Vers une harmonisation et une coopération accrue en matière de cybercriminalité ?

Le Luxembourg a ratifié par une loi du 18 juillet 20141 (la loi) la convention du Conseil de l'Europe sur la cybercriminalité2 (la convention) et le protocole additionnel à la convention sur la cybercriminalité3 (le protocole).

La convention est un instrument juridique exhaustif qui couvre tous les aspects importants de la lutte contre la cybercriminalité, en établissant une terminologie, en harmonisant les éléments d'infraction prévus par le droit pénal matériel, en fournissant au droit procédural les moyens nécessaires à la poursuite des infractions et en mettant en place un régime rapide de coopération internationale. Elle résulte de la volonté du Conseil de l'Europe de mener une politique pénale commune cohérente aux Etats signataires en vue de protéger la société de la criminalité dans le cyberespace.

LA LOI DU 18 JUILLET 2014

La législation luxembourgeoise antérieure à la loi couvrant déjà la majeure partie des articles de la convention, le législateur précise les dispositions existantes et a inséré de nouvelles infractions dans le Code pénal et le Code d'instruction criminelle plutôt que de prévoir une loi à part entière sur la cybercriminalité4. En créant de nouvelles infractions et en complétant les textes existants, la loi permet aujourd'hui d'éviter que de nouvelles formes de banditisme restent impunies à défaut d'une base légale pour les incriminer. L'actualisation de la loi pénale répond aux nouvelles réalités technologiques.

LE CODE PÉNAL

Les infractions informatiques prévues par le Code pénal avant l'entrée en vigueur de la loi ont été complétées par des dispositions relatives à des nouvelles formes de cybercriminalité. L'absence de protection de la clé électronique cristallisait à elle seule l'impérieuse nécessité de faire évoluer la législation au regard des évolutions informatiques récentes. Le concept de clé électronique recouvre les informations sensibles telles que les mots de passe, codes d'accès et autres coordonnées bancaires que les fraudeurs tentent d'obtenir par la technique de l'hameçonnage notamment. L'hameçonnage ou phishing consiste à user de courriers électroniques, de sites Web falsifiés ou de tout autre moyen électronique dans l'unique but de mettre la main sur des informations sensibles en vue de commettre de nouvelles infractions. Cette technique récente, peu imaginable il y a quelques années encore, est à présent appréhendée par plusieurs dispositions du Code pénal qui ont été adaptées pour protéger au mieux les clés électroniques; le législateur a en effet complété les textes sur le vol5, l'extorsion6 et l'abus de confiance7 en insérant la clé électronique8 dans la liste des objets susceptibles d'une appropriation frauduleuse. Enfin, l'infraction de contrefaçon et l'infraction d'altération des clés s'étendent à présent également aux clés électroniques9. En matière de blanchiment et de financement du terrorisme10, la liste des infractions primaires a été complétée par l'ajout des infractions informatiques. La loi a également permis de faire évoluer les dispositions relatives à l'usurpation d'identité11 qui était auparavant limitée au port public de faux nom patronymique. Cette notion se voit élargie au cas d'usurpation, faite dans un cadre non public, de nom ou d'identification de quelque nature qu'elle soit (nom d'utilisateur, pseudonyme, certifcat Luxtrust, matricule de sécurité sociale, etc.). Deux nouvelles infractions ont également été introduites dans le Code pénal :

  1. l'interception ou la tentative d'interception de données informatiques12 qui vise à protéger le droit au respect des données lors de transmissions non publiques à destination, en provenance ou à l'intérieur d'un système de traitement ou de transmission automatisé de données. L'interception doit avoir été faite de manière intentionnelle et au mépris des droits d'autrui. Sont ainsi visés par la notion d'interception: l'écoute, le contrôle ou la surveillance du contenu des communications et l'obtention du contenu directement ou indirectement. La notion d'interception peut également consister en un enregistrement des données13;
  2. l'abus de dispositif14 qui établit en infraction le fait de mettre à disposition (vente, production, importation, etc.). dans une intention frauduleuse, des dispositifs informatiques destinés à commettre des infractions ou des clés électroniques permettant d'accéder, au mépris des droits d'autrui, à tout ou partie d'un système de traitement ou de transmission des données.

Relevons également que le seuil minimal de la peine d'emprisonnement éventuellement encourue en cas d'infractions informatiques a été harmonisé à 4 mois.

LE CODE D'INSTRUCTION CRIMINELLE

La loi a également eu des incidences sur le Code d'instruction criminelle, lequel contient l'ensemble des règles de procédure pénale applicables au Luxembourg. En matière de compétence territoriale, la compétence des autorités judiciaires luxembourgeoises a été étendue; elles peuvent maintenant connaître des infractions informatiques qui, bien qu'elles aient été commises à l'étranger pourront être poursuivies au Luxembourg lorsque aucune demande d'extradition n'aura été faite par le pays sur le territoire duquel l'infraction a été commise ou dont l'auteur est un ressortissant. Les dispositions du Code d'instruction criminelle relatives aux perquisitions et aux saisies15 intègrent à présent la possibilité de saisir les données stockées, traitées ou transmises dans un système de traitement ou de transmission automatisé de données. En matière de données informatiques, la saisie intervenant très souvent trop tard, les données utiles à la manifestation de la vérité étant susceptibles d'être perdues ou modifiées pendant le temps nécessaire à la préparation de l'ordonnance de saisie, le législateur a mis en place un mécanisme par lequel le juge d'instruction ou le procureur d'Etat saisi peut faire procéder à la conservation rapide et immédiate des données16 pendant un délai qui ne peut dépasser 90 jours. Les données devront ensuite être saisies conformément aux règles classiques des saisies et perquisitions. Cette possibilité est également ouverte au juge d'instruction en vue de saisir les données téléphoniques dans le cadre d'une mini-instruction en l'absence d'une instruction préparatoire.

LA LOI MODIFIÉE DU 30 MAI 2005 CONCERNANT LA PROTECTION DE LA VIE PRIVÉE DANS LE SECTEUR DES COMMUNICATIONS ÉLECTRONIQUES

Cette loi a également été légèrement modifiée de manière à inclure l'obligation pour tout fournisseur de services ou tout opérateur qui traite des données relatives au trafic concernant leurs abonnés et leurs utilisateurs de prendre toutes les dispositions nécessaires pour que de telles données soient conservées pendant un délai de 6 mois à compter de la date de la communication, de manière telle qu'il soit impossible pour quiconque d'accéder à ces données dès lors qu'elles ont été traitées ou qu'elles ne sont plus nécessaires à la transmission d'une communication, à l'exception des accès qui sont ordonnés par les autorités judiciaires agissant, entre autres, pour sauvegarder la sûreté de l'Etat, la défense et la sécurité publique.

CONCLUSION

Les développements technologiques dont la société bénéficie actuellement et dont elle continuera à bénéficier dans les années à venir pouvant augmenter le risque pour le citoyen ou les sociétés d'être victimes d'infractions informatiques, la volonté d'harmoniser et d'accroître la coopération en matière de cybercriminalité mérite d'être soulignée. Cependant, la nouvelle loi étant récente et celle-ci n'ayant encore donné lieu, à ce jour, à aucune décision judiciaire au Luxembourg, il serait prématuré d'émettre des hypothèses sur l'impact réel qu'elle pourra avoir sur la protection des citoyens et des sociétés qui sont plus que jamais confrontés à la cybercriminalité.

Téléchargez cet article publié au préalable dans le numéro 69 janvier/février du bimestriel luxembourgeois Entreprises Magazine.