Accès direct à la navigation principale (appuyer sur "Entrée")
Accès aux contenus de la page (appuyer sur "Entrée")
Accès direct aux autres sites (appuyer sur "Entrée")

Pirater un système informatique sera considéré comme une infraction pénale

LIBE Communiqué de presse - Justice et affaires intérieures28-03-2012 - 14:42
 

Les cyberattaques contre des systèmes informatiques seraient considérées comme des infractions pénales, punissables par au minimum deux ans d'emprisonnement dans l'ensemble de l'UE, conformément à un projet de loi soutenu par la commission des libertés civiles, mardi. Posséder ou distribuer des logiciels et des outils de piratage serait également considéré comme une infraction, et les entreprises seraient responsables des cyberattaques commises pour leur compte.


La proposition, qui mettrait à jour la législation européenne existante sur les cyberattaques, a été approuvée par 50 voix pour, une voix contre et 3 abstentions.


"Ici, nous parlons d'attaques criminelles sérieuses, dont certaines sont même entreprises par des organisations criminelles. Les dégâts financiers causés aux entreprises, aux utilisateurs privés et au public s'élèvent à plusieurs milliards chaque année", a déclaré le rapporteur Monika Hohlmeier (PPE, DE). "Aucun fabricant automobile ne peut mettre en circulation une voiture sans ceintures de sécurité. Et s'il le faisait, l'entreprise serait tenue responsable de tout dégât. Ces règles doivent également s'appliquer au monde virtuel", a-t-elle ajouté.


La proposition établirait des sanctions pénales harmonisées à l'encontre des auteurs de cyberattaques contre des systèmes informatiques - par exemple un réseau, une base de données ou un site web. L'accès, l'atteinte ou l'interception de données non autorisés devraient être traités comme une infraction pénale, déclarent les députés.


La peine maximale imposée par les États membres pour ces infractions serait d'au minimum deux ans d'emprisonnement, et d'au moins cinq ans pour les infractions avec des circonstances aggravantes, telles que l'utilisation d'un outil conçu spécialement pour des attaques à grande échelle ("botnet"), ou lorsque l'attaque entraîne un préjudice considérable (comme la perturbation des services du système), des coûts financiers ou la perte de données financières.


Usurpation d'adresse IP


Utiliser l'identité électronique d'autrui (en usurpant par exemple son adresse IP) en vue de commettre une attaque et lésant ainsi le titulaire légitime, serait également considéré comme une circonstance aggravante. Les députés affirment à cet égard que les États membres devraient fixer une peine maximale d'au moins trois ans.


Les députés proposent également des sanctions plus lourdes si l'attaque est commise par une organisation criminelle et/ou si elle vise des infrastructures critiques, telles que les systèmes d'informations de centrales électriques ou de réseaux de transport.


Toutefois, aucune sanction pénale ne devrait s'appliquer aux "cas sans gravité", par exemple lorsque les dommages causés par l'infraction sont insignifiants.


Outils de piratage


La proposition vise également les outils utilisés pour commettre des infractions: la production ou la vente d'outils tels que les programmes informatiques conçus pour lancer des cyberattaques, ou trouver le mot de passe d'un ordinateur, qui permet d'accéder au système d'informations, constituerait une infraction pénale.


Responsabilité des personnes morales


Les personnes morales seraient responsables des infractions commises pour leur compte (par exemple une entreprise serait tenue responsable d'avoir engagé un pirate informatique afin d'obtenir l'accès à une base de données d'un concurrent), que ce soit de façon délibérée ou en raison d'un manque de supervision. Elles seraient également passibles de sanctions telles que l'exclusion du bénéfice d'un avantage public ou une mesure judiciaire de dissolution.


Pour lutter contre les cyberattaques transfrontalières, les États membres doivent veiller à ce que leurs réseaux de points de contact nationaux soient disponibles 24h/24 et puissent répondre aux demandes urgentes dans un délai maximal de 8 heures, affirme le texte.


Contexte


Des cyberattaques à grande échelle ont eu lieu en Estonie en 2007 et en Lituanie en 2008. En mars 2009, les systèmes informatiques des secteurs public et privé de plus de 103 pays ont fait l'objet d'attaques par le biais d'un réseau "zombie" d'ordinateurs compromis et contaminés.


Prochaines étapes


Le rapporteur espère qu'un accord politique entre le Parlement et le Conseil sur cette directive sera conclu d'ici l'été.


Sous la présidence de: Juan Fernando López Aguilar (S&D, ES)

REF. : 20120326IPR41843
 
 
Contact
 
  • Baptiste CHATAIN

  • Service de presse (Bruxelles)
  • Telephone number(+32) 2 28 40992 (BXL)
  • Telephone number(+33) 3 881 74005 (STR)
  • Mobile number(+32) 498 98 13 37