Le texte du projet de loi relatif à la criminalité informatique, déposé le 3 novembre 1999 à la Chambre des Représentants a suivi son parcours législatif et a été sanctionné et promulgué le 28 novembre 2000. La loi a été publiée au Moniteur belge du 3 janvier 2001 et est entrée en vigueur 10 jours après cette publication.
La Belgique, à la traîne par rapport à ses voisins (France, Pays-Bas), vient donc de combler le vide juridique qui la caractérisait jusqu'alors, en matière de répression de la criminalité informatique. Il est vrai comblé ça et là par quelques dispositions éparses sans grande cohérence dans des lois spéciales (telles la loi sur la banque Carrefour, la loi relative au crédit à la consommation, la loi relative aux droits d'auteur, la loi sur les pratiques de commerce, la loi sur les écoutes téléphoniques, la loi relative à la protection juridique des programmes d'ordinateur,...) et par l'œuvre d'une jurisprudence instable (l'affaire Bistel en fut la plus célèbre illustration) .
Dès l'abord, lorsqu'il est question de criminalité informatique, il convient d'établir une distinction entre les situations où l'informatique est utilisée comme moyen de commettre des délits traditionnels selon des modalités nouvelles et les situations où l'informatique est la cible même de la criminalité – l'informatique comme but de la criminalité -.
La loi nouvelle ne vise que cette dernière hypothèse et partant on ne parle de criminalité informatique que dans les situations où les infractions sont dirigées contre les systèmes ou les données informatiques.
Au niveau du droit pénal, la loi a ajouté quatre nouvelles incriminations autonomes et spécifiques permettant la répression d'une série de comportements que le droit pénal actuel ne permettait pas d'enrayer : le faux en informatique et son usage, la fraude informatique, le "hacking" et le sabotage informatique.
On peut regretter que la loi n'ait pas tenté une refonte partielle du droit pénal en modifiant certaines notions existantes, parfois dépassées. Il en va ainsi, à notre avis, par exemple de la notion d'"écriture" visée aux articles 193 et suivants du code pénal.
Le faux en informatique
La loi introduit dans le code pénal un article 210bis qui punit celui qui dans une intention frauduleuse ou à dessein de nuire "commet un faux, en introduisant dans un système informatique, en modifiant ou en effaçant des données, qui sont stockées, traitées ou transmises par un système informatique, ou en modifiant par tout moyen technologique l'utilisation possible des données dans un système informatique, et par là modifie la portée de telles données ".
Le faux en informatique consiste donc en une falsification de données informatiques juridiquement pertinentes par le biais de manipulations de données. Son application supposera "la réalisation d'un inconvénient spécifique". Le nouvel article sanctionne tant celui qui commet le faux que celui qui en fait l'usage. La tentative de commettre un faux en informatique est également visée. Les peines prévues sont doublées en cas de récidive.
La fraude informatique
Le nouvel article 504 quater du code pénal permettra de punir "celui qui se procure, pour soi-même ou pour autrui, un avantage patrimonial frauduleux en introduisant dans un système informatique ou en modifiant ou effaçant des données qui sont stockées, traitées ou transmises par un système informatique, ou en modifiant par tout moyen technologique l'utilisation possible des données dans un système informatique. "
La loi vise la fraude réalisée sur ordinateur. Deux conditions doivent être remplies : Il faut une introduction/ modification/ effacement de données et procuration d'un avantage patrimonial frauduleux.
La présente disposition se distingue du faux en informatique en ce qu'il n'est pas nécessaire que l'acte ait modifié la portée juridique des données. La tentative de commettre une fraude informatique est également punie et les peines sont doublées en cas de récidive.
Le Hacking
Le nouvel article 550bis sanctionne " le hacking " à savoir l'accès illicite à un système informatique.
Une distinction est faite selon que l'intrusion est commise depuis l'intérieur (" hacking " interne) ou de l'extérieur du système ( " hacking " externe).
Le § 1er de l'article 550 bis punit : " celui qui, sachant qu'il n'y est pas autorisé, accède à un système informatique ou s'y maintient ". Le § 2 de l'article 550 bis punit : " celui qui, avec une intention frauduleuse, ou dans le but de nuire, outrepasse son pouvoir d'accès à un système d'informatique ".
Des circonstances aggravantes communes sont prévues pour ces deux types d'intrusion. La tentative de commettre un piratage informatique qu'il soit interne ou externe est également sanctionnée. Les actes préparatoires (trafic de mot de passe, hackertools,...), le hacking sur commande (ordre ou incitation à commettre une infraction contre la confidentialité, l'intégralité et la disponibilité du système informatique et des données) et le recel de données obtenues par piratage informatique sont également visés. Les peines sont doublées en cas de récidive.
Le sabotage de données et le sabotage informatique
Le droit pénal ne visait que la destruction et l'endommagement de biens matériels : l'endommagement de hardware etait donc punissable en tant que tel mais pas la détérioration de données.
Le nouvel article 550 ter comble cette lacune en punissant "celui qui, dans le but de nuire, directement ou indirectement, introduit dans un système informatique, modifie ou efface des données, ou modifie par tout moyen technologique l'utilisation possible de données dans un système informatique".
Le dommage causé à des données dans un système informatique et l'entrave au fonctionnement correct d'un système informatique en constituent des circonstances aggravantes.
La loi vise également certains actes préparatoires et sanctionne "celui qui avec une intention frauduleuse ou dans le but de nuire, conçoit, met à disposition, diffuse ou commercialise des données stockées, traitées ou transmises par un système informatique, alors qu'il sait que ces données peuvent être utilisées pour causer un dommage à des données ou empêcher totalement ou partiellement, le fonctionnement correct d'un système informatique ".
Les peines seront également doublées en cas de récidive.
Par ailleurs, la loi sur la criminalité informatique insère également un certain nombre de nouveautés dans le code d'instruction criminelle en ce qui concerne les actes d'information et d'instruction dans le contexte informatique.
Enfin, la législation sur les télécommunications est également adaptée afin de permettre au Roi de préciser les obligations d'identification et de conservation.
Natacha AUVERTIN