|
CODES
| |
TITRE III
DE LA SÉCURITÉ
DANS L'ÉCONOMIE NUMÉRIQUE
Chapitre Ier
Moyens et prestations de cryptologie
Article 29
On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié
pour transformer des données, qu'il s'agisse d'informations ou de signaux, à
l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou
sans convention secrète. Ces moyens de cryptologie ont principalement pour
objet de garantir la sécurité du stockage ou de la transmission de données,
en permettant d'assurer leur confidentialité, leur authentification ou le contrôle
de leur intégrité.
On entend par prestation de cryptologie toute opération visant à la mise en
oeuvre, pour le compte d'autrui, de moyens de cryptologie.
Section 1
Utilisation, fourniture, transfert, importation
et exportation de moyens de cryptologie
Article 30
I. - L'utilisation des moyens de cryptologie est libre.
II. - La fourniture, le transfert depuis ou vers un Etat membre de la Communauté
européenne, l'importation et l'exportation des moyens de cryptologie assurant
exclusivement des fonctions d'authentification ou de contrôle d'intégrité
sont libres.
III. - La fourniture, le transfert depuis un Etat membre de la Communauté européenne
ou l'importation d'un moyen de cryptologie n'assurant pas exclusivement des
fonctions d'authentification ou de contrôle d'intégrité sont soumis à une déclaration
préalable auprès du Premier ministre, sauf dans les cas prévus au b du présent
III. Le fournisseur ou la personne procédant au transfert ou à l'importation
tiennent à la disposition du Premier ministre une description des caractéristiques
techniques de ce moyen de cryptologie, ainsi que le code source des logiciels
utilisés. Un décret en Conseil d'Etat fixe :
a) Les conditions dans lesquelles sont souscrites ces déclarations, les
conditions et les délais dans lesquels le Premier ministre peut demander
communication des caractéristiques du moyen, ainsi que la nature de ces caractéristiques
;
b) Les catégories de moyens dont les caractéristiques techniques ou les
conditions d'utilisation sont telles que, au regard des intérêts de la défense
nationale et de la sécurité intérieure ou extérieure de l'Etat, leur
fourniture, leur transfert depuis un Etat membre de la Communauté européenne
ou leur importation peuvent être dispensés de toute formalité préalable.
IV. - Le transfert vers un Etat membre de la Communauté européenne et
l'exportation d'un moyen de cryptologie n'assurant pas exclusivement des
fonctions d'authentification ou de contrôle d'intégrité sont soumis à
autorisation du Premier ministre, sauf dans les cas prévus au b du présent IV.
Un décret en Conseil d'Etat fixe :
a) Les conditions dans lesquelles sont souscrites les demandes d'autorisation
ainsi que les délais dans lesquels le Premier ministre statue sur ces demandes
;
b) Les catégories de moyens dont les caractéristiques techniques ou les
conditions d'utilisation sont telles que, au regard des intérêts de la défense
nationale et de la sécurité intérieure ou extérieure de l'Etat, leur
transfert vers un Etat membre de la Communauté européenne ou leur exportation
peuvent être soit soumis au régime déclaratif et aux obligations
d'information prévus au III, soit dispensés de toute formalité préalable.
Section 2
Fourniture de prestations de cryptologie
Article 31
I. - La fourniture de prestations de cryptologie doit être déclarée auprès
du Premier ministre. Un décret en Conseil d'Etat définit les conditions dans
lesquelles est effectuée cette déclaration et peut prévoir des exceptions à
cette obligation pour les prestations dont les caractéristiques techniques ou
les conditions de fourniture sont telles que, au regard des intérêts de la défense
nationale et de la sécurité intérieure ou extérieure de l'Etat, cette
fourniture peut être dispensée de toute formalité préalable.
II. - Les personnes exerçant cette activité sont assujetties au secret
professionnel, dans les conditions prévues aux articles 226-13 et 226-14 du
code pénal.
Article 32
Sauf à démontrer qu'elles n'ont commis aucune faute intentionnelle ou négligence,
les personnes fournissant des prestations de cryptologie à des fins de
confidentialité sont responsables au titre de ces prestations, nonobstant toute
stipulation contractuelle contraire, du préjudice causé aux personnes leur
confiant la gestion de leurs conventions secrètes en cas d'atteinte à l'intégrité,
à la confidentialité ou à la disponibilité des données transformées à
l'aide de ces conventions.
Article 33
Sauf à démontrer qu'ils n'ont commis aucune faute intentionnelle ou négligence,
les prestataires de services de certification électronique sont responsables du
préjudice causé aux personnes qui se sont fiées raisonnablement aux
certificats présentés par eux comme qualifiés dans chacun des cas suivants :
1° Les informations contenues dans le certificat, à la date de sa délivrance,
étaient inexactes ;
2° Les données prescrites pour que le certificat puisse être regardé comme
qualifié étaient incomplètes ;
3° La délivrance du certificat n'a pas donné lieu à la vérification que le
signataire détient la convention privée correspondant à la convention
publique de ce certificat ;
4° Les prestataires n'ont pas, le cas échéant, fait procéder à
l'enregistrement de la révocation du certificat et tenu cette information à la
disposition des tiers.
Les prestataires ne sont pas responsables du préjudice causé par un usage du
certificat dépassant les limites fixées à son utilisation ou à la valeur des
transactions pour lesquelles il peut être utilisé, à condition que ces
limites figurent dans le certificat et soient accessibles aux utilisateurs.
Ils doivent justifier d'une garantie financière suffisante, spécialement
affectée au paiement des sommes qu'ils pourraient devoir aux personnes s'étant
fiées raisonnablement aux certificats qualifiés qu'ils délivrent, ou d'une
assurance garantissant les conséquences pécuniaires de leur responsabilité
civile professionnelle.
Section 3
Sanctions administratives
Article 34
Lorsqu'un fournisseur de moyens de cryptologie, même à titre gratuit, ne
respecte pas les obligations auxquelles il est assujetti en application de
l'article 30, le Premier ministre peut, après avoir mis l'intéressé à même
de présenter ses observations, prononcer l'interdiction de mise en circulation
du moyen de cryptologie concerné.
L'interdiction de mise en circulation est applicable sur l'ensemble du
territoire national. Elle emporte en outre pour le fournisseur l'obligation de
procéder au retrait :
1° Auprès des diffuseurs commerciaux, des moyens de cryptologie dont la mise
en circulation a été interdite ;
2° Des matériels constituant des moyens de cryptologie dont la mise en
circulation a été interdite et qui ont été acquis à titre onéreux,
directement ou par l'intermédiaire de diffuseurs commerciaux.
Le moyen de cryptologie concerné pourra être remis en circulation dès que les
obligations antérieurement non respectées auront été satisfaites, dans les
conditions prévues à l'article 30.
Section 4
Dispositions de droit pénal
Article 35
I. - Sans préjudice de l'application du code des douanes :
1° Le fait de ne pas satisfaire à l'obligation de déclaration prévue à
l'article 30 en cas de fourniture, de transfert, d'importation ou d'exportation
d'un moyen de cryptologie ou à l'obligation de communication au Premier
ministre prévue par ce même article est puni d'un an d'emprisonnement et de 15
000 EUR d'amende ;
2° Le fait d'exporter un moyen de cryptologie ou de procéder à son transfert
vers un Etat membre de la Communauté européenne sans avoir préalablement
obtenu l'autorisation mentionnée à l'article 30 ou en dehors des conditions de
cette autorisation, lorsqu'une telle autorisation est exigée, est puni de deux
ans d'emprisonnement et de 30 000 EUR d'amende.
II. - Le fait de vendre ou de louer un moyen de cryptologie ayant fait l'objet
d'une interdiction administrative de mise en circulation en application de
l'article 34 est puni de deux ans d'emprisonnement et de 30 000 EUR d'amende.
III. - Le fait de fournir des prestations de cryptologie visant à assurer des
fonctions de confidentialité sans avoir satisfait à l'obligation de déclaration
prévue à l'article 31 est puni de deux ans d'emprisonnement et de 30 000 EUR
d'amende.
IV. - Les personnes physiques coupables de l'une des infractions prévues au présent
article encourent également les peines complémentaires suivantes :
1° L'interdiction, suivant les modalités prévues par les articles 131-19 et
131-20 du code pénal, d'émettre des chèques autres que ceux qui permettent le
retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés, et
d'utiliser des cartes de paiement ;
2° La confiscation, suivant les modalités prévues par l'article 131-21 du
code pénal, de la chose qui a servi ou était destinée à commettre
l'infraction ou de la chose qui en est le produit, à l'exception des objets
susceptibles de restitution ;
3° L'interdiction, suivant les modalités prévues par l'article 131-27 du code
pénal et pour une durée de cinq ans au plus, d'exercer une fonction publique
ou d'exercer l'activité professionnelle ou sociale dans l'exercice ou à
l'occasion de l'exercice de laquelle l'infraction a été commise ;
4° La fermeture, dans les conditions prévues par l'article 131-33 du code pénal
et pour une durée de cinq ans au plus, des établissements ou de l'un ou de
plusieurs des établissements de l'entreprise ayant servi à commettre les faits
incriminés ;
5° L'exclusion, dans les conditions prévues par l'article 131-34 du code pénal
et pour une durée de cinq ans au plus, des marchés publics.
V. - Les personnes morales sont responsables pénalement, dans les conditions prévues
par l'article 121-2 du code pénal, des infractions prévues au présent
article. Les peines encourues par les personnes morales sont :
1° L'amende, suivant les modalités prévues par l'article 131-38 du code pénal
;
2° Les peines mentionnées à l'article 131-39 du code pénal.
VI. - L'article L. 39-1 du code des postes et télécommunications est complété
par un 4° ainsi rédigé :
« 4° De commercialiser ou de procéder à l'installation d'appareils conçus
pour rendre inopérants les téléphones mobiles de tous types, tant pour l'émission
que pour la réception, en dehors des cas prévus à l'article L. 33-3. »
Article 36
Outre les officiers et agents de police judiciaire agissant conformément aux
dispositions du code de procédure pénale et, dans leur domaine de compétence,
les agents des douanes agissant conformément aux dispositions du code des
douanes, les agents habilités à cet effet par le Premier ministre et assermentés
dans des conditions fixées par décret en Conseil d'Etat peuvent rechercher et
constater par procès-verbal les infractions aux dispositions des articles 30,
31 et 34 de la présente loi et des textes pris pour leur application.
Les agents habilités par le Premier ministre mentionnés à l'alinéa précédent
peuvent accéder aux moyens de transport, terrains ou locaux à usage
professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé,
en vue de rechercher et de constater les infractions, demander la communication
de tous les documents professionnels et en prendre copie, recueillir, sur
convocation ou sur place, les renseignements et justifications. Les agents ne
peuvent accéder à ces locaux que pendant leurs heures d'ouverture lorsqu'ils
sont ouverts au public et, dans les autres cas, qu'entre 8 heures et 20 heures.
Le procureur de la République est préalablement informé des opérations
envisagées en vue de la recherche des infractions. Il peut s'opposer à ces opérations.
Les procès-verbaux lui sont transmis dans les cinq jours suivant leur établissement.
Une copie en est également remise à l'intéressé.
Les agents habilités peuvent, dans les mêmes lieux et les mêmes conditions de
temps, procéder à la saisie des moyens de cryptologie mentionnés à l'article
29 sur autorisation judiciaire donnée par ordonnance du président du tribunal
de grande instance ou d'un magistrat du siège délégué par lui, préalablement
saisi par le procureur de la République. La demande doit comporter tous les éléments
d'information de nature à justifier la saisie. Celle-ci s'effectue sous
l'autorité et le contrôle du juge qui l'a autorisée.
Les matériels et logiciels saisis sont immédiatement inventoriés.
L'inventaire est annexé au procès-verbal dressé sur les lieux. Les originaux
du procès-verbal et de l'inventaire sont transmis, dans les cinq jours suivant
leur établissement, au juge qui a ordonné la saisie. Ils sont versés au
dossier de la procédure.
Le président du tribunal de grande instance ou le magistrat du siège délégué
par lui peut à tout moment, d'office ou sur la demande de l'intéressé,
ordonner mainlevée de la saisie.
Est puni de six mois d'emprisonnement et de 7 500 EUR d'amende le fait de faire
obstacle au déroulement des enquêtes prévues au présent article ou de
refuser de fournir les informations ou documents y afférant.
Article 37
Après l'article 132-78 du code pénal, il est inséré un article 132-79 ainsi
rédigé :
« Art. 132-79. - Lorsqu'un moyen de cryptologie au sens de l'article 29 de la
loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique a
été utilisé pour préparer ou commettre un crime ou un délit, ou pour en
faciliter la préparation ou la commission, le maximum de la peine privative de
liberté encourue est relevé ainsi qu'il suit :
« 1° Il est porté à la réclusion criminelle à perpétuité lorsque
l'infraction est punie de trente ans de réclusion criminelle ;
« 2° Il est porté à trente ans de réclusion criminelle lorsque l'infraction
est punie de vingt ans de réclusion criminelle ;
« 3° Il est porté à vingt ans de réclusion criminelle lorsque l'infraction
est punie de quinze ans de réclusion criminelle ;
« 4° Il est porté à quinze ans de réclusion criminelle lorsque l'infraction
est punie de dix ans d'emprisonnement ;
« 5° Il est porté à dix ans d'emprisonnement lorsque l'infraction est punie
de sept ans d'emprisonnement ;
« 6° Il est porté à sept ans d'emprisonnement lorsque l'infraction est punie
de cinq ans d'emprisonnement ;
« 7° Il est porté au double lorsque l'infraction est punie de trois ans
d'emprisonnement au plus.
« Les dispositions du présent article ne sont toutefois pas applicables à
l'auteur ou au complice de l'infraction qui, à la demande des autorités
judiciaires ou administratives, leur a remis la version en clair des messages
chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement. »
Section 5
Saisine des moyens de l'Etat
pour la mise au clair de données chiffrées
Article 38
Après le premier alinéa de l'article 230-1 du code de procédure pénale, il
est inséré un alinéa ainsi rédigé :
« Si la personne ainsi désignée est une personne morale, son représentant légal
soumet à l'agrément du procureur de la République ou de la juridiction saisie
de l'affaire le nom de la ou des personnes physiques qui, au sein de celle-ci et
en son nom, effectueront les opérations techniques mentionnées au premier alinéa.
Sauf si elles sont inscrites sur une liste prévue à l'article 157, les
personnes ainsi désignées prêtent, par écrit, le serment prévu au premier
alinéa de l'article 160. »
Section 6
Dispositions diverses
Article 39
Les dispositions du présent chapitre ne font pas obstacle à l'application du décret
du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions,
à ceux des moyens de cryptologie qui sont spécialement conçus ou modifiés
pour porter, utiliser ou mettre en oeuvre les armes, soutenir ou mettre en
oeuvre les forces armées, ainsi qu'à ceux spécialement conçus ou modifiés
pour le compte du ministère de la défense en vue de protéger les secrets de
la défense nationale.
Article 40
I. - L'article 28 de la loi n° 90-1170 du 29 décembre 1990 sur la réglementation
des télécommunications est abrogé à compter de l'entrée en vigueur du présent
chapitre.
II. - Les autorisations et déclarations de fourniture, d'importation et
d'exportation de moyens de cryptologie délivrées ou effectuées conformément
aux dispositions de l'article 28 de la loi n° 90-1170 du 29 décembre 1990 précitée
et de ses textes d'application conservent leurs effets jusqu'à l'expiration du
terme prévu par celles-ci. Les agréments délivrés aux organismes chargés de
gérer pour le compte d'autrui des conventions secrètes de moyens de
cryptologie permettant d'assurer des fonctions de confidentialité valent, pour
ces moyens, déclaration au sens de l'article 31.
Chapitre II
Lutte contre la cybercriminalité
Article 41
L'article 56 du code de procédure pénale est ainsi modifié :
1° Au premier alinéa, après le mot : « documents », sont insérés les mots
: « , données informatiques » et, après le mot : « pièces », il est inséré
le mot : « , informations » ;
2° Au deuxième alinéa, les mots : « ou documents » sont remplacés par les
mots : « , documents ou données informatiques » ;
3° Le cinquième alinéa est remplacé par trois alinéas ainsi rédigés :
« Il est procédé à la saisie des données informatiques nécessaires à la
manifestation de la vérité en plaçant sous main de justice soit le support
physique de ces données, soit une copie réalisée en présence des personnes
qui assistent à la perquisition.
« Si une copie est réalisée, il peut être procédé, sur instruction du
procureur de la République, à l'effacement définitif, sur le support physique
qui n'a pas été placé sous main de justice, des données informatiques dont
la détention ou l'usage est illégal ou dangereux pour la sécurité des
personnes ou des biens.
« Avec l'accord du procureur de la République, l'officier de police judiciaire
ne maintient que la saisie des objets, documents et données informatiques
utiles à la manifestation de la vérité. »
Article 42
A l'article 94 du code de procédure pénale, après les mots : « des objets »,
sont insérés les mots : « ou des données informatiques ».
Article 43
L'article 97 du code de procédure pénale est ainsi modifié :
1° Au premier alinéa, après les mots : « des documents », sont insérés
les mots : « ou des données informatiques » ;
2° Au deuxième alinéa, les mots : « les objets et documents » sont remplacés
par les mots : « les objets, documents ou données informatiques » ;
3° Au troisième alinéa, les mots : « et documents » sont remplacés par les
mots : « , documents et données informatiques » ;
4° Au cinquième alinéa, après le mot : « documents », sont insérés les
mots : « ou des données informatiques » ;
5° Après le deuxième alinéa, sont insérés deux alinéas ainsi rédigés :
« Il est procédé à la saisie des données informatiques nécessaires à la
manifestation de la vérité en plaçant sous main de justice soit le support
physique de ces données, soit une copie réalisée en présence des personnes
qui assistent à la perquisition.
« Si une copie est réalisée dans le cadre de cette procédure, il peut être
procédé, sur ordre du juge d'instruction, à l'effacement définitif, sur le
support physique qui n'a pas été placé sous main de justice, des données
informatiques dont la détention ou l'usage est illégal ou dangereux pour la sécurité
des personnes ou des biens. »
Article 44
L'article 227-23 du code pénal est ainsi modifié :
1° Le premier alinéa est complété par une phrase ainsi rédigée :
« La tentative est punie des mêmes peines. » ;
2° Au deuxième alinéa, après le mot : « fait », sont insérés les mots :
« d'offrir ou ».
Article 45
I. - L'article 323-1 du code pénal est ainsi modifié :
1° Au premier alinéa, les mots : « d'un an » sont remplacés par les mots :
« deux ans » et la somme : « 15 000 EUR » est remplacée par la somme : «
30 000 EUR » ;
2° Au second alinéa, les mots : « deux ans » sont remplacés par les mots :
« trois ans » et la somme : « 30 000 EUR » est remplacée par la somme : «
45 000 EUR ».
II. - A l'article 323-2 du même code, les mots : « trois ans » sont remplacés
par les mots : « cinq ans » et la somme : « 45 000 EUR » est remplacée par
la somme : « 75 000 EUR ».
III. - A l'article 323-3 du même code, les mots : « trois ans » sont remplacés
par les mots : « cinq ans » et la somme : « 45 000 EUR » est remplacée par
la somme : « 75 000 EUR ».
Article 46
I. - Après l'article 323-3 du code pénal, il est inséré un article 323-3-1
ainsi rédigé :
« Art. 323-3-1. - Le fait, sans motif légitime, d'importer, de détenir,
d'offrir, de céder ou de mettre à disposition un équipement, un instrument,
un programme informatique ou toute donnée conçus ou spécialement adaptés
pour commettre une ou plusieurs des infractions prévues par les articles 323-1
à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même
ou pour l'infraction la plus sévèrement réprimée. »
II. - Aux articles 323-4 et 323-7 du même code, les mots : « les articles
323-1 à 323-3 » sont remplacés par les mots : « les articles 323-1 à
323-3-1 ».
|