2-392/2 | 2-392/2 |
28 JUIN 2000
Art. 14
Au 1º de cet article, remplacer les mots « ne peut jamais être inférieur à 12 mois » par les mots « ne peut être supérieur à 12 mois ».
Justification
Le texte prévoit l'obligation pour les opérateurs de conserver les données d'appel de moyens de télécommunications pendant un certain délai. Ce délai est déterminé par arrêté royal en Conseil des ministres et après avis de la Commission de la protection de la vie privée, et ne peut jamais être inférieur à 12 mois. Ce délai minimal d'un an est trop long. Il représente une charge trop lourde pour l'opérateur. En outre, il n'est pas sain de conserver aussi longtemps des données personnelles au regard de la protection de la vie privée.
Art. 14
Au 1º de cet article, entre le mot « télécommunications. » et les mots « Ce délai est déterminé ... », insérer la phrase suivante :
« Les données d'appel et d'identification seront définies par arrêté délibéré en Conseil des ministres, sur avis de la Commission de la protection de la vie privée. »
Justification
Afin d'avoir l'assurance que la signification exacte des données précitées, telle qu'elle sera définie par le Roi, est compatible avec le respect de la vie privée, la Commission de la protection de la vie privée doit être consultée pour avis.
Le représentant du ministre a accepté de tenir compte de cette préoccupation, qui s'inscrit dans le droit fil du texte initial du projet de loi.
| Vincent VAN QUICKENBORNE. |
Art. 6
Remplacer l'article 550bis, § 1er, proposé par ce qui suit :
« § 1er. Celui qui, sachant qu'il n'y est pas autorisé, accède à un système informatique ou s'y maintient, dans une intention frauduleuse ou à dessein de nuire, est puni d'un emprisonnement de trois mois à un an et d'une amende de vingt-six francs à ving-cinq mille francs ou d'une de ces peines seulement. »
Justification
1) Le chapitre II du projet de loi en discussion crée un certain nombre d'infractions. Pour être punissable, chacune de ces infractions nouvelles requiert explicitement une intention frauduleuse, le dessein de nuire ou une volonté d'enrichissement. Seul l'alinéa 1er, § 1er, de l'article 550bis nouveau ne prévoit pas cette condition. Il s'agit de l'infraction d'accès illicite à un système informatique.
2) En outre, le présent amendement crée un parallélisme avec le § 2 de l'article.
| Vincent VAN QUICKENBORNE. Nathalie de T'SERCLAES. Jean-François ISTASSE. |
Art. 7
L'article 39bis proposé est remplacé comme suit :
« Article 39bis. § 1er. Sans préjudice des dispositions spécifiques de cet article, les règles de ce Code relatives à la saisie, y compris l'article 28sexies, sont applicables aux mesures consistant à copier, rendre inaccessibles et retirer des données stockées dans un système informatique.
§ 2. Lorsque le procureur du Roi découvre dans un système informatique des données stockées qui sont utiles pour les mêmes finalités que celles prévues pour la saisie, mais que la saisie du support n'est néanmoins pas souhaitable, ces données, de même que les données nécessaires pour les comprendre, sont copiées sur des supports qui appartiennent à l'autorité. En cas d'urgence ou pour des raisons techniques, il peut être fait usage de supports qui sont disponibles pour des personnes autorisées à utiliser le système informatique.
§ 3. Il utilise en outre les moyens techniques appropriés pour empêcher l'accès à ces données dans le système informatique, de même qu'aux copies de ces données qui sont à la disposition de personnes autorisées à utiliser le système informatique, de même que pour garantir leur intégrité.
Si ces données sont contraires à l'ordre public ou aux bonnes moeurs, ou si elles présentent un danger pour l'intégrité des systèmes informatiques ou pour des données qui sont stockées, traitées ou transmises par le biais de tels systèmes, ces données sont seulement copiées et elles sont ensuite retirées du système informatique.
Il peut cependant, sauf dans le cas prévu à l'alinéa précédent, autoriser l'usage ultérieur de l'ensemble ou d'une partie de ces données, lorsque cela ne présente pas de danger pour l'exercice des poursuites.
§ 4. Lorsque la mesure prévue au § 2 n'est pas possible, pour des raisons techniques ou à cause du volume des données, le procureur du Roi utilise les moyens techniques appropriés pour empêcher l'accès à ces données dans le système informatique, de même qu'aux copies de ces données qui sont à la disposition de personnes autorisées à utiliser le système informatique, de même que pour garantir leur intégrité.
§ 5. Le procureur du Roi informe le responsable du système informatique de la recherche effectuée dans le système informatique et lui communique un résumé des données qui ont été copiées, rendues inaccessibles ou retirées.
§ 6. Le procureur du Roi utilise les moyens techniques appropriés pour garantir l'intégrité et la confidentialité de ces données.
Des moyens techniques appropriés sont utilisés pour leur conservation au greffe.
La même règle s'applique, lorsque des données qui sont stockées, traitées ou transmises dans un système informatique sont saisies avec leur support, conformément aux articles précédents. »
Justification
Cet amendement du gouvernement vise à rendre la structure de la disposition plus claire et à en préciser le contenu sur un certain nombre de points, tenant compte de l'adoption de l'amendement nº 2 de M. Erdman.
1. L'applicabilité des règles de droit commun en matière de saisie est posée comme principe et précisée.
2. Concernant les données qui sont retirées du système, il est précisé qu'elles sont d'abord copiées.
3. En ce qui concerne le fait d'empêcher l'accès et de garantir l'intégrité, les formulations du projet initial sont maintenues, afin de clairement distinguer les différentes hypothèses.
4. Concernant la conservation au greffe, il n'est pas fait référence aux modalités de l'article 90septies du Code d'instruction criminelle en matière d'interception de communications, et en particulier à la conservation sous pli scellé et les mentions dans un registre spécial. L'article 13 du projet prévoit justement en la matière le remplacement de principe de ces moyens par des techniques adéquates plus modernes qui offrent d'ailleurs plus de garanties. Le projet impose néanmoins une responsabilité claire aux greffes de conserver les données saisies de façon adéquate afin de garantir la qualité des éléments de preuve.
Le ministre de la Justice,
Marc VERWILGHEN.
Art. 6
À l'article 550bis, § 1er, proposé, apporter les modifications suivantes :
A. À l'alinéa 1er, insérer les mots « , avec une intention frauduleuse ou dans le but de nuire » entre les mots « Celui qui » et les mots « sachant qu'il n'y est pas autorisé ».
B. Supprimer l'alinéa 2.
Justification
Quiconque accède à un système informatique en outrepassant son pouvoir n'est punissable que lorsqu'il agit avec une intention frauduleuse ou dans le but de nuire (voir le § 2 de l'article 550bis proposé). Celui qui n'a pas accès à un tel système mais qui force cet accès est par contre toujours punissable, même s'il n'agit pas avec une intention frauduleuse ou dans le but de nuire (§ 1er de l'article 550bis proposé).
Le Conseil d'État a relevé qu'il y a là « deux poids deux mesures » ce qui, vu l'absence de motifs objectifs, soulève la question de la compatibilité de cette disposition avec le principe d'égalité (voir doc. Chambre, 1999/2000, nº 213/001, p. 52).
De fait, aucun motif objectif ne paraît justifier cette distinction. Au contraire, le droit pénal punit souvent plus lourdement les personnes qui abusent de la confiance dont elles jouissent. C'est ainsi qu'un vol, par exemple, est sanctionné plus lourdement lorsqu'il est le fait d'un domestique ou d'un homme de service à gages envers son maître (article 64 du Code pénal). Par analogie, toute personne qui accède à un système informatique en abusant de ses droits d'accès doit être sanctionnée plus lourdement que la personne qui ne dispose pas de tel droit.
Art. 8
À l'article 88ter, § 1er, deuxième tiret, proposé, remplacer les mots « ou s'il existe un risque que, » par les mots « et s'il existe un risque que ».
Justification
Voir l'avis de la Commission de la protection de la vie privée (doc. Chambre, 1999/2000, nº 213/004, p. 90) :
« La commission est d'avis que l'extension de la perquisition à d'autres systèmes informatiques ne devrait pouvoir être effectuée que si les conditions énoncées dans la disposition proposée sont présentes de façon cumulative. »
Il convient dès lors de remplacer le mot « ou » figurant dans le texte par le mot « et ».
Art. 8
Supprimer le deuxième alinéa du § 3 de l'article 88ter proposé.
Justification
Le deuxième alinéa du § 3 de l'article 88ter proposé autorise le juge d'instruction à copier des données qui ne se trouvent pas sur le territoire du Royaume.
Cette disposition est contraire au droit international, comme le relève l'avis du Conseil d'État :
« Parmi les règles fondamentales du droit international figure celle selon laquelle l'État exerce l'autorité étatique sur son propre territoire, et le fait seul, à l'exclusion de tout autre État. (...). Un État ne peut ainsi, en dehors de son territoire, ni procéder à une arrestation, ni dresser un procès-verbal constatant un délit, ni mener une enquête, etc. La jurisprudence internationale est, sur ce point, constante » (doc. Chambre, nº 213/001, 99/00, p. 45).
« L'obligation de se restreindre à la seule copie des données situées à l'étranger, et le devoir fait au juge d'informer le ministère de la Justice pour que ce dernier avise à son tour les autorités étrangères compétentes, ne suffisent pas à rendre une telle investigation compatible avec la règle de droit international ci-dessus rappelée. La « hot pursuit », institution traditionnelle du droit maritime international, à laquelle le commentaire de l'article 88ter fait une allusion, sans doute métaphorique, ne suffit pas davantage » (doc. Chambre, nº 213/001, 99/00, p. 46).
De plus, en vertu de l'article 4 du Code pénal, les infractions commises à l'étranger ne sont en principe pas punissables en Belgique. Comment justifier alors qu'un juge d'instruction puisse effectuer sur un système informatique étranger une recherche portant sur n'importe quel délit ? Les délits « étrangers » que le juge d'instruction constaterait à l'occasion de cette recherche ne pourraient en effet pas être poursuivis par lui dès lors que l'intéressé ne pourra généralement pas être sanctionné à ce titre en application de l'article 4 du Code pénal.
Il convient dès lors de supprimer l'alinéa 2 du § 3 de l'article 88ter proposé.
| Hugo VANDENBERGHE. Clotilde NYSSENS. |
Art. 14
Au 1º de cet article, remplacer les mots « du Royaume » par les mots « de l'Union européenne ».
Justification
Il semble difficilement acceptable, à l'intérieur des frontières du marché unique européen, qu'un État membre prévoie que des données sont conservées sur son territoire.
L'Union doit anticiper dans le domaine de l'entraide judiciaire, afin que les autorités judiciaires aient facilement accès aux données nécessaires à la conduite d'une enquête pénale et ce, sur tout le territoire de l'Union.
| Martine TAELMAN. |
Art. 6
Remplacer l'article 550bis, § 3, 1º, proposé, comme suit :
« 1º soit reprend de quelque manière que ce soit les données stockées, traitées ou transmises par le système informatique; »
Justification
Il ressort des questions au gouvernement que la circonstance aggravante prévue au 1º sera toujours réalisée dans les faits, dès lors que quiconque accède à un système informatique prend connaissance des données qui sont stockées, traitées ou transmises.
Cet amendement répond à la préoccupation du gouvernement pour ce qui est des personnes qui ont accédé à un système informatique et qui copient les données dont elles ont pris connaissance afin de pouvoir les réutiliser le cas échéant.
Cet amendement est parallèle à l'article 138a de la loi néerlandaise de 1993 relative à la criminalité informatique, qui qualifie également ce fait de circonstance aggravante.
Art. 6
Remplacer l'article 550bis, § 3, 2º, comme suit :
« 2º soit fait un usage quelconque d'un système informatique appartenant à un tiers ou se sert de ce système informatique pour accéder au système informatique d'un tiers; »
Justification
Cet amendement formule plus clairement ce qui est visé par le gouvernement, à savoir l'auteur qui utilise un système dont il n'est pas propriétaire pour accéder de manière illicite au système informatique visé au § 1er. Un tel acte constitue une circonstance aggravante. Tel qu'il est libellé dans sa forme initiale, le texte donne l'impression que, dès l'instant où l'on se sert d'un système informatique, il y a lieu d'appliquer une peine aggravée. Or, le hacking et le cracking ne peuvent pas se faire sans ordinateur (F. Deryck, « Is de wetgever met de wetsontwerpen inzake de informaticacriminaliteit on-line of off-line ? », studiedag VUB, mars 2000, à paraître).
De plus, par analogie avec la loi néerlandaise (article 138a), on a ajouté une circonstance aggravante dans le cas où l'accès illicite au système permet à son tour d'accéder au système d'un tiers.
Art. 6
Remplacer l'article 550bis, § 3, 3º, proposé, par la disposition suivante :
« 3º soit cause un dommage quelconque, même non intentionnellement, au système informatique ou aux données qui sont stockées, traitées ou transmises par ce système informatique; »
Justification
Cet amendement vise à apporter une petite modification au texte en renvoyant explicitement au système auquel on a accédé ou dans lequel on se maintient.
On a choisi de maintenir la disposition concernant le dommage non intentionnel, étant donné que, par suite de l'amendement nº 3, il faut prouver que l'accusé a eu l'intention de nuire ou a agi par intention frauduleuse pour lui infliger la peine de base. Dans ce cas, l'intéressé doit se rendre compte que le dommage non intentionnel n'est pas excusable.
Art. 14
Remplacer, au 1º de cet article, les mots « et ne peut jamais être inférieur à 12 mois » par les mots « et ne peut jamais être supérieur à 6 mois ».
Justification
Le délai minimum doit devenir un délai maximum. Le texte en projet est diamétralement opposé à ce que dit l'avis du Conseil d'État. Le Conseil d'État souligne que les infractions au droit à la vie privée doivent être fondées sur un texte de loi et non pas sur un arrêté royal. Le projet de loi prévoit que les opérateurs doivent conserver les données pendant au moins 12 mois et implique que ce délai peut encore être prolongé par arrêté royal. Cet article ne limite donc aucunement la compétence du Roi d'imposer un délai de conservation. Au contraire, le texte permet au Roi de prolonger encore davantage le délai minimum légal.
En prévoyant un délai de conservation minimum de 12 mois, le législateur s'écarte des avis formulés par la Commission de la protection de la vie privée. Selon celle-ci, un délai de trois mois, comme on l'applique en Allemagne, est suffisant en pratique (avis nº 33/1999 du 13 décembre 1999). Le projet de loi prévoit que l'arrêté royal déterminant le délai de conservation final doit être soumis pour avis à la Commission de la protection de la vie privée. Comme celle-ci a déjà déclaré, dans son avis, qu'un délai de trois mois est suffisant, on peut en déduire que tout délai supérieur à 12 mois sera jugé trop long.
De plus, le délai de conservation proposé (12 mois) n'est pas du tout conforme au délai fixé dans les pays voisins. Le délai de conservation imposé par le législateur belge est nettement plus long que le délai imposé à cet effet par d'autres pays aux opérateurs de réseaux de télécommunications. À l'heure actuelle, peu de pays ont déjà défini dans quel délai les « données d'appel » doivent être conservées à des fins de maintien des lois. Les Pays-Bas sont le plus avancés en ce qui concerne l'emploi des données télécoms à des fins judiciaires. Cependant, le délai durant lequel les opérateurs doivent mettre les données à la disposition des autorités judiciaires n'est que de trois mois. En Allemagne aussi, on applique un délai de trois mois. En d'autres termes, en imposant un délai de 12 mois, la Belgique est leader absolu pour ce qui est de vider de son contenu le secret des télécommunications.
Ce délai de conservation ne tient pas compte des limites auxquelles sont soumis les opérateurs ni des dépenses que ceux-ci doivent consentir pour les surmonter. À l'heure actuelle, la plupart des opérateurs ne gardent pas leurs données plus de trois à six mois, comme l'a montré clairement l'audition des représentants des fournisseurs d'accès à l'internet.
| Vincent VAN QUICKENBORNE. |
Art. 6
À l'article 550bis, § 3, 3º, proposé, supprimer les mots « même non intentionnellement ».
Justification
À partir du moment où on se trouve dans le cas où l'intention est frauduleuse, il est inutile de prévoir le cas où le dommage créé pourrait être non intentionnel. Il est inutile de le préciser, cela va de soi.
| Nathalie de T'SERCLAES. |
Art. 14
Au 1º de cet article, remplacer la dernière phrase de l'alinéa 1er comme suit :
« Ce délai est fixé à 12 mois. »
Justification
Pour la sécurité juridique, il y a lieu d'appliquer un délai minimum comme un délai maximum. Étant donné que la loi sur la protection de la vie privée est applicable également, la conservation des données en question pendant le délai de 12 mois n'est utile que dans le cadre d'une instruction judiciaire.
| Meryem KAÇAR. |
(Sous-amendement à l'amendement nº 11)
Art. 6
Remplacer l'article 550bis, § 3, 3º, par le texte suivant :
« 3º soit cause un dommage quelconque, même non intentionnellement, au système informatique ou aux données qui sont stockées, traitées ou transmises par ce système, ou au système informatique d'un tiers ou aux données qui sont stockées, traitées ou transmises par ce système. »
Justification
Ce sous-amendement répond à la nécessité d'expliciter le dommage possible, compte tenu de l'amendement nº 10.
| Vincent VAN QUICKENBORNE. |
(Sous-amendement à l'amendement nº 5)
Art. 6
À l'article 550bis, § 1er, proposé, apporter les modifications suivantes :
A. Remplacer les mots « sachant qu'il n'y est pas autorisé » par les mots « avec une intention frauduleuse ou dans le but de nuire ».
B. Remplacer les mots « trois mois » par les mots « six mois » et les mots « un an » par les mots « deux ans ».
C. Supprimer l'alinéa 2.
Justification
Le texte proposé vise à instaurer un seuil d'incrimination plus élevé dans le cas du hacker interne (qui possède certains pouvoirs d'accès) par opposition au hacker externe (doc. Chambre, nº 213-001, 99-00, p. 16).
Or, au niveau du texte légal, aucun élément objectif ne permet de justifier a priori cette différence de traitement (voy. aussi en ce sens l'avis du Conseil d'État, doc. Chambre, nº 52, 99-00).
L'élément moral constitutif de l'infraction pénale doit donc être défini dans les mêmes termes par le législateur (et les peines doivent être identiques). En revanche, cela n'empêche nullement les cours et tribunaux d'apprécier différemment, c'est-à-dire plus ou moins sévèrement, des comportements selon qu'ils émanent de hackers externes ou de hackers internes. À cet égard, les termes légaux doivent permettre l'appréciation la plus large possible. Les mots « avec une intention frauduleuse ou dans un but de nuire » remplissent précisément cette fonction. Ils rendent notamment punissable l'accès en toute connaissance de cause au système sans y avoir droit (en ce sens, Lamy informatique 2000, nº 3120, p. 1765).
| Clotilde NYSSENS. |
(Sous-amendement à l'amendement nº 4 du gouvernement)
Art. 7
Remplacer le § 3, alinéa 2, de l'article 39bis proposé, comme suit :
« § 3. Si les données constituent l'objet du délit ou son résultat et si elles sont contraires à l'ordre public ou aux bonnes moeurs ou constituent un danger pour l'intégrité des systèmes informatiques ou pour des données stockées, traitées ou transmises par le biais de tels systèmes, le procureur du Roi utilise tous les moyens techniques appropriés pour rendre ces données inaccessibles. »
Justification
La modification proposée par l'amendement nº 4 du gouvernement semble porter atteinte au pouvoir de décision du juge indépendant lorsque celui-ci rend son jugement matériel final sur le fait, et ce, précisément à cause du mot « retirer ». Dans ce sens, le sous-amendement rejoint la justification de M. Erdman relative à son amendement nº 2. Seul un juge indépendant peut annuler et supprimer des données.
De plus, l'expression « rendre inaccessible » a une acception suffisamment large pour autoriser le procureur du Roi à prendre diverses mesures. Nous renvoyons à cet égard au nouvel article 125o proposé du Code d'instruction criminelle néerlandais, où elle est considérée comme la plus neutre techniquement : « par les mots « rendre les données inaccessibles » il faut entendre la prise de mesures visant à éviter que le gestionnaire du système informatique ou des tiers ne prennent connaissance ou ne fassent usage de ces données ainsi que la prise de mesures visant à éviter la diffusion desdites données. « Rendre des données inaccessibles » englobe l'élimination (effacement) des fichiers concernés avec conservation d'une copie pour la Justice » (article 125o, alinéa 2).
Il s'agit de la mesure la plus évidente. La définition de l'expression « rendre des données inaccessibles » permet en outre de prendre toutes sortes d'autres mesures, pourvu qu'elles tendent à éviter toute nouvelle consultation, etc. de ces données. Une telle mesure consistera, par exemple, à installer, à l'aide des techniques d'encryptage, un véritable « cadenas » sur les fichiers concernés, de telle sorte que le gestionnaire et les autres utilisateurs de l'ordinateur n'y aient plus accès. Il est aussi imaginable, par exemple, que l'on rende le port d'accès à l'ordinateur concerné (momentanément) inutilisable. Dans chaque situation, il faudra apprécier quelle est la mesure la plus efficace.
| Vincent VAN QUICKENBORNE. |
Art. 8
À l'article 88ter, § 1er, proposé, remplacer les mots « soit dans le cadre d'une perquisition soit autrement » par les mots « dans le cadre d'une perquisition ».
Justification
Si nous nous trouvons bien dans l'hypothèse d'un mandat de perquisition ordonné par un juge d'instruction et que le paragraphe vise la possibilité d'étendre la recherche vers un système informatique qui se trouve dans un autre lieu, les mots « soit autrement » n'ajoutent rien au texte. Ils permettraient par contre de couvrir des actes d'instruction non spécifiés, ce que l'on ne peut accepter sur le plan des principes.
| Nathalie de T'SERCLAES. |
Art. 14
Au 1º de cet article, supprimer le dernier alinéa proposé.
Justification
Cet amendement vise à éviter d'imposer des restrictions inutiles à la vie économique. Il est néanmoins évident que les données visées doivent être mises à la disposition des autorités compétentes, quand une demande à cet effet est faite dans le cadre des mesures visées aux articles 46bis et 88bis du Code d'instruction criminelle.
| Martine TAELMAN. |