Loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique

En cas de vol ou de perte, les opérateurs exploitant un réseau radioélectrique de communication ouvert au public ou fournissant des services de radio-communication au public sont tenus de mettre en œuvre les dispositifs techniques destinés à interdire, à l'exception des numéros d'urgence, l'accès à leurs réseaux ou à leurs services des communications émises au moyen de terminaux mobiles, identifiés et qui leur ont été déclarés perdus ou volés.

Sur simple appel auprès de l'opérateur concerné, celui-ci doit bloquer immédiatement la ligne téléphonique dudit terminal et, à compter de la réception de la déclaration officielle de vol de l'un de ces terminaux, transmise par la direction de la sûreté publique, ledit opérateur doit bloquer le terminal dans un délai de quatre jours ouvrés.

Toutefois, l'officier de police judiciaire peut requérir des opérateurs, après accord donné par le procureur général ou le juge d'instruction, de ne pas bloquer le terminal.

Est inséré, à la Section IV du Chapitre III du Livre III du Code pénal, après l'article 208, un § 12 intitulé « Entrave à la justice ».

Le Ministre d'État veille à ce que toutes mesures soient prises aux fins d'assurer, dans la Principauté, la sécurité des systèmes d'information.

Aux fins de préparer et d'exécuter les mesures mentionnées à l'article précédent, une autorité administrative spécialisée est créée par ordonnance souveraine.

Cette autorité dispose de services dirigés par un Directeur et comprenant des fonctionnaires et des agents spécialisés en matière de sécurité numérique, spécialement commissionnés et assermentés pour l'exercice de leurs missions.

Ils ne peuvent utiliser ou divulguer les renseignements recueillis dans le cadre de leur mission à d'autres fins que celles prescrites par la présente loi, sous peine des sanctions prévues à l'article 308 du Code pénal.

Aux fins de répondre à une attaque visant les systèmes d'information de la Principauté et de nature à nuire substantiellement à ses intérêts fondamentaux, qu'ils soient de nature publique ou privée, l'autorité administrative spécialisée peut, dans les conditions fixées par ordonnance souveraine, procéder aux opérations techniques nécessaires à la caractérisation de ladite attaque et à la neutralisation de ses effets en accédant aux systèmes d'information qui en sont à l'origine.

L'autorité administrative spécialisée peut, aux mêmes fins, détenir des équipements, des instruments, des programmes informatiques et toutes données susceptibles de permettre la réalisation d'une ou plusieurs des infractions prévues aux articles 389-1 à 389-10 du Code pénal, en vue d'analyser leur conception et d'observer leur fonctionnement.

Pour les besoins de la sécurité des systèmes d'information de l'État et des secteurs d'activité d'importance vitale, les agents mentionnés à l'article 24, peuvent obtenir des opérateurs de communications électroniques, exploitant des réseaux ou fournisseurs de services de télécommunications ou d'accès à Internet, l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou la compromission de leur système.

Au sens du premier alinéa, un secteur d'activité d'importance vitale est constitué d'activités concourant à un même objectif ayant trait à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie de la population monégasque, à l'exercice de l'autorité de l'État, au fonctionnement de l'économie ainsi qu'à la sécurité de l'État.

Lesdits secteurs d'activité sont désignés par arrêté ministériel.

Le Ministre d'État, conformément à l'article 23, fixe par arrêté ministériel les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs d'importance vitale.

Aux fins d'application de la présente loi, on entend par opérateurs d'importance vitale, des opérateurs publics ou privés :

- exerçant dans des secteurs essentiels pour le fonctionnement des institutions et des services publics, pour l'activité économique ou plus généralement pour la vie en Principauté ;

- exploitant des établissements ou utilisant des installations ou des ouvrages dont l'indisponibilité risquerait d'affecter de façon importante les intérêts précités.

Les règles de sécurité mentionnées au premier alinéa peuvent imposer aux opérateurs d'importance vitale de mettre en œuvre des systèmes qualifiés de détection.

Ces systèmes sont exploités par des prestataires de services qualifiés en matière de sécurité de système d'information agréés par l'autorité administrative mentionnée à l'article 24.

Les opérateurs d'importance vitale sont tenus d'appliquer les règles de sécurité à leurs frais et d'informer sans délai le Ministre d'État des incidents affectant le fonctionnement ou la sécurité des systèmes d'information mentionnés à l'article précédent.

À la demande du Ministre d'État, lesdits opérateurs soumettent leurs systèmes d'information à des contrôles, effectués par l'autorité administrative mentionnée à l'article 24, destinés à vérifier le niveau et le respect des règles de sécurité.

Le coût desdits contrôles est à la charge de l'opérateur concerné.

L'autorité administrative mentionnée à l'article 24 préserve la confidentialité des informations recueillies à l'occasion des contrôles.

Les conditions de mise en œuvre du présent article sont précisées par arrêté ministériel*^[3].

Est puni d'une amende de 150.000 euros le fait, pour les dirigeants des opérateurs d'importance vitale, d'omettre d'établir un plan de protection ou de réaliser les travaux prévus à l'expiration du délai défini par une mise en demeure.

Est puni d'une amende de 150.000 euros le fait, pour les mêmes personnes, d'omettre, après une mise en demeure, d'entretenir en bon état les dispositifs de protection antérieurement établis.

Est puni d'une amende de 150.000 euros le fait, pour les mêmes personnes, de ne pas satisfaire aux obligations de contrôle prévues à l'article 28.

Est puni d'une amende de 150.000 euros le fait, pour les mêmes personnes, d'omettre d'informer le Ministre d'État des incidents affectant le fonctionnement ou la sécurité des systèmes d'information mentionnés à l'article 27.

Les personnes morales déclarées responsables des infractions prévues au présent article encourent une amende dont le montant est égal au quintuple de l'amende prévue pour les dirigeants des opérateurs d'importance vitale.

La présente loi est promulguée et sera exécutée comme loi de l'Etat.