CHAPITRE II
LUTTE CONTRE LA CYBERCRIMINALITÉ

Article 30
(art. 56 du code de procédure pénale)
Perquisitions en flagrant délit -
Modification de la liste des pièces susceptibles
d'être saisies et des modalités de leur conservation

Dans sa rédaction actuelle, l'article 56 du code de procédure pénale, relatif aux perquisitions, dispose que : « Si la nature du crime est telle que la preuve en puisse être acquise par la saisie des papiers, documents ou autres objets en la possession des personnes qui paraissent avoir participé au crime ou détenu des pièces ou objets relatifs aux faits incriminés, l'officier de police judiciaire se transporte sans désemparer au domicile de ces derniers pour y procéder à une perquisition dont il dresse procès-verbal ».

Cet article prévoit également que l'officier de police judiciaire a seul, à l'exception des témoins qui peuvent être sollicités pour assister aux perquisitions et des personnes désignées pour procéder à des examens scientifiques et techniques, le droit de prendre connaissance des papiers ou documents avant de procéder à leur saisie. Il doit provoquer toutes mesures utiles pour que soit assuré le respect du secret professionnel et les droits de la défense.

Les objets et documents saisis sont immédiatement placés sous scellés, ou sous scellés provisoires lorsque leur inventaire sur place présente des difficultés.

Avec l'accord du procureur de la République, l'officier de police judiciaire ne maintient que la saisie des objets et documents utiles à la manifestation de la vérité.

Enfin, l'article 56 prévoit des dispositions spécifiques, d'une part lorsque la saisie porte sur des espèces, lingots, effets ou valeurs dont la conservation en nature n'est pas nécessaire à la manifestation de la vérité, d'autre part lorsque la saisie porte sur des billets de banque ou pièces de monnaie libellés en euros contrefaits.

L'essentiel des dispositions de cet article a été adopté par le législateur avant l'apparition des technologies de l'information. L'article 56 ignore donc purement et simplement la question des données informatiques, qui doivent pouvoir être saisies au même titre que les « papiers, documents ou autres objets ». Dans ces conditions, les officiers de police judiciaire sont contraints de saisir l'ensemble du support informatique, ce qui est à la fois contraignant et disproportionné.

Le présent article tend à mettre fin à cette situation en prenant en considération le cas des données informatiques dans l'article 56 du code de procédure pénale.

Les 1° et 2° de cet article tendent à compléter les deux premiers alinéas de l'article 56 pour mentionner les « données informatiques » dans la liste des pièces susceptibles d'être saisies et de viser, non seulement les pièces, mais aussi les « informations » relatives aux faits incriminés.

Le 3° tend à préciser les conditions de saisie des données informatiques, en remplaçant le cinquième alinéa de l'article 56, qui dispose que l'officier de police judiciaire ne maintient que la saisie des objets et documents utiles à la manifestation de la vérité, par trois nouveaux alinéas.

Le texte proposé prévoit que la saisie des données informatiques nécessaires à la manifestation de la vérité peut être opérée en plaçant sous main de justice, soit le support informatique des données, soit une copie de celles-ci . Dans ce dernier cas, la copie devrait être réalisée en présence des personnes qui assistent à la perquisition.

Rappelons qu'aux termes de l'article 57 du code de procédure pénale, les perquisitions doivent en principe être effectuées en présence de la personne au domicile de laquelle elles ont lieu. A défaut, l'officier de police judiciaire doit inviter cette personne à désigner un représentant de son choix. A défaut, il doit choisir deux témoins en dehors des personnes relevant de son autorité administrative.

Il est tout à fait logique de prévoir que la copie des données informatiques est réalisée en présence des personnes qui assistent à la perquisition, afin de garantir l'authenticité des données copiées.

Le texte proposé précise fort logiquement que si une copie est réalisée, il peut être procédé, sur instruction du procureur de la République, à l'effacement définitif, sur le support physique qui n'a pas été placé sous main de justice, des données informatiques dont la détention ou l'usage est illégal ou dangereux pour la sécurité des personnes ou des biens.

A titre d'exemple, en cas d'investigations relatives à une affaire de pédopornographie, il paraît indispensable que la copie des données soit accompagnée d'un effacement de celles-ci sur les supports informatiques des personnes chez lesquelles se déroulent les perquisitions.

Enfin, le texte proposé reprend, pour l'essentiel, les dispositions actuelles prévoyant qu'avec l'accord du procureur, l'officier de police judiciaire ne maintient que la saisie des objets et documents utiles à la manifestation de la vérité tout en ajoutant les données informatiques parmi les pièces mentionnées.

Les dispositions du présent article ont vocation à s'appliquer non seulement en cas d'enquête de flagrance, mais également en cas d'enquête préliminaire. L'article 76 du code de procédure pénale, qui régit les perquisitions au cours des enquêtes préliminaires, renvoie en effet à l'article 56 du même code (qui régit les perquisitions en enquête de flagrance et est modifié par le présent article) en ce qui concerne les formes de la perquisition.

Votre commission vous propose d'adopter l'article 30 sans modification .

Article 31
(art. 94 du code de procédure pénale)
Perquisitions au cours d'une instruction -
Coordination

Le présent article tend à compléter l'article 94 du code de procédure pénale, qui prévoit la possibilité d'effectuer des perquisitions au cours d'une instruction. Dans sa rédaction actuelle, cet article prévoit que les perquisitions sont effectuées dans tous les lieux où peuvent se trouver des objets dont la découverte serait utile à la manifestation de la vérité.

Par coordination avec les dispositions prévues par l'article 30 pour les perquisitions au cours de l'enquête, le présent article tend à ajouter aux objets dont la découverte serait utile à la manifestation de la vérité les données informatiques.

Votre commission vous propose d'adopter l'article 31 sans modification .

Article 32
(art. 97 du code de procédure pénale)
Perquisitions au cours d'une instruction -
Modification de la liste des pièces susceptibles d'être saisies
et des modalités de leur conservation

L'article 97 du code de procédure pénale définit les formes des perquisitions conduites au cours d'une instruction et contient des dispositions très similaires à celles de l'article 56 du même code, qui définit le régime des perquisitions au cours de l'enquête.

Il prévoit ainsi que lorsqu'il y a lieu de rechercher des documents, le juge d'instruction ou l'officier de police judiciaire par lui commis a seul le droit d'en prendre connaissance avant de procéder à la saisie. Tous les objets et documents placés sous main de justice doivent être placés sous scellés ou sous scellés provisoires si leur inventaire sur place présente des difficultés.

Comme en matière d'enquête, le texte prévoit que l'officier de police judiciaire, avec l'accord du juge d'instruction, ne maintient que la saisie des objets et documents utiles à la manifestation de la vérité.

Le présent article tend à apporter à l'article 97 du code de procédure pénale les mêmes modifications que l'article 30 tend à apporter à l'article 56.

Les 1°, 2°, 3° et 4° tendent à compléter la liste des objets pouvant être saisis pour y mentionner les données informatiques , afin d'éviter que les officiers de police judiciaire agissant sur commission rogatoire du juge d'instruction soient contraints de saisir systématiquement le support informatique.

Le 5° tend à insérer dans cet article deux nouveaux alinéas, pour prévoir qu'il est procédé à la saisie des données informatiques nécessaires à la manifestation de la vérité en plaçant sous main de justice soit le support physique de ces données, soit une copie réalisée en présence des personnes qui assistent à la perquisition. Le texte précise que si une copie est réalisée, il peut être procédé, sur ordre du juge d'instruction, à l'effacement définitif des données informatiques dont la détention ou l'usage est illégal ou dangereux pour la sécurité des personnes ou des biens.

Ces dispositions sont strictement identiques à celles que prévoit l'article 30 du projet de loi en matière de perquisitions au cours de l'enquête. Les attributions du procureur de la République sont cependant dévolues au juge d'instruction, conformément aux règles générales qui prévalent au cours d'une instruction.

Votre commission vous propose d'adopter l'article 32 sans modification .

Article additionnel après l'article 32
(art. 227-23 du code pénal)
Incrimination de la tentative de production d'images
pédopornographiques et de l'offre de telles images

Le présent projet de loi, comme d'autres textes déjà adoptés par le Parlement (en particulier la loi pour la sécurité intérieure) doivent permettre à la France de mettre son droit en conformité avec la convention sur la cybercriminalité signée le 23 novembre 2001 dans le cadre du Conseil de l'Europe.

Par un article additionnel, votre commission vous propose de compléter le projet de loi pour mettre en oeuvre deux stipulations de la convention sur la cybercriminalité, qui figurent également dans une proposition de décision-cadre renforçant la lutte contre l'exploitation sexuelle des enfants et la pédopornographie en cours de négociation au sein du Conseil de l'Union européenne.

Ces deux instruments juridiques font obligation aux Etats d'incriminer la tentative de production d'images pédopornographiques en vue de leur diffusion, y compris les images de synthèse ou images virtuelles. Or, l'article 227-23 du code pénal, s'il incrimine la fixation, l'enregistrement ou la transmission de l'image ou de la représentation d'un mineur lorsque cette image ou cette représentation revêt un caractère pornographique, n'incrimine pas la tentative de cette infraction.

Certes, la tentative de production d'images pédopornographiques de mineurs existant réellement peut être poursuivie sous le chef de corruption de mineurs, mais cette incrimination ne peut être utilisée en ce qui concerne la tentative de production d'images pédopornographiques de synthèse.

Par ailleurs, la convention sur la cybercriminalité fait obligation aux Etats d'incriminer l'offre de matériel pédopornographique. Or, notre droit n'incrimine que la diffusion, l'importation ou l'exportation d'un tel matériel. Le fait d'offrir de telles images constitue un agissement différent de ceux réprimés par l'article 227-23 du code pénal, puisqu'il s'agit d'une proposition sans diffusion simultanée.

Votre commission vous propose donc, par un amendement , d'insérer un article additionnel après l'article 32 pour compléter l'article 227-23 du code pénal afin d'incriminer la tentative de production d'images pédopornographiques ainsi que le fait d'offrir de telles images.

Article 33
(art. 323-1 à 323-3 du code pénal)
Aggravation des peines encourues par les auteurs
d'atteintes aux systèmes de traitement automatisé de données

Le chapitre III du titre II du livre troisième du code pénal est consacré aux atteintes aux systèmes de traitement automatisé de données . Les infractions qu'il contient ont été insérées dans l'ancien code pénal par la loi du 5 janvier 1988 et reprises dans le nouveau code pénal entré en vigueur en 1994.

Lors de l'élaboration du nouveau code pénal, le Sénat avait proposé de définir le système de traitement automatisé de données comme « tout ensemble composé d'une ou plusieurs unités de traitement, de mémoire, de logiciel, de données, d'organes d'entrées-sorties et de liaisons, qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs de sécurité ». Le législateur n'a finalement retenu aucune définition.

L'article 323-1 punit d'un an d'emprisonnement et de 15.000 euros d'amende le fait d' accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données .

La jurisprudence a précisé les éléments constitutifs de cette infraction. Si l'incrimination vise tous les modes de pénétration irréguliers d'un système de traitement automatisé de données, l'accès ne tombe sous le coup de la loi pénale que s'il est le fait d'une personne qui n'a pas le droit d'accéder au système ou n'a pas le droit d'y accéder de la façon dont elle y a accédé.

L'article 323-2 punit de trois ans d'emprisonnement et de 45.000 euros d'amende le fait d' entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données .

L'entrave du fonctionnement d'un système de traitement automatisé de données correspond parfois à une impossibilité totale d'utiliser le système, par exemple le blocage d'un code d'accès ou la paralysie de son fonctionnement. Elle peut également consister en une simple diminution de la capacité de traitement. Le trouble peut être permanent, par exemple lorsque le système est infesté d'un virus, il peut également se reproduire à échéance régulière, notamment lorsqu'une « bombe logique » a été insérée pour paralyser régulièrement le fonctionnement du système.

L'article 323-3 punit de trois ans d'emprisonnement et de 45.000 euros d'amende le fait d' introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient .

Enfin, l'article 323-4 dispose que la participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

Le présent article tend à aggraver l'ensemble des peines prévues par les articles 323-1 à 323-3 du code pénal.

Le paragraphe I tend à porter les peines prévues par l'article 323-1 d'un an d'emprisonnement et de 15.000 euros d'amende à deux ans d'emprisonnement et 30.000 euros d'amende en cas d'accès frauduleux à un système de traitement automatisé de données et de deux ans d'emprisonnement et 30.000 euros d'amende à trois ans d'emprisonnement et 45.000 euros d'amende lorsque l'accès frauduleux a provoqué la suppression ou la modification de données ou une altération du fonctionnement du système.

Le paragraphe II tend à porter les peines prévues en cas d'entrave au fonctionnement d'un système de traitement automatisé de données de trois ans d'emprisonnement et 45.000 euros d'amende à cinq ans d'emprisonnement et 75.000 euros d'amende.

Le paragraphe III tend à porter les peines prévues en cas d'introduction, de suppression ou de modification frauduleuse de données, de trois ans d'emprisonnement et 45.000 euros d'amende à cinq ans d'emprisonnement et 75.000 euros d'amende.

Votre commission vous propose d'adopter l'article 33 sans modification .

Article 34
(art. 323-3-1 nouveau du code pénal)
Création d'une nouvelle incrimination
en matière de droit de l'informatique

Le présent article tend à compléter les dispositions du code pénal réprimant les atteintes aux systèmes de traitement automatisé de données pour créer une nouvelle incrimination.

En effet, si notre droit pénal réprime l'accès frauduleux dans un système de traitement automatisé de données ou l'introduction frauduleuse de données, il ne sanctionne pas la détention ou la mise à disposition d'équipements conçus pour commettre les faits déjà réprimés par les articles 323-1 à 323-3 du code pénal, modifiés par l'article 33 du présent projet de loi.

Le paragraphe I du présent article tend à insérer dans le code pénal un article 323-3-1 pour punir le fait de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre les faits prévus par les articles 323-1 à 323-3 du code pénal .

Cette nouvelle infraction pourrait permettre de sanctionner la détention ou la mise à disposition de virus informatiques, sans qu'il soit besoin que ledit virus ait été introduit frauduleusement dans un système de traitement automatisé de données.

La nouvelle infraction serait punie des peines prévues pour l'infraction pour laquelle le programme ou équipement a été conçu ou des peines prévues pour l'infraction la plus sévèrement réprimée lorsque le programme pouvait servir à commettre plusieurs des infractions mentionnées aux articles 323-1 à 323-3 du code pénal.

Le texte proposé est assez proche, dans ses éléments constitutifs, de l'article L. 163-4-1 du code monétaire et financier qui punit de sept ans d'emprisonnement et de 750.000 euros d'amende le fait de détenir, d'offrir, de céder ou de mettre à disposition des équipements, instruments, programmes informatiques ou toutes données conçus ou spécialement adaptés pour commettre les délits de contrefaçon ou de falsification de cartes de paiement.

Le texte proposé pour l'article 323-3-1 prévoit dans un second alinéa que la nouvelle infraction n'est pas applicable lorsque la détention, l'offre, la cession et la mise à disposition de l'instrument, du programme informatique ou de toute donnée sont justifiées par les besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes d'information.

Cette exception doit notamment permettre aux laboratoires scientifiques en informatique de poursuivre leurs recherches.

A l'initiative du rapporteur pour avis de la commission des Lois, Mme Michèle Tabarot, l'Assemblée nationale a prévu que l'exception prévue ne s'appliquerait qu'aux organes ayant procédé à une déclaration préalable auprès du Premier ministre selon les modalités prévues par l'article 18 du projet de loi.

Cet article, qui concerne la cryptologie, prévoit notamment que la fourniture, le transfert depuis un Etat membre de la Communauté européenne ou l'importation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à une déclaration préalable auprès du Premier ministre. Il dispose également que le fournisseur ou la personne procédant au transfert ou à l'importation tiennent à la disposition du Premier ministre une description des caractéristiques techniques de ce moyen de cryptologie, ainsi que le code source des logiciels utilisés.

La même procédure serait donc applicable aux instruments, programmes informatiques ou données pouvant servir à commettre des infractions, mais dont la détention est justifiée par les besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes d'information.

Dans son rapport pour avis, Mme Michèle Tabarot a justifié cette modification en jugeant « le champ de l'exclusion de la responsabilité pénale proposée excessivement large. En effet, les notions de « besoins de la recherche scientifique et technique » ou de « protection et de la sécurité des réseaux de communication » sont particulièrement imprécises, susceptibles de recouvrir des organismes irréprochables et d'autres qui le seraient moins, certains pouvant être tentés de développer des virus informatiques en excipant de leur mission de sécurisation des réseaux ».

La préoccupation exprimée par l'Assemblée nationale est tout à fait légitime. Pour autant, la solution proposée pourrait susciter de sérieuses difficultés d'application. Le texte proposé par l'Assemblée nationale pourrait en effet exposer des organismes détenant des virus à des fins de recherche à des poursuites si elles omettaient de procéder à la déclaration tout en utilisant les virus à des fins légitimes.

Dans ces conditions, votre commission vous propose, par un amendement, une nouvelle rédaction du texte proposé pour l'article 323-3-1 du code pénal, afin d'incriminer le fait, « sans motif légitime », d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement conçu pour commettre des atteintes aux systèmes de traitement automatisé de données.

Naturellement, la recherche scientifique et la sécurisation des réseaux pourraient entrer dans le champ des motifs légitimes. Il reviendrait au juge d'apprécier la légitimité des motifs, dès lors qu'il est impossible dans la loi d'envisager toutes les hypothèses dans une telle matière.

Le paragraphe II tend à opérer des coordinations dans les articles 323-4 et 323-7 du code pénal, respectivement relatifs à la participation à un groupement conçu en vue de commettre des atteintes aux systèmes de traitement automatisé de données et à la tentative de commettre des atteintes aux systèmes de traitement automatisé de données.

Votre commission vous propose d'adopter l'article 34 ainsi modifié .