Note rédigée par Olivier Leroux Chercheur au Centre de Recherches Informatique et de Droit (CRID) Université de Namur olivier.leroux@fundp.ac.be Projet de loi suite aux évènements du 11 septembre A ma connaissance (et après vérification auprès de la Chambre et du Sénat) il n'y a pas eu de nouveaux projets ou propositions de loi en matière de cybercriminalité suite aux évènements du 11 septembre. Peut-être est-ce dû au fait que la Belgique venait d'adopter moins d'un an plus tôt sa loi en matière de cybercriminalité et avait déjà en vue la convention du Conseil de l'Europe (cfr. infra). Tout au plus y a-t-il eu une proposition au Sénat le 19.09.2001 (soit huit jours après les attentats de NYC) d'instituer une commission d'enquête chargée d'évaluer la présence des organisations terroristes sur le territoire national. Mais cela n'est pas directement en lien avec la cybercriminalité. Projet de loi antérieur Avant le 11 septembre, il n'y avait pas d'initiatives particulières, pour les mêmes raisons qu'exposées ci-dessus (la loi cybercrime venait d'être adoptée). Loi existante La Belgique s'est dotée d'une loi sur la criminalité informatique le 28 novembre 2000. Cette loi comporte deux grands volets : · Une première partie introduit de nouvelles incriminations pour appréhender les comportement illicites modernes : (1) faux en informatique, (2) fraude informatique, (3) accès non autorisé à un système informtaique et (4) sabotage de données ; · Une seconde partie introduit dans la procédure de nouvelles armes au profit du juge d'instruction et du procureur du Roi. Parmi celles-ci : (1) saisie de données, (2) recherche sur les réseaux, (3) obligation d'information et de collaboration, (4) écoutes téléphoniques et de télécommunications, (5) obligation de conservation des données. Les arrêtés d'exécution de cette loi n'ont, à notre connaissance, pas encore été adoptés. Mais un nouvel article 88quater a déjà été inséré dans le Code d'instruction criminelle : Art. 88quater. § 1er. Le juge d'instruction ou un officier de police judiciaire auxiliaire du procureur du Roi délégué par lui, peut ordonner aux personnes dont il présume qu'elles ont une connaissance particulière du système informatique qui fait l'objet de la recherche ou des services qui permettent de protéger ou de crypter des données qui sont stockées, traitées ou transmises par un système informatique, de fournir des informations sur le fonctionnement de ce système et sur la manière d'y accéder ou d'accéder aux données qui sont stockées, traitées ou transmises par un tel système, dans une forme compréhensible. Le juge d'instruction mentionne les circonstances propres à l'affaire justifiant la mesure dans une ordonnance motivée qu'il transmet au procureur du Roi. § 2. Le juge d'instruction peut ordonner à toute personne appropriée de mettre en fonctionnement elle-même le système informatique ou, selon le cas, de rechercher, rendre accessibles, copier, rendre inaccessibles ou retirer les données pertinentes qui sont stockées, traitées ou transmises par ce système, dans la forme qu'il aura demandée. Ces personnes sont tenues d'y donner suite, dans la mesure de leurs moyens. L'ordonnance vises a l'alinéa 1er, ne peut être prise à l'égard de l'inculpé et à l'égard des personnes visées à l'article 156. § 3. Celui qui refuse de fournir la collaboration ordonnée aux §§ 1er et 2 ou qui fait obstacle à la recherche dans le système informatique, est puni d'un emprisonnement de six mois à un an et d'une amende de vingt-six francs à vingt mille francs ou d'une de ces peines seulement. § 4. Toute personne qui, du chef de sa fonction, a connaissance de la mesure ou y prête son concours, est tenue de garder le secret. Toute violation du secret est punie conformément à l'article 458 du Code pénal. § 5. L'Etat est civilement responsable pour le dommage causé de façon non intentionnelle par les personnes requises à un système informatique ou aux données qui sont stockées, traitées ou transmises par un tel système. Ce nouvel article 88quater §1 du Code d'instruction criminelle permet donc au juge d’instruction ou à un officier de police judiciaire auxiliaire du Procureur du Roi, d’ordonner à toute personne dont il estime qu’elle a une connaissance particulière d’un système informatique, de fournir des informations sur le fonctionnement du système et sur la manière d’y accéder ou d’accéder aux données (cette obligation ne peut être imposée à l’égard de l’inculpé et de ses proches). Le §2 donne pouvoir au juge d’instruction d’ « ordonner à toute personne appropriée de mettre en fonctionnement elle-même le système informatique ou, selon le cas, de rechercher, rendre accessible, copier, rendre inaccessible ou retirer les données pertinentes qui sont stockées, transmises ou traitées par ce système ». Le texte précise que « ces personnes sont tenues d’y donner suite, dans la mesure de leur moyens ». La loi apporte également des modifications au régime des écoutes de télécommunications par les services judiciaires. Ainsi, la liste d’infractions autorisant une mesure de mise sur écoute est élargie aux nouvelles infractions de faux en informatique, de fraude informatique, de hacking, et de sabotage informatique. Enfin, la loi impose aux opérateurs de réseaux de télécommunications et les fournisseurs de services de télécommunications d’enregistrer et de conserver, pendant un certain délai en vue de l’investigation et de la poursuite d’infractions pénales, dans les cas à déterminer par arrêté royal, les données d’appel de moyens de télécommunications et les données d’identification d’utilisateurs de services de télécommunications. Ce délai (qui ne peut être inférieur à 12 mois) et les données visées, seront déterminés par arrêté royal après avis de la Commission pour la protection de la vie privée. La loi du 28 novembre 2000 est disponible sur le site du Ministère de la Justice (http://www.moniteur.be), moyennant recherche via le moteur de recherche (le plus simple est de chercher sur base de la date de publication). Par ailleurs, un très bon article descriptif de la loi est disponible sur internet http://www.droit-technologie.org/fr/2_1.asp?dossier_id=55 Il convient toutefois de noter qu'au niveau international la Belgique a signé le 23 novembre 2001(mais pas encore ratifié) la convention internationale sur la cybercriminalité adoptée par le Conseil de l'Europe le 8 novembre 2001. Trente états (26 états membres du Conseil de l'Europe + USA, Canada, Japon, RSA) ont signé cette convention qui rentrera en application dès que cinq états (dont au moins trois membres du Conseil de l'Europe) l'auront ratifiée. Cette convention a vocation à devenir le premier outil législatif international de lutte contre la cybercriminalité. Le texte de la Convention (ainsi qu'un rapport explicatif) est disponible : http://www.droit-technologie.org/fr/3_1.asp?legislation_id=90 |