C’est à Budapest qu’a été signée en 2001, sous l’égide du Conseil de l’Europe, la Convention sur la cybercriminalité, convention à laquelle ont adhéré, outre les États membres de l’Union européenne, de nombreux autres États également, dont la Hongrie. Suite à la signature de la Convention, le Parlement a amendé le code pénal, amendement qui est entré en vigueur en avril 2002. Les amendements votés tentent de réagir aux défis découlant du caractère de réseau de la criminalité informatique (comme par exemple l’accès illicite ou l’interception illicite), mais de nouvelles dispositions sont nées en réponse à des problèmes existant depuis longtemps également (comme par exemple la création de virus informatique). La Hongrie a ainsi en partie satisfait à ses obligations d’harmonisation du droit. La convention internationale signée en novembre dernier dépasse par plusieurs aspects essentiels la recommandation n° (89) 9 du Conseil de l’Europe qui peut être considérée comme son prédécesseur. Elle le dépasse notamment lorsqu’elle donne une définition de l’élément « système informatique », ou encore par le fait qu’elle touche non seulement le droit matériel, c’est-à-dire les diverses catégories d’infractions, mais se penche également sur les questions procédurales et le contexte juridique international, et intègre ainsi le contenu de recommandations plus anciennes. Les textes hongrois adoptés en rapport avec la convention sont devenus plus stricts en ce qui concerne les infractions commises dans un environnement informatique, mais la législation est devenue plus rigoureuse en général. Ce n’est pas seulement dans cette catégorie d’infractions que l’on peut observer ce redoublement de rigueur, il s’agit d’une tendance qui caractérise de façon générale les travaux législatifs des 4-5 dernières années, qui se traduit, d’une part, par l’aggravation des peines, et, d’autre part, par le fait que de plus en plus d’actes sont constitutifs d’infractions, ce qui est la conséquence pour l’essentiel de la politique législative du gouvernement précédent. Poser la question de savoir si cette politique est en soi bonne ou non revient à la simplifier grandement. Ce qui semble en tout cas certain, c’est que l’aggravation en soi n’entraînera pas de résultats réels, le nombres des infractions ne baissera pas de façon significative. Il est possible qu’il se réduise quelque peu ou qu’il engendre une certaine stagnation, mais la vraie solution serait d’améliorer l’efficacité des poursuites et investigations, ce qui représenterait un plus grand pouvoir de rétention, et, d’un autre côté, l’incrimination réfléchie des divers actes serait également d’un grand secours. En ce qui concerne les infractions informatiques, les changements survenus ne signifient pas – et ce indépendamment de l’aggravation radicale des peines – des changements radicaux en soi, puisque la valeur d’un texte dépend grandement de son application. Tenant compte du cas dans lequel les juges s’aligneraient dans leurs arrêts sur la valeur inférieure des peines infligeables, chose que nous ne savons pas pour le moment, nous ne pouvons relever que le fait que de nouveaux éléments constitutifs, de nouvelles infractions ont été inclus dans le code pénal, dont une partie est sans conteste réaliste. L’intrusion illégale dans un système informatique, la détérioration de données, la fraude informatique ou encore des comportements de type préparation tels que la remise de codes garantissant la sécurité du système à des personnes illicites/ non compétentes ont été érigées en infractions indépendantes. Les nouvelles infractions intégrées dans le code pénal sont :
1. L’accès illégal au secret personnel est réalisé par celui qui, en passant par un moyen de télécommunication – qui peut être le téléphone, la télécopie, Internet etc. – dépiste des messages transmis à un tiers et les stocke en employant un procédé technique. Par dépistage du message, il faut entendre tout comportement qui vise à prendre connaissance de façon illicite du contenu du message. Pour que l’infraction soit consommée, il faut donc que la prise de connaissance du mesage soit illégale. 2. L’infraction contre les systèmes et données informatiques porte le nom de loi-hacker en langage courant, en effet, c’est sur la base de cette disposition que devient punissable toute personne qui, même sans causer du tout de dommage, entre de manière illégale dans un système ou y effectue des démarches qui dépassent ses compétences. L’incrimination des agissements des hackers, et je pense ici notamment aux cas où aucun dommage n’est causé, est accompagnée selon la loi de peines très lourdes. La nouvelle disposition concerne également les personnes qui altèrent ou effacent des données du système ou qui y introduisent des données de façon illégale. Si le fonctionnement de l’ordinateur est ainsi perturbé, il s’agit d’une circonstance aggravante. Il est probable que l’attaque DOS tombe également sous le coup de cette disposition, bien que ce ne soit pas le fonctionnement de l’ordinateur qu’elle empêche, mais qu’elle fasse obstacle au flux de données. Si l’auteur de l’infraction cause des dommages, il est passible d’une peine d’emprisonnement allant jusqu’à 3 ans. Le taux d’infractions informatiques élucidées est extrêmement bas, et nous disposons de peu d’arrêts en la matière également. 3. Le troisième type d’infraction est commis par la personne qui, dans l’intention de commettre l’infraction précédente – atteinte au système et aux données informatiques – produit, obtient, met en vente, diffuse ou rend accessible par un moyen autre un dispositif, mot de passe, code d’accès ou des données informatiques similaires qui permettent ou facilitent l’accès à un système informatique. Outre les nouvelles infractions érigées dans le code pénal, la possession de photographie, film ou enregistrement vidéo pornographique de mineur est venu compléter les éléments constitutifs de l’abus d’enregistrements pornographiques illicites. En Hongrie, la première disposition expressément liée à la criminalité informatique a été celle de la fraude informatique, en vigueur de façon inchangée depuis 1994 jusqu’à la révision actuelle. On ne peut mentionner la définition de 1994 de la fraude informatique autrement que sur le ton de la critique. Les travaux préparatifs visant l’incrimination des infractions informatiques ont débuté en 1992, après que 32 millions de Ft (florins) aient été retirés par des moyens technologiques des distributeurs automatiques offline d’une banque commerciale. Les auteurs de ce méfait n’ont toujours pas été retrouvés. La définition de l’époque de la fraude informatique se voulait conforme à la recommandation de 1989 du Conseil de l’Europe. Le législateur a cependant réuni tous les éléments de définition que proposait la recommandation en une seule et unique infraction. Ainsi y figurait d’une part l’aspect « fraude », mais d’autre part, la « détérioration » de programmes ou de données y apparaissait également comme élément constitutif. D’un point de vue dogmatique, cette approche est erronée car elle intègre en une seule infraction deux comportements, deux actes de caractère très différent, en effet, la détérioration et la manipulation de programmes ou de données dans un but lucratif sont deux actes tout à fait distincts. Cet état des choses a engendré des situations contestables où par exemple la mise en place d’un virus a été– faute de mieux – qualifié par les tribunaux de fraude informatique, alors qu’aucune motivation lucrative ne l’accompagnait. Grâce à la réglementation actuelle, ces maladresses du code pénal ont pu être corrigées. En ce qui concerne le travail des juges, le problème est qu’il y a très peu de cas que nous pourrions examiner et qui pourraient mettre à l’épreuve les définitions adoptées. Un autre point sensible au cours de la procédure pénale est par exemple la difficulté à conserver des preuves de manière sûre. Parfois, la qualification dogmatique de l’acte commis peut aussi être problématique, comme par exemple de savoir s’il s’agit d’une fraude informatique ou de la dissimulation d’une autre infraction contre les propriétés. Les juristes qui s’étaient penchés sur la criminalité informatique déjà dans les années ’70 se sont efforcés de classifier les divers actes, avec plus ou moins de succès eu égard à l’évolution technologique et à la créativité des auteurs des infractions. Ils ont établi deux grandes catégories : dans la première, l’ordinateur figurait comme instrument, alors que dans la deuxième, il apparaissait comme objectif de l’infraction. Plus tard, cette classification a été abandonnée, suite notamment à une recommandation de l’OCDE datant de 1985 qui employait les catégories suivantes : fraude, espionnage ( ?), falsification et sabotage. Depuis, les classifications pénales se sont pour l’essentiel également construites selon ce modèle. L’abus du temps d’utilisation de l’ordinateur, lié au fonctionnement d’ordinateurs de grande puissance et valeur, faisait aussi partie de ce type de criminalité, mais il a perdu de son importance, ce qui illustre d’ailleurs bien les effets de l’évolution technologique. Puis, avec l’arrivée de la recommandation (89) 9 du Conseil de l’Europe, la classification a définitivement cessé de devenir la préoccupation principale, et l’accent a été mis sur la manière dont ces dispositions pouvaient être intégrées dans les droits nationaux. Il est important de noter que ni la recommandation précédente, ni celle de l’année dernière n’est obligatoire pour les États. Leur intégration se justifie cependant notamment en rapport avec la convention européenne de 1959 sur l’entraide judiciaire en matière pénale selon laquelle la condition d’une demande ou de la satisfaction d’une demande d’entraide est que l’acte concerné soit incriminé dans les deux pays. C’est donc la raison pratique qui pousse tous les États membres à transposer dans leur droit interne le contenu des recommandations. L’autre raison réside naturellement dans le fait que tout document de droit européen possède une certaine valeur, un certain prestige, et les États membres s’efforcent de les transposer pour qu’ils « parlent le même langage » à propos d’une question donnée. Concernant la question de savoir s’il existe une classification adéquate, le scepticisme est de plus en plus général. Les ordinateurs sont tellement présents à tous les niveaux de notre existence, ils sont à un tel point devenus les outils de nos agissements quotidiens, et par conséquent, de la criminalité, qu’ils ne représentent plus les outils ou l’objectif d’une catégorie spécifique d’infractions. Qu’il soit suffisant de rappeler qu’il existe aujourd’hui des falsifications de documents qui ne pourrait techniquement être réalisées sans soutien informatique (c’est le cas notamment de la nouvelle carte d’identité hongroise), ou que certains dispositifs ou éléments utilisés dans la circulation routière, ferroviaire ou autre sont contrôlés par des ordinateurs. La manipulation de ces processus informatiques seront non pas considérées comme des infractions informatiques, mais comme, dans le premier cas, préparatifs d’une falsification de document officiel, ou, dans le deuxième cas, comme atteinte à la sécurité de la circulation. L’ordinateur est tout simplement devenu un instrument, la classification des infractions, qui était déjà incertaine, ne tient plus du tout aujourd’hui. L’entraide judiciaire fondée sur la convention de Strasbourg est importante en ce qui concerne les infractions informatiques car il existe très peu d’infractions qui soient à ce point internationaux et si peu dépendantes de leur localisation. Avec leur incorporation en 1996 dans le droit hongrois, les institutions de l’entraide figurant dans la convention de 1959 peuvent donc désormais être employées en rapport avec ces actes également, bien que de nombreux problèmes intéressants se posent en matière d’infractions informatiques. En effet, les instruments traditionnels énumérés dans la convention, comme par exemple l’extradition, l’exécution d’un arrêt étranger, mesures d’investigation sur demande etc. ne suffisent plus. Grâce aux réseaux internationaux, la commission de l’infraction et le résultat provoqué, c’est-à-dire deux éléments d’habitude liés, peuvent être dissociés l’un de l’autre. Les problèmes de compétences qui peuvent en découler peuvent être évités grâce à l’entraide en matière pénale. Ce qui inporte cepndant à propos de cette catégorie de problèmes, c’est de savoir si l’autorité d’investigation d’un État sera autorisé à accéder aux bases de données d’entreprises ou d’organes d’un autre État s’il apparaît au cours d’une enquête liée par exemple à une affaire d’intrusion illégale que l’acte a été commis en passant peut-être même par le réseau de plusieurs États. Des incertitudes subsistent concernant ces cas de figure, le consensus se fait encore attendre. Le cadre technologique nécessaire est théoriquement donné, c’est du côté juridique qu’il faudrait fournir des réponses. Il est important de souligner que dans le cas d’infractions traditionnelles, il y a moins de difficultés, le principe de la double incrimination, qui est le fondement de l’entraide judiciaire en matière pénale, joue en général sans problème. L’objectif final serait que certains comportements soient incriminés dans tous les pays, cela pourrait être réellement efficace, en effet, dans le cas par exemple de contenus illicites diffusés sur Internet, la police hongroise n’est compétente que pour les domaines .hu. Des textes en langue hongroise existent néanmoins sur d’autres sites également. De nos jours, les divers États fixent des seuils différents concernant les contenus illicites, et certains ne prennent pas de mesures déterminées. Le phénomène qui consiste à voir apparaître sur certaines pages des contenus entraînant ailleurs de sévères poursuites n’a rien de surprenant (ex. : images et vidéos pornographiques illicites). Il semble cependant que les violations perpétrées sur Internet ont des effets positifs également, puisque des événements tels que la signature l’année dernière de la convention sur la cybercriminalité peuvent provoquer et accélérer un processus d’harmonisation du droit qui n’est pas très caractéristique en matière pénale. Ce rapprochement des législations nationales en matière pénale est bien en retard par rapport au droit civil que les exigences de la vie économique et les intérêts commerciaux ont depuis longtemps mis sur ce chemin-là. Ce retard s’explique par de nombreuses raisons : les dispositions pénales sont toujours très liées à la culture et aux traditions éthiques et juridiques d’un État, et protège de plus toujours les intérêts politiques de la classe dominante de l’État donné. La protection des intérêts de la communauté des nations peut cependant faire évoluer la situation, ce qui peut s’étendre et avoir des conséquences bénéfiques sur d’autres domaines du droit pénal également. |