Projet de loi n° 1.075 portant modification des articles 7 et 8 du Code de procédure pénale

Le 15 juillet 2021 un accord bilatéral sur l'hébergement des données et des systèmes d'information au Luxembourg a été signé entre S.E.M Le Ministre d'État et le Premier Ministre du Luxembourg, Xavier BETTEL.

En application du chiffre 2°) du deuxième alinéa de l'article 14 de la Constitution du 17 décembre 1962, modifiée par la Loi n° 1.249 du 2 avril 2002, la ratification de cet Accord entre le Grand-Duché de Luxembourg et la Principauté de Monaco a conduit le Gouvernement à déposer un projet de loi portant approbation de ladite ratification.

L'objet de cet Accord est de donner à la Principauté une capacité de sauvegarde des données sensibles, ainsi qu'une solution permettant d'assurer la continuité du service public comme la reprise des activités y afférentes, par la mise en place d'un « datacenter de secours » hautement sécurisé et offrant des garanties d'inviolabilité et d'immunité d'exécution proches de celles accordées à une ambassade physique.

Nul ne saurait nier que les cyberattaques constituent aujourd'hui un risque majeur reconnu au niveau international. Commises contre et au moyen de systèmes informatiques, ces manifestations de cybercriminalité sont devenues une menace importante pour les droits de l'homme, la démocratie et l'État de droit, ainsi que pour la paix et la stabilité internationales.

Ce risque conduit à devoir répondre à un besoin clairement identifié : celui « de protéger les intérêts légitimes dans l'utilisation et le développement des technologies de l'information » et à requérir des Etats qu'ils adoptent les mesures nécessaires « pour prévenir les actes portant atteinte à la confidentialité, à l'intégrité et à la disponibilité des systèmes informatiques, des réseaux et des données, ainsi que l'usage frauduleux de tels systèmes, réseaux et données, en assurant l'incrimination de ces comportements, et l'adoption de pouvoirs suffisants pour permettre une lutte efficace contre ces infractions pénales, en en facilitant la détection, l'investigation et la poursuite, tant au plan national qu'au niveau international, et en prévoyant des dispositions matérielles ». Telles sont les ambitions déjà littéralement formulées en préambule du seul instrument international contraignant dans le domaine de la cybercriminalité, à savoir la Convention - dite « de Budapest » - sur la cybercriminalité du Conseil de l'Europe, ratifiée par la Principauté le 17 mars 2017.

Plus de deux décennies après l'ouverture à la signature de cette Convention, ses enjeux conservent intacte toute leur portée, la Secrétaire générale du Conseil de l'Europe rappelant, en ouverture de la conférence consacrée aux 20 ans de la Convention de Budapest, que « La cybercriminalité est aussi dynamique que révoltante », se manifestant aussi bien par des attaques visant des personnes, des entreprises que les organisations étatiques les institutions publiques, et, de ce fait « constitu[a]nt une attaque directe à l'encontre des valeurs que sont [...] les droits de l'homme, la démocratie et l'État de droit ».

La Principauté de Monaco n'est pas épargnée par les menaces que représentent les attaques informatiques, comme en attestent les différents rapports d'activité annuels de l'Agence Monégasque de Sécurité Numérique (A.M.S.N.), ces menaces étant potentiellement toujours susceptibles de porter atteinte à ses intérêts fondamentaux, à ses institutions officielles.

Or, il importe que, face à l'accroissement des capacités des attaquants, à la prolifération des techniques d'attaques et au développement dans le cyberespace de la criminalité organisée, vienne répondre une politique pénale à même de protéger la société de la criminalité dans le cyberespace, notamment par l'adoption d'une législation appropriée qui requiert l'édiction de mesures de droit substantiel et de droit procédural.

Pour ce qui relève en premier lieu des mesures de droit substantiel – c'est-à-dire de droit pénal de fond – l'on rappellera en effet que, sous une section intitulée « Des délits relatifs aux systèmes d'information » (articles 389-1 à 389-11 du Code pénal), le Code pénal sanctionne en effet déjà l'accès, et le maintien frauduleux dans tout ou partie d'un système d'information, ces faits incluant le cas échéant l'endommagement, l'effacement, la détérioration, la modification, l'altération ou la suppression des données informatiques contenues dans le système, ou encore l'entrave ou l'altération du fonctionnement de tout ou partie de ce système.

Force est cependant de relever que répondre aux enjeux de sécurité du monde numérique doit également pouvoir relever, en second lieu, des mesures de droit procédural. Aussi le Gouvernement Princier envisage-t-il de sécuriser le corpus législatif – plus général - relatif à l'appréhension judiciaire de ces « délits relatifs aux systèmes d'information ».

À cet égard la possibilité que la Principauté puisse disposer des outils juridiques et procéduraux à même d'assurer une répression efficace à l'endroit des atteintes au futur « jumeau » du Cloud Souverain basé au Luxembourg participe d'évidence d'un enjeu de préservation de la sécurité et de la souveraineté nationales.

Aussi le dépôt sur le bureau de l'Assemblée du présent projet de loi s'inscrit-il directement dans le prolongement de la ratification de l'Accord entre le Grand-Duché de Luxembourg et la Principauté de Monaco. À la faveur d'un diagnostic juridique partagé, entre la Direction des Affaires juridiques et la Direction des Services Judiciaires, le texte projeté modifie les dispositions législatives existantes à l'effet de conférer aux juridictions monégasques la compétence de poursuivre, juger et sanctionner, à Monaco, tout délit de ce type commis non seulement sur le territoire monégasque mais également relatif aux données ou systèmes d'information monégasques qui seraient hébergés dans un data center à l'étranger, en l'occurrence celui qui sera situé au Luxembourg.

Sous le bénéfice de ces considérations d'ordre général, le présent projet de loi appelle les commentaires particuliers ci-après.

Liminairement, l'on relèvera que les modifications législatives projetées s'articulent autour de la notion centrale de «Centre de données » qui, en application même de l'Accord entre le Grand-Duché de Luxembourg et la Principauté de Monaco concernant l'hébergement de données et de systèmes d'information (article 1, d)) s'entend de « centre informatique au sein duquel sont installés les locaux mis à disposition de la Principauté de Monaco, destinés à héberger des données, les systèmes d'information, ainsi que les équipements, matériels et licences et composants associés, tels que des systèmes de communications électroniques ou des solutions de stockage ; »

En contrepoint de la définition ci-avant rappelée – le projet de loi s'articule autour de deux articles, à l'effet d'asseoir, sans équivoque, la compétence des juridictions nationales.

L'article premier du projet tend à enrichir l'article 7 du Code de procédure pénale, d'un chiffre 1° bis) supplémentaire. Le dispositif projeté procède, dans un premier temps de la détermination ratione materiae des infractions appelées à être pénalement appréhendées par le dispositif projeté. Sont ainsi visées les infractions figurant au sein de la Section IV (« Des délits relatifs aux systèmes d'information » du Chapitre II du Titre II du Livre III du Code pénal, telle qu'introduite par la Loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, à savoir :

• l'accès ou le maintien frauduleux dans tout ou partie d'un système d'information (article 389-1 du Code pénal) ;

• l'entrave ou l'altération frauduleuse du fonctionnement de tout ou partie d'un système d'information, (article 389-2 du Code pénal) ;

• l'introduction, l'endommagement, l'effacement, la détérioration, la modification, l'altération, la suppression, l'extraction, la détention, la reproduction, la transmission ou la restriction d'accès frauduleux à des données informatiques (article 389-3 du Code pénal) ;

• l'usage frauduleux de données informatiques volontairement endommagées, effacées, détériorées, modifiées, ou altérées (article 389-4 du Code pénal) ;

• l'interception frauduleuse des données informatiques (article 389-5 du Code pénal) ;

• la production, l'import, la détention, l'offre, la cession, la diffusion, l'obtention frauduleuse d'un équipement ou un dispositif destiné à permettre la commission d'une ou plusieurs des infractions précédemment énumérées (article 389-6 du Code pénal) ;

• la production, l'import, la détention, l'offre, la cession, la diffusion, l'obtention frauduleuse de mot de passe ou code d'accès permettant d'accéder à tout ou partie d'un système d'information pour commettre l'une des infractions précédemment énumérées (article 389-6 du Code pénal) ;

• l'introduction, l'altération, l'effacement ou la suppression frauduleuse des données informatiques (articles 389-7 et 389-8 du Code pénal) ;

• l'association de malfaiteurs en vue de commettre l'une des infractions ci-avant énumérées (article 389-9 du Code pénal) ;

• la tentative de commission de l'une des infractions ci-avant énumérées (article 389-10 du Code pénal).

À l'aune du périmètre ainsi déterminé, le dispositif projeté a pour ambition de rendre les juridictions monégasques compétentes pour poursuivre et juger, à Monaco, le seul auteur étranger, qui, hors du territoire de la Principauté, se sera rendu coupable de l'une des infractions précitées, lorsque celles-ci auront été commises au préjudice d'un centre de données situé hors du territoire de la Principauté, et au sein duquel sont installés les locaux mis à disposition de l'État de Monaco en vertu d'un engagement international, destinés à héberger des données, les systèmes d'information, ainsi que les équipements, matériels et licences et composants associés, tels que des systèmes de communications électroniques ou des solutions de stockage.

L'article second du projet tend à enrichir l'article 8 du Code de procédure pénale d'un chiffre 4°) additionnel, destiné à rendre les juridictions monégasques compétentes pour poursuivre juger tout auteur, coauteur, ou complice, monégasque ou étranger, de l'une des infractions susmentionnées et qui serait « trouvé » et interpellé en Principauté, lorsque ces infractions auront été commises au préjudice d'un centre de données situé hors du territoire monégasque, et au sein duquel sont installés les locaux mis à disposition de l'État de Monaco en vertu d'un engagement international, destinés à héberger des données, les systèmes d'information, ainsi que les équipements, matériels et licences et composants associés, tels que des systèmes de communications électroniques ou des solutions de stockage.

Tel est l'objet du présent projet de loi.