Présentée le 18 septembre 1990

SOMMAIRE: Proposition de loi pour l'introduction dans le code pénal de la prévision des délits d'"accès abusif et d'utilisation non autorisée d'ordinateurs", d'"altération de l'intégrité des données, des programmes et du réseau de transmission", de la "falsification de documents informatiques personnels".

(Actes parlementaires - Chambre des Députés - X législature - document N. 5076)

Dispositions contre les délits informatiques et télématiques

Collègues! - La diffusion de plus en plus grande d'ordinateurs et de réseaux télématiques dans les activités commerciales, sociales, politiques et administratives, a mis en lumière l'insuffisance du système juridique pour combattre les nouvelles formes de criminalité informatique ou pour défendre les nouvelles catégories de droits et d'intérêts. Que l'on pense par exemple aux banques de données de l'administration publique ou à celles des banques, qui ne sont pas suffisamment protégées contre l'accès abusif ou la falsification de données, bien que ces actes puissent causer des dégâts souvent irréparables ou de toute façon très importants.

Que l'on pense aussi aux réseaux télématiques de communication et à l'absence de toute défense du caractère confidentiel du courrier ou des données qui sont transmises.

Que l'on pense enfin au préjudice subi par l'identité et l'image personnelle et causé par l'intrusion dans des systèmes télématiques de communication et par la modification des informations et des nouvelles publiques qui y sont contenues.

L'exigence pressante s'impose donc dans le nouveau cadre technologique du développement impétueux des ordinateurs et des réseaux télématiques de communication, de défendre de nouveaux droits et de nouvelles formes de liberté personnelle.

A ce propos la législation italienne en vigueur apparait insuffisante: la loi ne prévoit que l'interception ou la perturbation de la communication télématique (article 623-bis du code pénal) et ne comprend pas les diverses hypothèses de délits liés à l'intromission dans les banques de données et les fraudes informatiques, sans que les normes en vigueur soient par ailleurs applicables (par exemple celles sur l'inviolabilité du domicile, sur la défense du patrimoine, sur l'escroquerie, sur les faux) à cause de l'interdiction générale d'une interprétation extensive et analogique aux normes pénales. Il suffit de penser à la non-punissabilité de ceux qui font usage d'un code d'accès, c'est-à-dire d'une suite de lettres, de numéros et de signes de ponctuation, dont ils se sont appropriés de façon abusive pour accéder à un ordinateur dans le but d'altérer les données qui y sont contenues ou de s'en approprier. Le crime d'escroquerie ne peut être contemplé parce que l'action a lieu contre une machine sans qu'un

e personne physique ait été induite en erreur comme le prévoit l'article 640 du code pénal.

Tout comme on ne peut contempler le délit de vol contre ceux qui se sont appropriés d'informations appartenant à autrui en les prenant dans un ordinateur ou de falsification contre ceux qui falsifient des données élaborées par ordinateur.

Il faut rappeler en outre que le Conseil d'Europe, avec la recommandation n. R (89) 9 adoptée par le Comité des Ministres le 13 septembre 1989, a invité les Etats membres à harmoniser leurs législations à certains principes qui prévoient une série d'hypothèses de délits parmi lesquels la fraude informatique, le faux informatique, l'endommagement de données, l'accès sans autorisation, l'interception non autorisée de communications télématiques, la reproduction non autorisée d'un programme informatique protégé, l'altération des données ou d'un programme informatique, l'espionnage informatique, l'utilisation non autorisée d'un ordinateur et l'utilisation non autorisée d'un programme informatique protégé.

Pour remédier à certaines de ces lacunes présentes dans le système juridique, l'urgence se manifeste d'une intervention législative qui s'occupe de la définition du mot "ordinateur", de l'introduction du principe de communication télématique et de la définition de nouvelles hypothèses de délits liées à l'utilisation de banques de données informatiques et de réseaux télématiques.

Dans la proposition de loi que nous soumettons à l'examen du Parlement, nous avons choisi avant tout, car elle nous parait la plus complète et la plus ample, la définition d'"ordinateur" adoptée par le Parlement fédéral américain.

Pour son caractère générique elle se prête à inclure également des ordinateurs plus sophistiqués que ceux qui existent actuellement, et que le développement technologique introduira sur le marché. La définition proposée ne comprend pas les machines à écrire ou les machines linotypes, les calculatrices de poche ou autres appareils du même genre. Il n'a pas paru nécessaire de définir en revanche les moyens de transmission télématique puisque la transmission de données entre ordinateurs peut avoir lieu par le biais des systèmes les plus disparates: des réseaux normaux de téléphone aux satellites.

En ce qui concerne la définition des nouvelles hypothèses de délits trois nouveaux comportement délictueux ont été prévus: l'accès abusif et l'utilisation non autorisée d'un ordinateur, l'altération de l'intégrité des données, des programmes et du réseau de transmission et la falsification de documents informatiques personnels.

La première hypothèse de délit - accès abusif et utilisation non autorisée d'un ordinateur - peut être assimilée en quelque sorte au crime de violation de la correspondance ou de violation de domicile. Mais ces deux hypothèses délictueuses s'adaptent mal pour défendre cette entité complexe que nous appelons généralement banque de données, qui peut être constituée par un simple ordinateur personnel où sont archivés un nombre limité de documents ou par un système intégré et interactif d'archivage et de communication. Les banques de données constituent en effet de plus en plus un système complexe et interconnecté avec d'autres banques de données, dans lequel sont conservés tous les documents qui autrefois étaient enregistrés sur papier et au moyen duquel ont lieu les diverses formes de communication, de la messagerie personnelle à la signature de contrats, de la diffusion de nouvelles journalistiques ou de bourse aux commandes commerciales et ordonnances de banque.

Même les modalités avec lesquelles le délit peut être accompli ne permettent pas de définitions précises puisque les moyens par lesquels on peut accéder à une banque de données électronique sont très différents entre eux et évoluent sans cesse: de l'accès par connexion directe à celui par le biais de réseaux locaux, de l'accès par le réseau commuté du téléphone ou du réseau télégraphique ou des réseaux à paquets à celui par ondes guidées. En tout cas pour accéder sans autorisation à une banque de données électronique, il faut forcer les barrières physiques ou logiques qui servent à le défendre.

Il faut préciser à ce propos que la prévision de délit considère aussi deux hypothèses particulières. Une banque de données peut prévoir plusieurs niveaux différenciés d'accès et donc plusieurs niveaux d'autorisation: une personne peut être autorisée à entrer dans certaines parties d'une banque de données mais pas dans d'autres. D'où la précision sur l'accès total ou partiel contenue dans le premier paragraphe de l'article 623-ter du code pénal, introduit par la proposition. Il existe ensuite la possibilité que le système de protection de la banque de données présente des "trous" à travers lesquels quelqu'un de particulièrement expert peut avoir accès à des parties réservées ou même au système d'exploitation. Dans ce cas aussi le crime envisagé est celui d'accès non autorisé puisque, voulant faire une comparaison, qui correspond parfaitement dans ce cas à l'hypothèse de crime, avec la violation de domicile, le fait d'avoir laissé ouverte la porte de sa maison ne légitime pas l'introduction et encore mo

ins le vol de biens par autrui.

La seconde hypothèse de délit - altération de l'intégrité des données, des programmes et du réseau de transmission - se réfère aux hypothèse d'endommagement très différentes entre elles, qui peuvent être assimilées en quelque sorte à celles qui sont prévues par les crimes de "falsification, altération ou suppression du contenu de communications ou de conversations télégraphiques ou téléphoniques" ou d"interférences illégales dans la vie privée" jusqu'à friser même le véritable vol et le sabotage. En effet la casuistique est beaucoup plus vaste: l'altération des données ou du réseau de transmission peut concerner en effet des petites archives personnelles mais également des banques de données privées ou publiques d'une valeur inestimable. Et les dégâts peuvent s'élever à quelques centaines de milliers de lires ou à des milliards.

L'intrusion ensuite peut être due aux raisons les plus diverses: le "défi" technologique accompli par les 'hackers', le véritable vol de programmes et de données et l'espionnage industriel ou militaire.

La défense de l'intégrité des données a ensuite des conséquences qui touchent aux droits mêmes de la vie privée et à la défense de l'identité personnelle dans le cas de banques de données utilisées pour la communication journalistique ou les soi-disants BBS (Bulletin Board System). Ce n'est pas uniquement une question de défense du caractère confidentiel de la correspondance mais aussi de la nécessité d'empêcher qu'aient lieu de véritables actions de diffamation qui, étant donné la vitesse de propagation propre au système, peuvent avoir des effets dévastants.

C'est pour toutes ces raisons que la durée de la peine a été limitée à quatre ans, compte tenu du "potentiel offensif" particulier de la violation de l'intégrité d'une banque de données.

La troisième prévision de délit se rapporte à la falsification des documents informatiques personnels, c'est-à-dire des cartes de crédit ou de toute façon des documents qui ne sont pas sur papier et qui permettent à un ordinateur de reconnaître la personne. Cette hypothèse peut être assimilée au crime d'escroquerie.

Une circonstance aggravante particulière est prévue dans le cas où ces nouveaux délits sont commis par les préposés à un service informatique ou télématique.

Avec l'article 623-septies on a introduit une forme spéciale de "provision" qui rappelle en partie celle qui est prévue par l'article 24 de la loi n. 990 de 1969 (en matière de responsabilité civile dérivant de la circulation de véhicules); entre les divers cas au niveau pénal, on n'a pas prévu celui du jugement conséquent à la soi-disant "transaction", car, selon l'article 445 du code de procédure civile, ce jugement n'a pas effet dans les jugements civils, et prévoir une provision aurait été par conséquent contradictoire.

L'introduction des nouvelles prévisions de délit dans le titre XII relatif aux "crimes contre la personne", au paragraphe III "Des crimes contre la liberté individuelle" et dans une nouvelle section "des crimes en matière informatique" du code pénal, est la conséquence logique de la volonté des proposants de défendre le caractère confidentiel et l'intégrité des données gérées par ordinateur et de défendre les droits de l'individu et notamment la vie privée individuelle contre toute forme d'intromission et de manipulation de la part de tiers.

PROPOSITION DE LOI

Art. 1.

1. Dans le titre XII, paragraphe III, du code pénal, après la section V on a ajouté la suivante:

»Section VI.

Des crimes en matière informatique et télématique.

Art. 623-ter (Accès abusif et utilisation non autorisée d'ordinateurs). - Quiconque accède, de manière frauduleuse ou de toute façon sans autorisation, totalement ou en partie, à un dispositif d'élaboration de données électronique, magnétique, optique, électrochimique et électromagnétique, ou de toute façon à tout dispositif d'élaboration de données à haute vitesse, y compris aux appareils pour l'archivage de données ou pour les communications télématiques, ou qui fasse usage des dispositifs susdits, est puni par la réclusion de six mois à un an et à une amende de Lit. 500.000 à Lit. 2 millions. Si le délit dont au présent article est accompli dans un but lucratif la peine est augmentée.

Le crime est punissable sur plainte de la personne offensée.

Art. 623-quater (altération de l'intégrité des données, des programmes et du réseau de transmission). - Quiconque, accédant à un dispositif dont à l'article 623-ter, prélève ou introduit ou supprime ou modifie, sans autorisation, des données ou altère ou copie ou efface les programmes de gestion des données elles-mêmes ou altère les programmes ou le réseau de transmission des données ou y introduit des interférences est puni par la réclusion de 1 à 4 ans et par une amende 1 à 10 millions de lires.

Si le délit dont au présent article est accompli dans un but lucratif la peine est augmentée.

Le crime est punissable sur plainte de la personne offensée.

Art. 623-quinquies (Falsification des documents informatiques personnels). - Quiconque falsifie des documents informatiques personnels et de toute façon des documents qui permettent au dispositif dont à l'article 623-ter de reconnaître la personne, sous quelle forme que ce soit, ou qui fait usage des documents falsifiés susdits est puni par la réclusion de 1 à 5 ans et par une amende de 1 à 10 millions de lires.

Art. 623-sexies (Crimes accomplis par le préposé à un service informatique ou télématique). - Le préposé à un dispositif dont à l'article 623-bis qui, abusant de sa qualité, commet un des faits prévus dans la présente section ou viole, soustrait, supprime la correspondance ou les données dont sont propriétaires les utilisateurs du dispositif ou qui accomplit de toute façon des actes qui causent des dommages à autrui est puni par la réclusion de 1 à 5 ans et par une amende de 500.000 lires à 10 millions.

Si le délit dont au présent article est accompli dans un but lucratif la peine est augmentée.

Art. 623-septies (Règlement provisoire des dommages). -

Au cas où la commission d'un des délits dont à la présente section ait causé des dommages patrimoniaux d'une grande gravité, la partie plaignante qui ait saisi la justice civile ou qui se soit constituée partie civile dans le procès pénal, peut demander, en cas de jugement de 1er degré, que lui soit assignée une somme à imputer au règlement définitif des dommages.

Cette somme ne peut dépasser les deux tiers du montant présumé du dédommagement qui sera réglé avec le jugement.

La partie plaignante qui, à cause du délit commis, se trouve de toute façon dans une situation de grande nécessité, peut demander en outre le règlement de la somme dont aux paragraphes qui précèdent, indépendamment de la gravité du dommage patrimonial.

La compétence sur la requête, une fois entendues les parties, appartient devant le tribunal civil au juge d'instruction qui émet une ordonnance, ou alors le collège, par un jugement, si la question est posée à l'audience de précision des conclusions; devant le tribunal pénal, le juge au terme de l'audience préliminaire, en même temps et de manière subordonnée au renvoi en jugement de l'accusé, ou alors le tribunal lorsque la requête ait été proposée pour la première fois, jusqu'à la discussion finale. Dans ce dernier cas, le tribunal décide simultanément à la délibération du jugement, dans les autres cas il décide immédiatement par ordonnance.

Tant dans le procès civil que dans le procès pénal, la requête ne peut être proposée devant le même juge et, de toute façon, une seule fois seulement.

En cas de jugement abrégé, la décision revient au juge de l'audience préliminaire, simultanément aux délibérations du jugement. En cas de jugement immédiat, la compétence appartient au tribunal.

L'ordonnance, c'est-à-dire les chefs du jugement, avec lesquels on délibère le règlement provisoire des dommages sont provisoirement exécutifs.

L'ordonnance dont au quatrième paragraphe est attaquable, devant le tribunal civil, aux termes de l'article 178 du code de procédure civile, et devant le tribunal pénal aux termes de l'article 310 du code de procédure pénale. Le pourvoi ne suspend pas le caractère exécutif de l'ordonnance. Le recours en Cassation n'est pas admis .