 mai 1991 "concernant la protection juridique des programmes d'ordinateur" [33];

[33] JO L 122 du 17 mai 1991, pp. 42 à 46.

- les actes des administrateurs, vérificateurs et opérateurs de réseaux et de systèmes;

- les actes de personnes autorisées qui testent un système, que cette personne travaille au sein de l'entreprise ou qu'il s'agisse d'une personne employée à l'extérieur et autorisée à tester la sécurité d'un système;

- la recherche scientifique légitime.

g) "Sans en avoir le droit". Cette notion est large et elle laisse une certaine latitude aux États membres pour définir précisément l'infraction. Toutefois, afin de faciliter la transposition de la décision-cadre du Conseil dans les législations nationales, la Commission juge nécessaire d'indiquer que certaines activités ne devraient pas constituer des infractions. Il n'est pas possible, et probablement pas souhaitable, d'établir une liste d'exemptions complète et limitative au niveau de l'Union européenne. Les termes "sans en avoir le droit" complètent les définitions antérieures de manière à exclure les actes de personnes autorisées. Ils excluent également tout autre acte dont le caractère licite est reconnu par le droit national, y compris les moyens de défense classiques et les précédents dont l'invocation est admise en droit national.

Article 3 - Attaques par accès illicite à des systèmes d'information

Cette infraction couvre l'accès illicite à des systèmes d'information. Elle englobe la notion de piratage. Les États membres sont libres d'exclure les cas mineurs ou insignifiants du champ de l'incrimination lorsqu'ils transposent la décision-cadre dans leur droit national.

L'infraction ne doit être établie dans le droit national des États membres que dans la mesure où elle a été commise:

i) contre toute partie d'un système d'information faisant l'objet de mesures de protection particulières; ou

ii) avec l'intention de porter préjudice à une personne physique ou morale; ou

iii) avec l'intention d'obtenir un avantage économique.

La Commission ne souhaite nullement mettre en cause l'importance qu'elle attache à l'utilisation de mesures techniques efficaces pour protéger les systèmes d'information. Le fait est néanmoins qu'une grande partie des utilisateurs s'exposent malheureusement à des attaques faute d'une protection technique adéquate (voire même de toute protection). En vue de prévenir les attaques contre ces utilisateurs, le droit pénal doit couvrir l'accès non autorisé à leurs systèmes, même si ces systèmes ne bénéficient pas d'une protection technique appropriée. C'est pour cela et à condition que soit établie soit une intention de porter préjudice soit une intention d'obtenir un avantage économique qu'il n'est pas nécessaire que des mesures de sécurité aient dû être déjouées.

Article 4 - Interférence illicite avec des systèmes d'information

Cette infraction couvre l'un des actes suivants commis intentionnellement, sans en avoir le droit :

a) le fait de perturber gravement le fonctionnement d'un système d'information ou de l'interrompre, sans en avoir le droit, en introduisant, transmettant, endommageant, effaçant, détériorant, modifiant ou supprimant des données informatiques. L'introduction et la transmission de données informatiques vise spécifiquement le problème des "attaques par déni de services", qui consistent à tenter délibérément de submerger un système d'information. L'infraction couvre également l'"interruption" du fonctionnement d'un système d'information que l'on pourrait inférer de l'emploi du terme "perturber", mais qui est mentionnée expressément dans un souci de clarté. Les autres éléments de l'infraction (consistant à endommager, effacer, détériorer, modifier ou supprimer des données informatiques) portent spécifiquement sur le problème des virus et d'autres types d'attaques qui visent à perturber les fonctions du système d'information lui-même ou à les interrompre.

b) Le fait d'effacer, de détériorer, d'altérer, de supprimer ou de rendre inaccessibles des données informatiques dans un système d'information lorsque l'acte est commis avec l'intention de porter préjudice à une personne physique ou morale. Cela couvre les attaques par virus visant le contenu (données informatiques) du système d'information, ainsi que la dégradation de sites Internet.

Le point a) utilise les termes "perturber ou interrompre gravement" comme élément constitutif de l'infraction en vue de décrire les effets d'une telle attaque. Les termes "perturber gravement" ne sont pas définis, car une perturbation peut prendre différentes formes et son niveau peut varier selon le type de l'attaque et les capacités techniques du système d'information attaqué. Chaque État membre détermine pour son propre compte quels critères doivent être remplis pour qu'un système d'information soit considéré comme étant "gravement perturbé". Toutefois, des troubles ou des perturbations mineurs du fonctionnement des services ne devraient pas être considérés comme remplissant le critère de gravité.

Par voie de conséquence, les États membres peuvent exclure des cas mineurs ou insignifiants de la qualification de l'infraction lorsqu'ils transposent la présente décision-cadre dans le droit national.

Article 5 - Incitation, aide, complicité et tentative

L'article 5, paragraphe 1, fait obligation aux États membres de punir l'incitation ou l'aide volontaire à commettre les infractions contre des systèmes d'information mentionnées aux articles 3 et 4, ainsi que le fait de s'en rendre complice intentionnellement.

L'article 5, paragraphe 2, concerne spécifiquement les tentatives. En vertu de cette disposition, les États membres sont tenus de faire en sorte que les tentatives de commettre l'une des infractions contre les systèmes d'information mentionnées aux articles 3 et 4 soient punissables.

Article 6 - Sanctions

Le paragraphe 1 exige que les États membres prennent les mesures nécessaires pour faire en sorte que les infractions mentionnées aux articles 3 à 5 soient passibles de sanctions effectives, proportionnées et dissuasives [34].

[34] Tiré de l'arrêt rendu par la Cour de justice le 21 septembre 1989 dans l'affaire 68/88, Rec. 1989, p. 2965.

En vertu de ce paragraphe, les États membres doivent prévoir des sanctions proportionnées à la gravité de l'infraction, comprenant des peines privatives de liberté, la peine maximale ne pouvant être inférieure à un an dans les cas graves. La notion de cas graves exclut les cas dans lesquels l'acte commis n'a pas entraîné de préjudice ou d'avantage économique.

La sanction maximale consistant en une peine d'emprisonnement d'au moins une année dans les cas graves fait entrer ces infractions dans le champ d'application du mandat d'arrêt européen, ainsi que d'autres instruments tels que la décision-cadre du Conseil, du 26 juin 2001 [35], concernant le blanchiment d'argent, l'identification, le dépistage, le gel ou la saisie et la confiscation des instruments et des produits du crime.

[35] JO L 182 du 5 juillet 2001, p.1.

Compte tenu de la nature de toutes les décisions-cadres qui lient les États membres quant au résultat à atteindre en leur laissant le choix de la forme et des moyens pour y parvenir, les États membres conservent une certaine marge d'appréciation pour adapter leur législation à ces règles et pour déterminer le degré de rigueur des sanctions applicables, dans les limites fixées par la décision-cadre, et notamment les circonstances aggravantes de l'article 7. La Commission souhaite souligner que c'est aux États membres qu'il incombe d'établir les critères permettant de déterminer le degré de gravité d'une infraction, sur la base de leur systèmes juridiques respectifs.

Les sanctions ne doivent pas nécessairement consister en des peines privatives de liberté. Le paragraphe 2 laisse aux États membres la possibilité d'infliger des amendes en plus ou à la place des peines d'emprisonnement, conformément à leurs traditions et systèmes juridiques respectifs.

Article 7 - Circonstances aggravantes

Cet article prévoit que les États membres aggravent les peines établies à l'article 6 dans certaines circonstances. La Commission souhaite souligner que la liste des circonstances aggravantes prévue par cet article est sans préjudice de toute autre circonstance considérée comme aggravante par la législation de l'État membre concerné. La liste tient compte des circonstances aggravantes visées par les dispositions nationales des États membres et prévues dans des propositions de décisions-cadres antérieures de la Commission.

Si l'une des conditions suivantes visées au paragraphe 1 est remplie, la peine d'emprisonnement maximale ne peut pas être inférieure à quatre ans:

a) l'infraction a été commise dans le cadre d'une organisation criminelle au sens défini par l'action commune 98/733 JAI indépendamment de la peine qui y est visée;

b) l'infraction a causé, ou entraîné, une perte économique importante, directe ou indirecte, des dommages corporels à une personne physique ou un dommage important à une partie des infrastructures critiques de l'État membre en question; ou

c) l'infraction a entraîné des profits importants.

Les États membres sont également tenus de faire en sorte que les infractions visées aux articles 3, 4 et 5 soient passibles de peines privatives de liberté plus longues que celles prévues à l'article 6 lorsque l'auteur de l'infraction a été condamné pour une infraction similaire par un jugement devenu définitif dans un État membre.

Article 8 - Circonstances particulières

Cet article prévoit des circonstances pour lesquelles un État membre peut décider une réduction des peines visées aux articles 6 et 7 lorsque les autorités judiciaires compétentes estiment que l'auteur de l'infraction n'a causé qu'un préjudice de moindre importance.

Article 9 - Responsabilité des personnes morales

Conformément à l'approche suivie dans un certain nombre d'instruments juridiques adoptés au niveau de l'UE pour lutter contre différents types de criminalité, il convient également de couvrir la situation dans laquelle des personnes morales sont impliquées dans des attaques contre des systèmes d'information. Par conséquent, l'article 9 contient des dispositions permettant de tenir une personne morale pour responsable des infractions visées aux articles 3, 4 et 5, commises pour leur compte par une personne agissant soit individuellement, soit en tant que membre d'un organe de la personne morale en cause, qui exerce un pouvoir de direction en son sein. Par "responsabilité", il faut entendre soit la responsabilité pénale, soit la responsabilité civile.

En outre, selon une pratique habituelle, le paragraphe 2 dispose qu'une personne morale peut également être tenue pour responsable lorsque le défaut de surveillance ou de contrôle de la part d'une personne en mesure d'exercer un tel contrôle a rendu possible la commission des infractions pour le compte de ladite personne morale. Le paragraphe 3 indique que l'ouverture de poursuites contre une personne morale n'exclut pas la possibilité de poursuites parallèles à l'encontre d'une personne physique.

Article 10 - Sanctions à l'encontre des personnes morales

L'article 10 soumet les sanctions à l'encontre des personnes morales tenues pour responsables des infractions visées aux articles 3, 4 et 5 à une condition. Il exige que les sanctions soient effectives, proportionnées et dissuasives, lorsque l'obligation minimale consiste à infliger des amendes pénales ou non pénales. Cet article fait également état d'autres sanctions habituellement infligées à des personnes morales.

Article 11 - Compétence

Eu égard à la dimension internationale des infractions portant sur des attaques contre des systèmes d'information, on ne peut apporter de réponse juridique efficace à ces infractions que si les dispositions procédurales en matière de compétence et d'extradition sont claires et ambitieuses au niveau de l'Union européenne, de sorte que les auteurs d'infraction ne puissent pas échapper aux poursuites.

Le paragraphe 1 définit une série de critères d'attribution de compétence aux autorités judiciaires nationales en vue de l'exercice de poursuites et de l'examen des affaires portant sur les infractions visées dans la présente décision-cadre. Un État membre établit sa compétence dans trois cas:

a) lorsque l'infraction est commise, en tout ou en partie, sur son territoire, indépendamment du statut de la personne morale ou de la nationalité de la personne physique impliquée (principe de territorialité);

b) lorsque l'auteur de l'infraction est un ressortissant de cet État membre (principe de la personnalité active) et que l'acte commis atteint des personnes ou des groupes de cet État membre. Lorsqu'ils ne prévoient pas l'extradition les États membres sont tenus de poursuivre leurs propres ressortissants qui sont les auteurs d'infractions commises à l'étranger;

c) lorsque l'infraction est commise au profit d'une personne morale établie sur son territoire.

Le paragraphe 2 vise à garantir que lorsqu'il établit sa compétence en la fondant sur le principe de territorialité conformément au paragraphe 1, point a), chaque État membre fait en sorte qu'elle s'étende aux cas dans lesquels:

a) l'auteur de l'infraction commet celle-ci alors qu'il est physiquement présent sur son territoire, même si l'infraction ne vise pas un système d'information situé sur son territoire (exemple d'une personne obtenant accès de manière illicite (piratage) à un système d'information d'un pays tiers à partir du territoire de cet État membre), ou

b) l'infraction est commise contre un système d'information situé sur son territoire, même si l'auteur de l'infraction n'était pas physiquement présent sur ce territoire (exemple, une personne obtenant de manière illicite (piratage) accès à un système d'information situé sur le territoire de l'État membre à partir du territoire d'un pays tiers).

Étant donné que les traditions juridiques des États membres ne reconnaissent pas toutes l'existence d'une compétence extraterritoriale pour tous les types d'infractions pénales, le paragraphe 3 leur permet de ne pas appliquer la règle de compétence énoncée au paragraphe 1 en ce qui concerne les situations visées au paragraphe 1, points b) et c).

En vertu du paragraphe 4, chaque État membre doit prendre les mesures nécessaires en vue d'établir sa compétence pour les infractions visées aux articles 3 à 5 lorsqu'il refuse de livrer une personne présumée être l'auteur d'une telle infraction ou condamnée pour l'avoir commise à un autre État membre ou à un pays tiers ou de l'extrader vers cet État membre ou ce pays tiers.

Le paragraphe 5 couvre les cas relevant de plusieurs juridictions et vise à garantir la pleine coopération des États membres pour centraliser, si possible, les procédures dans un seul d'entre eux. À cette fin, la Commission rappelle que les États membres peuvent avoir recours à tout organe ou mécanisme établi au sein de l'Union européenne pour faciliter la coopération entre leurs autorités judiciaires et la coordination de leurs actions. Cela couvre Eurojust et le réseau judiciaire européen.

Le paragraphe 6 stipule que les États membres informent le Secrétariat général du Conseil et la Commission de leur décision d'appliquer le paragraphe 3.

Article 12 - Échange d'informations

L'article 12 vise à faciliter l'échange d'informations en faisant en sorte que des points de contact opérationnels soient désignés. Cette disposition joue un rôle important aux fins d'une coopération policière effective. En particulier, la nécessité de voir l'ensemble des États membres rejoindre le réseau de points de contact du G8 a été reconnue par le Conseil Justice et affaires intérieures du 19 mars 1998 et, plus récemment encore, lorsqu'il a adopté une recommandation du Conseil concernant les points de contact assurant un service vingt-quatre heures sur vingt-quatre pour lutter contre la criminalité liée à la haute technologie [36].

[36] JO C 187 du 3 juillet 2001, p. 5.

Article 13 - Mise en oeuvre

L'article 13 concerne la mise en oeuvre et le suivi de la présente décision-cadre. Les États membres adoptent les mesures nécessaires pour se conformer à la présente décision-cadre pour le 31 décembre 2003 au plus tard.

Les États membres communiquent, au plus tard pour cette même date, au Secrétariat général du Conseil et à la Commission le texte des dispositions transposant dans leur droit national les obligations leur incombant en vertu de la présente décision-cadre. Le Conseil vérifiera, dans un délai d'un an, sur la base de ces informations et d'un rapport écrit de la Commission, si les États se sont conformés à la décision-cadre.

Article 14 - Entrée en vigueur

L'article 14 dispose que la décision-cadre entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel des Communautés européennes.

2002/0086 (CNS)

Proposition de DÉCISION-CADRE DU CONSEIL relative aux attaques visant les systèmes d'information

LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur l'Union européenne, et notamment ses articles 29, 30, paragraphe 1, point a), 31 et 34, paragraphe 2, point b);

vu la proposition de la Commission [37];

[37] JO C .., p. ..

vu l'avis du Parlement européen [38];

[38] JO C .., p. ..

considérant ce qui suit:

(1) Il a été constaté la perpétration d'attaques contre des systèmes d'information, notamment dues à la criminalité organisée, et une inquiétude croissante face à l'éventualité d'attaques terroristes contre les systèmes d'information appartenant à l'infrastructure critique des États membres. Cette situation risque de compromettre la réalisation d'une société de l'information plus sûre et d'un espace de liberté, de sécurité et de justice, et appelle donc une réaction au niveau de l'Union européenne.

(2) Une réponse efficace à ces menaces suppose une approche d'ensemble en matière de sécurité des réseaux et de l'information, comme l'ont souligné le plan d'action eEurope, la communication de la Commission intitulée "Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne" [39] et la résolution du Conseil, du 6 décembre 2001, relative à une approche commune et à des actions spécifiques dans le domaine de la sécurité des réseaux et de l'information.

[39] COM (2001) 298

(3) La nécessité de renforcer la prise de conscience des problèmes liés à la sécurité de l'information et de fournir une assistance pratique a également été soulignée par la résolution du Parlement européen du 5 septembre 2001 [40].

[40] [2001/2098(INI)].

(4) Les vides juridiques et les différences considérables présentées par les législations des États membres dans ce domaine freinent la lutte contre la criminalité organisée et le terrorisme, et font obstacle à une coopération policière et judiciaire efficace en cas d'attaques contre les systèmes d'information. Les réseaux de télécommunication électroniques modernes étant transnationaux et ne connaissant pas les frontières, ces attaques ont souvent une dimension internationale, et mettent ainsi en lumière le besoin urgent de poursuivre le rapprochement des droits pénaux dans ce domaine.

(5) Le plan d'action du Conseil et de la Commission concernant les modalités optimales de mise en oeuvre des dispositions du Traité d'Amsterdam relatives à l'établissement d'un espace de liberté, de sécurité et de justice [41], le conseil européen de Tampere des 15 et 16 octobre 1999, le conseil européen de Santa Maria da Feira des 19 et 20 juin 2000, la Commission dans son tableau de bord [42], et le Parlement européen dans sa résolution du 19 mai 2000 [43] mentionnent ou appellent des mesures législatives contre la criminalité utilisant les technologies avancées, notamment des définitions, des incriminations et des sanctions communes.

[41] JO C 19 du 23 janvier 1999.

[42] COM (2001) 278 final.

[43] A5-0127/2000

(6) Il est nécessaire de compléter le travail réalisé par les organisations internationales, plus particulièrement celui du Conseil de l'Europe sur le rapprochement du droit pénal et les travaux du G8 sur la coopération transnationale dans le domaine de la criminalité utilisant les technologies avancées, en proposant une approche commune dans ce domaine au niveau de l'Union européenne. Cet appel a été plus amplement développé dans la communication que la Commission a adressée au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions, intitulée "Créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité." [44]

[44] COM (2000) 890

(7) Les règles du droit pénal relatives aux attaques contre les systèmes d'information devraient être rapprochées pour garantir la meilleure coopération policière et judiciaire possible en ce qui concerne les infractions liées à ce type d'attaques et contribuer à la lutte contre la criminalité organisée et le terrorisme.

(8) La décision-cadre relative au mandat d'arrêt européen [45], l'annexe de la convention Europol et la décision du Conseil instituant Eurojust contiennent des références à la délinquence informatique qu'il convient de définir plus précisément. Aux fins de ces instruments, la délinquence informatique comprend les attaques contre les systèmes d'information telles que définies par la présente décision-cadre qui permet de parvenir à un niveau de rapprochement bien plus élevé des éléments constitutifs de ces infractions. La présente décision-cadre complète également la décision-cadre relative à la lutte contre le terrorisme [46] qui couvre les actes terroristes causant de graves dommages à une infrastructure, y compris un système d'information, et constituant un danger pour la vie humaine ou entraînant d'importantes pertes économiques.

[45] JO C..., p...

[46] JO C..., p...

(9) Tous les États membres ont ratifié la Convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Les données à caractère personnel traitées dans le contexte de la mise en oeuvre de la présente décision-cadre seront protégées conformément aux principes établies par ladite convention.

(10) Des définitions communes dans ce domaine, plus particulièrement pour les systèmes d'information et les données informatiques, sont indispensables pour assurer l'application cohérente de la présente décision-cadre dans les États membres.

(11) Il est nécessaire d'adopter une approche commune pour les éléments constitutifs des infractions pénales, en instituant un délit commun d'accès illicite à un système d'information et d'interférence illicite avec un tel système.

(12) Il importe d'éviter la surincrimination, notamment pour les comportements mineurs ou insignifiants, de même que l'incrimination de détenteurs de droits et de personnes autorisées, telles que les utilisateurs légitimes privés ou professionnels, les administrateurs, contrôleurs et exploitants de réseaux et de systèmes, les chercheurs scientifiques légitimes et les personnes autorisées procédant aux essais d'un système, que la personne travaille au sein de l'entreprise ou qu'il s'agisse d'une personne employée à l'extérieur et autorisée à tester la sécurité d'un système.

(13) Il est nécessaire que les États membres prévoient des sanctions efficaces, proportionnées et dissuasives pour réprimer les attaques contre les systèmes d'information, y compris des peines d'emprisonnement dans les cas graves;

(14) Il convient de prévoir des peines plus sévères lorsque certaines circonstances accompagnant une attaque contre un système d'information en font une menace accrue pour la société. Dans ces cas, les sanctions dont sont passibles les auteurs doivent être suffisantes pour que les attaques contre les systèmes d'information relèvent du champ d'application des instruments déjà adoptés afin de lutter contre la criminalité organisée, tels que l'action commune 98/733/JAI relative à l'incrimination de la participation à une organisation criminelle dans les États membres de l'Union européenne du 21 décembre 1998, adoptée par le Conseil sur la base de l'article K.3 du Traité sur l'Union européenne [47] .

[47] JO L 351, 29.12.1998, p. 1.

(15) Des mesures doivent être prises pour que les personnes morales puissent être tenues responsables des infractions pénales visées dans le présent acte et commises à leur profit, et pour que chaque État membre ait compétence pour les infractions commises contre des systèmes d'information lorsque leur auteur est physiquement présent sur son territoire ou lorsque le système d'information se trouve sur ce dernier.

(16) Des mesures de coopération entre les États membres doivent également être envisagées, afin d'assurer une action efficace contre les attaques visant les systèmes d'information. Des points de contact opérationnels devraient être établis aux fins de l'échange d'informations.

(17) Comme les objectifs consistant à garantir que des attaques contre des systèmes d'information soient passibles, dans tous les États membres, de sanctions pénales effectives, proportionnées et dissuasives et à améliorer et favoriser la coopération judiciaire en supprimant les obstacles potentiels, ne peuvent être réalisés de manière suffisante par les États membres agissant unilatéralement, puisque les règles doivent être communes et compatibles, et que lesdits objectifs peuvent donc être mieux réalisés au niveau de l'Union, celle-ci peut adopter des mesures, conformément au principe de subsidiarité tel que visé à l'article 2 du traité sur l'UE et prévu à l'article 5 du traité CE. Conformément au principe de proportionnalité tel que visé dans le dernier article, la présente décision-cadre se limite au minimum nécessaire à la réalisation de ces objectifs.

(18) La présente décision-cadre n'affecte pas les pouvoirs de la Communauté européenne.

(19) La présente décision-cadre respecte les droits fondamentaux et des principes reconnus en particulier par la Charte des droits fondamentaux de l'Union européenne, notamment ses chapitres II et VI;

A ARRÊTÉ LA PRÉSENTE DÉCISION-CADRE:

Article premier

Champ d'application et objet de la décision-cadre

La présente décision-cadre vise à renforcer la coopération entre les autorités judiciaires et les autres autorités compétentes, notamment la police et les autres services spécialisés chargés de l'application de la loi dans les États membres, grâce à un rapprochement de leurs règles pénales réprimant les attaques contre les systèmes d'information.

Article 2

Définitions

1. Aux fins de la présente décision-cadre, on entend par:

(a) "réseau de communication électronique": les systèmes de transmission et, le cas échéant, les commutateurs ou routeurs et autres moyens permettant le transport de signaux par fil, par radio, par support optique ou par tout autre moyen électromagnétique, y compris les réseaux à satellite, les réseaux terrestres fixes (par commutation de circuits et commutation par paquets, y compris Internet) et mobiles, les systèmes de câbles électriques, dans la mesure où ils sont utilisés pour transmettre des signaux, les réseaux utilisés pour les services de radiodiffusion sonore et télévisuelle et les réseaux de télévision par câble, quelle que soit la nature des informations transmises.

(b) "ordinateur": tout appareil ou groupe d'appareils interconnectés ou reliés entre eux, dont l'un ou plusieurs exécutent, grâce à un programme, le traitement automatique de données informatiques.

(c) "données informatiques": toute représentation de faits, d'informations ou de notions créée ou mise sous une forme susceptible d'être traitée par un système d'information, notamment un programme permettant à ce dernier d'exécuter une fonction.

(d) "système d'information": les ordinateurs et réseaux de communication électroniques, ainsi que les données informatiques stockées, traitées, récupérées ou transmises par ces derniers en vue de leur fonctionnement, utilisation, protection et maintenance.

(e) "personne morale": toute entité à laquelle le droit en vigueur reconnaît ce statut, à l'exception des États et des autres collectivités locales exerçant des prérogatives de puissance publique, et des organisations internationales relevant du droit public.

(f) "personne autorisée": toute personne physique ou morale ayant le droit, en vertu d'un contrat ou d'une loi, ou l'autorisation légale, d'utiliser, d'administrer, de contrôler, de tester, d'effectuer des recherches scientifiques légitimes ou d'exploiter d'une autre manière un système d'information, et qui agit conformément à ce droit ou à cette autorisation.

(g) "sans en avoir le droit": signifie que les actes de personnes autorisées ou d'autres actes dont le caractère licite est reconnu par le droit national sont exclus.

Article 3

Accès illicite à des systèmes d'information

Les États membres font en sorte que l'accès intentionnel, sans en avoir le droit, à l'ensemble ou à une partie d'un système d'information devienne une infraction pénale punissable lorsque l'acte a été commis:

i) contre toute partie d'un système d'information faisant l'objet de mesures de protection particulières; ou

ii) avec l'intention de porter préjudice à une personne physique ou morale; ou

iii) avec l'intention d'obtenir un avantage économique.

Article 4

Interférence illicite avec des systèmes d'information

Les États membres font en sorte que la commission des actes intentionnels suivants, sans en avoir le droit, devienne une infraction pénale punissable:

(a) perturber gravement ou interrompre le fonctionnement d'un système d'information en introduisant, transmettant, endommageant, effaçant, détériorant, modifiant, supprimant ou rendant inaccessibles des données informatiques;

(b) effacer, détériorer, altérer, supprimer ou rendre inaccessibles des données informatiques d'un système d'information lorsque l'acte est commis avec l'intention de porter préjudice à une personne physique ou morale.

Article 5

Incitation, aide, complicité et tentative

1. Les États membres font en sorte que l'incitation, l'aide ou la complicité volontaires à commettre l'une des infractions visées aux articles 3 et 4 soit punissable.

2. Les États membres font en sorte que la tentative de commettre les infractions visées aux articles 3 et 4 soit punissable.

Article 6

Sanctions

1. Les États membres font en sorte que les infractions visées aux articles 3, 4 et 5 soient passibles de peines effectives, proportionnées et dissuasives, notamment de peines privatives de liberté dont la durée maximale n'est pas inférieure à un an dans des cas graves. La notion de cas graves exclut les cas dans lesquels l'acte commis n'a pas entraîné de préjudice ou d'avantage économique.

2. Les États membres prévoient la possibilité d'infliger des amendes en plus des peines privatives de liberté, ou comme alternative à ces dernières.

Article 7

Circonstances aggravantes

1. Les États membres font en sorte que les infractions visées aux articles 3, 4 et 5 soient passibles d'une peine privative de liberté dont la durée maximale n'est pas inférieure à quatre ans lorsqu'elles sont accompagnées des circonstances suivantes:

(a) l'infraction a été commise dans le cadre d'une organisation criminelle au sens défini par l'action commune 98/733/JAI, du 21 décembre 1998, relative à l'incrimination de la participation à une organisation criminelle dans les États membres de l'Union européenne, indépendamment de la peine qui y est visée;

(b) l'infraction a causé, ou a entraîné, une perte économique importante, directe ou indirecte, des dommages corporels à une personne physique ou un dommage important à une partie de l'infrastructure critique de l'État membre;

(c) l'infraction a entraîné des profits importants.

2. Les États membres font en sorte que les infractions visées aux articles 3 et 4 soient passibles de peines privatives de liberté plus longues que celles prévues à l'article 6 lorsque l'auteur de l'infraction a été condamné pour une infraction similaire par un jugement devenu définitif dans un État membre.

Article 8

Circonstances particulières

Nonobstant les articles 6 et 7, les États membres font en sorte que les peines mentionnées aux articles 6 et 7 puissent être réduites lorsque l'autorité judiciaire compétente estime que l'auteur de l'infraction n'a causé que des dommages mineurs.

Article 9

Responsabilité des personnes morales

1. Les États membres font en sorte que les personnes morales puissent être tenues pour responsables des comportements visés aux articles 3, 4 et 5 commis à leur profit par toute personne agissant soit individuellement, soit en tant que membre d'un organe de la personne morale, et exerçant un pouvoir de direction en son sein en vertu:

(a) d'un mandat de représentation de la personne morale, ou

(b) d'un pouvoir de prendre des décisions au nom de la personne morale, ou

(c) d'un pouvoir d'exercer un contrôle au sein de la personne morale.

2. Outre les cas prévus au paragraphe 1, les États membres font en sorte qu'une personne morale puisse être tenue responsable lorsqu'un défaut de surveillance ou de contrôle imputable à une personne visée au paragraphe 1 a rendu possible la commission des infractions visées aux articles 3, 4 et 5 au profit de cette personne morale par une personne placée sous son autorité.

3. La responsabilité d'une personne morale au titre des paragraphes 1 et 2 n'exclut pas les poursuites pénales contre les personnes physiques se rendant coupables des infractions ou des actes visés aux articles 3, 4 et 5.

Article 10

Sanction des personnes morales

1. Les États membres font en sorte qu'une personne morale poursuivie au titre de l'article 9, paragraphe premier, soit passible de peines effectives, proportionnées et dissuasives, qui comprendront des amendes pénales ou non pénales, et éventuellement d'autres sanctions telles que:

a) la déchéance du bénéfice d'avantages ou d'aides d'origine publique,

b) l'interdiction temporaire ou définitive d'exercer une activité commerciale,

c) un placement sous contrôle judiciaire, ou

d) une mesure judiciaire de dissolution.

2. Les États membres font en sorte qu'une personne morale dont la responsabilité est engagée au titre de l'article 9, paragraphe 2, soit passible de peines et de mesures effectives, proportionnées et dissuasives.

Article 11

Compétence

1. Chaque État membre établit sa compétence pour les infractions visées aux articles 3, 4 et 5, lorsque l'infraction a été commise:

(a) en tout ou en partie sur son territoire, ou

(b) par l'un de ses ressortissants, si l'acte atteint des personnes individuelles ou des groupes de cet État, ou

(c) au profit d'une personne morale dont le siège est situé sur son territoire.

2. Lorsqu'il établit sa compétence conformément au paragraphe 1, point a), chaque État membre fait en sorte qu'elle comprenne les cas où:

(a) l'auteur de l'infraction l'a commise alors qu'il était physiquement présent sur son territoire, même si l'infraction ne vise pas un système d'information situé sur son territoire; ou

(b) l'infraction vise un système d'information situé sur son territoire, même si l'auteur de l'infraction n'était pas physiquement présent sur ce territoire.

3. Un État membre peut décider de ne pas appliquer la règle de compétence énoncée au paragraphe 1, points b) et c), ou de ne l'appliquer qu'à des cas ou des circonstances particuliers.

4. Chaque État membre prend également les mesures nécessaires en vue d'établir sa compétence pour les infractions visées aux articles 3 à 5 lorsqu'il refuse de livrer une personne présumée être l'auteur d'une telle infraction ou condamnée pour l'avoir commise à un autre État membre ou à un pays tiers ou de l'extrader vers cet État membre ou ce pays tiers.

5. Lorsqu'une infraction relève de la compétence de plusieurs États membres et lorsque chacun des États membres concernés peut valablement engager des poursuites sur la base des mêmes faits, les États membres concernés coopèrent pour décider lequel d'entre eux poursuivra les auteurs de l'infraction en vue, si possible, de contraliser la procédure dans un seul d'entre eux. À cette fin, les États membres peuvent avoir recours à tout organe ou mécanisme établi au sein de l'Union européenne pour faciliter la coopération entre leurs autorités judiciaires et la coordination de leurs actions.

6. Les États membres informent le Secrétariat général du Conseil et la Commission lorsqu'ils décident d'appliquer le paragraphe 3, en précisant, le cas échéant, les cas ou circonstances particuliers dans lesquels s'appliquent la décision.

Article 12

Échange d'informations

1. Aux fins de l'échange d'informations relatives aux infractions visées aux articles 3, 4 et 5, et conformément aux règles régissant la protection des données, les États membres désignent des points de contact opérationnels disponibles 24 heures sur 24 et 7 jours sur 7.

2. Chaque État membre communique au Secrétariat général du Conseil et à la Commission le nom des points de contact désignés en vue de l'échange d'informations sur les infractions relatives aux attaques contre les systèmes d'information. Le Secrétariat général transmet ces informations aux autres États membres.

Article 13

Mise en oeuvre

1. Les États membres adoptent les mesures nécessaires pour se conformer à la présente décision-cadre pour le 31 décembre 2003 au plus tard.

2. Ils communiquent au secrétariat général du Conseil et à la Commission le texte de toute disposition qu'ils adoptent, ainsi que des informations sur toutes autres mesures qu'ils prennent pour se conformer à la présente décision-cadre.

3. Sur cette base, la Commission soumet, pour le 31 décembre 2004, un rapport au Parlement européen et au Conseil sur l'application de la présente décision-cadre, accompagné, si nécessaire, de propositions législatives.

4. Le Conseil évaluera si les États membres ont arrêté les mesures nécessaires pour se conformer à la présente décision-cadre.

Article 14

Entrée en vigueur

La présente décision-cadre entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel des Communautés européennes.

Fait à Bruxelles,

Par le Conseil

le Président