La Commission européenne présente, mardi 23 avril, un projet de décision cadre visant les intrusions informatiques. Le texte prévoit jusqu’à quatre ans de prison, sans toujours être clair dans sa définition du crime.
Il y a un an, la Commission européenne planchait sur la cybercriminalité. Un traité d’une institution extra-communautaire, le Conseil de l’Europe, était en cours de rédaction, sur le même thème. Bruxelles semblait alors plus soucieuse que ce Conseil du respect des droits de la personne dans les procédures pénales ; la Commission avançait prudemment sur la question. Le projet de décision cadre qu’elle présente mardi 23 avril n’affiche plus tant de précautions.
Melissa et Kournikova
De quoi s’agit-il ? Essentiellement de dissuader les intrusions sur des serveurs informatiques. Celles qui peuvent, demain, créer de graves dysfonctionnements dans une société en réseau. Enfin en principe. Car si l’on s’en réfère à la présentation des types de risques visés par les services de l’institution communautaire, l’exemple cité en second après le générique « accès non autorisé à des services d’informations ", concerne les attaques de type « denial of service », dites DOS. Celles-ci consistent à noyer des sites sous des flots de requêtes qui finissent par les planter. La Commission rappelle sans plus de précisions que « des études ont montré que de récentes attaques de ce type ont causé des pertes de centaines de millions d’euros, sans compter des pertes d’images intangibles ». Un dernier argument qui évoque davantage le langage du marketing que celui de la politique pénale. Viennent ensuite les virus « de type I love You, Melissa et Kournikova ».
Le texte précise que « ces actions sont souvent menées par des individus qui agissent seuls, souvent des mineurs qui ne se rendent pas compte de ce qu’ils font » et que la « gravité de ce type d’intrusions peut augmenter ». Le projet de décision mentionne, par ailleurs, les arnaques à la carte bleue, « qui sont aussi une source d’inquiétude ». La proposition de la Commission "fait aussi partie des réponses adressées à la menace d’attaques terroristes contre des systèmes d’informations vitaux en Europe », poursuit Bruxelles.
Quelles mesures concrètes ?
Globalement, le texte pose le principe de l’intentionnalité : l’intrusion non autorisée sur un serveur informatique est criminelle quand elle est dirigée dans le but de causer des dégâts à une personne physique ou morale, ou dans le but d’en tirer un bénéfice économique. L’article 3 mentionne aussi l’accès intentionnel à tout système faisant l’objet de mesures de protection spécifique. L’article 4, qui définit comme criminelles l’obstruction ou l’interruption du fonctionnement d’un système vise les attaques DOS, ainsi que la pratique du defacement consistant à changer la page d’accueil d’un site. L’effacement ou l’altération de données sur un serveur avec l’intention de causer un préjudice sont considérés comme des crimes. Le tarif annoncé : « un délai maximum d’emprisonnement d’au moins un an », ainsi que le formule la version anglophone du texte. Le projet de décision fixe la peine la plus grave à « au moins 4 ans de prison » en cas de circonstances aggravantes. Quelles sont-elles ? Avoir commis le forfait dans le cadre d’une organisation criminelle, avoir causé des pertes économiques substantielles de manière directe ou indirecte, avoir porté atteinte physiquement à quelqu’un, à une infrastructure d’un Etat membre. Ultime circonstance aggravante : le cas où l’offense à eu des conséquences importantes. Face à cette incrimination -semble-t-il- on ne peut plus floue, les Etats « peuvent envisager des peines réduites pour les atteintes mineures. L’esprit, de cette proposition de décision, proclame la Commission, n’est pas de réprimer des actes sans conséquences graves. Mais la limite entre gravité et bénignité est-elle bien tracée ? Lorsqu’il sera examiné, le texte devra être adopté à l’unanimité par les Etats pour entrer en vigueur.