La directive relative à la cybercriminalité dans l’Union européenne (UE) vise à lutter contre la cybercriminalité et à promouvoir la sécurité des informations par le biais de législations nationales renforcées, de sanctions pénales plus sévères et d’une meilleure coopération entre les autorités compétentes.

Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d’information.

La directive introduit de nouvelles règles harmonisant la criminalisation et les sanctions pour un certain nombre d’infractions dirigées contre les systèmes d’information. Ces règles incluent l’interdiction de l’utilisation de«réseaux zombies» - des logiciels malveillants conçus pour prendre le contrôle à distance d’un réseau d’ordinateurs. Elle prévoit également que les États membres utilisent les mêmes points de contact que le Conseil de l’Europe et le G8 pour réagir rapidement aux menaces portant sur les technologies de pointe.

Cette directive couvre principalement des types d’infractions tels que les attaques contre les systèmes d’information, allant de la prévention des attaques conçues pour attaquer un serveur à l’interception des données et des attaques de réseaux zombies.

La cybercriminalité doit être combattue de manière efficace, pas seulement dans un État membre particulier mais aussi entre les différents États membres. Il est donc nécessaire:

Pour ce faire, la présente directive exige de rapprocher les systèmes juridiques pénaux entre les États membres et de renforcer la coopération entre les autorités judiciaires, en matière:

Dans tous ces cas, l’infraction pénale doit être commise de manière intentionnelle.

Inciter, participer, être complice et tenter de commettre l’une quelconque des infractions mentionnées ci-dessus sera également puni.

Les États membres devront prévoir des dispositions pour que ces infractions soient punies par des sanctions pénales efficaces, proportionnées et dissuasives.

Lorsqu’une infraction est commise dans le contexte d’une organisation criminelle au sens de la présente directive et qu'elle cause des pertes substantielles ou a des conséquences sur des intérêts essentiels, cela sera considéré comme une circonstance aggravante. Ce sera également le cas si une infraction est commise en utilisant l’identité d’une autre personne et peut être préjudiciable pour cette personne.

La directive introduit également la notion de responsabilité des«personnes morales» et détermine des sanctions pouvant s’appliquer si elles sont jugées responsables.

Chaque État membre devra établir une compétence minimale pour les infractions commises sur son territoire ou par l’un de ses ressortissants hors de son territoire. Lorsque plusieurs pays ont établi leur compétence pour une infraction, ils doivent coopérer pour décider lequel devra mener l’action en justice contre l’auteur de l’infraction présumée.

Afin de lutter plus efficacement contre la cybercriminalité, la directive prévoit le renforcement de la coopération internationale entre les autorités judiciaires et d’application de la loi.

La directive renforce et remplace la décision-cadre 2005/222/JAI du Conseil du 24 février 2005 relative aux attaques visant les systèmes d’information. Elle renforce également la Convention sur la cybercriminalité du Conseil de l’Europe de 2001, qui sert de modèle pour les législations nationales et régionales relatives à la cybercriminalité et crée une base commune de coopération dans et hors de l’UE.

RÉFÉRENCES

Acte	Entrée en vigueur	Délai de transposition dans les États membres	Journal officiel de l’Union européenne
Directive 2013/40/UE	3.9.2013	4.9.2015	JO L 218 du 14.8.2013

Décision-cadre 2005/222/JAI du Conseil du 24 février 2005 relative aux attaques visant les systèmes d’information