AGIL'IT AGIL'IT

Promulgation de la LOPMI : les nouveautés en matière de lutte contre la cybercriminalité

Au journal officiel du 25 janvier 2023 a été publiée la loi no 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur (dite « LOPMI »).

Cette loi comporte un chapitre intitulé « Lutte contre la cybercriminalité », apportant des nouveautés en matière de cybersécurité et cybercriminalité :

 

 

  • L’article 3 de la LOPMI modifie le code de procédure pénale afin de permettre à un officier de police judiciaire, sur autorisation du procureur de la République ou du juge d’instruction, de procéder à la saisie d’une somme d’argent versée sur un compte ouvert auprès d’un établissement habilité à tenir des comptes de crypto monnaie.

 

Cette saisie prévue à l’article 706-154 du code de procédure pénale vise à rendre indisponible les biens susceptibles d’être ultérieurement confisqués, notamment les produits d’une infraction.

 

Jusqu’à présent, ce type de saisie n’était possible qu’auprès des banques « classiques », habilitées à tenir des comptes de dépôts.

 

 

  • L’article 4 crée une nouvelle infraction dans le code pénal qu’on pourrait qualifier d’infraction « anti-plateforme du darknet ».

 

Le nouvel article 323-3-2 du code pénal punit ainsi de 5 ans d’emprisonnement et de 150 000 euros d’amende le fait pour un opérateur de plateforme en ligne de permettre sciemment la cession de produits, de contenus ou de services illicites et de:

    • soit restreindre l’accès à cette plateforme aux personnes utilisant des techniques d’anonymisation des connexions ;
    • soit ne pas respecter les obligations prévues à l’article 6 de la LCEN, à savoir mentionner les éléments permettant d’identifier l’opérateur de la plateforme ou instaurer un dispositif de signalement des contenus illicites.

 

Le fait de proposer par l’intermédiaire d’une telle plateforme des prestations visant à permettre la cession de produits, de contenus ou de services illicites est puni des mêmes peines.

 

 

  • L’article 5 est celui qui a fait couler beaucoup d’encre dans le monde de la cybersécurité :

 

Lorsqu’une clause d’un contrat d’assurance vise à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données (ransomware, insertion et maintien dans tout ou partie d’un système d’information, extraction de données etc.), le versement d’une somme d’argent en application de cette clause est conditionné au dépôt d’une plainte de la victime au plus tard 72 heures après la connaissance de l’atteinte par la victime.

 

Cette nouvelle exigence n’entre en vigueur que 3 mois après la promulgation de la LOPMI, soit le 25 avril 2023.

 

D’ici là, il est recommandé pour les entreprises d’insérer cette contrainte de la plainte à déposer dans les 72 heures à leur politique de gestion des cyber crises. Vous pouvez également préparer un projet de plainte sur la base de scénarios de crise tels qu’une attaque par ransomware, une intrusion et un maintien dans le système d’information avec ou sans extraction de données ou encore la compromission de l’Active Directory et en conséquence du système de messagerie).

 

 

  • L’article 6 aggrave la peine prévue pour l’infraction d’accès ou de maintient frauduleux dans tout ou partie d’un système de traitement automatisé de données, la faisant passer de 2 ans à 3 ans d’emprisonnement, et de 60 000 € à 100 000 € d’amende.

 

De même, la circonstance aggravante constituée lorsque la commission de cette infraction a causé la suppression ou la modification de données ou une altération du fonctionnement du système est désormais puni de 5 ans d’emprisonnement et de 150 000 € d’amende, contre 3 ans et 100 000€ auparavant.

 

Enfin, si ces infractions ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à 7 ans d’emprisonnement et à 300 000 € d’amende, contre 5 ans et 150 000€ jusqu’alors.

 

A noter qu’en faisant passer la peine de l’infraction d’accès ou de maintient frauduleux dans un STAD à 3 ans, le législateur permet aux enquêteurs de réquisitionner les données de connexion conservées par les opérateurs de communications électroniques en vertu de l’article L.34-1 du code des postes et des communications électroniques.

 

En effet, les réquisitions des données de connexion dans le cadre d’une enquête ne sont possible, sauf cas particuliers, que si l’enquête porte sur un crime ou sur un délit puni d’au moins 3 ans d’emprisonnement, conformément à l’article 60-1-2 du code de procédure pénale.

 

 

  • L’article 7 crée une circonstance aggravante pour les infractions d’atteinte à un STAD commises en bande organisée. Jusqu’alors, cette circonstance aggravante était limitée aux atteintes en bande organisée à un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat.

 

L’atteinte à tout STAD commise en bande organisée est désormais punie de 10 ans d’emprisonnement et 300 000 € d’amende.

 

 

  • L’article 8 constitue une réponse aux cybers attaques visant des hôpitaux ou des lieux à risque. Il crée une circonstance aggravante lorsque l’atteinte à un STAD a pour effet de causer un risque pour la vie ou la santé des personnes.

 

A ainsi été créé un article 323-4-2 dans le code pénal, punissant de 10 ans d’emprisonnement et 300 000 euros d’amende l’atteinte à un STAD ayant pour effet d’exposer autrui à un risque immédiat de mort ou de blessures de nature à entraîner une mutilation ou une infirmité permanente ou de faire obstacle aux secours destinés à faire échapper une personne à un péril imminent ou à combattre un sinistre présentant un danger pour la sécurité des personnes.

 

 

  • L’article 9 prévoit que, par exception, pour les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données, le tribunal correctionnel sera composé d’un juge unique, contrairement au principe selon lequel le tribunal correctionnel est composé d’un président et de deux juges.

 

 

  • L’article 10 crée un nouvel acte pouvant être effectué sous pseudonyme lorsque les enquêteurs cherchent à constater un crime ou un délit commis par voie de communication électronique.

Sur autorisation du procureur de la République ou du juge d’instruction, les enquêteurs pourront désormais, sous pseudonyme, acquérir tout contenu, produit, substance, prélèvement ou service ou transmettre tout contenu en réponse à une demande expresse.

Ils devront alors s’assurer que cet acte ne constitue pas une incitation à commettre une infraction.

 

 

Par AGIL’IT – Pôle ITData protection & Cybersécurité

Sylvie JONAS, Avocate associée

© 2023 AGIL'IT Tous droits réservés - Mentions légales | Charte du site | Données personnelles