AMENDEMENT

Alinéas 21 et 22

Rédiger ainsi ces alinéas :

1° Au premier alinéa, après les mots : « d'appareils », sont insérés les mots : « ou de dispositifs techniques » et après la référence : « l'article 226-1 », sont insérés les mots : « ou ayant pour objet la captation de données informatiques prévue par l'article 706-102-1 du code de procédure pénale » ;

2° Au deuxième alinéa, après les mots : « d'un appareil », sont insérés les mots : « ou d'un dispositif technique » et sont ajoutés les mots : « ou ayant pour objet la captation de données informatiques prévue par l'article 706-102-1 du code de procédure pénale, lorsque cette publicité constitue une incitation à en faire un usage frauduleux. »

Le projet de texte soumet à la procédure d'autorisation instaurée par l'article 226-3 du code pénal l'ensemble des dispositifs permettant de réaliser les infractions prévues à l'article 323-1 du code pénal. Ces dispositifs peuvent être des outils d'intrusion conçus spécifiquement dans un but malveillant (logiciels espions) mais aussi par exemple des outils d'audit de systèmes, de tests, d'évaluation de la sécurité mis en œuvre dans un objectif de sécurité informatique. Ils sont très largement répandus et accessibles, souvent directement sur internet. Ils sont d'ores et déjà utilisés notamment par des sociétés dans le domaine de la sécurité informatique, des laboratoires de recherche et des administrations (notamment l'Agence nationale de la sécurité des systèmes d'information).   

La procédure d'autorisation prévue à l'article 226-3 du code pénal a pour objet le contrôle les appareils pouvant porter atteinte à la vie privée (infraction réprimée par l'article 226-1 du code pénal) et atteinte au secret des correspondances (infraction réprimée par l'article 226-15 du code pénal). L'extension de ce contrôle aux dispositifs permettant d'accéder ou de se maintenir frauduleusement dans un système automatisé de données (article 323-1 du code pénal) est susceptible de poser un problème d'articulation avec les dispositions de l'article 323-3-1 du code pénal. En effet, les mêmes dispositifs se trouveraient alors soumis à un double régime pénal, leur emploi d'une part dépendrait de l'appréciation par le juge du « motif légitime » au terme de l'article 323-3-1 du code pénal, d'autre part serait soumis à une autorisation délivrée par le Premier ministre selon l'article 226-3 du code pénal. Outre la question de ce double régime juridique, il y aurait une difficulté majeure d'application de cette nouvelle disposition, dans la mesure où le Premier ministre aurait à apprécier les cas où l'emploi de ces dispositifs est légitime.

Il est proposé de soumettre à autorisation les dispositifs de captation des données informatiques lorsqu'ils sont utilisés dans les conditions définies aux nouveaux articles 706-102-1 et suivants du code de procédure pénale. Le contrôle porterait ainsi précisément sur ces dispositifs de captation de données, qui représentent une partie de l'ensemble des dispositifs visés par l'article 323-1 du code pénal, et serait applicable aux services de police. Cette rédaction permet de répondre à l'objectif poursuivi qui est de contrôler la sécurité et les fonctionnalités de ces dispositifs, particulièrement intrusifs, au regard de leur emploi et ainsi de renforcer la confiance dans le nouveau dispositif d'investigation introduit aux articles 706-102-1 et suivants du code de procédure pénale. Les autorisations délivrées par le Premier ministre au titre de l'article 226-3 du code pénal s'appuieraient sur le fait que les services de police ont par la présente loi la « légitimité » d'utiliser ces outils.