RAPPORT sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision-cadre 2005/222/JAI du Conseil

18.6.2013 - (COM(2010)0517 – C7‑0293/2010 – 2010/0273(COD)) - ***I

Commission des libertés civiles, de la justice et des affaires intérieures
Rapporteure: Monika Hohlmeier


Procédure : 2010/0273(COD)
Cycle de vie en séance
Cycle relatif au document :  
A7-0224/2013

PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN

sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision-cadre 2005/222/JAI du Conseil

(COM(2010)0517 – C7‑0293/2010 – 2010/0273(COD))

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–   vu la proposition de la Commission au Parlement européen et au Conseil (COM(2010)0517),

–   vu l'article 294, paragraphe 2, et l'article 83, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7-0293/2010),

–   vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,

–   vu l'avis du Comité économique et social européen du 4 mai 2011[1],

–   vu l'engagement pris par le représentant du Conseil, par lettre du xxx, d'approuver la position du Parlement européen, conformément à l'article 294, paragraphe 4, du traité sur le fonctionnement de l'Union européenne,

–   vu l'article 55 de son règlement,

–   vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et les avis de la commission des affaires étrangères et de la commission de l'industrie, de la recherche et de l'énergie (A7-0224/2013),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.

Amendement  1

Proposition de directive

AMENDEMENTS DU PARLEMENT EUROPÉEN[2]*

à la proposition de la Commission

---------------------------------------------------------

Proposition de

Directive du Parlement européen et du Conseil

relative aux attaques visant les systèmes d'information et remplaçantla décision-cadre 2005/222/JAI du Conseil

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 83, paragraphe 1,

vu la proposition de la Commission européenne[3],

après transmission du projet d'acte législatif aux parlements nationaux,

vu l'avis du Comité économique et social européen[4],

vu l'avis du Comité des régions,

statuant conformément à la procédure législative ordinaire,

considérant ce qui suit:

(1)      La présente directive a pour objet de rapprocher les législations pénales des États membres pour réprimer les attaques contre les systèmes d'information en fixant des règles minimales concernant la définition des infractions pénales et les sanctions dans ce domaine, et de renforcer la coopération entre ▌les autorités compétentes, notamment la police et les autres services spécialisés chargés de l'application de la loi dans les États membres, ainsi que les agences spécialisées compétentes de l'Union, telles qu'Eurojust, Europol et son Centre européen de lutte contre la cybercriminalité et l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).

(1bis)  Les systèmes d'information représentent un élément essentiel de l'interaction politique, sociale et économique au sein de l'Union. La société est très dépendante de ce type de systèmes et ce phénomène va croissant. Le bon fonctionnement et la sécurité de ces systèmes au sein de l'Union sont fondamentaux pour le développement du marché intérieur et d'une économie compétitive et innovante. Le fait de garantir des niveaux de protection appropriés des systèmes d'information devrait faire partie d'un cadre global de mesures de prévention accompagnant les réponses pénales à la cybercriminalité.

(2)  Les attaques contre les systèmes d'information, en particulier celles qui sont liées à la criminalité organisée, constituent une menace croissance tant au sein de l'UE qu'à l'échelle mondiale, et l'éventualité d'attaques terroristes ou politiques contre les systèmes d'information des infrastructures critiques des États membres et de l'Union suscite de plus en plus d'inquiétude. Cette situation risque de compromettre la réalisation d'une société de l'information plus sûre et d'un espace de liberté, de sécurité et de justice, et appelle donc une réaction au niveau de l'Union européenne ainsi qu'une amélioration de la coopération et de la coordination au niveau international.

(2bis)  Il existe un certain nombre d'infrastructures critiques dans l'Union, dont l'arrêt ou la destruction aurait une incidence transfrontalière significative. Compte tenu de la nécessité de renforcer la capacité de protection des infrastructures critiques au sein de l'Union, les mesures de lutte contre les cyberattaques devraient s'accompagner de fortes sanctions pénales, reflétant la gravité de ces attaques. Une infrastructure critique doit se comprendre comme un point, système ou partie de celui-ci, situé dans les États membres, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, comme les centrales électriques, les réseaux de transport et les réseaux publics et dont l'arrêt ou la destruction aurait une incidence significative dans un État membre du fait de la défaillance de ces fonctions.

(3)  On constate une tendance à la perpétration d'attaques à grande échelle de plus en plus dangereuses et régulières contre des systèmes d'information qui, souvent, peuvent être critiques pour les États ou certaines fonctions du secteur public ou privé. Parallèlement, des méthodes de plus en plus sophistiquées sont mises au point, telles que la création et l'utilisation de "réseaux zombies", ce qui se traduit par une succession d'infractions pénales dont chaque stade pourrait à lui seul menacer gravement les intérêts publics. À cet égard, la directive vise, entre autres, à mettre en place des sanctions pénales au stade de la création du réseau zombie, c'est-à-dire lorsqu'un contrôle à distance d'un nombre important d'ordinateurs est établi par leur contamination au moyen de logiciels malveillants dans le cadre de cyberattaques ciblées. À un stade ultérieur, le réseau d'ordinateurs contaminés, qui constitue le réseau zombie, pourrait être activé à l'insu des utilisateurs des ordinateurs dans le but de lancer une cyberattaque à grande échelle, qui est en général à même de causer de graves préjudices, comme indiqué dans la présente directive. Les États membres peuvent déterminer, en fonction de leur législation et de leur pratique nationales, ce qui constitue un préjudice considérable; il peut s'agir de la perturbation de services de réseau présentant un intérêt public important, de coûts financiers majeurs ou de la perte de données à caractère personnel ou d'informations sensibles.

(3bis)  Des attaques à grande échelle sont susceptibles de provoquer des dommages économiques notables, tant du fait de l'interruption des systèmes d'information ou des communications qu'en raison de la perte ou de l'altération d'informations confidentielles importantes d'un point de vue commercial ou d'autres données. Il y a lieu en particulier de veiller à sensibiliser les PME innovantes aux menaces et à leurs vulnérabilités à cet égard, étant donné qu'elles dépendent davantage du bon fonctionnement et de la disponibilité des systèmes d'information et ne consacrent souvent que des ressources limitées à la sécurité de l'information.

(4)      Il importe d'arrêter des définitions communes dans ce domaine de manière à garantir l'application cohérente de la présente directive dans tous les États membres.

(5)      Il convient d'adopter une position commune sur les éléments constitutifs des infractions pénales en établissant les infractions communes d'accès illégal à un système d'information, d'atteinte à l'intégrité d'un système, d'atteinte à l'intégrité des données et d'interception illégale de données.

(5bis)  L'interception comprend, sans que cette liste soit limitative, l'écoute, le contrôle ou la surveillance du contenu des communications, et l'obtention du contenu des données, soit directement, au moyen de l'accès aux systèmes d'information et de leur utilisation, soit indirectement, au moyen de dispositifs d'écoute électroniques.

(6)  Les États membres devraient prévoir des sanctions pour réprimer les attaques contre les systèmes d'information. Les sanctions ainsi fixées devraient être effectives, proportionnées et dissuasives et devraient comprendre des peines d'emprisonnement et/ou des sanctions financières.

(6bis)  La directive prévoit des sanctions pénales au moins dans les cas où les faits ne sont pas sans gravité. Les États membres peuvent déterminer, en fonction de la loi et de la pratique nationales, ce qui constitue un cas sans gravité. On peut considérer qu'un cas est sans gravité, par exemple, lorsque les dommages causés par l'infraction et/ou le risque qu'elle comporte pour les intérêts publics ou privés, comme pour l'intégrité d'un système informatique ou de données informatiques, ou pour l'intégrité, les droits ou les autres intérêts d'une personne, sont peu importants ou de nature telle qu'il n'est pas nécessaire d'appliquer des sanctions pénales dans le cadre du seuil légal ou d'engager la responsabilité pénale.

(6ter)  La détection et la notification des menaces et des risques liés aux cyberattaques, ainsi que des vulnérabilités des systèmes d'information à cet égard, sont utiles pour prévenir les cyberattaques et y répondre de manière efficace, et pour améliorer la sécurité des systèmes d'information. Prévoir des mesures incitatives pour signaler les failles en matière de sécurité pourrait y contribuer. Les États membres devraient s'efforcer de prévoir la possibilité de détecter et de signaler de manière légale les failles en matière de sécurité.

(7)  Il y a lieu de prévoir des sanctions plus sévères si l'attaque contre un système d'information est commise par une organisation criminelle, telle que définie dans la décision-cadre 2008/841/JAI du Conseil du 24 octobre 2008 relative à la lutte contre la criminalité organisée[5], ou si l'attaque est menée à grande échelle, affectant ainsi un grand nombre de systèmes d'information ou causant un préjudice considérable, y compris lorsque l'attaque a pour objectif de créer un réseau zombie ou qu'elle est menée via un tel réseau, provoquant un préjudice considérable. Il y a également lieu de prévoir des sanctions plus sévères lorsqu'une telle attaque est menée contre une infrastructure critique.

(7bis) La mise en place de mesures efficaces contre l'usurpation d'identité et d'autres infractions liées à l'identité constitue un autre élément important de l'approche intégrée contre la cybercriminalité. La nécessité de mener une action au niveau de l'UE pour lutter contre ce type de comportement criminel pourrait également être envisagée dans le cadre de l'évaluation de la nécessité de disposer d'un instrument horizontal global au niveau de l'UE.

(8)      Dans ses conclusions des 27 et 28 novembre 2008, le Conseil a invité les États membres et la Commission à définir une nouvelle stratégie, en prenant en considération le contenu de la convention du Conseil de l'Europe de 2001 sur la cybercriminalité. Cette convention est le cadre juridique de référence de la lutte contre la cybercriminalité, y compris les attaques contre les systèmes d'information, et la présente directive s'en inspire. Il faudrait donc se donner pour priorité d'achever, le plus rapidement possible, le processus de ratification de la Convention par tous les États membres.

(9)  Compte tenu des différentes façons dont les attaques peuvent être menées et de l'évolution rapide des équipements et des logiciels, la présente directive fait référence à des "outils" qui peuvent être utilisés pour commettre les infractions qui y sont énumérées. On entend par "outils", par exemple, des logiciels malveillants, notamment ceux qui sont capables de créer des réseaux zombies, utilisés pour lancer des cyberattaques. Même si un outil est adapté voire particulièrement adapté pour commettre les infractions mentionnées, il se peut qu'il soit produit à des fins légitimes. Puisqu'il faut éviter d'ériger en infractions la production et la commercialisation de ces outils à des fins légitimes, par exemple pour tester la fiabilité de produits relevant des technologies de l'information ou la sécurité des systèmes d'information, il faut, pour qu'il y ait infraction, qu'existe, outre une intention générale, une intention directe d'utiliser ces outils afin de commettre l'une ou l'autre des infractions visées dans la présente directive.

(10bis)  La présente directive n'a pas pour objet d'engager la responsabilité pénale lorsque les critères objectifs constitutifs des infractions énumérées dans la présente directive sont remplis, mais que les actes sont commis sans intention délictueuse, par exemple lorsque la personne ne savait pas que l'accès n'était pas autorisé ou dans le cas d'interventions obligatoires visant à tester ou à protéger un système d'information, par exemple lorsqu'une personne est chargée par une entreprise ou un vendeur de tester la résistance de son système de sécurité. Dans le cadre de la présente directive, les obligations contractuelles ou les conventions visant à limiter l'accès à des systèmes d'information par des conditions d'utilisation et des conditions générales, ainsi que les conflits du travail concernant l'accès aux systèmes d'information de l'employeur et leur utilisation à des fins privées ne devraient pas engager de responsabilité pénale lorsque l'accès effectué dans ces conditions serait réputé interdit et constituerait donc la seule motivation des poursuites pénales. La présente directive est sans préjudice du droit d'accès à l'information garanti légalement par le droit national et le droit de l'UE, et ne peut pas non plus servir de disposition dérogatoire pour justifier un accès illicite et arbitraire à l'information.

(10ter) Les cyberattaques sont susceptibles d'être facilitées par diverses circonstances, comme lorsque l'auteur a accès, dans le cadre de son activité professionnelle, aux systèmes de sécurité internes des systèmes d'information affectés. Dans le cadre du droit national, de telles circonstances devraient être prises en considération de manière appropriée au cours des poursuites pénales.

(10quater) Les États membres devraient prévoir des circonstances aggravantes dans leur droit national conformément aux règles applicables établies en la matière par leur système juridique. Ils devraient veiller à ce que les juges puissent tenir compte de ces circonstances aggravantes lorsqu'ils prononcent une condamnation à l'encontre des auteurs d'infractions. Il relève de l'appréciation du juge d'évaluer ces circonstances avec les autres éléments factuels du cas considéré.

(10 quinquies) La présente directive n'a pas pour objet de régir les conditions devant être remplies afin d'exercer une compétence à l'égard d'une des infractions visées aux articles 3 à 8, telles qu'une déclaration de la victime sur le lieu de l'infraction, ou une dénonciation émanant de l'État où l'infraction a été commise, ou le fait que l'auteur de l'infraction n'ait pas fait l'objet de poursuites là où l'infraction a été commise.

(10 sexies) Dans le cadre de la présente directive, les États et les entités publiques restent pleinement tenus de garantir le respect des droits de l'homme et des libertés fondamentales, conformément aux obligations internationales existantes.

(11)  La présente directive renforce l'importance des réseaux, tels que le réseau de points de contact du G8 ou celui du Conseil de l'Europe dont les points de contact sont disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept. Ces points de contact devraient pouvoir fournir une assistance effective et faciliter, par exemple, l'échange d'informations disponibles pertinentes ou la fourniture de conseils techniques ou d'informations juridiques aux fins des enquêtes ou des procédures portant sur des infractions pénales concernant des systèmes d'information et des données connexes impliquant l'État membre demandeur. Afin d'assurer le bon fonctionnement des réseaux, chaque point de contact devrait pouvoir être en mesure d'entrer rapidement en communication avec le point de contact d'un autre État membre, en s'appuyant entre autres sur un personnel formé et équipé. Compte tenu de la rapidité avec laquelle des cyberattaques à grande échelle peuvent être menées, il conviendrait que tous les États membres soient en mesure de répondre promptement aux demandes urgentes émanant de ce réseau de points de contact. Dans pareils cas, il serait souhaitable que la demande d'informations s'accompagne d'un contact téléphonique afin de s'assurer qu'elle sera traitée rapidement par l'État membre auquel elle est adressée et qu'une réponse sera apportée dans un délai de huit heures.

(11bis)  La coopération entre les pouvoirs publics, le secteur privé et la société civile est essentielle pour prévenir les attaques visant les systèmes d'information et lutter contre ce phénomène. Il est nécessaire de favoriser et d'améliorer la coopération entre les prestataires de services, les producteurs, les organismes chargés de l'application de la loi et les autorités judiciaires, tout en respectant pleinement l'état de droit. Dans le cadre de cette coopération, les prestataires de services peuvent par exemple apporter leur concours pour aider à préserver des preuves éventuelles, fournir des éléments permettant d'identifier les contrevenants et, en dernier recours, fermer, totalement ou en partie, conformément au droit national, y compris la législation et les pratiques nationales, les systèmes d'information ou les fonctions qui ont été compromis ou utilisés à des fins illégales. Les États membres devraient également envisager de mettre en place des réseaux de coopération et de partenariat avec les prestataires de service et les producteurs pour permettre l'échange d'informations relatives aux infractions relevant du champ d'application de la présente directive.

(12bis)  Il est nécessaire de recueillir des données comparables sur les infractions relevant de la présente directive. Des données pertinentes devraient être mises à la disposition des agences spécialisées compétentes, comme Europol et l'Agence européenne chargée de la sécurité des réseaux et de l'information en fonction de leurs missions et de leurs besoins en information, afin de générer une vision plus complète du problème de la cybercriminalité et du niveau de sécurité des réseaux et de l'information au niveau de l'UE et de permettre ainsi de formuler des réponses plus efficaces. Les États membres devraient transmettre à Europol et à son Centre européen de la lutte contre la cybercriminalité des informations sur le mode opératoire utilisé par les auteurs d'infractions, afin que ces agences puissent établir des évaluations et des analyses stratégiques de la menace que constitue la cybercriminalité conformément à la décision 2009/371/JAI du Conseil. La communication d'informations peut permettre de mieux comprendre les menaces actuelles et futures et contribuer ainsi à ce que des décisions plus appropriées et mieux ciblées soient prises pour combattre et prévenir les attaques contre les systèmes d'information.

(12ter) En application de la présente directive, la Commission doit présenter un rapport sur son application et faire les propositions législatives nécessaires, susceptibles de mener à un élargissement du champ d'application de la présente directive, en prenant en compte les évolutions dans le domaine de la cybercriminalité. Au nombre de ces évolutions pourraient figurer les progrès technologiques permettant par exemple une répression plus efficace des attaques contre les systèmes d'information ou facilitant la prévention ou limitant l'impact de telles attaques. À cette fin, la Commission devrait prendre en considération l'analyse et les rapports disponibles établis par les acteurs compétents, en particulier Europol et ENISA.

(12quater)  Afin de lutter efficacement contre la cybercriminalité, il est nécessaire de renforcer la résistance des systèmes d'information en prenant des mesures appropriées pour mieux les protéger contre les cyberattaques. Les États membres devraient prendre les mesures nécessaires pour protéger les infrastructures critiques contre les cyberattaques, et examiner à cette occasion la protection de leurs systèmes d'information et des données qu'ils contiennent. Le fait que les personnes morales assurent un niveau adéquat de protection et de sécurité des systèmes d'information, par exemple lors de la fourniture de services de communications électroniques accessibles au public, conformément à la législation européenne en vigueur en matière de vie privée et de protection des communications électroniques et des données, est un élément essentiel de la stratégie globale visant à lutter efficacement contre la cybercrimialité. Il convient de garantir des niveaux de protection appropriés contre les menaces et les vulnérabilités pouvant être raisonnablement identifiées en l'état des connaissances dans certains secteurs et compte tenu des conditions spécifiques de traitement des données. Les coûts et charges liés à cette protection devraient être proportionnels au préjudice éventuel qu'une cyberattaque pourrait causer aux personnes concernées. Les États membres sont encouragés à prévoir, dans le cadre de leur législation nationale, des mesures pertinentes permettant d'engager la responsabilité des personnes morales, lorsque celles-ci n'ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques.

(13)  L'existence de lacunes et de différences importantes dans les législations et les procédures pénales des États membres en matière d'attaques contre les systèmes d'information ▌ risque d'entraver la lutte contre la criminalité organisée et le terrorisme, et de compliquer la coopération policière et judiciaire dans ce domaine. Les systèmes d'information modernes ayant un caractère transnational et ne connaissant pas de frontières, les attaques lancées contre eux ont une dimension transfrontière qui met en lumière la nécessité de prendre d'urgence des mesures complémentaires pour rapprocher le droit pénal dans ce domaine. Par ailleurs, il convient de faciliter la coordination des poursuites judiciaires en cas d'attaque contre des systèmes d'information par la mise en œuvre et l'application appropriées de la décision-cadre 2009/948/JAI du Conseil relative à la prévention et au règlement des conflits en matière d'exercice de la compétence dans le cadre des procédures pénales. Les États membres, en coopération avec l'Union européenne, devraient également chercher à améliorer la coopération internationale dans le domaine de la sécurité des systèmes d'information, des réseaux informatiques et des données informatiques. Il convient de prendre dûment en considération la sécurité du transfert et du stockage des données dans tout accord international impliquant l'échange de données.

(13bis)  Il est essentiel d'améliorer la coopération entre les services compétents chargés de l'application de la loi et les autorités judiciaires à travers l'Union pour pouvoir lutter efficacement contre la cybercriminalité. Dans ce contexte, il convient d'encourager l'intensification des efforts visant à offrir une formation adaptée aux autorités compétentes de manière à ce qu'elles comprennent mieux la cybercriminalité et son impact et de favoriser la coopération et l'échange de bonnes pratiques, par exemple via les agences spécialisées compétentes de l'UE. Cette formation devrait notamment viser à mieux faire connaître les différents systèmes juridiques nationaux, les éventuels problèmes juridiques et techniques qui se posent dans les enquêtes pénales ou la répartition des compétences entre les autorités nationales compétentes.

(14)    Étant donné que les objectifs de la présente directive, à savoir garantir que les attaques contre des systèmes d'information soient passibles, dans tous les États membres, de sanctions pénales effectives, proportionnées et dissuasives, et améliorer et favoriser la coopération judiciaire en supprimant les complications potentielles, ne peuvent être réalisés de manière suffisante par les États membres, puisque les règles doivent être communes et compatibles, et que lesdits objectifs peuvent donc être mieux réalisés au niveau de l'Union européenne, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. La présente directive n'excède pas ce qui est nécessaire pour atteindre ces objectifs.

(15bis)  La protection des données à caractère personnel est un droit fondamental en vertu de l'article 16, paragraphe 1, du TFUE, et de l'article 8 de la Charte des droits fondamentaux de l'UE. Par conséquent, tout traitement de données à caractère personnel effectué dans le cadre de la mise en œuvre de la présente directive devrait être conforme à la législation de l'UE applicable en la matière et adoptée sur la base des traités.

(16)    La présente directive respecte les libertés et les droits fondamentaux et est conforme aux principes consacrés en particulier par la Charte des droits fondamentaux de l'Union européenne et la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, notamment la protection des données à caractère personnel, le droit au respect de la vie privée, la liberté d'expression et d'information, le droit à un procès équitable, la présomption d'innocence et les droits de la défense, ainsi qu'aux principes de légalité et de proportionnalité des infractions et sanctions pénales. La présente directive tend en particulier à garantir le plein respect de ces droits et principes et doit être mise en œuvre en conséquence.

(17)    Conformément à l'article 3 du protocole sur la position du Royaume-Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice, annexé au traité sur le fonctionnement de l'Union européenne, le Royaume-Uni et l'Irlande ont notifié leur souhait de participer à l'adoption et à l'application de la présente directive ▌.

(18)  Conformément aux articles 1er et 2 du protocole sur la position du Danemark annexé au traité sur le fonctionnement de l'Union européenne, le Danemark ne participe pas à l'adoption de la présente directive et n'est donc pas lié par celle-ci ni soumis à son application.

(19)    La présente directive vise à modifier et à étendre les dispositions de la décision‑cadre 2005/222/JAI. Puisque les modifications à faire sont significatives par leur nombre comme par leur nature, il convient, pour plus de clarté, de remplacer entièrement la décision-cadre à l'égard des États membres qui participent à l'adoption de la présente directive,

ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:

Article premierObjet

La présente directive fixe des règles minimales concernant la définition des infractions pénales et les sanctions en matière d'attaques visant les systèmes d'information. Elle vise également à faciliter la prévention de ces infractions et à améliorer la coopération entre les autorités judiciaires et les autres autorités compétentes.

Article 2Définitions

Aux fins de la présente directive, on entend par:

a)          "système d'information": tout dispositif isolé ou groupe de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données informatiques, ainsi que les données informatiques stockées, traitées, récupérées ou transmises par ces derniers en vue de leur fonctionnement, utilisation, protection et maintenance;

b)  "données informatiques": toute représentation de faits, d'informations ou de concepts sous une forme qui se prête à un traitement informatique, y compris un programme de nature à faire en sorte qu'un système informatique exécute une fonction;

c)          "personne morale": toute entité à laquelle le droit en vigueur reconnaît ce statut, à l'exception des États et des autres entités publiques dans l'exercice de prérogatives de puissance publique, et des organisations internationales relevant du droit public;

d)          "sans droit": un accès, une atteinte à l'intégrité, une interception, ou tout autre comportement visé dans la présente directive non autorisé par le propriétaire ou autre détenteur de droits au système ou à une partie du système, ou non prévu par la législation nationale.

Article 3Accès illégal à des systèmes d'information

Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable l'accès sans droit, lorsqu'il est intentionnel, à tout ou partie d'un système d'information, lorsque l'infraction est commise en violation d'une mesure de sécurité, au moins dans les cas où les faits ne sont pas sans gravité.

Article 4Atteinte à l'intégrité d'un système

Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable ▌le fait de provoquer une perturbation grave ou une interruption du fonctionnement d'un système d'information, en introduisant, transmettant, endommageant, effaçant, détériorant, altérant, supprimant ou rendant inaccessibles des données informatiques lorsque l'acte est commis de manière intentionnelle et sans droit, au moins dans les cas où les faits ne sont pas sans gravité.

Article 5Atteinte à l'intégrité des données

Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable ▌le fait d'effacer, d'endommager, de détériorer, d'altérer, de supprimer ou de rendre inaccessibles des données informatiques d'un système d'information lorsque l'acte est commis de manière intentionnelle et sans droit, au moins dans les cas où les faits ne sont pas sans gravité.

Article 6Interception illégale

Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable ▌l'interception, effectuée par des moyens techniques, de transmissions non publiques de données informatiques à destination, en provenance ou à l'intérieur d'un système d'information, y compris les émissions électromagnétiques provenant d'un système d'information transportant de telles données informatiques, lorsque l'acte est commis de manière intentionnelle et sans droit, au moins dans les cas où les faits ne sont pas sans gravité.

Article 7Outils utilisés pour commettre les infractions

1.          Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable la production, la vente, l'obtention pour utilisation, l'importation, ▌la diffusion ou d'autres formes de mise à disposition des éléments ci-dessous lorsque l'acte est commis de manière intentionnelle et sans droit, dans l'intention de les utiliser pour commettre l'une des infractions visées aux articles 3 à 6, au moins dans les cas où les faits ne sont pas sans gravité:

a)      ▌un programme informatique, principalement conçu ou adapté pour permettre la commission de l'une des infractions visées aux articles 3 à 6;

b)  un mot de passe, un code d'accès ou des données informatiques similaires permettant d'accéder à tout ou partie d'un système informatique.

Article 8

Incitation, complicité et tentative

1.          Les États membres font en sorte d'ériger en infraction pénale punissable le fait d'inciter à commettre l'une des infractions visées aux articles 3 à 7, ou de s'en rendre complice.

2.          Les États membres font en sorte d'ériger en infraction pénale punissable la tentative de commettre une infraction visée aux articles 4 et 5.

Article 9Sanctions

1.          Les États membres prennent les mesures nécessaires pour que les infractions visées aux articles 3 à 8 soient passibles de sanctions pénales effectives, proportionnées et dissuasives.

2.          Les États membres prennent les mesures nécessaires pour que les infractions visées aux articles 3 à 7 soient passibles d'une peine d'emprisonnement maximale d'au moins deux ans, au moins dans les cas où les faits ne sont pas sans gravité.

3.  Les États membres prennent les mesures nécessaires pour que les infractions visées aux articles 4 et 5, lorsqu'elles sont commises de manière intentionnelle, soient passibles d'une peine d'emprisonnement maximale d'au moins trois ans lorsqu'un nombre important de systèmes d'information sont atteints au moyen d'un outil, visé à l'article 7, paragraphe 1, principalement conçu ou adapté à cette fin.

4.          Les États membres prennent les mesures nécessaires pour que les infractions visées aux articles 4 et 5 soient passibles d'une peine d'emprisonnement maximale d'au moins cinq ans dans les cas où

a)     elles sont commises dans le cadre d'une organisation criminelle au sens de la décision-cadre 2008/841/JAI, indépendamment de la peine qui y est visée, ou

b)     elles causent un préjudice considérable, ou

c)      elles sont commises contre un système d'information faisant partie d'une infrastructure critique.

5.  Les États membres prennent les mesures nécessaires pour que, lorsque les infractions visées aux articles 4 et 5 sont commises par l'utilisation abusive des données à caractère personnel d'une autre personne, en vue de gagner la confiance d'une tierce partie, causant ainsi un préjudice au propriétaire légitime de l'identité, ces éléments puissent, conformément aux dispositions applicables du droit national, être considérés comme des circonstances aggravantes, sauf si ces circonstances sont déjà couvertes par une autre infraction punissable en vertu de la législation nationale.

Article 11Responsabilité des personnes morales

1.          Les États membres prennent les mesures nécessaires pour que les personnes morales puissent être tenues pour responsables des infractions visées aux articles 3 à 8, lorsqu'elles sont commises pour leur compte par toute personne agissant soit individuellement soit en tant que membre d'un organe de la personne morale, qui exerce un pouvoir de direction en son sein à l'un des titres suivants:

a)      un pouvoir de représentation de la personne morale;

b)  une autorité pour prendre des décisions au nom de la personne morale;

c)      une autorité pour exercer un contrôle au sein de la personne morale.

2.          Les États membres prennent les mesures nécessaires pour s'assurer que les personnes morales puissent être tenues pour responsables lorsque l'absence de surveillance ou de contrôle de la part d'une personne visée au paragraphe 1 a rendu possible la commission de l'une des infractions visées aux articles 3 à 8 pour le compte de cette personne morale, par une personne agissant sous son autorité.

3.          La responsabilité des personnes morales au titre des paragraphes 1 et 2 n'exclut pas les poursuites pénales contre les personnes physiques auteurs, incitateurs ou complices de l'une des infractions visées aux articles 3 à 8.

Article 12Sanctions contre les personnes morales

1.          Les États membres prennent les mesures nécessaires pour qu'une personne morale dont la responsabilité est engagée au titre de l'article 11, paragraphe 1, soit passible de peines effectives, proportionnées et dissuasives, qui comprennent des amendes pénales et non pénales, et éventuellement d'autres sanctions, telles que

a)      l'exclusion du bénéfice d'un avantage ou d'une aide publics;

b)  l'interdiction temporaire ou définitive d'exercer une activité commerciale;

c)       le placement sous contrôle judiciaire;

d)     une mesure judiciaire de dissolution;

e)      la fermeture temporaire ou définitive des établissements qui ont servi à commettre l'infraction.

2.          Les États membres prennent les mesures nécessaires pour qu'une personne morale dont la responsabilité est engagée au titre de l'article 11, paragraphe 2, soit passible de peines ou de mesures effectives, proportionnées et dissuasives.

Article 13

Compétence

1.          Les États membres établissent leur compétence à l'égard des infractions visées aux articles 3 à 8, lorsque l'infraction a été commise:

a)      en tout ou en partie sur le territoire de l'État membre concerné; ou

aa)  par un de leurs ressortissants, au moins dans les cas où l'acte constitue une infraction pénale là où il a été commis.

2.          Lorsqu'il établit sa compétence conformément au paragraphe 1, point a), un État membre fait en sorte qu'elle comprenne les cas où:

a)      l'auteur de l'infraction l'a commise alors qu'il était physiquement présent sur le territoire de l'État membre concerné, même si l'infraction ne vise pas un système d'information situé sur son territoire; ou

b)     l'infraction vise un système d'information situé sur le territoire de l'État membre concerné, même si l'auteur de l'infraction n'était pas physiquement présent sur son territoire lors de la commission de l'infraction.

3.  Un État membre informe la Commission de sa décision d'élargir sa compétence à l'égard des infractions visées aux articles 3 à 8 qui ont été commises en dehors de son territoire, par exemple dans les cas suivants:

a)     l'auteur de l'infraction réside habituellement sur son territoire; ou

b)     l'infraction a été commise pour le compte d'une personne morale établie sur son territoire.

Article 14

  Échange d'informations

1.          Aux fins de l'échange d'informations relatives aux infractions visées aux articles 3 à 8, les États membres veillent à disposer d'un point de contact national opérationnel et à recourir au réseau existant de points de contact opérationnels, disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept. Les États membres veillent également à mettre en place des procédures pour pouvoir, en cas de demandes urgentes, indiquer, dans un délai maximal de huit heures, au moins si la demande d'aide sera satisfaite, ainsi que la forme et le délai estimé pour la réponse.

2.  Les États membres communiquent à la Commission le point de contact qu'ils ont désigné aux fins de l'échange d'informations sur les infractions visées aux articles 3 à 8. La Commission transmet ces informations aux autres États membres et aux agences et instances spécialisées compétentes de l'UE.

3.          Les États membres prennent les mesures nécessaires pour faire en sorte que des canaux de communication appropriés soient mis à disposition afin de faciliter le signalement sans retard excessif aux autorités nationales compétentes des infractions visées aux articles 3 à 6.

Article 15Suivi et statistiques

1.          Les États membres veillent à mettre en place un système d'enregistrement, de production et de communication de statistiques sur les infractions visées aux articles 3 à 7.

2.          Les statistiques visées au paragraphe 1 portent, au minimum, sur les données existantes concernant le nombre d'infractions visées aux articles 3 à 7 enregistrées par les États membres, ainsi que ▌le nombre de personnes poursuivies et condamnées pour les infractions visées aux articles 3 à 7.

3.  Les États membres transmettent à la Commission les données recueillies conformément au présent article. La Commission veille à ce qu'un état consolidé de ces rapports statistiques soit publié et soumis aux agences et organes spécialisés compétents de l'UE.

Article 16

Remplacement de la décision-cadre 2005/222/JAI

La décision-cadre 2005/222/JAI est remplacée à l'égard des États membres qui participent à l'adoption de la présente directive, sans préjudice des obligations des États membres concernant le délai de transposition de la décision-cadre en droit national.

À l'égard des États membres participant à l'adoption de la présente directive, les références faites à la décision-cadre 2005/222/JAI s'entendent comme faites à la présente directive.

Article 17Transposition

1.          Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive dans un délai de [deux ans après son adoption].▌

3.  Les États membres communiquent à la Commission le texte des dispositions transposant dans leur droit national les obligations que leur impose la présente directive.

4.          Lorsque les États membres adoptent ces mesures, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.

Article 18Rapports

La Commission présente au Parlement européen et au Conseil, au plus tard [QUATRE ANS À COMPTER DE L'ADOPTION], un rapport évaluant dans quelle mesure les États membres ont pris les dispositions nécessaires pour se conformer à la présente directive, accompagné, le cas échéant, de propositions législatives. À cet égard, la Commission tient également compte des évolutions techniques et juridiques dans le domaine de la cybercriminalité, en particulier au regard du champ d'application de la présente directive.

Article 19Entrée en vigueur

La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Article 20Destinataires

Les États membres sont destinataires de la présente directive conformément aux traités.

_______________

  • [1]  JO C 218 du 23.7.2011, p. 130.
  • [2] *              Amendements: le texte nouveau ou modifié est signalé par des italiques gras; les suppressions sont signalées par le symbole ▌.
  • [3]               JO C […] du […], p. […].
  • [4]               JO C […] du […], p. […].
  • [5]               JO L 300 du 11.11.2008, p. 42.

AVIS de la commission des affaires ÉtrangÈres (28.11.2011)

à l'intention de la commission des libertés civiles, de la justice et des affaires intérieures

sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision‑cadre 2005/222/JAI du Conseil
(COM(2010)0517 – C7-0293/2010 – 2010/0273(COD))

Rapporteure pour avis: Kristiina Ojuland

JUSTIFICATION SUCCINCTE

Le présent avis soutient fermement la nécessité d'améliorer l'échange des informations liées à la cybersécurité entre les États membres, alors que les craintes d'éventuelles cyberattaques s'amplifient. Il est véritablement urgent d'aborder la question de la cybersécurité au niveau de l'Union, en déployant des actions coordonnées dans les États membres.

Le présent avis souligne que la Commission a un rôle à jouer pour favoriser la promotion et la coordination des initiatives en cours.

La commission des affaires étrangères et la sous-commission "sécurité et défense" estiment qu'il est urgent d'agir et de renforcer la coordination des réponses, des initiatives et des programmes au niveau de l'Union. Il y a lieu de soutenir le développement des capacités et de renforcer la collaboration pour relever le niveau de sécurité des informations.

Le présent avis soutient l'idée de la nomination d'un coordinateur de la cybersécurité de l'Union afin de favoriser l'intégration et la coordination des différentes activités et initiatives lancées au niveau de l'Union et dans l'ensemble de ses institutions.

AMENDEMENTS

La commission des affaires étrangères invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à incorporer dans son rapport les amendements suivants:

Amendement  1

Proposition de directive

Considérant 1

Texte proposé par la Commission

Amendement

(1) La directive a pour objet de rapprocher les règles pénales appliquées par les États membres pour réprimer les attaques contre les systèmes d’information et de renforcer la coopération entre les autorités judiciaires et les autres autorités compétentes, notamment la police et les autres services spécialisés chargés de l'application de la loi dans les États membres.

(1) La présente directive a pour objet de rapprocher les règles pénales appliquées par les États membres pour réprimer les attaques contre les systèmes d’information et de renforcer la coopération entre les autorités judiciaires et les autres autorités compétentes, notamment la police et les autres services spécialisés chargés de l'application de la loi dans les États membres et dans l'Union. Cet objectif s'inscrit dans le cadre de la stratégie globale de l'Union visant à lutter contre la criminalité organisée, à augmenter la résistance des réseaux informatiques et à renforcer les infrastructures d'information critiques ainsi que la protection des données.

Amendement  2

Proposition de directive

Considérant 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(1 bis) Les systèmes d'information sont des éléments essentiels à l'interaction politique, sociale et économique dans l'Union. La société est désormais dépendante des systèmes d'information. Néanmoins, si ceux‑ci offrent des avantages non négligeables, ils comportent également une série de risques pour notre sécurité en raison de leur complexité et de leur vulnérabilité face à la criminalité informatique en tout genre. C'est pourquoi la sécurité des systèmes d'information représente une préoccupation constante et nécessite des réponses efficaces de la part des États membres et de l'Union.

Amendement  3

Proposition de directive

Considérant 2

Texte proposé par la Commission

Amendement

(2) Les attaques contre les systèmes d'information, en particulier celles qui pourraient émaner du milieu de la criminalité organisée, constituent une menace croissante, et l'éventualité d'attaques terroristes ou politiques contre les systèmes d'information des infrastructures critiques des États membres et de l'Union suscite de plus en plus l'inquiétude. Cette situation risque de compromettre la réalisation d'une société de l'information plus sûre et d'un espace de liberté, de sécurité et de justice, et appelle donc une réaction au niveau de l'Union européenne.

(2) Les attaques contre les systèmes d'information constituent une menace croissante. Elles peuvent émaner du terrorisme ou de la criminalité organisée et peuvent être perpétrées par des États ou des particuliers. L'éventualité d'attaques terroristes ou politiques contre les systèmes d'information des infrastructures critiques des États membres et de l'Union suscite de plus en plus l'inquiétude. Le niveau de menace s'accroît sensiblement si l'on prend en considération le caractère transfrontalier de certaines infractions et les risques et les coûts relativement faibles auxquels leurs auteurs s'exposent, et auxquels s'ajoutent les avantages considérables qu'ils peuvent en retirer ainsi que les dégâts que leurs attaques peuvent provoquer. Cette situation risque de compromettre la réalisation d'une société de l'information plus sûre et d'un espace de liberté, de sécurité et de justice, et appelle donc une réaction, non seulement de la part de l'Union européenne, mais également de la part de la communauté internationale.

Amendement  4

Proposition de directive

Considérant 3

Texte proposé par la Commission

Amendement

(3) On constate une tendance à la perpétration d'attaques à grande échelle de plus en plus dangereuses et régulières contre des systèmes d'information critiques pour les États ou certaines fonctions du secteur public ou privé. Parallèlement, des outils de plus en plus sophistiqués sont mis au point, lesquels peuvent être utilisés par des criminels pour lancer des cyberattaques de divers types.

(3) On constate une tendance à la perpétration d'attaques à grande échelle de plus en plus dangereuses et régulières contre des systèmes d'information critiques pour les États membres, pour l'Union ou pour certaines fonctions du secteur public ou privé, ainsi qu'au niveau de l'Union. Cette tendance coïncide avec le développement rapide des technologies informatiques et, par voie de conséquence, d'outils de plus en plus sophistiqués qui peuvent être utilisés par des criminels pour lancer des cyberattaques de divers types, certains de ces outils pouvant aisément provoquer des dommages économiques et sociaux.

Amendement  5

Proposition de directive

Considérant 4 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(4 bis) Il conviendrait de procéder à une évaluation globale, approfondie, fiable et indépendante des risques d'attaques à l'encontre de systèmes d'information. Les institutions de l'Union devraient adapter en conséquence leur niveau de sécurité de l'information.

Amendement  6

Proposition de directive

Considérant 4 ter (nouveau)

Texte proposé par la Commission

Amendement

 

(4 ter) Une coordination est nécessaire au niveau de l'Union en vue de faciliter l'intégration de différents programmes, initiatives et activités.

Amendement  7

Proposition de directive

Considérant 6

Texte proposé par la Commission

Amendement

(6) Il conviendrait que les États membres prévoient des sanctions pour réprimer les attaques contre les systèmes d'information. Les sanctions ainsi fixées devraient être effectives, proportionnées et dissuasives.

(6) Il conviendrait que les États membres prévoient des sanctions pour réprimer les attaques contre les systèmes d'information, qui devraient s'inscrire dans le cadre de stratégies nationales plus étendues comme moyen de dissuasion et de lutte contre ce type d'attaques. Les sanctions ainsi fixées devraient être effectives, proportionnées et dissuasives. Il est nécessaire d'harmoniser les sanctions prononcées par les États membres, compte tenu de la nature transfrontalière des menaces, et d'aplanir ainsi les différences entre les États membres lors du traitement des infractions commises dans l'ensemble de l'Union.

Amendement  8

Proposition de directive

Considérant 8 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(8 bis) Le Conseil et la Commission devraient demander aux États membres qui doivent encore ratifier la convention du Conseil de l'Europe sur la cybercriminalité de le faire dans les plus brefs délais.

Amendement  9

Proposition de directive

Considérant 11 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(11 bis) La coopération des autorités publiques avec le secteur privé et la société civile est essentielle dans la prévention et la lutte contre les cyberattaques. Il convient d'établir un dialogue permanent avec ces acteurs, étant donné le large usage qu'ils font des systèmes d'information et la nécessité d'instaurer un partage des responsabilités pour assurer la stabilité et le bon fonctionnement des systèmes. Il importe d'améliorer la prise de conscience de tous les acteurs impliqués dans l'utilisation des systèmes d'information pour créer une culture de la sécurité informatique.

Amendement  10

Proposition de directive

Considérant 11 ter (nouveau)

Texte proposé par la Commission

Amendement

(11 ter) Les initiatives et projets de cyberdéfense développés récemment, notamment dans le cadre de l'Agence européenne de défense (AED), devraient être soutenus afin de renforcer les capacités de cyberdéfense des États membres. Il y a lieu d'envisager une coopération plus étroite avec l'AED et le Centre coopératif d'excellence pour la cyberdéfense de l'OTAN, notamment dans le domaine du renforcement des capacités et de la formation.

Amendement  11

Proposition de directive

Considérant 12

Texte proposé par la Commission

Amendement

(12) Il est nécessaire de recueillir des données sur les infractions relevant de la présente directive pour avoir une vision plus complète du problème au niveau de l'Union et permettre ainsi de formuler des réponses plus efficaces. Grâce aux données recueillies, des agences spécialisées comme Europol et l'Agence européenne chargée de la sécurité des réseaux et de l'information pourront mieux évaluer l'ampleur de la cybercriminalité et le niveau de sécurité des réseaux et de l'information en Europe.

(12) Il est nécessaire de recueillir des données sur les infractions relevant de la présente directive pour avoir une vision plus complète du problème au niveau de l'Union et permettre ainsi de formuler des réponses plus efficaces. Les États membres devraient améliorer l'échange d'informations relatives aux attaques informatiques, avec le soutien de la Commission et de l'Agence européenne chargée de la sécurité des réseaux et de l'information. Grâce aux données recueillies, des agences spécialisées comme Europol et l'Agence européenne chargée de la sécurité des réseaux et de l'information pourront mieux évaluer l'ampleur et les conséquences de la cybercriminalité et le niveau de sécurité des réseaux et de l'information en Europe. Une meilleure connaissance des risques présents et futurs permettra de prendre les décisions les plus appropriées pour prévenir ou contrer les attaques informatiques, ou pour en atténuer les dommages.

Amendement  12

Proposition de directive

Considérant 12 bis (nouveau)

Texte proposé par la Commission

Amendement

(12 bis) L'échange d'informations et les partenariats public‑privé (PPP) contribuent sensiblement au renforcement de la cybersécurité. La Commission devrait, dès lors, examiner la possibilité de créer des cadres réglementaires ou des instruments en vue de faciliter la coopération entre les différents PPP au niveau des États membres et au niveau de l'Union, afin de mettre en œuvre des normes de qualité de l'information en faveur de l'interopérabilité, et d'assurer le respect des droits fondamentaux, de la séparation des pouvoirs et du contrôle démocratique.

Amendement  13

Proposition de directive

Considérant 13

Texte proposé par la Commission

Amendement

(13) L'existence de lacunes et de différences importantes dans les législations nationales en matière d'attaques contre des systèmes d'information risque d'entraver la lutte contre la criminalité organisée et le terrorisme, et de compliquer la coopération policière et judiciaire dans ce domaine. Les systèmes d'information modernes ayant un caractère transnational sans frontières, les attaques lancées contre eux ont une dimension transfrontière qui met en lumière la nécessité de prendre d'urgence des mesures complémentaires pour harmoniser le droit pénal dans ce domaine. Par ailleurs, il convient de faciliter la coordination des poursuites judiciaires en cas d'attaque contre des systèmes d'information par l'adoption de la décision-cadre 2009/948/JAI du Conseil relative à la prévention et au règlement des conflits en matière d'exercice de la compétence dans le cadre des procédures pénales.

(13) L'existence de lacunes et de différences importantes dans les législations nationales en matière d'attaques contre des systèmes d'information risque d'entraver la lutte contre la criminalité organisée et le terrorisme, et de compliquer la coopération policière et judiciaire dans ce domaine. Les systèmes d'information modernes ayant un caractère transnational sans frontières, les attaques lancées contre eux ont une dimension transfrontière qui met en lumière la nécessité de prendre d'urgence des mesures complémentaires pour harmoniser, au niveau de l'Union, le droit pénal dans ce domaine. De même, l'Union doit viser à améliorer la coopération internationale dans le domaine de la sécurité des réseaux et des systèmes d'information, en collaboration étroite avec d'autres organisations compétentes en la matière, telles que les Nations unies, l'OTAN, le Conseil de l'Europe ou l'OSCE, et avec la participation d'autres acteurs internationaux. Par ailleurs, il convient de faciliter la coordination des poursuites judiciaires en cas d'attaque contre des systèmes d'information par l'adoption de la décision-cadre 2009/948/JAI du Conseil relative à la prévention et au règlement des conflits en matière d'exercice de la compétence dans le cadre des procédures pénales.

Amendement  14

Proposition de directive

Considérant 16

Texte proposé par la Commission

Amendement

(16) La présente directive respecte les droits fondamentaux et est conforme aux principes consacrés en particulier par la Charte des droits fondamentaux de l'Union européenne, notamment la protection des données à caractère personnel, la liberté d'expression et d'information, le droit à un procès équitable, la présomption d'innocence et le droit à la défense, ainsi qu'aux principes de légalité et de proportionnalité des infractions et sanctions pénales. La présente directive tend en particulier à garantir le plein respect de ces droits et principes et doit être transposée en conséquence.

(16) La présente directive ainsi que toute mise en œuvre effective de celle-ci respectent les droits fondamentaux, notamment le droit à la vie privée, et sont conformes aux principes consacrés en particulier par la Charte des droits fondamentaux de l'Union européenne, notamment la protection des données à caractère personnel, la liberté d'expression et d'information, le droit à un procès équitable, la présomption d'innocence et le droit à la défense, ainsi qu'aux principes de légalité et de proportionnalité des infractions et sanctions pénales. La présente directive tend en particulier à garantir le plein respect de ces droits et principes et doit être transposée en conséquence. La nature libre et ouverte de l'internet n'est pas compromise par la présente directive.

Amendement  15

Proposition de directive

Considérant 16 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(16 bis) Le Conseil et la Commission devraient insister, dans le cadre des négociations et de la coopération avec les pays tiers, sur des exigences minimales à respecter en matière de prévention de la cybercriminalité et des cyberattaques et de lutte contre celles-ci, ainsi que sur des normes minimales en matière de sécurité des systèmes d'information.

Amendement  16

Proposition de directive

Considérant 16 ter (nouveau)

Texte proposé par la Commission

Amendement

 

(16 ter) La Commission devrait envisager plusieurs pistes pour aider et assister les pays tiers à renforcer leurs capacités en matière de cybersécurité et de cyberdéfense.

Amendement  17

Proposition de directive

Article 14 – paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

2 bis. La Commission aide les États membres à accroître la capacité de résistance et la stabilité de l'internet, et entreprend d'autres actions visant à assurer la sécurité des informations.

Amendement  18

Proposition de directive

Article 14 – paragraphe 2 ter (nouveau)

Texte proposé par la Commission

Amendement

2 ter. Le Conseil clarifie le rôle du Comité politique et de sécurité ainsi que de ses organes dans le cadre de la lutte contre d'éventuelles cyberattaques.

Amendement  19

Proposition de directive

Article 14 – paragraphe 2 quater (nouveau)

Texte proposé par la Commission

Amendement

2 quater. Les États membres améliorent l'échange d'informations liées à la cybersécurité. Ils devraient s'efforcer de créer, avec le soutien de la Commission, des interactions avec des pays tiers, notamment avec ceux d'où les attaques proviennent la plupart du temps.

Amendement  20

Proposition de directive

Article 15 – alinéa 3

Texte proposé par la Commission

Amendement

3. Les États membres transmettent à la Commission les données recueillies conformément au présent article. Ils veillent aussi à ce qu'un état consolidé de ces rapports statistiques soit publié.

3. Les États membres transmettent à la Commission les données recueillies conformément au présent article. Ils veillent aussi à ce qu'un état consolidé de ces rapports statistiques soit transmis au Parlement européen et publié.

Amendement  21

Proposition de directive

Article 15 – paragraphe 3 bis (nouveau)

Texte proposé par la Commission

Amendement

3 bis. Un coordinateur de la cybersécurité de l'Union est nommé afin de faciliter l'intégration et la coordination des initiatives, des programmes et des activités de l'Union dans l'ensemble de ses institutions.

PROCÉDURE

Dénomination

Attaques visant les systèmes d'information et abrogeant la décision‑cadre 2005/222/JAI du Conseil

Références

COM(2010)0517 – C7-0293/2010 – 2010/0273(COD)

Commission compétente au fond

Date de l'annonce en séance

LIBE

7.10.2010

 

 

 

Commission saisie pour avis

Date de l'annonce en séance

AFET

7.4.2011

 

 

 

Rapporteur

Date de la nomination

Kristiina Ojuland

29.3.2011

 

 

 

Date de l’adoption

22.11.2011

 

 

 

Résultat du vote final

+:

–:

0:

38

8

0

Membres présents au moment du vote final

Sir Robert Atkins, Frieda Brepoels, Elmar Brok, Marietta Giannakou, Andrzej Grzyb, Takis Hadjigeorgiou, Anna Ibrisagic, Othmar Karas, Ioannis Kasoulides, Tunne Kelam, Evgeni Kirilov, Andrey Kovatchev, Eduard Kukan, Krzysztof Lisek, Sabine Lösing, Ulrike Lunacek, Barry Madlener, Francisco José Millán Mon, Annemie Neyts-Uyttebroeck, Raimon Obiols, Justas Vincas Paleckis, Ioan Mircea Paşcu, Cristian Dan Preda, Libor Rouček, José Ignacio Salafranca Sánchez-Neyra, Jacek Saryusz-Wolski, Werner Schulz, Marek Siwiec, Charles Tannock, Inese Vaidere, Kristian Vigenin, Sir Graham Watson

Suppléants présents au moment du vote final

Laima Liucija Andrikienė, Elena Băsescu, Tanja Fajon, Diogo Feio, Monica Luisa Macovei, Emilio Menéndez del Valle, György Schöpflin, Traian Ungureanu, Ivo Vajgl, Renate Weber, Janusz Władysław Zemke

Suppléants (art. 187, par. 2) présents au moment du vote final

Luís Paulo Alves, Sylvie Guillaume, Vladimir Urutchev

AVIS de la commission de l'industrie, de la recherche et de l'Énergie (11.11.2011)

à l'intention de la commission des libertés civiles, de la justice et des affaires intérieures

sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision-cadre 2005/222/JAI du Conseil
(COM(2010)0517 – C7‑0293/2010 – 2010/0273(COD))

Rapporteur pour avis: Christian Ehler

AMENDEMENTS

La commission de l'industrie, de la recherche et de l'énergie invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à incorporer dans son rapport les amendements suivants:

Amendement  1

Proposition de directive

Considérant 1

Texte proposé par la Commission

Amendement

(1) La présente directive a pour objet de rapprocher les règles pénales appliquées par les États membres pour réprimer les attaques contre les systèmes d'information et de renforcer la coopération entre les autorités judiciaires et les autres autorités compétentes, notamment la police et les autres services spécialisés chargés de l'application de la loi dans les États membres.

(1) S'inscrivant dans le cadre de la stratégie générale de l'Union destinée à lutter contre la criminalité organisée, à augmenter la résilience des réseaux informatiques, à protéger les infrastructures d'information critiques et à garantir la protection des données, la présente directive a pour objet de rapprocher les règles pénales appliquées par les États membres pour réprimer les attaques contre les systèmes d'information et de renforcer la coopération entre les autorités judiciaires et les autres autorités compétentes, notamment la police et les autres services spécialisés chargés de l'application de la loi dans les États membres, la Commission, Eurojust, Europol, les organismes appelés aux niveaux national et européen à intervenir en cas d'urgence informatique (les CERT – Computer Emergency Response Team) ainsi que l'Agence européenne chargée de la sécurité des réseaux et de l'information, ce dans le but de favoriser une approche européenne commune et exhaustive.

Amendement  2

Proposition de directive

Considérant 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(1 bis) Les systèmes d'information représentent un élément essentiel de l'interaction politique, sociale et économique en Europe. La société est très dépendante de ce type de systèmes et ce phénomène va croissant. Le bon fonctionnement et la sécurité de ces systèmes en Europe sont fondamentaux pour le développement du marché intérieur et d'une économie compétitive et innovante. Cependant, tout en offrant de grands avantages, les systèmes d'information comportent un certain nombre de risques pour notre sécurité en raison de leur complexité et de leur vulnérabilité face aux différents types de cybercriminalité. Par conséquent, la sécurité des systèmes d'information est une préoccupation constante et appelle des réponses efficaces de la part des États membres et de l'Union.

Amendement  3

Proposition de directive

Considérant 2

Texte proposé par la Commission

Amendement

(2) Les attaques contre les systèmes d'information, en particulier celles qui pourraient émaner du milieu de la criminalité organisée, constituent une menace croissance, et l'éventualité d'attaques terroristes ou politiques contre les systèmes d'information des infrastructures critiques des États membres et de l'Union suscite de plus en plus l'inquiétude. Cette situation risque de compromettre la réalisation d'une société de l'information plus sûre et d'un espace de liberté, de sécurité et de justice, et appelle donc une réaction au niveau de l'Union européenne.

(2) Les attaques contre les systèmes d'information sont susceptibles d'être perpétrées par différents acteurs, qui peuvent être des terroristes, des organisations criminelles, des pays, ou encore des individus isolés. Elles constituent une menace croissante pour le bon fonctionnement des systèmes d'information dans l'Union et dans le monde, et l'éventualité d'attaques terroristes ou politiques contre les systèmes d'information des infrastructures critiques des États membres et de l'Union suscite de plus en plus l'inquiétude. La nature transfrontière de certaines infractions ainsi que les risques et les coûts relativement faibles encourus par leurs auteurs, au regard des avantages immenses qu'ils peuvent en retirer et des dommages qu'ils peuvent causer avec ces attaques, augmentent considérablement le degré de la menace. Cette situation risque de compromettre la réalisation d'une société de l'information plus sûre et d'un espace de liberté, de démocratie, de sécurité et de justice, hypothèque la création d'un marché intérieur européen du numérique et appelle donc une réaction tant au niveau de l'Union européenne qu'à l'échelle internationale, s'appuyant notamment sur la convention du Conseil de l'Europe sur la cybercriminalité de 2001.

Amendement  4

Proposition de directive

Considérant 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(2 bis) De récentes cyberattaques, perpétrées contre les réseaux ou systèmes d'information européens, ont porté gravement préjudice à l'économie et à la sécurité de l'Union.

Justification

Il est ici fait référence aux cyberattaques dont ont été victimes en mars 2011 les institutions européennes, ainsi qu'aux nombreuses atteintes au système européen d'échange des droits d'émission, qui ont entraîné le vol de millions d'euros en émissions.

Amendement  5

Proposition de directive

Considérant 3

Texte proposé par la Commission

Amendement

(3) On constate une tendance à la perpétration d'attaques à grande échelle de plus en plus dangereuses et régulières contre des systèmes d'information critiques pour les États ou certaines fonctions du secteur public ou privé. Parallèlement, des outils de plus en plus sophistiqués sont mis au point, lesquels peuvent être utilisés par des criminels pour lancer des cyberattaques de divers types.

(3) On constate une tendance à la perpétration d'attaques à grande échelle de plus en plus dangereuses et régulières, notamment des attaques distribuées par déni de service, contre des systèmes d'information critiques pour les organisations internationales, les pays, l'Union ou certaines fonctions du secteur public ou privé. De telles attaques sont susceptibles de provoquer des dommages économiques notables, tant du fait de l'interruption des systèmes d'information ou des communications elles-mêmes qu'en raison de la perte ou la modification d'informations confidentielles importantes d'un point de vue commercial ou d'autres données. Les PME innovantes, qui dépendent du bon fonctionnement et de la disponibilité des systèmes d'information mais sont susceptibles d'avoir moins de ressources à consacrer à la sécurité de l'information, sont particulièrement vulnérables. Parallèlement, le développement rapide de la technologie informatique permet la mise au point d'outils de plus en plus sophistiqués, lesquels peuvent être utilisés par des criminels pour lancer des cyberattaques de divers types, dont certaines sont tout à fait susceptibles d'entraîner des dommages économiques et sociaux.

Amendement  6

Proposition de directive

Considérant 4

Texte proposé par la Commission

Amendement

(4) Il importe d'arrêter des définitions communes dans ce domaine, notamment pour les systèmes d'information et les données informatiques, de manière à garantir l'application cohérente de la présente directive dans tous les États membres.

(4) Il est fondamental d'arrêter des définitions communes dans ce domaine, notamment pour les systèmes d'information, les données informatiques et les infractions commises à leur encontre, de manière à garantir l'application cohérente et uniforme de la présente directive dans tous les États membres.

Amendement  7

Proposition de directive

Considérant 6

Texte proposé par la Commission

Amendement

(6) Il conviendrait que les États membres prévoient des sanctions pour réprimer les attaques contre les systèmes d'information. Les sanctions ainsi fixées devraient être effectives, proportionnées et dissuasives.

(6) Outre les mesures mises en place par les États membres, l'Union et le secteur privé pour accroître la sécurité et l'intégrité des systèmes d'information, prévenir les attaques et limiter leurs répercussions, il conviendrait que les États membres prévoient tant des mesures efficaces pour empêcher les attaques contre les systèmes d'information que des sanctions harmonisées pour les réprimer, s'inscrivant dans le cadre de stratégies nationales plus générales de dissuasion et de lutte contre de telles attaques. Les sanctions ainsi fixées devraient être effectives, proportionnées et dissuasives. La convergence des sanctions et des peines appliquées par les États membres est nécessaire étant donné la nature souvent transfrontière des menaces et vise à réduire les disparités entre les États membres dans le traitement des infractions commises dans l'Union.

Amendement  8

Proposition de directive

Considérant 6 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(6 bis) Les États membres, l'Union et le secteur privé doivent, en collaboration avec l'Agence européenne chargée de la sécurité des réseaux et de l'information, adopter des mesures visant à accroître la sécurité et l'intégrité des systèmes d'information, à prévenir les attaques et à limiter leurs répercussions.

Amendement  9

Proposition de directive

Considérant 8

Texte proposé par la Commission

Amendement

(8) Dans ses conclusions des 27 et 28 novembre 2008, le Conseil a invité les États membres et la Commission à définir une nouvelle stratégie, en prenant en considération le contenu de la convention du Conseil de l'Europe sur la cybercriminalité de 2001. Cette convention est le cadre juridique de référence de la lutte contre la cybercriminalité, y compris les attaques contre les systèmes d'information, et la présente directive s'en inspire.

(8) Dans ses conclusions des 27 et 28 novembre 2008, le Conseil a invité les États membres et la Commission à définir une nouvelle stratégie, en prenant en considération le contenu de la convention du Conseil de l'Europe sur la cybercriminalité de 2001. Le Conseil et la Commission doivent encourager les États membres qui ne l'ont pas encore fait à ratifier la convention dès que possible. Cette convention est le cadre juridique de référence de la lutte contre la cybercriminalité, y compris les attaques contre les systèmes d'information, et la présente directive tient compte des dispositions pertinentes y figurant.

Amendement  10

Proposition de directive

Considérant 10

Texte proposé par la Commission

Amendement

(10) La présente directive n'a pas pour objet d'engager la responsabilité pénale en l'absence d'intention délictueuse, notamment dans le cas d'interventions visant à tester ou à protéger un système d'information après en avoir obtenu l'autorisation.

(10) La présente directive ne s'étend pas aux mesures prises pour assurer la sécurité des systèmes d'information, comme la capacité d'un système d'information de résister à des actes criminels tels que définis dans la présente directive, ou la possibilité de se défaire d'outils qui sont utilisés ou susceptibles d'être utilisés pour de telles actions. Elle n'a pas non plus pour objet d'engager la responsabilité pénale lorsque les critères objectifs des infractions énumérées dans la présente directive sont remplis mais que l'acte est dépourvu d'intention délictueuse, notamment dans le cas d'interventions visant à tester ou à protéger un système d'information après en avoir obtenu l'autorisation.

Justification

Étant donné que la frontière est parfois floue entre un accès malveillant et un accès sans intention de nuire (mises à jour automatiques, etc.), il s'agit ici de préciser que des opérations telles que le fonctionnement d'un logiciel anti-virus ou d'outils de suppression de virus, ou encore la mise en quarantaine de dispositifs infectés, sont totalement exclues du champ d'application de la directive.

Amendement  11

Proposition de directive

Considérant 11

Texte proposé par la Commission

Amendement

(11) La présente directive renforce l'importance des réseaux, tels que le réseau de points de contact du G8 ou celui du Conseil de l'Europe dont les points de contact sont disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept pour échanger des informations afin de garantir une assistance immédiate aux enquêtes ou procédures portant sur des infractions pénales liées à des données et des systèmes d'information, ou pour recueillir des preuves électroniques d'une infraction pénale. Compte tenu de la rapidité avec laquelle des attaques à grande échelle peuvent être menées, il conviendrait que tous les États membres soient en mesure de répondre promptement aux demandes urgentes émanant de ce réseau de points de contact. L'assistance demandée devrait notamment consister à faciliter ou à exécuter directement des mesures telles que la fourniture de conseils techniques, la conservation des données, la collecte de preuves, la communication d'informations juridiques et la localisation de suspects.

(11) La présente directive renforce l'importance des réseaux, tels que le réseau de points de contact du G8 ou celui du Conseil de l'Europe dont les points de contact sont disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept pour échanger des informations afin de garantir une assistance immédiate aux enquêtes ou procédures portant sur des infractions pénales liées à des données et des systèmes d'information, ou pour recueillir des preuves d'une infraction pénale ou d'une tentative d'infraction. Compte tenu de la rapidité avec laquelle des attaques à grande échelle peuvent être menées, il conviendrait que tous les États membres, l'Union et l'Agence européenne chargée de la sécurité des réseaux et de l'information soient en mesure de répondre promptement et efficacement aux demandes urgentes émanant de ce réseau de points de contact. L'assistance demandée devrait notamment consister à faciliter ou à exécuter directement des mesures telles que la fourniture d'une assistance technique, notamment en ce qui concerne la restauration des fonctionnalités des systèmes d'information, la conservation des données conformément aux principes de protection des données à caractère personnel, la collecte de preuves, la communication d'informations juridiques, l'identification des informations compromises et/ou extorquées, ainsi que la localisation et l'identification de suspects.

Amendement  12

Proposition de directive

Considérant 11 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(11 bis) La coopération des autorités publiques avec le secteur privé et la société civile est essentielle dans la prévention et la lutte contre les attaques visant les systèmes d'information. Il convient d'établir un dialogue permanent avec ceux-ci, étant donné le large usage qu'ils font des systèmes d'information et les responsabilités partagées, qui exigent la stabilité et le bon fonctionnement des systèmes. Il est important d'améliorer la prise de conscience de tous les acteurs intervenant dans l'utilisation des systèmes d'information pour créer une culture de sécurité informatique.

Amendement  13

Proposition de directive

Considérant 12

Texte proposé par la Commission

Amendement

(12) Il est nécessaire de recueillir des données sur les infractions relevant de la présente directive pour avoir une vision plus complète du problème au niveau de l'Union et permettre ainsi de formuler des réponses plus efficaces. Grâce aux données recueillies, des agences spécialisées comme Europol et l'Agence européenne chargée de la sécurité des réseaux et de l'information pourront mieux évaluer l'ampleur de la cybercriminalité et le niveau de sécurité des réseaux et de l'information en Europe.

(12) Il est nécessaire de recueillir des données sur les infractions relevant de la présente directive pour avoir une vision plus complète du problème au niveau de l'Union et permettre ainsi de formuler des réponses plus efficaces. Les États membres doivent améliorer l'échange d'informations relatives aux attaques contre les systèmes d'information, avec le soutien de la Commission et de l'Agence européenne chargée de la sécurité des réseaux et de l'information. Grâce aux données recueillies, des agences et des organes spécialisés comme les CERT des États membres, ainsi que des agences telles Europol et l'Agence européenne chargée de la sécurité des réseaux et de l'information pourront mieux évaluer l'ampleur de la cybercriminalité et le niveau de sécurité des réseaux et de l'information dans l'Union et aider les États membres à apporter des réponses aux incidents en matière de sécurité de l'information. Une meilleure connaissance des risques présents et futurs permettra de prendre des décisions plus appropriées pour prévenir ou contrer les attaques contre les systèmes d'information, ou pour en atténuer les dommages.

Amendement  14

Proposition de directive

Considérant 12 bis (nouveau)

Texte proposé par la Commission

Amendement

(12 bis) Si la présente directive est tenue de respecter des règles strictes de sécurité juridique et de prévisibilité du droit pénal, il n'en convient pas moins de prévoir un mécanisme flexible permettant de s'adapter aux évolutions futures, ce qui conduira peut-être à élargir le champ d'application de la présente directive. Cet objectif est d'ailleurs servi par les dispositions de la présente directive concernant la collecte de données, l'échange d'informations et l'obligation pour la Commission de faire régulièrement rapport sur ​​son application et d'avancer toute proposition nécessaire. Les évolutions futures évoquées comprennent les développements technologiques permettant, par exemple, une répression plus efficace dans le domaine des attaques contre les systèmes d'information ou facilitant la prévention de telles attaques ou la limitation de leur impact.

Justification

S'il est entendu que l'instauration de sanctions est souhaitable, une approche exhaustive de l'Union pour lutter contre la cybercriminalité ne saurait se concentrer uniquement sur une répression efficace. Il convient d'élaborer également des stratégies et de mettre en place des instruments de prévention de ces activités criminelles.

Amendement  15

Proposition de directive

Considérant 12 ter (nouveau)

Texte proposé par la Commission

Amendement

(12 ter) L'Agence européenne chargée de la sécurité des réseaux et de l'information devrait jouer un rôle stratégique dans la coordination des actions entre les États membres et les institutions de l'Union. L'Agence pourrait, par exemple, être chargée de superviser l'échange d'informations entre ces derniers, en tenant ainsi lieu de point de contact unique et de registre européen des incidents en matière de cybersécurité. Elle peut également être chargée de centraliser les statistiques sur les infractions visées par la présente directive au niveau européen et de les utiliser pour préparer des rapports concernant les conditions de sécurité des systèmes d'information et des données informatiques dans l'ensemble de l'Union.

Amendement  16

Proposition de directive

Considérant 13

Texte proposé par la Commission

Amendement

(13) L'existence de lacunes et de différences importantes dans les législations nationales en matière d'attaques contre des systèmes d'information risque d'entraver la lutte contre la criminalité organisée et le terrorisme, et de compliquer la coopération policière et judiciaire dans ce domaine. Les systèmes d'information modernes ayant un caractère transnational sans frontières, les attaques lancées contre eux ont une dimension transfrontière qui met en lumière la nécessité de prendre d'urgence des mesures complémentaires pour harmoniser le droit pénal dans ce domaine. Par ailleurs, il convient de faciliter la coordination des poursuites judiciaires en cas d'attaque contre des systèmes d'information par l'adoption de la décision-cadre 2009/948/JAI du Conseil relative à la prévention et au règlement des conflits en matière d'exercice de la compétence dans le cadre des procédures pénales.

(13) L'existence de lacunes et de différences importantes dans les législations nationales en matière d'attaques contre des systèmes d'information risque d'entraver la lutte contre la criminalité organisée et le terrorisme, et de compliquer la coopération policière et judiciaire dans ce domaine. Les systèmes d'information modernes ayant un caractère transnational sans frontières, les attaques lancées contre eux ont une dimension transfrontière qui met en lumière la nécessité de prendre d'urgence des mesures complémentaires au niveau européen pour harmoniser les législations pénales nationales dans ce domaine. De même, l'Union doit viser à améliorer la coopération internationale en matière de sécurité des réseaux et des systèmes d'information, avec la participation de tous les acteurs internationaux concernés. Par ailleurs, il convient de faciliter la coordination des poursuites judiciaires en cas d'attaque contre des systèmes d'information par l'adoption de la décision-cadre 2009/948/JAI du Conseil relative à la prévention et au règlement des conflits en matière d'exercice de la compétence dans le cadre des procédures pénales.

Amendement  17

Proposition de directive

Article 1 – alinéa 1

Texte proposé par la Commission

Amendement

La présente directive définit des infractions pénales en matière d'attaques contre les systèmes d'information et instaure des règles minimales pour l'établissement des peines sanctionnant ces infractions. Elle vise également à mettre en place des dispositifs communs pour prévenir ces attaques et améliorer la coopération judiciaire européenne dans ce domaine.

La présente directive définit des infractions pénales en matière d'attaques contre les systèmes d'information et instaure des règles minimales harmonisées pour l'établissement des peines sanctionnant ces infractions. Elle vise également à mettre en place des dispositifs communs tant pour prévenir et combattre ces attaques que pour améliorer la coopération européenne dans ce domaine, notamment en matière de justice pénale.

Amendement  18

Proposition de directive

Article 2 – point d

Texte proposé par la Commission

Amendement

d) "sans en avoir le droit": un accès ou une atteinte à l'intégrité non autorisé(e) par le propriétaire ou autre détenteur de droits au système ou à une partie du système, ou non prévu(e) par la législation nationale.

d) "sans en avoir le droit": un accès ou une atteinte à l'intégrité non autorisé(e) par le propriétaire ou autre détenteur de droits au système ou à une partie du système, ou non prévu(e) par la législation nationale ou le droit de l'Union.

Amendement  19

Proposition de directive

Article 7 – point b

Texte proposé par la Commission

Amendement

b) le mot de passe d'un ordinateur, un code d'accès ou des données de même nature grâce auxquelles il est possible d'accéder à tout ou partie d'un système d'information.

b) le mot de passe d'un ordinateur, un code d'accès, un jeton d'authentification numérique ou matériel ou des données de même nature grâce auxquelles il est possible d'accéder à tout ou partie d'un système d'information.

Amendement  20

Proposition de directive

Article 8 – paragraphe 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

1 bis. Les États membres font en sorte que la transmission à une autre personne, sans autorisation, de toute donnée d'identification aux fins des opérations visées aux articles 3 à 7 constitue une infraction pénale.

Amendement  21

Proposition de directive

Article 8 – paragraphe 1 ter (nouveau)

Texte proposé par la Commission

Amendement

 

1 ter. Les États membres font en sorte qu'une infraction au sens des articles 3 à 7 commise par une personne qui, dans l'exercice de ses fonctions, a accès aux mécanismes de sécurité protégeant les systèmes d'information, soit considérée comme une circonstance aggravante et constitue une infraction pénale.

Amendement  22

Proposition de directive

Article 10 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Les États membres prennent les mesures nécessaires pour faire en sorte que les infractions visées aux articles 3 à 6 soient passibles d'une peine d'emprisonnement maximale d'au moins cinq ans lorsqu'elles sont commises au moyen d'un outil conçu pour lancer des attaques contre un nombre important de systèmes d'information ou des attaques causant un préjudice considérable, tel que la perturbation de services de réseau, des coûts financiers ou la perte de données à caractère personnel.

2. Les États membres prennent les mesures nécessaires pour faire en sorte que les infractions visées aux articles 3 à 6 soient passibles d'une peine d'emprisonnement maximale d'au moins cinq ans lorsqu'elles sont commises au moyen d'un outil conçu pour lancer des attaques contre un nombre important de systèmes d'information ou des attaques causant un préjudice considérable, tel que la perturbation de services de réseau, des coûts financiers ou la perte de données à caractère personnel ou d'informations confidentielles.

Amendement  23

Proposition de directive

Article 13 – paragraphe 1 – point c

Texte proposé par la Commission

Amendement

c) au profit d'une personne morale dont le siège est situé sur le territoire de l'État membre concerné.

c) au profit d'une personne morale constituée sur le territoire de l'État membre concerné.

Amendement  24

Proposition de directive

Article 14 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Aux fins de l'échange d'informations relatives aux infractions visées aux articles 3 à 8, et conformément aux règles régissant la protection des données, les États membres recourent au réseau existant de points de contact opérationnels, disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept. Les États membres veillent également à mettre en place des procédures pour pouvoir répondre à des demandes urgences dans un délai maximal de huit heures. La réponse doit au moins préciser si la demande d'aide sera satisfaite, sous quelle forme et dans quel délai.

1. Aux fins de l'échange d'informations relatives aux infractions visées aux articles 3 à 8, et conformément aux règles régissant la protection des données, les États membres veillent à disposer d'un point de contact national fonctionnel, recourent au réseau de points de contact opérationnels, disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept, et transmettent en outre ces informations à la Commission ainsi qu'à l'Agence européenne chargée de la sécurité des réseaux et de l'information. Les États membres veillent également à mettre en place des procédures pour pouvoir répondre à des demandes urgentes dans un délai maximal de huit heures. La réponse doit être efficace et consister, le cas échéant, à faciliter ou à exécuter directement des mesures telles que la fourniture de conseils techniques, notamment en ce qui concerne la restauration des fonctionnalités des systèmes d'information, la conservation des données conformément aux principes de protection des données à caractère personnel, la collecte de preuves, la communication d'informations juridiques ainsi que la localisation et l'identification de suspects. Le point de contact doit préciser sous quelle forme et dans quel délai la demande d'assistance sera satisfaite.

Amendement  25

Proposition de directive

Article 14 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Les États membres communiquent à la Commission le point de contact qu'ils ont désigné aux fins de l'échange d'informations sur les infractions visées aux articles 3 à 8. La Commission transmet ces informations aux autres États membres.

2. Les États membres communiquent à la Commission, à Eurojust et à l'Agence européenne chargée de la sécurité des réseaux et de l'information le point de contact qu'ils ont désigné aux fins de l'échange d'informations sur les infractions visées aux articles 3 à 8. La Commission transmet ces informations aux autres États membres.

Amendement  26

Proposition de directive

Article 15 – paragraphe 3

Texte proposé par la Commission

Amendement

3. Les États membres transmettent à la Commission les données recueillies conformément au présent article. Ils veillent aussi à ce qu'un état consolidé de ces rapports statistiques soit publié.

3. Les États membres transmettent à la Commission, à Europol et à l'Agence européenne chargée de la sécurité des réseaux et de l'information les données recueillies conformément au présent article et ils veillent à ce qu'un état consolidé de ces rapports statistiques soit régulièrement publié.

Amendement  27

Proposition de directive

Article 18 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Au plus tard le [QUATRE ANS À COMPTER DE L'ADOPTION] et ensuite tous les trois ans, la Commission présente au Parlement européen et au Conseil un rapport sur l'application de la présente directive dans les États membres, qui comprend toute proposition nécessaire.

1. Au plus tard le [QUATRE ANS À COMPTER DE L'ADOPTION] et ensuite tous les trois ans, la Commission présente au Parlement européen et au Conseil, après avoir consulté toutes les parties prenantes concernées, un rapport sur l'application de la présente directive dans les États membres, qui comprend toute proposition nécessaire. Chaque rapport détermine les solutions techniques permettant une répression plus efficace, dans l'Union, des attaques contre les systèmes d'information, notamment des outils susceptibles de déjouer de telles attaques ou d'en limiter l'impact, et en tient compte dans toute proposition nécessaire.

Amendement  28

Proposition de directive

Article 18 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Les États membres transmettent à la Commission toutes les informations nécessaires à l'élaboration du rapport visé au paragraphe 1. Ces informations contiennent une description détaillée des mesures législatives et non législatives adoptées pour transposer la présente directive.

2. Les États membres et l'Agence européenne chargée de la sécurité des réseaux et de l'information transmettent à la Commission toutes les informations nécessaires à l'élaboration du rapport visé au paragraphe 1. Ces informations contiennent une description détaillée des mesures législatives et non législatives adoptées pour transposer la présente directive.

PROCÉDURE

Titre

Attaques visant les systèmes d'information et abrogation la décision-cadre 2005/222/JAI du Conseil

Références

COM(2010)0517 – C7-0293/2010 – 2010/0273(COD)

Commission compétente au fond

       Date de l'annonce en séance

LIBE

7.10.2010

 

 

 

Commission(s) saisie(s) pour avis

       Date de l'annonce en séance

ITRE

7.10.2010

 

 

 

Rapporteur(s)

       Date de la nomination

Christian Ehler

24.11.2010

 

 

 

Examen en commission

13.4.2011

6.10.2011

 

 

Date de l'adoption

10.11.2011

 

 

 

Résultat du vote final

+:

–:

0:

49

0

1

Membres présents au moment du vote final

Ivo Belet, Bendt Bendtsen, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Christian Ehler, Ioan Enciu, Adam Gierek, Norbert Glante, Robert Goebbels, Fiona Hall, Jacky Hénin, Kent Johansson, Romana Jordan Cizelj, Lena Kolarska-Bobińska, Béla Kovács, Philippe Lamberts, Bogdan Kazimierz Marcinkiewicz, Marisa Matias, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Aldo Patriciello, Anni Podimata, Miloslav Ransdorf, Herbert Reul, Michèle Rivasi, Jens Rohde, Paul Rübig, Amalia Sartori, Francisco Sosa Wagner, Konrad Szymański, Michael Theurer, Ioannis A. Tsoukalas, Claude Turmes, Niki Tzavela, Marita Ulvskog, Vladimir Urutchev, Adina-Ioana Vălean

Suppléant(s) présent(s) au moment du vote final

Antonio Cancian, Jolanta Emilia Hibner, Yannick Jadot, Ivailo Kalfin, Bernd Lange, Werner Langen, Markus Pieper, Mario Pirillo, Hannes Swoboda, Silvia-Adriana Ţicău

Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final

Eider Gardiazábal Rubial

PROCÉDURE

Titre

Attaques visant les systèmes d’information et abrogation la décision-cadre 2005/222/JAI du Conseil

Références

COM(2010)0517 – C7-0293/2010 – 2010/0273(COD)

Date de la présentation au PE

30.9.2010

 

 

 

Commission compétente au fond

       Date de l’annonce en séance

LIBE

7.10.2010

 

 

 

Commission(s) saisie(s) pour avis

       Date de l’annonce en séance

AFET

7.4.2011

BUDG

7.10.2010

ITRE

7.10.2010

 

Avis non émis

       Date de la décision

BUDG

20.10.2010

 

 

 

Rapporteur(s)

       Date de la nomination

Monika Hohlmeier

9.12.2010

 

 

 

Examen en commission

3.2.2011

25.5.2011

12.1.2012

28.2.2012

 

27.3.2012

21.6.2012

6.6.2013

 

Date de l’adoption

6.6.2013

 

 

 

Résultat du vote final

+:

–:

0:

36

8

0

Membres présents au moment du vote final

Jan Philipp Albrecht, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Philip Claeys, Carlos Coelho, Ioan Enciu, Frank Engel, Cornelia Ernst, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Sophia in ‘t Veld, Lívia Járóka, Teresa Jiménez-Becerril Barrio, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu Houillon, Nuno Melo, Roberta Metsola, Antigoni Papadopoulou, Georgios Papanikolaou, Jacek Protasiewicz, Carmen Romero López, Birgit Sippel, Csaba Sógor, Rui Tavares, Nils Torvalds, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra

Suppléant(s) présent(s) au moment du vote final

Dimitrios Droutsas, Mariya Gabriel, Evelyne Gebhardt, Stanimir Ilchev, Franziska Keller, Jean Lambert, Jan Mulder

Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final

Jens Nilsson, Sabine Verheyen

Date du dépôt

19.6.2013