Lexipedia

22.4325 · Motion · 2022-12-08

Département de justice et police

Liquidé

Wortlaut

Le Conseil fédéral est chargé par le Parlement de lui présenter un projet de normes légales permettant l'introduction dans le Code pénal de mesures à même de punir le recel de données illégalement acquises, notamment s'agissant de données médicales.

Begründung

Le mois d'avril aura été, pour le Canton de Neuchâtel, le théâtre d'un événement dont nombre de citoyennes et de citoyens eussent préféré qu'il s'agisse d'une mauvaise blague. Et pourtant, ce sont bel et bien 40 000 fichiers qui furent dérobés aux cabinets neuchâtelois, contenant les données détaillées et intimes des patientes et des patients du canton, et qui furent ensuite mises en ligne par les hackers, sans que l'on sache si ces-derniers bénéficièrent du soutien de quelques intermédiaires.

Cet exemple, parmi tant d'autres s'appliquant bien au-delà du domaine médical, ne démontre pas uniquement l'exigence pour le législateur d'apporter une réflexion plus large sur la protection des dossiers sous forme électronique des patientes et des patients, mais nous impose également de combler les lacunes du droit suisse en cas d'infractions spécifiques en la matière, tel que le recel de données numériques. En effet, échappant encore à toute sanction, le recel de données numériques est le grand absent de tous les articles du Code pénal traitant de ces questions. Que ce soit dans l'article 160 CP qui, selon la doctrine, la jurisprudence et l'avis du Conseil fédéral relatif aux interventions visant à élargir la notion de recel, ne vise que les biens matériels mais pas les données électroniques, ou dans les article 143 et 143bis CP qui ne punissent que le vol, mais pas le recel. Alors même que, si l'on en croit les chiffres de l'Office fédéral de la statistique (OFS) sur la criminalité numérique, les infractions pénales commises sur internet ne cessent d'augmenter (1), la Suisse semble hélas peu encline à légiférer davantage en la matière. Une situation navrante tant il semble dès lors indispensable de renforcer notre droit afin qu'il ne s'applique non plus seulement au vol de données numériques, mais également au fait de les détenir sciemment tout en sachant que ces-dernières ont été obtenues de manière illicite par un tiers.

(1) selon l'OFS et sa Section Criminalité et droit pénal, plus de 30 000 délits informatiques ont été enregistrés en Suisse en 2021, contre 24 398 en 2020.

Antrag des Bundesrates

Le Conseil fédéral propose de rejeter la motion.

Stellungnahme des Bundesrates

L'extension de l'infraction de recel à la réception et à la transmission de données était déjà l'objet de la motion 12.3123 Amherd " Elargir la notion de recel dans le code pénal ", déposée en 2012. Le Conseil fédéral et le Parlement avaient alors conclu que le champ d'application de l'art. 160 du code pénal (CP ; RS 311.0) était limité au recel de biens matériels et que cette disposition protégeait le droit du propriétaire légal à rentrer en possession de son avoir. La punissabilité du receleur tient à ce qu'il prolonge une situation contraire au droit et empêche ou complique la récupération du bien en question. La soustraction de données (art. 143 CP), également appelée vol de données, consiste en règle générale à copier les données, et n'implique pas nécessairement de priver l'ayant droit de la possibilité d'en disposer. Les données, et les informations qu'elles contiennent, du fait qu'elles sont dématérialisées, se distinguent des biens matériels en ce qui concerne la propriété et la possession. La protection à mettre en oeuvre n'est pas la même pour les biens matériels que pour les données et les informations. Le recel de données dérobées n'est donc pas conciliable avec la conception de l'art. 160 CP, lequel porte sur les droits réels.

Le comportement décrit dans le développement de la motion n'en reste pas pour autant impuni. Un hacker, qu'il mette les données volées en ligne ou non, est puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire en application de l'art. 143bis CP (accès indu à un système informatique). S'il entend se procurer ou procurer à un tiers un enrichissement illégitime par la soustraction de données, la peine peut aller jusqu'à une peine privative de liberté de cinq ans au plus en application de l'art. 143 CP. La mise en circulation ou la publication des données constitue une faute plus lourde et entraîne une peine plus élevée. L'instigation, la complicité ou le fait de recourir à un co-auteur entrent également en ligne de compte lorsque l'auteur reçoit l'aide d'intermédiaires. En fonction des circonstances du cas concret et de l'utilisation ultérieure qui est faite des données, l'application des dispositions sur l'extorsion et le chantage (art. 156 CP), sur la détérioration de données (art. 144bis CP) et d'autres infractions contre le patrimoine entre aussi en ligne de compte s'agissant tant de l'auteur principal que de tiers.

D'importantes catégories de données sont aujourd'hui déjà protégées, même si le législateur a volontairement renoncé à étendre de manière générale la notion de recel aux données volées. L'art. 2 de la loi sur la protection des données (LPD, RS 235.1) s'étend à tout traitement de données personnelles. La soustraction de données personnelles (art. 179novies CP) est également punie. La protection pénale s'étend à toutes les données sensibles, c'est-à-dire également aux données personnelles sur la santé, telles qu'évoquées dans la motion (art. 3, let. c, ch. 2, LPD). Un nouvel article du code pénal réprimant l'usurpation d'identité (art. 179decies nCP, entrée en vigueur fixée au 1.9.2023) a été adopté récemment dans le cadre de la révision de la LPD ; il inclut l'utilisation ultérieure illicite des données.

Relevons enfin qu'il n'existe pas à l'heure actuelle d'obligation ou de recommandation à l'échelon international (par ex. dans le cadre de la Convention du Conseil de l'Europe sur la cybercriminalité ratifiée par la Suisse, RS 0.311.43, ou des négociations en cours aux Nations Unies) visant à inciter les États à inscrire le recel de données dans leurs législations pénales nationales ni de discussions relatives à une telle proposition.

Le Conseil fédéral ne perçoit donc aucune nécessité d'agir dans le sens de la motion.

Le Conseil fédéral propose de rejeter la motion.