Ce 3 août 2017 est entrée en vigueur la dernière des cinq lois « pot-pourri » relatives aux projets de réformes de la justice voulue par le Gouvernement.
Parmi les nombreuses modifications législatives, se trouvent une série d’évolution en ce qui concerne la sécurité informatique.
Transposition de la directive 2013/40
La Belgique se devait d’achever la transposition de la directive 2013/40 du 12 août 2013 relative aux attaques contre les systèmes d’information depuis le 4 septembre 2015 …
Cette directive a notamment pour objectif de rapprocher le droit pénal des États membres dans le domaine des attaques contre les systèmes d’information en fixant des règles minimales concernant la définition des infractions pénales et les sanctions applicables.
Dans ce cadre, la directive impose que les États membres prennent les mesures nécessaires pour faire en sorte que les infractions visées soient passibles de sanctions pénales effectives, proportionnées et dissuasives.
En droit belge, quatre infractions contenues dans le Code pénal sont destinées à assurer la protection des systèmes informatiques :
- Il s’agit de l’article 314bis du Code pénal qui concerne aux infractions relatives au secret des communications non accessibles au public et des données d’un système informatique.
- L’article 259bis vise quant à lui les mêmes infractions commises par un officier public.
- Enfin, deux articles sont relatifs aux infractions contre la confidentialité, l’intégrité et la disponibilité des systèmes informatiques et des données qui sont stockées, traitées ou transmises par ces systèmes, soit les articles 550bis § 1 et 2 respectivement dit de « hacking externe » (accès non autorisé d’une personne étrangère au système informatique piraté) et de « hacking interne » (accès par une personne ayant accès au système informatique mais qui a outrepassé les limites de son autorisation) et l’article et 550ter dit de « sabotage informatique ».
La loi du 6 juillet 2017, dite « pot-pourri V », pour correspondre aux exigences européenne, alourdi significativement les sanctions initialement prévues : les plafonds des peines d’emprisonnement passent en effet de 2 ans à 3 ans et de 3 ans à 5 ans.
Transposition de la directive 2008/14
Parallèlement, le Code pénal est modifié afin que ces mêmes peines soient également applicables en cas d’attaque à l’encontre d’infrastructure critique au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques.
Cette dernière était elle-même une transposition partielle de la directive 2008/114 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection.
La loi du 1er juillet 2011 avait intégré au droit belge la définition de ce que l’on doit entendre par « infrastructure critique » soit toute installation, ou système ou partie de celui- ci, d’intérêt fédéral, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, et dont l’interruption du fonctionnement ou la destruction aurait une incidence significative du fait de la défaillance de ces fonctions.
*
Qu’il s’agisse de la directive 2008/114 ou 2013/40, la logique européenne est clairement de considérer que les systèmes d’information représentent un élément essentiel de l’interaction politique, sociale et économique au sein de l’Union.
La menace au sein de l’Union et à l’échelle mondiale des attaques contre les systèmes d’information, et l’éventualité d’attaques terroristes ou politiques à l’encontre d’infrastructure critique suscitent de plus en plus d’inquiétude qui entraine de nombreuses réactions législatives dont vous disposez ici un aperçu restreint.
Attention néanmoins à prendre en considération pour l’application de ces nouvelles peines que, même si cette loi entre en vigueur le 3 août 2017, les nouvelles peines ne seront infligées qu’aux infractions effectivement commises postérieurement à cette date et donc pas aux procédures déjà pendantes pour des infractions commises antérieurement.
Ons advies:
A titre d’exemple, les attaques contre les entreprises, notamment par le biais de virus cryptolocker, sont de plus en plus fréquentes.
Il convient, en termes de réaction, d’envisager l’ensemble des possibilités qui s’offrent aux victimes de ce type d’infraction : parmi celle-ci le recours à la procédure et au droit pénal.
Qu’il s’agisse d’une plainte, d’une constitution de partie civile ou d’une citation directe, le droit pénal dispose de plusieurs solutions judiciaires ayant chacune des caractéristiques propres de rapidité, d’efficacité ou de moyens de recherches de preuves.
Aujourd’hui la hauteur des peines encourues est de nature à dissuader bon nombre de candidats à la cybercriminalité.