"Jumeau" du Cloud Souverain au Luxembourg : entrée en vigueur de l'Accord bilatéral, élargissement de la compétence de Monaco en matière de criminalité technologique

Entrée en vigueur

L'Ordonnance Souveraine n° 9.965 du 30 juin 2023 (JDM n° 8650 du 7 juillet 2023) a rendu exécutoire à compter du 30 juin 2023 l'Accord entre la Principauté de Monaco et le Grand-Duché de Luxembourg concernant l'hébergement de données et de systèmes d'information, signé à Luxembourg le 15 juillet 2021.

La ratification parlementaire et la modification du Code de procédure pénale

La Loi n° 1.545 du 20 avril 2023 portant approbation de ratification de l'Accord entre le Grand-Duché de Luxembourg et la Principauté de Monaco concernant l'hébergement de données et de systèmes d'information et la Loi n° 1.546 du 20 avril 2023 portant modification des articles 7 et 8 du Code de procédure pénale, publiées au JDM n° 8640 du 28 avril 2023, sont respectivement issues des projets de loi n° 1076 (2023-1, 18 janvier 2023) et n° 1075 (2023-2, 25 janvier 2023) reçus par le Conseil National le 23 février 2023 et votés en Séance publique du 13 avril 2023.

Objet

Les Lois n° 1.545 et n° 1.546 ont pour objet le "jumeau" (centre de données de secours ou "site de reprise") du Cloud souverain de Monaco hébergé au Grand-Duché de Luxembourg, sur lequel s'appuient les services numériques de la Principauté (smart City, e-administration, e-santé, e-éducation...) et qui permet de stocker aussi bien les données de l'Etat que celles des acteurs privés monégasques.

Cette garantie de sauvegarde correspond à ce qui est communément désigné dans le monde de l'entreprise sous les termes "Plan de Continuité d'Activité", "Plan de Reprise d'Activité" ou "Plan de Secours Informatique", en cas d'intrusion, de détérioration, de destruction, ou de perte résultant de catastrophes naturelles ou d'actes illicites (cyberattaques).

Les normes de sécurité préconisent un éloignement géographique de 150 km entre le lieu de stockage principal et de secours. Vu l'exiguïté du territoire monégasque, le centre de données de secours ne pouvait être hébergé qu'à l'étranger. Le choix s'est porté sur le Luxembourg "qui s'est posé très tôt en pionnier en matière de sécurité numérique". (Exposé des motifs du projet de loi n° 1076).

* * *

SYNTHESE

— Loi n° 1.545 porte approbation du Conseil National de la ratification de l'Accord entre le Grand-Duché du Luxembourg et la Principauté de Monaco concernant l'hébergement de données et de systèmes d'information (détenus par Monaco au Luxembourg) signé le 15 juillet 2021.

L'Accord bilatéral confère aux locaux qui seront utilisés par Monaco ainsi qu'à ses données et systèmes d'information, matériels et licences qui seront hébergés au Luxembourg, un statut juridique garantissant leur protection. Il détermine les conditions assurant le caractère inviolable et l'immunité des biens de la Principauté.

L'Accord a déjà été approuvé par le Luxembourg par la Loi du 28 novembre 2022, publiée au Journal officiel du Grand-Duché de Luxembourg le 8 décembre 2022 et entrée en vigueur le 12 décembre 2022. L'Accord bilatéral entrera en vigueur 30 jours après la réception de la notification de Monaco (par voie diplomatique) attestant l'accomplissement des procédures constitutionnelles et législatives requises.

— Dans le prolongement de la ratification de l'Accord bilatéral, la Loi n° 1.546 porte modification des articles 7 (nouveau chiffre 4°) et 8 (nouveau chiffre 4°) du Code de procédure pénale relatifs à "l'exercice de l'action publique à raison des crimes ou délits commis hors de la Principauté", afin de conférer expressément compétence aux juridictions monégasques pour poursuivre, juger et sanctionner les actes de criminalité technologique commis au préjudice du centre de secours situé à l'étranger.

Les infractions qui pourraient être pénalement appréhendées par le dispositif projeté sont celles qui ont été introduites aux articles 389-1 à 389-10 du Code pénal par la Loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique.

* * *

POUR MEMOIRE :

L'article 14, alinéa 2 chiffre 2°) de la Constitution du 17 décembre 1962, modifiée par la loi n° 1.249 du 2 avril 2002, requiert une loi de ratification pour "les traités et accords internationaux dont la ratification entraîne la modification de dispositions législatives existantes ;" comme c'est le cas en l'espèce avec la modification des articles 7 et 8 du Code de procédure pénale.

La Loi n° 1.435 du 8 novembre 2016 relative à la criminalité technologique a transcrit des dispositions de droit pénal matériel et procédural de la Convention du Conseil de l’Europe (STE n° 185) sur la cybercriminalité (dite de Budapest), afin que la Principauté puisse la ratifier. La Convention a été rendue exécutoire à Monaco par l'Ordonnance Souveraine n° 6.492 du 28 juillet 2017. Elle est en vigueur pour Monaco depuis le 1er juillet 2017.

* * *

EN DETAIL

— Les points clefs de l'Accord entre le Grand-Duché du Luxembourg et la Principauté de Monaco concernant l'hébergement de données et de systèmes d'information :

L'Accord s'appuie sur les grand principes du droit international public régissant les relations diplomatiques entre Etats.

• Gestion des locaux sécurisés, des données et systèmes d'information, matériels et licences appartenant à Monaco

L'Etat de Luxembourg via sa participation majoritaire dans la société privée Luxconnect (créée à l'initiative du gouvernement luxembourgeois en 2006 et dont les principaux objectifs sont l'amélioration du réseau national de fibre noire, la construction et l'exploitation de centres de données de pointe) est propriétaire sur son territoire de locaux sécurisés dans un Centre de données permettant l'hébergement de données et de systèmes d'information, dont la gestion est actuellement placée sous le contrôle de l'Etat du Luxembourg.

En cas de cession ou de changement de gestionnaire des locaux, la Principauté doit en être informée 6 mois auparavant par le Luxembourg (sauf urgence impérieuse ou dûment justifiée).

Le transport sur le territoire luxembourgeois des équipements, du matériel et licences de Monaco destinés à être installés dans les locaux mis à sa disposition est assimilé au transport d'une valise, d'un colis ou d'un courrier diplomatique au sens de l'article 27 de la Convention de Vienne du 18 avril 1961 sur les relations diplomatiques, ce qui garantit leur caractère inviolable.

En cas de force majeure conduisant à une interruption totale ou partielle des moyens de communication afférents aux locaux, le Luxembourg est tenu de leur accorder le même traitement prioritaire que celui accordé à ses services gouvernementaux.

• Inviolabilité des locaux et immunité d'exécution attachée aux biens de Monaco

Dans le cadre de l'exercice des compétences et pouvoirs de la Principauté de Monaco en tant qu'Etat souverain, l'Accord bilatéral confère aux données et systèmes d'information, aux matériels et licences pour opérer le centre de données de secours du Cloud souverain de Monaco au Luxembourg, qui sont des biens de la Principauté de Monaco, un statut juridique protecteur leur conférant un caractère inviolable et l'immunité d'exécution.

Concrètement :

→ L'inviolabilité signifie que les locaux mis à la disposition de Monaco par le Luxembourg ne pourront faire l'objet d'aucune perquisition, réquisition, saisie ou mesure d'exécution. Seuls des représentants officiels de la Principauté, ses mandataires habilités et des représentants de l'autorité judiciaire monégasque pourront accéder aux locaux.

Sans le consentement préalable de la Principauté, aucune personne luxembourgeoise ou étrangère ne pourra pénétrer dans ces locaux, qu'elle exerce des fonctions administratives, judiciaires, militaires ou relevant de la police.

Ceci est le pendant du régime applicable à une ambassade et à la résidence de l'ambassadeur qui fait partie des locaux de la mission diplomatique, dont l'inviolabilité est garantie par l'article 22 de la Convention de Vienne sur les relations diplomatiques du 18 avril 1961 (rendue exécutoire à Monaco par Ordonnance n° 332 du du 1" décembre 2005 et entrée en vigueur pour Monaco le 3 novembre 2005). Les dispositions de la Convention de Vienne consacrées à la protection des locaux des missions diplomatiques ne permettaient pas d'assurer un cadre juridique protecteur au "Jumeau" du Cloud souverain de Monaco, d'où la nécessité de conclure l'Accord bilatéral.

→ L'immunité d'exécution protège l'Etat de Monaco contre les mesures et procédures qui tendraient à le dessaisir de ses biens (en l'occurrence les données et systèmes d'information, matériels et licences pour opérer le centre de données de secours au Luxembourg).

L’immunité d'exécution permet à l'Etat de s’opposer aux mesures d’exécution forcée ainsi qu'aux mesures conservatoires qui rendent indisponibles le bien saisi.

L'Accord transcrit une règle coutumière du droit international public régissant les relations entre Etats.

• Règlement des différends relatifs à l'interprétation ou à l'application de l'Accord

→ Première phase de consultation au sein de la Commission mixte afin de trouver une solution mutuellement acceptable.

→ En cas d'échec, chaque Partie peut demander le règlement du différend par un Tribunal arbitral ad hoc.

Le Tribunal serait composé de trois arbitres : deux arbitres nommés par chacune des Parties ; un arbitre qui présidera le Tribunal et qui n'est pas de la nationalité de l'une des Parties, désigné par les deux premiers arbitres. Si dans les 3 mois suivant la notification de la demande d'arbitrage, ces désignations n'ont pas été effectuées, chacune des Parties peut, en l'absence de tout autre accord, demander à la Cour internationale de Justice (CIJ) de procéder à ces désignations.

Le Tribunal adopte ses propres règles de procédure. Sa décision est définitive et s'impose aux parties.

Tant que le Tribunal n'a pas statué, la Commission mixte n'est pas dessaisie, ce qui signifie que si elle parvient à trouver une solution, le Tribunal pourra en conséquence se désister.

Toute modification de l'Accord bilatéral doit faire l'objet d'un accord négocié, signé et ratifié dans les mêmes conditions que le premier Accord.

— Compétence des juridictions monégasques pour les infractions aux données et systèmes d'information (présentées infra) commises au préjudice du centre de données situé hors du territoire monégasque :

Les modifications projetées du Code de procédure pénale tendent à affirmer expressément la compétence des juridictions monégasques pour poursuivre et juger les actes de criminalité technologique (type cyberattaque) qui seraient commis à l'encontre du "jumeau" du Cloud souverain de Monaco :

• Pourrait être poursuivi et jugé en Principauté tout étranger qui, hors du territoire de la Principauté, se sera rendu coupable d'une des infractions au préjudice des données et systèmes d'information du centre de données situé à l'étranger (nouveau chiffre 4°) à l'article 7 du Code de procédure pénale) ;

• Pourrait être poursuivi et jugé en Principauté tout auteur, coauteur, ou complice, monégasque ou étranger qui, hors du territoire de la Principauté, aura commis une des infractions au préjudice des données et systèmes d'information du centre de données situé à l'étranger, et qui serait trouvé et interpellé en Principauté (nouveau chiffre 4°) à l'article 8 du Code de procédure pénale).

— Les actes de criminalité technologique au préjudice du centre de données situé au Luxembourg qui pourraient être appréhendés par les juridictions monégasques :

• Les articles 389-1 à 389-7 du Code pénal incriminent les atteintes pouvant être portées à un système d’information (SI), c’est-à-dire au dispositif qui assure un traitement automatisé de données informatiques, et aux données informatiques utilisées pour le fonctionnement, l’utilisation, la protection ou la maintenance de ce dispositif :

— accès ou maintien frauduleux dans un SI, avec une circonstance aggravante lorsque les données informatiques ont été endommagées ; effacées, détériorées, modifiées, altérées ou supprimées, ou lorsque le fonctionnement du système a été entravé ou altéré (article 389-1 CP) ;

— entrave (au), ou altération frauduleuse (du) fonctionnement d’un SI (article 389-2 CP) ;

— introduction, endommagement, effacement, détérioration, modification, altération, suppression, extraction, détention, reproduction, transmission, ou inaccessibilité frauduleux(se) de données informatiques, ou acte frauduleux de modification ou suppression du mode de traitement ou de transmission des données informatiques (article 389-3 CP) ;

— usage frauduleux de données informatiques volontairement endommagées, effacées, détériorées, modifiées, ou altérées (article 389-4 CP) ;

— interception frauduleuse par des moyens techniques de données informatiques, lors de transmissions non publiques, à destination, en provenance ou à l’intérieur d’un SI, y compris les émissions électromagnétiques provenant d’un SI transportant de telles données informatiques (article 389-5 CP) ;

— production, importation, détention, offre, cession, diffusion, obtention frauduleuse en vue d’utiliser ou de mettre à disposition : a) un équipement, un dispositif, y compris un programme informatique, ou toute donnée principalement conçus ou adaptés pour permettre la commission d’une ou plusieurs des infractions prévues aux articles 389-1 à 389-5 CP ; b) un mot de passe, un code d’accès ou des données informatiques similaires permettant d’accéder à tout ou partie d’un SI pour commettre une ou plusieurs des infractions prévues aux articles 389-1 à 389-5 CP (article 389-6 CP) ;

— introduction, altération, effacement ou suppression frauduleux(se) des données informatiques, engendrant des données non authentiques, dans l’intention qu’elles soient prises en compte ou utilisées à des fins légales comme si elles étaient authentiques (article 389-7 CP) ;

• Les autres infractions se rapportent à :

— l’introduction, l’altération, l’effacement ou la suppression de données informatiques ou toute autre forme d’atteinte au fonctionnement d’un SI dans l’intention d’obtenir un bénéfice économique, qui cause un préjudice patrimonial à autrui (article 389-8 CP) ;

— la participation en bande organisée ou à une entente établie en vue de préparer, commettre, faciliter la commission ou le recel d’une ou plusieurs des infractions prévues aux articles 389-1 à 389-5 CP (article 389-9 CP) ;

— la tentative de commission d’une des infractions prévues aux articles 389-1 à 389-5 CP (article 389-10 CP).

• La responsabilité des personnes physiques et des personnes morales peut être engagée (article 389-11 CP).