Par Olivier Iteanu (ZDNet) - Les sanctions pénales portant sur les atteintes aux systèmes d'information vont être alourdies par la loi Fontaine, qui doit être adoptée ce mois-ci. Olivier Iteanu considère qu'il s'agit d'une disposition répressive inutile et injustifiée. Le projet de loi pour la confiance dans l'économie numérique, voté en première lecture à l'Assemblée nationale le 26 février dernier et en cours d'examen au Sénat (*), contient une disposition nouvelle totalement passée inaperçue. Sous le couvert de renforcer les «moyens de lutte contre la cybercriminalité», le Parlement a voté le quasi-doublement des peines en matière de fraude informatique, rebaptisée «cybercriminalité» pour l'occasion.

Les «accès frauduleux» aux systèmes, les «entraves à leur fonctionnement»  (par virus, bombe logique, ou ver notamment) seront désormais punis de 2 à 3 ans d'emprisonnement au lieu de 1 à 2 auparavant, et de 30 à 75.000 Euros d'amende au lieu de 15 à 45.000 auparavant (cf article 33 du texte voté par l'Assemblée). Cette réforme pourrait paraître anodine, me direz-vous? C'est bien là le problème car rien, mais absolument rien, ne justifiait que le Parlement prenne une telle mesure. Les délits de la fraude informatique ont été créés par une loi du 5 janvier 1988 - la fameuse «loi Godfrain». En l'espace de 15 ans, les tribunaux français ont dû appliquer au plus, en tout et pour tout, une petite centaine de fois ces textes. À titre de comparaison, les seuls tribunaux de commerce en France rendent chaque année environ 1 million de jugements... Depuis 15 ans, le contentieux de la fraude informatique représente chaque année un volume proche de zéro, et il ne se trouvera personne de sérieux en France pour dire que le quantum des peines antérieures, déjà lourdes, était pour quelque chose dans cette situation. Or, ces dispositions du projet de loi ont fait l'objet d'une étrange unanimité. La commission des Affaires économiques de l'Assemblée, chargée notamment d'auditionner la ministre sur son projet, n'en a absolument pas débattu, tandis que l'opposition n'a déposé aucun amendement contre cet article de loi ou pour son aménagement. Même indifférence au Sénat, début juin, où les trois rapporteurs du projet de loi n'ont pas retouché cet article.

L'OCDE, dans ses lignes directrices régissant la sécurité des systèmes d'information, prises sous forme de recommandations le 27 juillet 2002, énonçait neuf principes au premier rang desquels un principe intitulé «sensibilisation», où elle invitait les gouvernenements à inciter les entreprises et utilisateurs «au besoin d'assurer la sécurité des systèmes et réseaux d'information et aux actions qu'elles peuvent entreprendre pour renforcer la sécurité». L'OCDE ajoutait à raison que cette sensibilisation est «la première ligne de défense pour assurer la sécurité des systèmes et réseaux d'information». Rien n'est fait dans ce domaine en France, où une politique incitative pourrait être menée: au lieu de cela, on limite les mesures à l'aggravation de peines répressives qui ne sont déjà pas appliquées par les tribunaux depuis plus de 15 ans!

Pourquoi, dans ces conditions, cette législation si inutilement répressive? Depuis maintenant deux ans, chaque texte de loi traitant de l'espace Internet est venu avec son lot de répression et d'interdiction accrus sans grande nuance. De la loi sur la Sécurité Quotidienne votée dans l'urgence en novembre 2001 jusqu'à ce projet de loi pour la confiance dans l'économie numérique. Notre propos n'est pas ici de défendre les cyberdélinquants. Mais la vérité requiert de dénoncer l'inutilité du doublement des peines pénales qui traduit un esprit de démagogie et de paresse inquiétant. Voilà qui devait être rapporté et dit.

(*) Note de la rédaction: le projet de loi CEN est actuellement en attente d'examen en première lecture par le Sénat (cf. le dossier de synthèse). Trois commissions (économie, culture et lois) ont déjà rendu leurs rapports les 10 et 11 juin.