Etaamb.openjustice.be
Arrêt
publié le 29 juin 2004

Extrait de l'arrêt n° 51/2004 du 24 mars 2004 Numéro du rôle : 2697 En cause : la question préjudicielle relative à l'article 550bis du Code pénal, posée par le Tribunal correctionnel de Gand. La Cour d'arbitrage, composée des prés après en avoir délibéré, rend l'arrêt suivant : I. Objet de la question préjudicielle et procédu(...)

source
cour d'arbitrage
numac
2004201913
pub.
29/06/2004
prom.
--
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
Document Qrcode

COUR D'ARBITRAGE


Extrait de l'arrêt n° 51/2004 du 24 mars 2004 Numéro du rôle : 2697 En cause : la question préjudicielle relative à l'article 550bis du Code pénal, posée par le Tribunal correctionnel de Gand.

La Cour d'arbitrage, composée des présidents A. Arts et M. Melchior, et des juges L. François, M. Bossuyt, A. Alen, J.-P. Moerman et E. Derycke, assistée du greffier P.-Y. Dutilleux, présidée par le président A. Arts, après en avoir délibéré, rend l'arrêt suivant : I. Objet de la question préjudicielle et procédure Par jugement du 22 avril 2003 en cause du ministère public contre D. Goossens et autres, dont l'expédition est parvenue au greffe de la Cour d'arbitrage le 7 mai 2003, le Tribunal de première instance de Gand a posé la question préjudicielle suivante : « L'article 550bis du Code pénal (inséré par la loi du 28 novembre 2000Documents pertinents retrouvés type loi prom. 28/11/2000 pub. 03/02/2001 numac 2001009035 source ministere de la justice Loi du 28 novembre 2000 relative à la criminalité informatique type loi prom. 28/11/2000 pub. 17/03/2001 numac 2001009048 source ministere de la justice Loi relative à la protection pénale des mineurs fermer, Moniteur belge du 3 février 2001) viole-t-il les articles 10 et 11 de la Constitution en ne rendant punissable le pirate informatique interne que lorsqu'il y a dol spécial (à savoir une intention frauduleuse ou un but de nuire) (article 550bis, § 2), alors que le pirate informatique externe est punissable dès qu'il y a dol général (article 550bis, § 1er) ? » (...) III. En droit (...) B.1.1. La question préjudicielle concerne les §§ 1er et 2 de l'article 550bis du Code pénal, lesquels sont libellés comme suit : « § 1er. Celui qui, sachant qu'il n'y est pas autorisé, accède à un système informatique ou s'y maintient, est puni d'un emprisonnement de trois mois à un an et d'une amende de vingt-six francs à vingt-cinq mille francs ou d'une de ces peines seulement.

Si l'infraction visée à l'alinéa 1er, est commise avec une intention frauduleuse, la peine d'emprisonnement est de six mois à deux ans. § 2. Celui qui, avec une intention frauduleuse ou dans le but de nuire, outrepasse son pouvoir d'accès à un système informatique, est puni d'un emprisonnement de six mois à deux ans et d'une amende de vingt-six francs à vingt-cinq mille francs ou d'une de ces peines seulement. » B.1.2. La disposition en cause crée une distinction entre détenir ou non un pouvoir d'accès à un système informatique.

Les personnes qui accèdent à un système informatique ou s'y maintiennent, sachant qu'elles n'y sont pas autorisées (désignées ci-après en tant que « pirates externes »), sont punissables du simple fait qu'elles accèdent au système. Les personnes qui ont un pouvoir d'accès à un système informatique (désignées ci-après comme « pirates internes ») ne sont punissables que si elles outrepassent leur pouvoir d'accès avec une intention frauduleuse ou dans le but de nuire.

Dans le cas du piratage interne, le dol spécial (intention frauduleuse et but de nuire) est un élément constitutif de l'infraction, ce qui n'est pas le cas pour le piratage externe. Pour ce dernier, un dol général suffit et le dol spécial constitue une circonstance aggravante.

Le juge a quo demande si la distinction ainsi créée est compatible avec les articles 10 et 11 de la Constitution.

B.2. Il appartient au législateur de fixer les conditions dans lesquelles des actes ou des omissions peuvent être considérés comme des faits punissables. Il relève de la liberté du législateur de se montrer sévère lorsqu'il fixe ces conditions. Il ne peut toutefois se dispenser, à cette occasion, de respecter le principe constitutionnel d'égalité et de non-discrimination.

B.3.1. En adoptant la loi du 28 novembre 2000Documents pertinents retrouvés type loi prom. 28/11/2000 pub. 03/02/2001 numac 2001009035 source ministere de la justice Loi du 28 novembre 2000 relative à la criminalité informatique type loi prom. 28/11/2000 pub. 17/03/2001 numac 2001009048 source ministere de la justice Loi relative à la protection pénale des mineurs fermer, dont l'article 6 a inséré la disposition en cause, le législateur a considéré « la confidentialité, l'intégrité et la disponibilité des systèmes informatiques et des données » comme étant un intérêt juridique à protéger (Doc. parl., Chambre, 1999-2000, DOC 50-0213/001 et 0214/001, p. 10). L'idée qui est à la base de la loi est, selon les travaux préparatoires, que « lorsque certaines informations justifient une protection spéciale du fait même de leur nature, il y a lieu de prévoir un régime de protection séparé » (ibid., p. 17). Il est ajouté : « le fait que ces informations soient consignées sur papier ou sur un support informatique est non pertinent à cet égard [...]. L'intérêt juridique protégé par les nouvelles dispositions est en premier lieu l'intégrité du système. » (ibid. ) B.3.2. Le législateur a donc conçu l'intégrité des systèmes informatiques comme un intérêt juridique à protéger, qui doit être distingué de l'intégrité des données, lesquelles font l'objet de régimes de protection séparés, tel celui de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

Il en résulte que, lorsque le piratage porte atteinte à d'autres intérêts juridiques que l'intégrité d'un système informatique, cet acte peut constituer une infraction, non seulement sur la base de l'article 550bis du Code pénal, mais également sur la base d'autres incriminations définies par le législateur.

B.3.3. A la lumière de l'objectif général décrit au B.3.1, le législateur a jugé nécessaire de distinguer le piratage interne et le piratage externe. A propos de cette distinction, les travaux préparatoires disent ce qui suit : « L'avant-projet de loi repose sur la logique que dans la réalité, l'accès illégal à certaines parties du réseau sera constaté plus fréquemment au sein d'une organisation du fait de facteurs des plus divers (contacts personnels, structure du réseau, environnement de travail). Ces infractions peuvent certes être intentionnelles, mais ne sont réputées punissables que si elles résultent d'une intention négative particulière (droit pénal en guise d'ultima ratio ) : des mécanismes de contrôle internes doivent s'avérer suffisants pour les cas moins graves. La situation est différente à l'égard de tiers qui se trouvent en dehors du réseau en soi, la transgression dont ils se rendent coupables met en danger la sécurité du réseau interne. » (ibid., p. 16) B.4.1. La distinction entre les catégories de pirates informatiques désignées dans la question préjudicielle repose sur un critère objectif, à savoir le fait de posséder ou non un pouvoir d'accès, conféré dans le cadre d'une relation juridique, à un système informatique.

B.4.2. La simple circonstance que certains comportements peuvent donner lieu à des « sanctions » découlant de mécanismes de contrôle interne - de droit privé ou de droit public, qui ne sont pas de nature pénale - ne peut justifier que des différences soient établies dans la détermination des conditions qui doivent être réunies pour qu'un comportement soit considéré comme infractionnel.

Le droit pénal a pour but de réprimer des atteintes à l'ordre public.

L'action pénale est exercée dans l'intérêt de la société et est de la compétence des juridictions pénales. Elle ne peut porter que sur des faits que la loi qualifie d'infractions et elle donne lieu, en cas de condamnation, aux peines prévues par la loi ou en vertu de celle-ci.

Les formes de « sanctions » découlant de mécanismes de contrôle interne sont de nature fondamentalement différente. Elles ne se rapportent pas nécessairement à des faits qualifiés infractions par la loi; elles n'ont pas nécessairement pour but de sanctionner des atteintes à l'ordre public; l'initiative et le pouvoir de sanction n'appartiennent pas à des organes qui, dans l'intérêt de l'ordre public, sont désignés à cette fin par le Constituant et le législateur.

B.4.3. Il doit toutefois être tenu compte en l'espèce de ce que le législateur a utilisé le pouvoir d'accès à un système informatique comme critère de l'incrimination visée par l'article 550bis, § 2, du Code pénal.

La nature et l'étendue du pouvoir d'accès à un système informatique ne sont en principe pas déterminées par le législateur mais laissées au pouvoir d'appréciation du propriétaire du système. Le législateur pouvait considérer que le propriétaire d'un système informatique est le mieux placé pour déterminer qui reçoit le pouvoir d'accès et dans quelles limites.

Le législateur a en outre voulu tenir compte du fait qu'en raison de toutes sortes de facteurs propres à l'organisation dans laquelle fonctionne un système informatique, le simple fait d'outrepasser le pouvoir d'accès accordé ne menace pas toujours l'intégrité du système informatique et ne doit dès lors pas être considéré comme punissable.

Etant donné que de tels facteurs ne peuvent influer sur la punissabilité du piratage informatique externe, le législateur a considéré que cette forme de piratage devait toujours être considérée comme punissable.

B.4.4. Dans ces circonstances, il n'est pas manifestement déraisonnable que le législateur, se référant aux mécanismes de contrôle dont dispose le propriétaire d'un système informatique, ne rende pas punissable le fait d'outrepasser, sans dol spécial, le pouvoir d'accès accordé par le propriétaire d'un tel système.

Le critère de distinction utilisé est à cet égard pertinent pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes informatiques et des données. L'article 550bis du Code pénal n'est pas non plus disproportionné de ce point de vue. Le législateur pouvait en effet considérer que le pirate externe doit être puni, même s'il n'a pas agi avec une intention frauduleuse ou dans le but de nuire. En outre, lorsque le piratage s'effectue avec une intention frauduleuse ou dans le but de nuire, le législateur a fixé les mêmes peines minimum et maximum pour les pirates internes et externes.

Par ces motifs, la Cour dit pour droit : L'article 550bis du Code pénal, inséré par la loi du 28 novembre 2000Documents pertinents retrouvés type loi prom. 28/11/2000 pub. 03/02/2001 numac 2001009035 source ministere de la justice Loi du 28 novembre 2000 relative à la criminalité informatique type loi prom. 28/11/2000 pub. 17/03/2001 numac 2001009048 source ministere de la justice Loi relative à la protection pénale des mineurs fermer, ne viole pas les articles 10 et 11 de la Constitution.

Ainsi prononcé en langue néerlandaise et en langue française, conformément à l'article 65 de la loi spéciale du 6 janvier 1989 sur la Cour d'arbitrage, à l'audience publique du 24 mars 2004.

Le greffier, P.-Y. Dutilleux.

Le président, A. Arts.

^