Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Attaques contre les systèmes d’information

La directive relative à la cybercriminalité dans l’Union européenne (UE) vise à lutter contre la cybercriminalité et à promouvoir la sécurité des informations par le biais de législations nationales renforcées, de sanctions pénales plus sévères et d’une meilleure coopération entre les autorités compétentes.

ACTE

Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d’information.

SYNTHÈSE

La directive introduit de nouvelles règles harmonisant la criminalisation et les sanctions pour un certain nombre d’infractions dirigées contre les systèmes d’information. Ces règles incluent l’interdiction de l’utilisation de«réseaux zombies» - des logiciels malveillants conçus pour prendre le contrôle à distance d’un réseau d’ordinateurs. Elle prévoit également que les États membres utilisent les mêmes points de contact que le Conseil de l’Europe et le G8 pour réagir rapidement aux menaces portant sur les technologies de pointe.

Cette directive couvre principalement des types d’infractions tels que les attaques contre les systèmes d’information, allant de la prévention des attaques conçues pour attaquer un serveur à l’interception des données et des attaques de réseaux zombies.

La cybercriminalité doit être combattue de manière efficace, pas seulement dans un État membre particulier mais aussi entre les différents États membres. Il est donc nécessaire:

  • d’assurer que les mêmes infractions sont punies dans tous les États membres;
  • de donner aux autorités d’application de la loi les moyens d’agir et de coopérer les unes avec les autres.

Pour ce faire, la présente directive exige de rapprocher les systèmes juridiques pénaux entre les États membres et de renforcer la coopération entre les autorités judiciaires, en matière:

  • d’accès illégal aux systèmes d’information;
  • d’atteinte illégale à l’intégrité du système;
  • d’atteinte illégale à l’intégrité des données;
  • d’interception illégale.

Dans tous ces cas, l’infraction pénale doit être commise de manière intentionnelle.

Inciter, participer, être complice et tenter de commettre l’une quelconque des infractions mentionnées ci-dessus sera également puni.

Les États membres devront prévoir des dispositions pour que ces infractions soient punies par des sanctions pénales efficaces, proportionnées et dissuasives.

Lorsqu’une infraction est commise dans le contexte d’une organisation criminelle au sens de la présente directive et qu'elle cause des pertes substantielles ou a des conséquences sur des intérêts essentiels, cela sera considéré comme une circonstance aggravante. Ce sera également le cas si une infraction est commise en utilisant l’identité d’une autre personne et peut être préjudiciable pour cette personne.

La directive introduit également la notion de responsabilité des«personnes morales» et détermine des sanctions pouvant s’appliquer si elles sont jugées responsables.

Chaque État membre devra établir une compétence minimale pour les infractions commises sur son territoire ou par l’un de ses ressortissants hors de son territoire. Lorsque plusieurs pays ont établi leur compétence pour une infraction, ils doivent coopérer pour décider lequel devra mener l’action en justice contre l’auteur de l’infraction présumée.

Renforcement de la coopération

Afin de lutter plus efficacement contre la cybercriminalité, la directive prévoit le renforcement de la coopération internationale entre les autorités judiciaires et d’application de la loi.

Pour ce faire, l’UE devra:

  • disposer d’un point de contact national opérationnel;
  • recourir au réseau existant de points de contact opérationnels, disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept;
  • répondre aux demandes d’assistance urgentes dans un délai de huit heures et indiquer si et quand une réponse peut être fournie;
  • collecter des informations statistiques sur la cybercriminalité.

La directive renforce et remplace la décision-cadre 2005/222/JAI du Conseil du 24 février 2005 relative aux attaques visant les systèmes d’information. Elle renforce également la Convention sur la cybercriminalité du Conseil de l’Europe de 2001, qui sert de modèle pour les législations nationales et régionales relatives à la cybercriminalité et crée une base commune de coopération dans et hors de l’UE.

RÉFÉRENCES

Acte

Entrée en vigueur

Délai de transposition dans les États membres

Journal officiel de l’Union européenne

Directive 2013/40/UE

3.9.2013

4.9.2015

JO L 218 du 14.8.2013

ACTES LIÉS

Décision-cadre 2005/222/JAI du Conseil du 24 février 2005 relative aux attaques visant les systèmes d’information

Convention sur la cybercriminalité du Conseil de l'Europe

dernière modification 02.04.2014

Top