4. Risques de malveillance 
4.3. Cibles 4.3.2. Propriété intellectuelle, industrielle, contrefaçon
4.3. Cibles 4.3.2. Propriété intellectuelle, industrielle, contrefaçon
Directive (UE) 2019/713 du Parlement européen et du Conseil du 17 avril 2019 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces et remplaçant la décision-cadre 2001/413/JAI du Conseil
| Date de signature : | 17/04/2019 | Statut du texte : | En vigueur |
| Date de publication : | 10/05/2019 | Emetteur : | |
| Consolidée le : | Source : | JOUE L123 du 10 mai 2019 | |
| Date d'entrée en vigueur : | 30/05/2019 |
Directive (UE) 2019/713 du Parlement européen et du Conseil du 17 avril 2019 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces et remplaçant la décision-cadre 2001/413/JAI du Conseil
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
(1) La fraude et la contrefaçon des moyens de paiement autres que les espèces constituent des menaces pour la sécurité car elles représentent une source de revenus pour la criminalité organisée et permettent ainsi à d'autres activités criminelles de se développer, comme le terrorisme, le trafic de stupéfiants et la traite des êtres humains.
(2) La fraude et la contrefaçon des moyens de paiement autres que les espèces entravent aussi le marché unique numérique, en sapant la confiance des consommateurs et en causant un préjudice économique direct.
(3) La décision-cadre 2001/413/JAI (3) a besoin d'être actualisée et complétée de manière à inclure de nouvelles dispositions ayant trait aux infractions en particulier en matière de fraude informatique, et aux sanctions, à la prévention et à l'aide aux victimes ainsi qu'à à la coopération transfrontière.
(4) L'existence de lacunes et de différences importantes dans les législations des États membres en matière fraude et de contrefaçon des moyens de paiement autres que les espèces peut entraver la prévention et la détection de ces types d'infractions et d'autres formes graves de criminalité organisée qui y sont liées et qu'il favorise, ainsi que l'application de sanctions en la matière, et rendent la coopération policière et judiciaire dans ce domaine plus compliquée et, par conséquent, moins efficace, avec des conséquences négatives sur la sécurité.
(5) La fraude et la contrefaçon des moyens de paiement autres que les espèces ont une forte dimension transfrontière, accentuée par leur nature de plus en plus fréquemment numérique, qui souligne la nécessité d'oeuvrer davantage à un rapprochement des législations pénales dans les domaines de la fraude et de la contrefaçon des moyens de paiement autres que les espèces.
(6) Ces dernières années ont été marquées non seulement par un essor exponentiel de l'économie numérique, mais aussi par une prolifération de l'innovation dans maints secteurs, dont celui des technologies de paiement. Ces technologies de paiement novatrices impliquent l'utilisation de nouveaux types d'instruments de paiement qui, tout en créant des opportunités nouvelles pour les consommateurs et les entreprises, augmentent aussi les possibilités de fraude. Le cadre juridique doit par conséquent rester pertinent et à jour dans le contexte de ces évolutions technologiques, sur la base d'une approche technologiquement neutre.
(7) La fraude n'est pas seulement utilisée pour financer des groupes criminels, mais elle entrave également le développement du marché unique numérique et rend les citoyens plus réticents à effectuer des achats en ligne.
(8) Il importe d'adopter des définitions communes dans les domaines de la fraude et de la contrefaçon des moyens de paiement autres que les espèces pour garantir une approche cohérente des États membres quant à l'application de la présente directive ainsi que pour faciliter l'échange d'informations et la coopération entre les autorités compétentes. Les définitions devraient englober des nouveaux types d'instruments de paiement autres que les espèces qui permettent le transfert d'argent électronique et de monnaies virtuelles. La définition des instruments de paiement autres que les espèces devrait tenir compte du fait qu'un instrument de paiement autre que les espèces peut être constitué de différents éléments interagissants, comme une application de paiement mobile et une autorisation correspondante (un mot de passe, par exemple). Lorsque la présente directive recourt à la notion d'instrument de paiement autre que les espèces, il devrait être entendu que l'instrument permet à son titulaire ou son utilisateur d'effectuer réellement un transfert d'argent ou de valeur monétaire ou d'initier un ordre de paiement. Par exemple, l'obtention illégale d'une application de paiement mobile sans l'autorisation nécessaire ne devrait pas être considérée comme l'obtention illégale d'un instrument de paiement autre que les espèces, étant donné qu'elle ne permet pas réellement à l'utilisateur de transférer de l'argent ou de la valeur monétaire.
(9) La présente directive devrait s'appliquer aux instruments de paiement autres que les espèces uniquement dans la mesure où la fonction de paiement de l'instrument est concernée.
(10) La présente directive ne devrait couvrir les monnaies virtuelles uniquement dans la mesure où elles peuvent être communément utilisées pour effectuer des paiements. Les États membres devraient être encouragés à faire en sorte que, dans leur droit national, les futures monnaies de nature virtuelle émises par leurs banques centrales ou d'autres autorités publiques bénéficient du même niveau de protection contre la fraude que les moyens de paiement autres que les espèces en général. Les porte-monnaie électroniques qui permettent le transfert de monnaies virtuelles devraient être couverts par la présente directive dans la même mesure que les instruments de paiement autres que les espèces. La définition du terme «moyens d'échange numériques» devrait tenir compte du fait que les porte-monnaie numériques permettant le transfert de monnaies virtuelles peuvent avoir, mais n'ont pas forcément, les caractéristiques d'un instrument de paiement, et ne devrait pas étendre la définition d'un instrument de paiement.
(11) L'envoi de fausses factures afin d'obtenir des authentifiants de paiement devrait être considéré comme une tentative d'appropriation illégale dans le champ d'application de la présente directive.
(12) En utilisant le droit pénal pour donner une protection juridique, en priorité, aux instruments de paiement qui utilisent des formes spéciales de protection contre l'imitation ou la fraude a pour but d'encourager les opérateurs à prévoir ces formes spéciales de protection pour les instruments de paiement qu'ils émettent.
(13) Des mesures de droit pénal effectives et efficaces sont indispensables pour protéger les moyens de paiement autres que les espèces contre la fraude et la contrefaçon. Une approche commune de droit pénal est plus particulièrement nécessaire en ce qui concerne les éléments constitutifs des agissements délictueux qui contribuent à l'utilisation frauduleuse des moyens de paiement autres que les espèces ou ouvrent la voie à une telle utilisation. Des agissements tels que la collecte et la possession d'instruments de paiement dans l'intention de commettre une fraude, au moyen, par exemple, du hameçonnage, de la copie ou en orientant ou réorientant les utilisateurs de services de paiement vers des sites internet frauduleux, et la diffusion de tels instruments, par exemple en vendant des informations relatives à des cartes de crédit sur l'internet, devraient dès lors être incriminés à part entière, sans que l'utilisation frauduleuse de moyens de paiement autres que les espèces ne soit nécessaire. De tels agissements délictueux devraient dès lors inclure les cas où la possession, l'obtention ou la diffusion ne conduit pas nécessairement à l'utilisation frauduleuse de ces instruments de paiement. Toutefois, lorsque la présente directive érige en infraction la possession ou la détention, cela ne devrait pas couvrir la simple omission. La présente directive ne devrait pas sanctionner l'utilisation légitime d'un instrument de paiement, notamment dans le cadre de la prestation de services de paiement innovants, comme ceux généralement mis au point par les sociétés de technologie financière.
(14) En ce qui concerne les infractions pénales visées dans la présente directive, la notion d'intention s'applique à tous les éléments constitutifs de ces infractions pénales conformément au droit national. Le caractère intentionnel d'un acte, ainsi que toute connaissance ou motivation requise en tant qu'éléments constitutifs d'une infraction, peuvent être déduits de circonstances factuelles objectives. Les infractions pénales qui ne doivent pas revêtir un caractère intentionnel ne devraient pas relever de la présente directive.
(15) La présente directive renvoie à des formes classiques d'agissements comme la fraude, la contrefaçon, le vol et l'appropriation illégale, qui ont déjà été déterminées par le droit national avant même l'ère numérique. L'extension du champ d'application de la présente directive aux instruments de paiement non matériels passe donc par la définition de formes équivalentes d'agissement dans l'environnement numérique, complétant et renforçant la directive 2013/40/UE du Parlement européen et du Conseil (4). L'obtention illégale d'un instrument de paiement non matériel autre que les espèces devrait constituer une infraction pénale, au moins lorsqu'elle implique la commission de l'une des infractions visées aux articles 3 à 6 de la directive 2013/40/UE ou le détournement d'un instrument de paiement non matériel autre que les espèces. Il convient de comprendre le terme «détournement» comme le fait pour une personne à qui a été confié un instrument de paiement non matériel autre que les espèces de l'utiliser sciemment, sans en avoir le droit, pour son profit ou celui d'autrui. L'acquisition à des fins d'utilisation frauduleuse d'un tel instrument obtenu illégalement devrait être punissable, sans qu'il soit nécessaire d'établir tous les éléments factuels de l'obtention illégale, et sans exiger qu'il y ait eu une condamnation antérieure ou simultanée pour l'infraction principale génératrice de l'obtention illégale.
(16) La présente directive renvoie également à des outils qui peuvent être utilisés pour commettre les infractions qui y sont visées. Étant donné la nécessité d'éviter l'incrimination lorsque ces outils sont produits et mis sur le marché à des fins légitimes et ne constituent pas en eux-mêmes une menace, même s'ils pouvaient être utilisés pour commettre des infractions pénales, l'incrimination devrait être limitée à ces outils qui sont principalement conçus ou spécifiquement adaptés afin de commettre les infractions visées dans la présente directive.
(17) Les sanctions et peines infligées pour fraude et pour contrefaçon des moyens de paiement autres que les espèces devraient être effectives, proportionnées et dissuasives dans toute l'Union. La présente directive est sans préjudice de l'individualisation et de l'application des sanctions ainsi que de l'exécution des peines selon les circonstances de l'espèce et les règles générales du droit pénal national.
(18) La présente directive prévoyant des règles minimales, les États membres sont libres d'adopter ou de maintenir des règles pénales plus strictes en ce qui concerne la fraude et la contrefaçon des moyens de paiement autres que les espèces, y compris une définition plus large des infractions.
(19) Il est approprié de prévoir des peines plus sévères lorsqu'une infraction est commise dans le cadre d'une organisation criminelle, au sens de la décision-cadre 2008/841/JAI du Conseil (5). Les États membres ne devraient pas être obligés de prévoir des circonstances aggravantes spécifiques lorsque le droit national prévoit des infractions pénales distinctes et que cela pourrait entraîner des sanctions plus sévères. Lorsqu'une infraction visée dans la présente directive a été commise, par la même personne, en liaison avec une autre infraction visée dans la présente directive, et qu'une ou plusieurs infractions constituent de fait un élément nécessaire de la première infraction, un État membre peut prévoir, conformément aux principes généraux du droit national, qu'un tel agissement soit considéré comme une circonstance aggravante de l'infraction principale.
(20) Les règles juridictionnelles devraient garantir que les infractions visées dans la présente directive fassent l'objet de poursuites effectives et efficaces. En général, c'est le système de justice pénale du pays dans lequel une infraction a lieu qui est le plus à même de la traiter. Chaque État membre devrait donc établir une compétence à l'égard des infractions commises sur son territoire et à l'égard de celles commises par ses ressortissants. Les États membres peuvent également établir une compétence à l'égard des infractions qui causent un préjudice sur leur territoire. Ils sont fortement encouragés à le faire.
(21) Rappelant les obligations prévues dans la décision-cadre 2009/948/JAI du Conseil (6) et la décision 2002/187/JAI du Conseil (7), les autorités compétentes sont encouragées, en cas de conflits de compétence, à recourir à la possibilité de mener des consultations directes avec l'assistance de l'Agence de l'Union européenne pour la coopération judiciaire en matière pénale (Eurojust).
(22) Des outils spéciaux étant nécessaires pour mener efficacement les enquêtes sur la fraude et la contrefaçon des moyens de paiement autres que les espèces, et ces outils étant propices à une bonne coopération internationale entre les autorités nationales, les autorités compétentes de tous les États membres devraient avoir accès aux outils d'enquête généralement utilisés pour les affaires de criminalité organisée ou concernant d'autres formes graves de criminalité, si et dans la mesure où le recours à ces outils est approprié et proportionné à la nature et à la gravité des infractions telles que définies dans le droit national. En outre, les services répressifs et les autres autorités compétentes devraient avoir accès, en temps utile, aux informations pertinentes pour mener les enquêtes et exercer les poursuites à l'encontre des infractions visées dans la présente directive. Les États membres sont encouragés à allouer aux autorités compétentes des ressources humaines et financières adéquates aux fins du bon déroulement des enquêtes et des poursuites concernant les infractions visées dans la présente directive. 10.5.2019 L 123/20 Journal officiel de l'Union européenne FR
(23) Les autorités nationales chargées des enquêtes et des poursuites concernant les infractions visées dans la présente directive devraient être habilitées à coopérer avec les autres autorités nationales au sein du même État membre et leurs homologues dans d'autres États membres.
(24) Dans nombre de cas, des activités criminelles sont à l'origine d'incidents qui devraient être signalés aux autorités nationales compétentes, en application de la directive (UE) 2016/1148 du Parlement européen et du Conseil (8). La nature criminelle de tels incidents peut être soupçonnée même lorsque les preuves d'une infraction pénale sont insuffisantes à ce stade. Dans ce contexte, les opérateurs de services essentiels et les fournisseurs de service numérique compétents devraient être encouragés à communiquer aux services répressifs les rapports requis par la directive (UE) 2016/1148, de façon à permettre une action efficace et globale et à faciliter l'imputation des infractions et la reconnaissance de ces actes par leurs auteurs. On ne saurait favoriser un environnement sûr, sécurisé et plus résilient sans un signalement systématique aux services répressifs des incidents susceptibles de constituer des infractions pénales graves. En outre, lorsque c'est utile, les centres de réponse aux incidents de sécurité informatique désignés au titre de la directive (UE) 2016/1148 devraient participer aux enquêtes des services répressifs afin de fournir des informations, si les autorités nationales le jugent opportun, et d'apporter leur expertise en matière de systèmes d'information.
(25) Les incidents de sécurité majeurs, visés dans la directive (UE) 2015/2366 du Parlement européen et du Conseil (9), peuvent être d'origine criminelle. Lorsque c'est utile, les prestataires de services de paiement devraient être encouragés à communiquer aux services répressifs les rapports que la directive (UE) 2015/2366 les oblige à présenter à l'autorité compétente de leur État membre.
(26) Plusieurs instruments et mécanismes existent au niveau de l'Union pour permettre l'échange d'informations entre les services répressifs nationaux dans le cadre des enquêtes et des poursuites. Afin de faciliter et d'accélérer la coopération entre les services répressifs nationaux et de garantir que ces instruments et mécanismes soient exploités au mieux, la présente directive devrait accroître le rôle des points de contact opérationnels créés par la décision-cadre 2001/413/JAI. Les États membres devraient pouvoir décider de recourir au réseau existant de ces points de contact, tel que celui créé dans la directive 2013/40/UE. Les points de contact devraient apporter une aide effective, par exemple en facilitant l'échange d'informations utiles et en apportant des conseils techniques ou des informations juridiques. Pour que le réseau fonctionne bien, chaque point de contact devrait être en mesure de communiquer rapidement avec son homologue d'un autre État membre. Eu égard à la forte dimension transfrontière des crimes couverts par la présente directive et, en particulier, à la nature volatile des preuves électroniques, les États membres devraient pouvoir traiter promptement les demandes urgentes reçues du réseau et donner une réponse dans un délai de huit heures. Dans les cas graves et très urgents, les États membres devraient informer l'Agence de l'Union européenne pour la coopération des services répressifs (Europol).
(27) Signaler sans retard indu les infractions aux autorités publiques est essentiel à la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces, car c'est fréquemment le point de départ des enquêtes judiciaires. Il convient donc d'adopter des mesures pour encourager les personnes physiques et morales, en particulier les établissements financiers, à signaler les infractions aux services répressifs et aux autorités judiciaires. Ces mesures peuvent être instaurées par diverses formes d'action, y compris des actes législatifs contenant l'obligation de signaler les soupçons de fraude, ou des actions non législatives, comme la création ou le financement d'organisations ou de mécanismes favorisant l'échange d'informations, ou des campagnes de sensibilisation. Toute mesure qui implique le traitement de données à caractère personnel relatives à des personnes physiques devrait être mise en oeuvre dans le respect du règlement (UE) 2016/679 du Parlement européen et du Conseil (10). En particulier, toute transmission d'informations aux fins de la prévention et la répression des infractions liées à la fraude et à la contrefaçon des moyens de paiement autres que les espèces devrait respecter les exigences fixées dans ledit règlement, notamment les motifs licites du traitement.
(28) Afin de faciliter le signalement prompt et direct des infractions, la Commission devrait réfléchir attentivement à la mise en place de systèmes efficaces de signalement des fraudes en ligne par les États membres et de modèles de signalements normalisés au niveau de l'Union. Ces systèmes pourraient faciliter le signalement des cas de fraude aux moyens de paiement autres que les espèces qui se produisent souvent en ligne, en renforçant le soutien aux victimes, l'identification et l'analyse des menaces que fait peser la cybercriminalité, ainsi que le travail et la coopération transfrontière des autorités nationales compétentes.
(29) Les infractions visées dans la présente directive ont souvent un caractère transfrontière. Par conséquent, la lutte contre ces infractions se fonde sur une étroite coopération entre les États membres. Les États membres sont encouragés à assurer, dans la mesure nécessaire, l'application effective des instruments de reconnaissance mutuelle et d'entraide judiciaire en liaison avec les infractions couvertes par la présente directive.
(30) Les enquêtes et les poursuites menées à l'égard de tous les types de fraude et de contrefaçon des moyens de paiement autres que les espèces, y compris ceux impliquant de faibles sommes d'argent, sont particulièrement importantes si l'on veut les combattre de manière efficace. Les obligations de signalement, l'échange d'informations et les rapports statistiques sont des moyens efficaces pour repérer les activités frauduleuses, en particulier des activités similaires impliquant de faibles sommes d'argent lorsqu'elles sont considérées séparément.
(31) La fraude et la contrefaçon des moyens de paiement autres que les espèces peuvent avoir de graves conséquences économiques et non économiques pour leurs victimes. Lorsque ce type de fraude comprend, par exemple, une usurpation d'identité, ses conséquences en sont souvent aggravées, à cause de l'atteinte à la réputation, y compris professionnelle, de la dégradation de la cote de crédit de la personne et du grave dommage émotionnel. Il convient que les États membres adoptent des mesures d'aide, de soutien et de protection destinées à atténuer ces conséquences.
(32) Il s'écoule souvent un temps considérable avant que les victimes ne se rendent compte qu'elles ont subi des pertes à la suite d'une infraction liée à une fraude ou une contrefaçon. Pendant ce temps, une série d'infractions liées les unes aux autres peuvent se produire, ce qui ne fait qu'aggraver le préjudice subi par les victimes.
(33) Les personnes physiques victimes d'une fraude relative aux moyens de paiement autres que les espèces jouissent de droits conférés par la directive 2012/29/UE du Parlement européen et du Conseil (11). Les États membres devraient adopter des mesures d'aide et de soutien à ces victimes qui soient inspirées des mesures requises par ladite directive mais qui répondent plus directement aux besoins spécifiques des victimes d'une fraude liée à une usurpation d'identité. Ces mesures devraient comprendre, notamment, la remise d'une liste d'établissements s'occupant spécifiquement des divers aspects des infractions relatives à l'usurpation d'identité et du soutien aux victimes, un soutien psychologique spécialisé et des conseils financiers, pratiques et juridiques, ainsi qu'une assistance pour obtenir les indemnisations prévues pour ces cas. Les États membres devraient être encouragés à mettre en place un outil national unique d'information en ligne afin de faciliter l'accès aux mesures d'aide et de soutien aux victimes. Les personnes morales devraient aussi bénéficier d'informations et de conseils spécifiques sur la façon de se protéger contre les conséquences négatives de ce type d'infraction.
(34) La présente directive devrait prévoir, pour les personnes morales, le droit d'obtenir des informations sur les procédures de dépôt de plainte conformément au droit national. Ce droit est plus particulièrement nécessaire aux petites et moyennes entreprises et devrait permettre de créer un environnement correspondant mieux à leurs besoins. Les personnes physiques bénéficient déjà de ce droit en vertu de la directive 2012/29/UE.
(35) Les États membres devraient, avec l'assistance de la Commission, adopter ou renforcer un ensemble de mesures destinées à prévenir la fraude et la contrefaçon des moyens de paiement autres que les espèces, et des initiatives visant à réduire le risque que de telles infractions se produisent, par des campagnes d'information et de sensibilisation. Dans ce contexte, les États membres pourraient développer et tenir à jour, un outil permanent de sensibilisation en ligne assorti d'exemples concrets de pratiques frauduleuses, dans un format aisément intelligible. Cet outil pourrait être lié à l'outil unique d'information en ligne pour les victimes ou en faire partie. Les États membres pourraient également mettre en place des programmes de recherche et d'éducation. Il convient de porter une attention particulière aux besoins et aux intérêts des personnes vulnérables. Les États membres sont encouragés à veiller à ce qu'un financement suffisant soit disponible pour ces campagnes.
(36) Il est nécessaire de recueillir des statistiques sur la fraude et la contrefaçon des instruments de paiement autres que les espèces. Les États membres devraient par conséquent être tenus de veiller à la mise en place d'un système adéquat permettant d'enregistrer, de produire et de communiquer les statistiques qui existent sur les infractions visées dans la proposition de la présente directive.
(37)La présente directive vise à modifier et à étendre les dispositions de la décision-cadre 2001/413/JAI. Les modifications à apporter étant significatives par leur nombre comme par leur nature, il convient, pour plus de clarté, de remplacer entièrement la décision-cadre 2001/413/JAI pour les États membres liés par la présente directive.
(38) Conformément aux articles 1er et 2 du protocole n°21 sur la position du Royaume-Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, et sans préjudice de l'article 4 dudit protocole, ces États membres ne participent pas à l'adoption de la présente directive et ne sont pas liés par celle-ci ni soumis à son application.
(39) Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark ne participe pas à l'adoption de la présente directive et n'est pas lié par celle-ci ni soumis à son application.
(40) Étant donné que les objectifs de la présente directive, à savoir rendre la fraude et la contrefaçon des moyens de paiement autres que les espèces passibles de sanctions pénales effectives, proportionnées et dissuasives, et améliorer et favoriser la coopération transfrontière entre les autorités compétentes, d'une part, et entre les personnes physiques et morales et les autorités compétentes, d'autre part, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison de leur dimension ou de leurs effets, l'être mieux au niveau de l'Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, la présente directive n'excède pas ce qui est nécessaire pour atteindre ces objectifs.
(41) La présente directive respecte les droits fondamentaux et observe les principes reconnus, en particulier, par la Charte des droits fondamentaux de l'Union européenne, notamment le droit à la liberté et à la sûreté, le respect de la vie privée et familiale, la protection des données à caractère personnel, la liberté d'entreprise, le droit de propriété, le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d'innocence et les droits de la défense, les principes de légalité et de proportionnalité des délits et des peines, ainsi que le droit à ne pas être jugé ou puni pénalement deux fois pour une même infraction. La présente directive cherche en particulier à garantir le respect absolu de ces droits et principes et devrait être mise en oeuvre en conséquence,
(1) JO C 197 du 8.6.2018, p. 24.
(2) Position du Parlement européen du 13 mars 2019 (non encore parue au Journal officiel) et décision du Conseil du 9 avril 2019.
(3) Décision-cadre 2001/413/JAI du Conseil du 28 mai 2001 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces (JO L 149 du 2.6.2001, p. 1).
(4) Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d'information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8).
(5) Décision-cadre 2008/841/JAI du Conseil du 24 octobre 2008 relative à la lutte contre la criminalité organisée (JO L 300 du 11.11.2008, p. 42).
(6) Décision-cadre 2009/948/JAI du Conseil du 30 novembre 2009 relative à la prévention et au règlement des conflits en matière d'exercice de la compétence dans le cadre des procédures pénales (JO L 328 du 15.12.2009, p. 42).
(7) Décision 2002/187/JAI du Conseil du 28 février 2002 instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité (JO L 63 du 6.3.2002, p. 1).
(8) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (JO L 194 du 19.7.2016, p. 1).
(9) Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n°1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35).
(10) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(11) Directive 2012/29/UE du Parlement européen et du Conseil du 25 octobre 2012 établissant des normes minimales concernant les droits, le soutien et la protection des victimes de la criminalité et remplaçant la décision-cadre 2001/220/JAI du Conseil (JO L 315 du 14.11.2012, p. 57).
ONT ADOPTÉ LA PRÉSENTE DIRECTIVE :
TITRE I
OBJET ET DÉFINITIONS
Article premier
Objectif
La présente directive établit des règles minimales relatives à la définition des infractions pénales et des sanctions en matière de fraude et de contrefaçon des moyens de paiement autres que les espèces. Elle facilite la prévention de ces infractions ainsi que la fourniture d'aide et de soutien aux victimes.
Article 2
Définitions
Aux fins de la présente directive, on entend par :
a) «instrument de paiement autre que les espèces»: un dispositif, objet ou enregistrement protégé non matériel ou matériel ou une combinaison de ces éléments, autre que la monnaie légale, qui, à lui seul ou en liaison avec une procédure ou un ensemble de procédures, permet à son titulaire ou à son utilisateur d'effectuer un transfert d'argent ou de valeur monétaire, y compris par des moyens d'échange numériques;
b) «dispositif, objet ou enregistrement protégé»: un dispositif, objet ou enregistrement protégé contre les imitations et les utilisations frauduleuses, par exemple dans sa conception ou par un codage ou une signature;
c) «moyens d'échange numérique»: toute monnaie électronique telle que définie à l'article 2, point 2), de la directive 2009/110/CE du Parlement européen et du Conseil (12) ou monnaie virtuelle;
(12) Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l'accès à l'activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (JO L 267 du 10.10.2009, p. 7).
d) «monnaie virtuelle»: une représentation numérique de valeur qui n'est ni émise ou garantie par une banque centrale ou une autorité publique, ni nécessairement attachée à une monnaie établie légalement et qui ne possède pas le statut juridique d'une monnaie ou d'argent, mais qui est acceptée comme moyen d'échange par des personnes physiques ou morales et peut être transférée, stockée et échangée par voie électronique;
e) «système d'information»: un système d'information tel que défini à l'article 2, point a), de la directive 2013/40/UE;
f) «données informatiques»: des données informatiques telles que définies à l'article 2, point b), de la directive 2013/40/UE;
g) «personne morale», toute entité dotée de la personnalité juridique en vertu du droit applicable, exception faite des États ou des entités publiques dans l'exercice de leurs prérogatives de puissance publique et des organisations internationales publiques.
TITRE II
INFRACTIONS
Article 3
Utilisation frauduleuse des instruments de paiement autres que les espèces
Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable les agissements ci-après, lorsqu'ils sont intentionnels :
a) l'utilisation frauduleuse d'un instrument de paiement autre que les espèces, volé, usurpé ou obtenu par d'autres moyens illégaux;
b) l'utilisation frauduleuse d'un instrument de paiement autre que les espèces, faux ou falsifié.
Article 4
Infractions liées à l'utilisation frauduleuse d'instruments de paiement matériels autres que les espèces
Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable les agissements ci-après, lorsqu'ils sont intentionnels :
a) le vol ou autre usurpation d'un instrument de paiement matériel autre que les espèces;
b) la contrefaçon ou la falsification frauduleuses d'un instrument de paiement matériel autre que les espèces;
c) la possession d'un instrument de paiement matériel autre que les espèces, volé, usurpé ou obtenu par d'autres moyens illégaux ou faux ou falsifié, en vue de son utilisation frauduleuse;
d) l'obtention pour soi-même ou autrui, y compris la réception, l'appropriation, l'achat, le transfert, l'importation, l'exportation, la vente, le transport ou la diffusion, d'un instrument de paiement matériel autre que les espèces, volé, faux ou falsifié, en vue de son utilisation frauduleuse.
Article 5
Infractions liées à l'utilisation frauduleuse d'instruments de paiement non matériels autres que les espèces
Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable les agissements ci-après, lorsqu'ils sont intentionnels :
a) l'obtention illégale d'un instrument de paiement non matériel autre que les espèces, au moins lorsqu'elle implique la commission de l'une des infractions visées aux articles 3 à 6 de la directive 2013/40/UE, ou le détournement d'un instrument de paiement non matériel autre que les espèces;
b) la contrefaçon ou la falsification frauduleuses d'un instrument de paiement non matériel autre que les espèces;
c) la détention d'un instrument de paiement non matériel autre que les espèces, obtenu par des moyens illégaux, falsifié ou faux, en vue de son utilisation frauduleuse, au moins si l'origine illégale est connue au moment de la détention de l'instrument;
d) l'obtention pour soi-même ou autrui, y compris la vente, le transfert ou la diffusion, ou la mise à disposition, d'un instrument de paiement non matériel autre que les espèces obtenu par des moyens illégaux, falsifié ou faux, en vue de son utilisation frauduleuse.
Article 6
Fraude liée aux systèmes d'information
Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable, lorsqu'il est intentionnel, le fait d'effectuer ou de faire effectuer un transfert d'argent, de valeur monétaire ou de monnaie virtuelle, causant ainsi de manière illicite à autrui une perte de propriété dans le but de procurer un gain illégal à l'auteur de l'infraction ou à un tiers, en :
a) empêchant ou perturbant le fonctionnement d'un système informatique, sans en avoir le droit;
b) introduisant, altérant, effaçant, transmettant ou supprimant des données informatiques, sans en avoir le droit.
Article 7
Outils utilisés pour commettre les infractions
Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable la production, l'obtention pour soi-même ou pour autrui, y compris l'importation, l'exportation, la vente, le transport ou la diffusion, ou la mise à disposition d'un dispositif ou d'un instrument, de données informatiques ou d'autres moyens principalement conçus ou spécifiquement adaptés pour commettre l'une des infractions visées à l'article 4, points a) et b), à l'article 5, points a) et b), ou à l'article 6, au moins lorsqu'elles sont commises dans l'intention que ces moyens soient utilisés.
Article 8
Instigation, complicité et tentative
1. Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable l'instigation d'une infraction visée aux articles 3 à 7 ou le fait de s'en rendre complice.
2. Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable une tentative de commettre une infraction visée à l'article 3, à l'article 4, point a), b) ou d), à l'article 5, point a) ou b), ou à l'article 6. En ce qui concerne l'article 5, point d), les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable au moins la tentative d'obtention frauduleuse d'un instrument de paiement non matériel autre que les espèces obtenu par des moyens illégaux, falsifié ou faux, pour soi-même ou autrui.
Article 9
Sanctions à l'encontre des personnes physiques
1. Les États membres prennent les mesures nécessaires pour que les infractions visées aux articles 3 à 8 soient passibles de sanctions pénales effectives, proportionnées et dissuasives.
2. Les États membres prennent les mesures nécessaires pour que les infractions visées à l'article 3, à l'article 4, points a) et b), et à l'article 5, points a) et b), soient passibles d'une peine d'emprisonnement maximale d'au moins deux ans.
3. Les États membres prennent les mesures nécessaires pour que les infractions visées à l'article 4, points c) et d), et à l'article 5, points c) et d), soient passibles d'une peine d'emprisonnement maximale d'au moins un an.
4. Les États membres prennent les mesures nécessaires pour que l'infraction visée à l'article 6 soit passible d'une peine d'emprisonnement maximale d'au moins trois ans.
5. Les États membres prennent les mesures nécessaires pour que l'infraction visée à l'article 7 soit passible d'une peine d'emprisonnement maximale d'au moins deux ans. 6.Les États membres prennent les mesures nécessaires pour que les infractions visées aux articles 3 à 6 soient passibles d'une peine d'emprisonnement maximale d'au moins cinq ans dans le cas où elles sont commises dans le cadre d'une organisation criminelle au sens de la décision-cadre 2008/841/JAI, indépendamment de la sanction qui y est prévue.
Article 10
Responsabilité des personnes morales
1. Les États membres prennent les mesures nécessaires pour que les personnes morales puissent être tenues pour responsables des infractions visées aux articles 3 à 8, commises pour leur compte par toute personne, agissant individuellement ou en qualité de membre d'un organe de la personne morale, qui exerce un pouvoir de direction en son sein, fondé sur un des points suivants :
a) un pouvoir de représentation de la personne morale;
b) un pouvoir de prendre des décisions au nom de la personne morale;
c) un pouvoir d'exercer un contrôle au sein de la personne morale.
2. Les États membres prennent les mesures nécessaires pour que les personnes morales puissent être tenues pour responsables lorsque le défaut de surveillance ou de contrôle de la part d'une personne visée au paragraphe 1 a rendu possible la commission de l'une des infractions visées aux articles 3 à 8 pour le compte de la personne morale, par une personne soumise à son autorité.
3. La responsabilité des personnes morales au titre des paragraphes 1 et 2 n'exclut pas les poursuites pénales contre les personnes physiques auteurs, instigatrices ou complices de l'une des infractions visées aux articles 3 à 8.
Article 11
Sanctions à l'encontre des personnes morales
Les États membres prennent les mesures nécessaires pour qu'une personne morale déclarée responsable au titre de l'article 10, paragraphe 1 ou 2, soit passible de sanctions effectives, proportionnées et dissuasives, qui incluent des amendes pénales ou non pénales, et éventuellement d'autres sanctions, telles que :
a) l'exclusion du bénéfice d'un avantage ou d'une aide publics;
b) l'exclusion temporaire de l'accès aux financements publics, y compris aux procédures d'appels d'offres, aux subventions et aux concessions;
c) l'interdiction temporaire ou définitive d'exercer une activité commerciale;
d) le placement sous surveillance judiciaire;
e) une mesure judiciaire de dissolution;
f) la fermeture temporaire ou définitive d'établissements ayant servi à commettre l'infraction.
TITRE III
COMPÉTENCE ET ENQUÊTES
Article 12
Compétence
1. Chaque État membre prend les mesures nécessaires pour établir sa compétence à l'égard des infractions visées aux articles 3 à 8 lorsqu'un ou plusieurs des points suivants s'appliquent :
a) l'infraction a été commise, en tout ou en partie, sur son territoire;
b) l'auteur de l'infraction est l'un de ses ressortissants.
2. Aux fins du paragraphe 1, point a), une infraction est considérée comme commise en tout ou en partie sur le territoire d'un État membre lorsque l'auteur de l'infraction a commis l'infraction alors qu'il était physiquement présent sur ledit territoire et sans qu'il soit pertinent que l'infraction ait ou non été commise à l'aide d'un système d'information sur ledit territoire.
3. Un État membre informe la Commission lorsqu'il décide d'établir sa compétence à l'égard d'une infraction visée aux articles 3 à 8 qui a été commise en dehors de son territoire, notamment dans les cas suivants:
a) l'auteur de l'infraction réside habituellement sur son territoire;
b) l'infraction a été commise pour le compte d'une personne morale établie sur son territoire;
c) l'infraction a été commise à l'encontre de l'un de ses ressortissants ou d'une personne résidant habituellement sur son territoire.
Article 13
Efficacité des enquêtes et de la coopération
1. Les États membres prennent les mesures nécessaires pour que des outils d'enquête, tels que ceux qui sont utilisés dans les affaires de lutte contre la criminalité organisée ou d'autres formes graves de criminalité, soient efficaces, proportionnés à l'infraction commise et mis à la disposition des personnes, des unités ou des services chargés des enquêtes ou des poursuites concernant les infractions visées aux articles 3 à 8.
2. Les États membres prennent les mesures nécessaires pour que, lorsque le droit national oblige des personnes physiques et morales à communiquer des informations relatives aux infractions visées aux articles 3 à 8, les autorités chargées des enquêtes ou des poursuites concernant ces infractions reçoivent lesdites informations sans retard indu.
TITRE IV
ÉCHANGE D'INFORMATIONS ET SIGNALEMENT DES INFRACTIONS
Article 14
Échange d'informations
1. Aux fins de l'échange d'informations relatives aux infractions visées aux articles 3 à 8, les États membres veillent à disposer d'un point de contact national opérationnel, disponible vingt-quatre heures sur vingt-quatre, sept jours sur sept. Ils veillent également à mettre des procédures en place pour traiter rapidement les demandes urgentes d'assistance et pour que l'autorité compétente réponde dans un délai de huit heures à compter de la réception de la demande, en indiquant au moins si la demande sera satisfaite et la forme d'une telle réponse et le délai estimé dans lequel elle sera envoyée. Les États membres peuvent décider de recourir aux réseaux existants de points de contact opérationnels.
2. Les États membres communiquent à la Commission, à Europol et à Eurojust le point de contact visé au paragraphe 1 qu'ils ont désigné. Ils mettent cette information à jour si nécessaire. La Commission transmet ces informations aux autres États membres.
Article 15
Signalement des infractions
1. Les États membres prennent les mesures nécessaires pour que des canaux de communication appropriés soient mis à disposition afin de faciliter le signalement aux services répressifs et aux autres autorités nationales compétentes, sans retard indu, des infractions visées aux articles 3 à 8.
2. Les États membres prennent les mesures nécessaires pour encourager les établissements financiers et les autres personnes morales exerçant une activité sur leur territoire à signaler, sans retard indu, les soupçons de fraude aux services répressifs et aux autres autorités compétentes, aux fins de la détection et de la prévention des infractions visées aux articles 3 à 8 et des enquêtes et poursuites les concernant.
Article 16
Aide et soutien aux victimes
1. Les États membres veillent à ce que les personnes physiques et morales qui ont subi un préjudice à la suite d'infractions visées aux articles 3 à 8 ayant été commises par l'utilisation abusive de données à caractère personnel:
a) bénéficient d'informations et de conseils sur la façon de se protéger contre les conséquences négatives de ces infractions, telles que l'atteinte à la réputation; et
b) reçoivent une liste d'établissements s'occupant spécifiquement des divers aspects des infractions relatives à l'usurpation d'identité et du soutien aux victimes de ces infractions.
2. Les États membres sont encouragés à mettre en place des outils nationaux uniques d'information en ligne afin de faciliter l'accès aux mesures d'aide et de soutien aux personnes physiques ou morales qui ont subi un préjudice à la suite d'infractions visées aux articles 3 à 8 qui ont été commises par l'utilisation abusive de données à caractère personnel.
3.Les États membres veillent à ce que les personnes morales victimes des infractions visées aux articles 3 à 8 de la présente directive bénéficient, sans retard indu après leur premier contact avec une autorité compétente, les informations suivantes :
a) les procédures de dépôt de plainte concernant l'infraction et le rôle de la victime dans ces procédures;
b) le droit de recevoir des informations sur leur dossier, conformément au droit interne;
c) les procédures disponibles pour introduire une réclamation si l'autorité compétente ne respecte pas les droits de la victime au cours de la procédure pénale;
d) les coordonnées utiles pour l'envoi de communications relatives à leur dossier.
Article 17
Prévention
Les États membres prennent des mesures appropriées, y compris sur l'internet, telles que des campagnes d'information et de sensibilisation et des programmes de recherche et d'éducation, visant à réduire la fraude en général, sensibiliser le public et réduire le risque que des personnes deviennent victimes d'une fraude. Les États membres agissent en coopération avec des parties prenantes s'il y a lieu,
Article 18
Suivi et statistiques
1. Au plus tard le 31 août 2019, la Commission établit un programme détaillé de suivi des réalisations, résultats et effets de la présente directive. Le programme de suivi définit les moyens à utiliser et les intervalles à appliquer pour recueillir les données et autres éléments de preuves nécessaires. Il précise les rôles respectifs de la Commission et des États membres dans la collecte, le partage et l'analyse des données et des autres éléments de preuve.
2. Les États membres veillent à mettre en place un système permettant d'enregistrer, de produire et de communiquer les statistiques anonymisées mesurant les phases de signalement, d'enquête et de procès relatives aux infractions visées aux articles 3 à 8.
3. Les statistiques visées au paragraphe 2 portent, au minimum, sur les données existantes concernant le nombre d'infractions visées aux articles 3 à 8 enregistrées par les États membres, ainsi que le nombre de personnes poursuivies et condamnées pour les infractions visées aux articles 3 à 7.
4. Les États membres transmettent chaque année à la Commission les données recueillies conformément aux paragraphes 1, 2 et 3. La Commission veille à ce qu'un état consolidé des rapports statistiques soit publié chaque année et soumis aux agences et organes spécialisés compétents de l'Union.
Article 19
Remplacement de la décision-cadre 2001/413/JAI
La décision-cadre 2001/413/JAI est remplacée en ce qui concerne les États membres liés par la présente directive, sans préjudice des obligations de ces États membres concernant le délai de transposition de ladite décision-cadre en droit interne.
En ce qui concerne les États membres liés par la présente directive, les références faites à la décision-cadre 2001/413/JAI s'entendent comme faites à la présente directive.
Article 20
Transposition
1. Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard le 31 mai 2021. Ils en informent immédiatement la Commission. Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
2. Les États membres communiquent à la Commission le texte des dispositions de droit interne qu'ils adoptent dans le domaine régi par la présente directive.
Article 21
Évaluation et rapport
1. La Commission présente au Parlement européen et au Conseil, au plus tard le 31 mai 2023, un rapport évaluant dans quelle mesure les États membres ont pris les mesures nécessaires pour se conformer à la présente directive. Les États membres fournissent à la Commission les informations nécessaires à l'établissement dudit rapport.
2. La Commission procède, au plus tard le 31 mai 2026, à une évaluation de l'impact de la présente directive sur la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces, ainsi que sur les droits fondamentaux, et remet un rapport au Parlement européen et au Conseil. Les États membres fournissent à la Commission les informations nécessaires à l'établissement dudit rapport.
3. Dans le cadre de l'évaluation visée au paragraphe 2 du présent article, la Commission apprécie également la nécessité, la faisabilité et l'efficacité de la mise en place de systèmes nationaux sécurisés en ligne pour permettre aux victimes de signaler l'une des infractions visées aux articles 3 à 8, ainsi que de l'élaboration d'un modèle de signalement normalisé au niveau de l'Union afin de servir de base aux États membres.
Article 22
Entrée en vigueur
La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Les États membres sont destinataires de la présente directive conformément aux traités.
Fait à Strasbourg, le 17 avril 2019.
Par le Parlement européen
Le président
A. TAJANI
Par le Conseil
Le président
G. CIAMBA
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
- vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 83, paragraphe 1,
- vu la proposition de la Commission européenne, après transmission du projet d'acte législatif aux parlements nationaux,
- vu l'avis du Comité économique et social européen (1), statuant conformément à la procédure législative ordinaire (2),
(1) La fraude et la contrefaçon des moyens de paiement autres que les espèces constituent des menaces pour la sécurité car elles représentent une source de revenus pour la criminalité organisée et permettent ainsi à d'autres activités criminelles de se développer, comme le terrorisme, le trafic de stupéfiants et la traite des êtres humains.
(2) La fraude et la contrefaçon des moyens de paiement autres que les espèces entravent aussi le marché unique numérique, en sapant la confiance des consommateurs et en causant un préjudice économique direct.
(3) La décision-cadre 2001/413/JAI (3) a besoin d'être actualisée et complétée de manière à inclure de nouvelles dispositions ayant trait aux infractions en particulier en matière de fraude informatique, et aux sanctions, à la prévention et à l'aide aux victimes ainsi qu'à à la coopération transfrontière.
(4) L'existence de lacunes et de différences importantes dans les législations des États membres en matière fraude et de contrefaçon des moyens de paiement autres que les espèces peut entraver la prévention et la détection de ces types d'infractions et d'autres formes graves de criminalité organisée qui y sont liées et qu'il favorise, ainsi que l'application de sanctions en la matière, et rendent la coopération policière et judiciaire dans ce domaine plus compliquée et, par conséquent, moins efficace, avec des conséquences négatives sur la sécurité.
(5) La fraude et la contrefaçon des moyens de paiement autres que les espèces ont une forte dimension transfrontière, accentuée par leur nature de plus en plus fréquemment numérique, qui souligne la nécessité d'oeuvrer davantage à un rapprochement des législations pénales dans les domaines de la fraude et de la contrefaçon des moyens de paiement autres que les espèces.
(6) Ces dernières années ont été marquées non seulement par un essor exponentiel de l'économie numérique, mais aussi par une prolifération de l'innovation dans maints secteurs, dont celui des technologies de paiement. Ces technologies de paiement novatrices impliquent l'utilisation de nouveaux types d'instruments de paiement qui, tout en créant des opportunités nouvelles pour les consommateurs et les entreprises, augmentent aussi les possibilités de fraude. Le cadre juridique doit par conséquent rester pertinent et à jour dans le contexte de ces évolutions technologiques, sur la base d'une approche technologiquement neutre.
(7) La fraude n'est pas seulement utilisée pour financer des groupes criminels, mais elle entrave également le développement du marché unique numérique et rend les citoyens plus réticents à effectuer des achats en ligne.
(8) Il importe d'adopter des définitions communes dans les domaines de la fraude et de la contrefaçon des moyens de paiement autres que les espèces pour garantir une approche cohérente des États membres quant à l'application de la présente directive ainsi que pour faciliter l'échange d'informations et la coopération entre les autorités compétentes. Les définitions devraient englober des nouveaux types d'instruments de paiement autres que les espèces qui permettent le transfert d'argent électronique et de monnaies virtuelles. La définition des instruments de paiement autres que les espèces devrait tenir compte du fait qu'un instrument de paiement autre que les espèces peut être constitué de différents éléments interagissants, comme une application de paiement mobile et une autorisation correspondante (un mot de passe, par exemple). Lorsque la présente directive recourt à la notion d'instrument de paiement autre que les espèces, il devrait être entendu que l'instrument permet à son titulaire ou son utilisateur d'effectuer réellement un transfert d'argent ou de valeur monétaire ou d'initier un ordre de paiement. Par exemple, l'obtention illégale d'une application de paiement mobile sans l'autorisation nécessaire ne devrait pas être considérée comme l'obtention illégale d'un instrument de paiement autre que les espèces, étant donné qu'elle ne permet pas réellement à l'utilisateur de transférer de l'argent ou de la valeur monétaire.
(9) La présente directive devrait s'appliquer aux instruments de paiement autres que les espèces uniquement dans la mesure où la fonction de paiement de l'instrument est concernée.
(10) La présente directive ne devrait couvrir les monnaies virtuelles uniquement dans la mesure où elles peuvent être communément utilisées pour effectuer des paiements. Les États membres devraient être encouragés à faire en sorte que, dans leur droit national, les futures monnaies de nature virtuelle émises par leurs banques centrales ou d'autres autorités publiques bénéficient du même niveau de protection contre la fraude que les moyens de paiement autres que les espèces en général. Les porte-monnaie électroniques qui permettent le transfert de monnaies virtuelles devraient être couverts par la présente directive dans la même mesure que les instruments de paiement autres que les espèces. La définition du terme «moyens d'échange numériques» devrait tenir compte du fait que les porte-monnaie numériques permettant le transfert de monnaies virtuelles peuvent avoir, mais n'ont pas forcément, les caractéristiques d'un instrument de paiement, et ne devrait pas étendre la définition d'un instrument de paiement.
(11) L'envoi de fausses factures afin d'obtenir des authentifiants de paiement devrait être considéré comme une tentative d'appropriation illégale dans le champ d'application de la présente directive.
(12) En utilisant le droit pénal pour donner une protection juridique, en priorité, aux instruments de paiement qui utilisent des formes spéciales de protection contre l'imitation ou la fraude a pour but d'encourager les opérateurs à prévoir ces formes spéciales de protection pour les instruments de paiement qu'ils émettent.
(13) Des mesures de droit pénal effectives et efficaces sont indispensables pour protéger les moyens de paiement autres que les espèces contre la fraude et la contrefaçon. Une approche commune de droit pénal est plus particulièrement nécessaire en ce qui concerne les éléments constitutifs des agissements délictueux qui contribuent à l'utilisation frauduleuse des moyens de paiement autres que les espèces ou ouvrent la voie à une telle utilisation. Des agissements tels que la collecte et la possession d'instruments de paiement dans l'intention de commettre une fraude, au moyen, par exemple, du hameçonnage, de la copie ou en orientant ou réorientant les utilisateurs de services de paiement vers des sites internet frauduleux, et la diffusion de tels instruments, par exemple en vendant des informations relatives à des cartes de crédit sur l'internet, devraient dès lors être incriminés à part entière, sans que l'utilisation frauduleuse de moyens de paiement autres que les espèces ne soit nécessaire. De tels agissements délictueux devraient dès lors inclure les cas où la possession, l'obtention ou la diffusion ne conduit pas nécessairement à l'utilisation frauduleuse de ces instruments de paiement. Toutefois, lorsque la présente directive érige en infraction la possession ou la détention, cela ne devrait pas couvrir la simple omission. La présente directive ne devrait pas sanctionner l'utilisation légitime d'un instrument de paiement, notamment dans le cadre de la prestation de services de paiement innovants, comme ceux généralement mis au point par les sociétés de technologie financière.
(14) En ce qui concerne les infractions pénales visées dans la présente directive, la notion d'intention s'applique à tous les éléments constitutifs de ces infractions pénales conformément au droit national. Le caractère intentionnel d'un acte, ainsi que toute connaissance ou motivation requise en tant qu'éléments constitutifs d'une infraction, peuvent être déduits de circonstances factuelles objectives. Les infractions pénales qui ne doivent pas revêtir un caractère intentionnel ne devraient pas relever de la présente directive.
(15) La présente directive renvoie à des formes classiques d'agissements comme la fraude, la contrefaçon, le vol et l'appropriation illégale, qui ont déjà été déterminées par le droit national avant même l'ère numérique. L'extension du champ d'application de la présente directive aux instruments de paiement non matériels passe donc par la définition de formes équivalentes d'agissement dans l'environnement numérique, complétant et renforçant la directive 2013/40/UE du Parlement européen et du Conseil (4). L'obtention illégale d'un instrument de paiement non matériel autre que les espèces devrait constituer une infraction pénale, au moins lorsqu'elle implique la commission de l'une des infractions visées aux articles 3 à 6 de la directive 2013/40/UE ou le détournement d'un instrument de paiement non matériel autre que les espèces. Il convient de comprendre le terme «détournement» comme le fait pour une personne à qui a été confié un instrument de paiement non matériel autre que les espèces de l'utiliser sciemment, sans en avoir le droit, pour son profit ou celui d'autrui. L'acquisition à des fins d'utilisation frauduleuse d'un tel instrument obtenu illégalement devrait être punissable, sans qu'il soit nécessaire d'établir tous les éléments factuels de l'obtention illégale, et sans exiger qu'il y ait eu une condamnation antérieure ou simultanée pour l'infraction principale génératrice de l'obtention illégale.
(16) La présente directive renvoie également à des outils qui peuvent être utilisés pour commettre les infractions qui y sont visées. Étant donné la nécessité d'éviter l'incrimination lorsque ces outils sont produits et mis sur le marché à des fins légitimes et ne constituent pas en eux-mêmes une menace, même s'ils pouvaient être utilisés pour commettre des infractions pénales, l'incrimination devrait être limitée à ces outils qui sont principalement conçus ou spécifiquement adaptés afin de commettre les infractions visées dans la présente directive.
(17) Les sanctions et peines infligées pour fraude et pour contrefaçon des moyens de paiement autres que les espèces devraient être effectives, proportionnées et dissuasives dans toute l'Union. La présente directive est sans préjudice de l'individualisation et de l'application des sanctions ainsi que de l'exécution des peines selon les circonstances de l'espèce et les règles générales du droit pénal national.
(18) La présente directive prévoyant des règles minimales, les États membres sont libres d'adopter ou de maintenir des règles pénales plus strictes en ce qui concerne la fraude et la contrefaçon des moyens de paiement autres que les espèces, y compris une définition plus large des infractions.
(19) Il est approprié de prévoir des peines plus sévères lorsqu'une infraction est commise dans le cadre d'une organisation criminelle, au sens de la décision-cadre 2008/841/JAI du Conseil (5). Les États membres ne devraient pas être obligés de prévoir des circonstances aggravantes spécifiques lorsque le droit national prévoit des infractions pénales distinctes et que cela pourrait entraîner des sanctions plus sévères. Lorsqu'une infraction visée dans la présente directive a été commise, par la même personne, en liaison avec une autre infraction visée dans la présente directive, et qu'une ou plusieurs infractions constituent de fait un élément nécessaire de la première infraction, un État membre peut prévoir, conformément aux principes généraux du droit national, qu'un tel agissement soit considéré comme une circonstance aggravante de l'infraction principale.
(20) Les règles juridictionnelles devraient garantir que les infractions visées dans la présente directive fassent l'objet de poursuites effectives et efficaces. En général, c'est le système de justice pénale du pays dans lequel une infraction a lieu qui est le plus à même de la traiter. Chaque État membre devrait donc établir une compétence à l'égard des infractions commises sur son territoire et à l'égard de celles commises par ses ressortissants. Les États membres peuvent également établir une compétence à l'égard des infractions qui causent un préjudice sur leur territoire. Ils sont fortement encouragés à le faire.
(21) Rappelant les obligations prévues dans la décision-cadre 2009/948/JAI du Conseil (6) et la décision 2002/187/JAI du Conseil (7), les autorités compétentes sont encouragées, en cas de conflits de compétence, à recourir à la possibilité de mener des consultations directes avec l'assistance de l'Agence de l'Union européenne pour la coopération judiciaire en matière pénale (Eurojust).
(22) Des outils spéciaux étant nécessaires pour mener efficacement les enquêtes sur la fraude et la contrefaçon des moyens de paiement autres que les espèces, et ces outils étant propices à une bonne coopération internationale entre les autorités nationales, les autorités compétentes de tous les États membres devraient avoir accès aux outils d'enquête généralement utilisés pour les affaires de criminalité organisée ou concernant d'autres formes graves de criminalité, si et dans la mesure où le recours à ces outils est approprié et proportionné à la nature et à la gravité des infractions telles que définies dans le droit national. En outre, les services répressifs et les autres autorités compétentes devraient avoir accès, en temps utile, aux informations pertinentes pour mener les enquêtes et exercer les poursuites à l'encontre des infractions visées dans la présente directive. Les États membres sont encouragés à allouer aux autorités compétentes des ressources humaines et financières adéquates aux fins du bon déroulement des enquêtes et des poursuites concernant les infractions visées dans la présente directive. 10.5.2019 L 123/20 Journal officiel de l'Union européenne FR
(23) Les autorités nationales chargées des enquêtes et des poursuites concernant les infractions visées dans la présente directive devraient être habilitées à coopérer avec les autres autorités nationales au sein du même État membre et leurs homologues dans d'autres États membres.
(24) Dans nombre de cas, des activités criminelles sont à l'origine d'incidents qui devraient être signalés aux autorités nationales compétentes, en application de la directive (UE) 2016/1148 du Parlement européen et du Conseil (8). La nature criminelle de tels incidents peut être soupçonnée même lorsque les preuves d'une infraction pénale sont insuffisantes à ce stade. Dans ce contexte, les opérateurs de services essentiels et les fournisseurs de service numérique compétents devraient être encouragés à communiquer aux services répressifs les rapports requis par la directive (UE) 2016/1148, de façon à permettre une action efficace et globale et à faciliter l'imputation des infractions et la reconnaissance de ces actes par leurs auteurs. On ne saurait favoriser un environnement sûr, sécurisé et plus résilient sans un signalement systématique aux services répressifs des incidents susceptibles de constituer des infractions pénales graves. En outre, lorsque c'est utile, les centres de réponse aux incidents de sécurité informatique désignés au titre de la directive (UE) 2016/1148 devraient participer aux enquêtes des services répressifs afin de fournir des informations, si les autorités nationales le jugent opportun, et d'apporter leur expertise en matière de systèmes d'information.
(25) Les incidents de sécurité majeurs, visés dans la directive (UE) 2015/2366 du Parlement européen et du Conseil (9), peuvent être d'origine criminelle. Lorsque c'est utile, les prestataires de services de paiement devraient être encouragés à communiquer aux services répressifs les rapports que la directive (UE) 2015/2366 les oblige à présenter à l'autorité compétente de leur État membre.
(26) Plusieurs instruments et mécanismes existent au niveau de l'Union pour permettre l'échange d'informations entre les services répressifs nationaux dans le cadre des enquêtes et des poursuites. Afin de faciliter et d'accélérer la coopération entre les services répressifs nationaux et de garantir que ces instruments et mécanismes soient exploités au mieux, la présente directive devrait accroître le rôle des points de contact opérationnels créés par la décision-cadre 2001/413/JAI. Les États membres devraient pouvoir décider de recourir au réseau existant de ces points de contact, tel que celui créé dans la directive 2013/40/UE. Les points de contact devraient apporter une aide effective, par exemple en facilitant l'échange d'informations utiles et en apportant des conseils techniques ou des informations juridiques. Pour que le réseau fonctionne bien, chaque point de contact devrait être en mesure de communiquer rapidement avec son homologue d'un autre État membre. Eu égard à la forte dimension transfrontière des crimes couverts par la présente directive et, en particulier, à la nature volatile des preuves électroniques, les États membres devraient pouvoir traiter promptement les demandes urgentes reçues du réseau et donner une réponse dans un délai de huit heures. Dans les cas graves et très urgents, les États membres devraient informer l'Agence de l'Union européenne pour la coopération des services répressifs (Europol).
(27) Signaler sans retard indu les infractions aux autorités publiques est essentiel à la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces, car c'est fréquemment le point de départ des enquêtes judiciaires. Il convient donc d'adopter des mesures pour encourager les personnes physiques et morales, en particulier les établissements financiers, à signaler les infractions aux services répressifs et aux autorités judiciaires. Ces mesures peuvent être instaurées par diverses formes d'action, y compris des actes législatifs contenant l'obligation de signaler les soupçons de fraude, ou des actions non législatives, comme la création ou le financement d'organisations ou de mécanismes favorisant l'échange d'informations, ou des campagnes de sensibilisation. Toute mesure qui implique le traitement de données à caractère personnel relatives à des personnes physiques devrait être mise en oeuvre dans le respect du règlement (UE) 2016/679 du Parlement européen et du Conseil (10). En particulier, toute transmission d'informations aux fins de la prévention et la répression des infractions liées à la fraude et à la contrefaçon des moyens de paiement autres que les espèces devrait respecter les exigences fixées dans ledit règlement, notamment les motifs licites du traitement.
(28) Afin de faciliter le signalement prompt et direct des infractions, la Commission devrait réfléchir attentivement à la mise en place de systèmes efficaces de signalement des fraudes en ligne par les États membres et de modèles de signalements normalisés au niveau de l'Union. Ces systèmes pourraient faciliter le signalement des cas de fraude aux moyens de paiement autres que les espèces qui se produisent souvent en ligne, en renforçant le soutien aux victimes, l'identification et l'analyse des menaces que fait peser la cybercriminalité, ainsi que le travail et la coopération transfrontière des autorités nationales compétentes.
(29) Les infractions visées dans la présente directive ont souvent un caractère transfrontière. Par conséquent, la lutte contre ces infractions se fonde sur une étroite coopération entre les États membres. Les États membres sont encouragés à assurer, dans la mesure nécessaire, l'application effective des instruments de reconnaissance mutuelle et d'entraide judiciaire en liaison avec les infractions couvertes par la présente directive.
(30) Les enquêtes et les poursuites menées à l'égard de tous les types de fraude et de contrefaçon des moyens de paiement autres que les espèces, y compris ceux impliquant de faibles sommes d'argent, sont particulièrement importantes si l'on veut les combattre de manière efficace. Les obligations de signalement, l'échange d'informations et les rapports statistiques sont des moyens efficaces pour repérer les activités frauduleuses, en particulier des activités similaires impliquant de faibles sommes d'argent lorsqu'elles sont considérées séparément.
(31) La fraude et la contrefaçon des moyens de paiement autres que les espèces peuvent avoir de graves conséquences économiques et non économiques pour leurs victimes. Lorsque ce type de fraude comprend, par exemple, une usurpation d'identité, ses conséquences en sont souvent aggravées, à cause de l'atteinte à la réputation, y compris professionnelle, de la dégradation de la cote de crédit de la personne et du grave dommage émotionnel. Il convient que les États membres adoptent des mesures d'aide, de soutien et de protection destinées à atténuer ces conséquences.
(32) Il s'écoule souvent un temps considérable avant que les victimes ne se rendent compte qu'elles ont subi des pertes à la suite d'une infraction liée à une fraude ou une contrefaçon. Pendant ce temps, une série d'infractions liées les unes aux autres peuvent se produire, ce qui ne fait qu'aggraver le préjudice subi par les victimes.
(33) Les personnes physiques victimes d'une fraude relative aux moyens de paiement autres que les espèces jouissent de droits conférés par la directive 2012/29/UE du Parlement européen et du Conseil (11). Les États membres devraient adopter des mesures d'aide et de soutien à ces victimes qui soient inspirées des mesures requises par ladite directive mais qui répondent plus directement aux besoins spécifiques des victimes d'une fraude liée à une usurpation d'identité. Ces mesures devraient comprendre, notamment, la remise d'une liste d'établissements s'occupant spécifiquement des divers aspects des infractions relatives à l'usurpation d'identité et du soutien aux victimes, un soutien psychologique spécialisé et des conseils financiers, pratiques et juridiques, ainsi qu'une assistance pour obtenir les indemnisations prévues pour ces cas. Les États membres devraient être encouragés à mettre en place un outil national unique d'information en ligne afin de faciliter l'accès aux mesures d'aide et de soutien aux victimes. Les personnes morales devraient aussi bénéficier d'informations et de conseils spécifiques sur la façon de se protéger contre les conséquences négatives de ce type d'infraction.
(34) La présente directive devrait prévoir, pour les personnes morales, le droit d'obtenir des informations sur les procédures de dépôt de plainte conformément au droit national. Ce droit est plus particulièrement nécessaire aux petites et moyennes entreprises et devrait permettre de créer un environnement correspondant mieux à leurs besoins. Les personnes physiques bénéficient déjà de ce droit en vertu de la directive 2012/29/UE.
(35) Les États membres devraient, avec l'assistance de la Commission, adopter ou renforcer un ensemble de mesures destinées à prévenir la fraude et la contrefaçon des moyens de paiement autres que les espèces, et des initiatives visant à réduire le risque que de telles infractions se produisent, par des campagnes d'information et de sensibilisation. Dans ce contexte, les États membres pourraient développer et tenir à jour, un outil permanent de sensibilisation en ligne assorti d'exemples concrets de pratiques frauduleuses, dans un format aisément intelligible. Cet outil pourrait être lié à l'outil unique d'information en ligne pour les victimes ou en faire partie. Les États membres pourraient également mettre en place des programmes de recherche et d'éducation. Il convient de porter une attention particulière aux besoins et aux intérêts des personnes vulnérables. Les États membres sont encouragés à veiller à ce qu'un financement suffisant soit disponible pour ces campagnes.
(36) Il est nécessaire de recueillir des statistiques sur la fraude et la contrefaçon des instruments de paiement autres que les espèces. Les États membres devraient par conséquent être tenus de veiller à la mise en place d'un système adéquat permettant d'enregistrer, de produire et de communiquer les statistiques qui existent sur les infractions visées dans la proposition de la présente directive.
(37)La présente directive vise à modifier et à étendre les dispositions de la décision-cadre 2001/413/JAI. Les modifications à apporter étant significatives par leur nombre comme par leur nature, il convient, pour plus de clarté, de remplacer entièrement la décision-cadre 2001/413/JAI pour les États membres liés par la présente directive.
(38) Conformément aux articles 1er et 2 du protocole n°21 sur la position du Royaume-Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, et sans préjudice de l'article 4 dudit protocole, ces États membres ne participent pas à l'adoption de la présente directive et ne sont pas liés par celle-ci ni soumis à son application.
(39) Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark ne participe pas à l'adoption de la présente directive et n'est pas lié par celle-ci ni soumis à son application.
(40) Étant donné que les objectifs de la présente directive, à savoir rendre la fraude et la contrefaçon des moyens de paiement autres que les espèces passibles de sanctions pénales effectives, proportionnées et dissuasives, et améliorer et favoriser la coopération transfrontière entre les autorités compétentes, d'une part, et entre les personnes physiques et morales et les autorités compétentes, d'autre part, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison de leur dimension ou de leurs effets, l'être mieux au niveau de l'Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, la présente directive n'excède pas ce qui est nécessaire pour atteindre ces objectifs.
(41) La présente directive respecte les droits fondamentaux et observe les principes reconnus, en particulier, par la Charte des droits fondamentaux de l'Union européenne, notamment le droit à la liberté et à la sûreté, le respect de la vie privée et familiale, la protection des données à caractère personnel, la liberté d'entreprise, le droit de propriété, le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d'innocence et les droits de la défense, les principes de légalité et de proportionnalité des délits et des peines, ainsi que le droit à ne pas être jugé ou puni pénalement deux fois pour une même infraction. La présente directive cherche en particulier à garantir le respect absolu de ces droits et principes et devrait être mise en oeuvre en conséquence,
(1) JO C 197 du 8.6.2018, p. 24.
(2) Position du Parlement européen du 13 mars 2019 (non encore parue au Journal officiel) et décision du Conseil du 9 avril 2019.
(3) Décision-cadre 2001/413/JAI du Conseil du 28 mai 2001 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces (JO L 149 du 2.6.2001, p. 1).
(4) Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d'information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8).
(5) Décision-cadre 2008/841/JAI du Conseil du 24 octobre 2008 relative à la lutte contre la criminalité organisée (JO L 300 du 11.11.2008, p. 42).
(6) Décision-cadre 2009/948/JAI du Conseil du 30 novembre 2009 relative à la prévention et au règlement des conflits en matière d'exercice de la compétence dans le cadre des procédures pénales (JO L 328 du 15.12.2009, p. 42).
(7) Décision 2002/187/JAI du Conseil du 28 février 2002 instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité (JO L 63 du 6.3.2002, p. 1).
(8) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (JO L 194 du 19.7.2016, p. 1).
(9) Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n°1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35).
(10) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(11) Directive 2012/29/UE du Parlement européen et du Conseil du 25 octobre 2012 établissant des normes minimales concernant les droits, le soutien et la protection des victimes de la criminalité et remplaçant la décision-cadre 2001/220/JAI du Conseil (JO L 315 du 14.11.2012, p. 57).
ONT ADOPTÉ LA PRÉSENTE DIRECTIVE :
TITRE I
OBJET ET DÉFINITIONS
Article premier
Objectif
La présente directive établit des règles minimales relatives à la définition des infractions pénales et des sanctions en matière de fraude et de contrefaçon des moyens de paiement autres que les espèces. Elle facilite la prévention de ces infractions ainsi que la fourniture d'aide et de soutien aux victimes.
Article 2
Définitions
Aux fins de la présente directive, on entend par :
a) «instrument de paiement autre que les espèces»: un dispositif, objet ou enregistrement protégé non matériel ou matériel ou une combinaison de ces éléments, autre que la monnaie légale, qui, à lui seul ou en liaison avec une procédure ou un ensemble de procédures, permet à son titulaire ou à son utilisateur d'effectuer un transfert d'argent ou de valeur monétaire, y compris par des moyens d'échange numériques;
b) «dispositif, objet ou enregistrement protégé»: un dispositif, objet ou enregistrement protégé contre les imitations et les utilisations frauduleuses, par exemple dans sa conception ou par un codage ou une signature;
c) «moyens d'échange numérique»: toute monnaie électronique telle que définie à l'article 2, point 2), de la directive 2009/110/CE du Parlement européen et du Conseil (12) ou monnaie virtuelle;
(12) Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l'accès à l'activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (JO L 267 du 10.10.2009, p. 7).
d) «monnaie virtuelle»: une représentation numérique de valeur qui n'est ni émise ou garantie par une banque centrale ou une autorité publique, ni nécessairement attachée à une monnaie établie légalement et qui ne possède pas le statut juridique d'une monnaie ou d'argent, mais qui est acceptée comme moyen d'échange par des personnes physiques ou morales et peut être transférée, stockée et échangée par voie électronique;
e) «système d'information»: un système d'information tel que défini à l'article 2, point a), de la directive 2013/40/UE;
f) «données informatiques»: des données informatiques telles que définies à l'article 2, point b), de la directive 2013/40/UE;
g) «personne morale», toute entité dotée de la personnalité juridique en vertu du droit applicable, exception faite des États ou des entités publiques dans l'exercice de leurs prérogatives de puissance publique et des organisations internationales publiques.
TITRE II
INFRACTIONS
Article 3
Utilisation frauduleuse des instruments de paiement autres que les espèces
Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable les agissements ci-après, lorsqu'ils sont intentionnels :
a) l'utilisation frauduleuse d'un instrument de paiement autre que les espèces, volé, usurpé ou obtenu par d'autres moyens illégaux;
b) l'utilisation frauduleuse d'un instrument de paiement autre que les espèces, faux ou falsifié.
Article 4
Infractions liées à l'utilisation frauduleuse d'instruments de paiement matériels autres que les espèces
Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable les agissements ci-après, lorsqu'ils sont intentionnels :
a) le vol ou autre usurpation d'un instrument de paiement matériel autre que les espèces;
b) la contrefaçon ou la falsification frauduleuses d'un instrument de paiement matériel autre que les espèces;
c) la possession d'un instrument de paiement matériel autre que les espèces, volé, usurpé ou obtenu par d'autres moyens illégaux ou faux ou falsifié, en vue de son utilisation frauduleuse;
d) l'obtention pour soi-même ou autrui, y compris la réception, l'appropriation, l'achat, le transfert, l'importation, l'exportation, la vente, le transport ou la diffusion, d'un instrument de paiement matériel autre que les espèces, volé, faux ou falsifié, en vue de son utilisation frauduleuse.
Article 5
Infractions liées à l'utilisation frauduleuse d'instruments de paiement non matériels autres que les espèces
Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable les agissements ci-après, lorsqu'ils sont intentionnels :
a) l'obtention illégale d'un instrument de paiement non matériel autre que les espèces, au moins lorsqu'elle implique la commission de l'une des infractions visées aux articles 3 à 6 de la directive 2013/40/UE, ou le détournement d'un instrument de paiement non matériel autre que les espèces;
b) la contrefaçon ou la falsification frauduleuses d'un instrument de paiement non matériel autre que les espèces;
c) la détention d'un instrument de paiement non matériel autre que les espèces, obtenu par des moyens illégaux, falsifié ou faux, en vue de son utilisation frauduleuse, au moins si l'origine illégale est connue au moment de la détention de l'instrument;
d) l'obtention pour soi-même ou autrui, y compris la vente, le transfert ou la diffusion, ou la mise à disposition, d'un instrument de paiement non matériel autre que les espèces obtenu par des moyens illégaux, falsifié ou faux, en vue de son utilisation frauduleuse.
Article 6
Fraude liée aux systèmes d'information
Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable, lorsqu'il est intentionnel, le fait d'effectuer ou de faire effectuer un transfert d'argent, de valeur monétaire ou de monnaie virtuelle, causant ainsi de manière illicite à autrui une perte de propriété dans le but de procurer un gain illégal à l'auteur de l'infraction ou à un tiers, en :
a) empêchant ou perturbant le fonctionnement d'un système informatique, sans en avoir le droit;
b) introduisant, altérant, effaçant, transmettant ou supprimant des données informatiques, sans en avoir le droit.
Article 7
Outils utilisés pour commettre les infractions
Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable la production, l'obtention pour soi-même ou pour autrui, y compris l'importation, l'exportation, la vente, le transport ou la diffusion, ou la mise à disposition d'un dispositif ou d'un instrument, de données informatiques ou d'autres moyens principalement conçus ou spécifiquement adaptés pour commettre l'une des infractions visées à l'article 4, points a) et b), à l'article 5, points a) et b), ou à l'article 6, au moins lorsqu'elles sont commises dans l'intention que ces moyens soient utilisés.
Article 8
Instigation, complicité et tentative
1. Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable l'instigation d'une infraction visée aux articles 3 à 7 ou le fait de s'en rendre complice.
2. Les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable une tentative de commettre une infraction visée à l'article 3, à l'article 4, point a), b) ou d), à l'article 5, point a) ou b), ou à l'article 6. En ce qui concerne l'article 5, point d), les États membres prennent les mesures nécessaires pour ériger en infraction pénale punissable au moins la tentative d'obtention frauduleuse d'un instrument de paiement non matériel autre que les espèces obtenu par des moyens illégaux, falsifié ou faux, pour soi-même ou autrui.
Article 9
Sanctions à l'encontre des personnes physiques
1. Les États membres prennent les mesures nécessaires pour que les infractions visées aux articles 3 à 8 soient passibles de sanctions pénales effectives, proportionnées et dissuasives.
2. Les États membres prennent les mesures nécessaires pour que les infractions visées à l'article 3, à l'article 4, points a) et b), et à l'article 5, points a) et b), soient passibles d'une peine d'emprisonnement maximale d'au moins deux ans.
3. Les États membres prennent les mesures nécessaires pour que les infractions visées à l'article 4, points c) et d), et à l'article 5, points c) et d), soient passibles d'une peine d'emprisonnement maximale d'au moins un an.
4. Les États membres prennent les mesures nécessaires pour que l'infraction visée à l'article 6 soit passible d'une peine d'emprisonnement maximale d'au moins trois ans.
5. Les États membres prennent les mesures nécessaires pour que l'infraction visée à l'article 7 soit passible d'une peine d'emprisonnement maximale d'au moins deux ans. 6.Les États membres prennent les mesures nécessaires pour que les infractions visées aux articles 3 à 6 soient passibles d'une peine d'emprisonnement maximale d'au moins cinq ans dans le cas où elles sont commises dans le cadre d'une organisation criminelle au sens de la décision-cadre 2008/841/JAI, indépendamment de la sanction qui y est prévue.
Article 10
Responsabilité des personnes morales
1. Les États membres prennent les mesures nécessaires pour que les personnes morales puissent être tenues pour responsables des infractions visées aux articles 3 à 8, commises pour leur compte par toute personne, agissant individuellement ou en qualité de membre d'un organe de la personne morale, qui exerce un pouvoir de direction en son sein, fondé sur un des points suivants :
a) un pouvoir de représentation de la personne morale;
b) un pouvoir de prendre des décisions au nom de la personne morale;
c) un pouvoir d'exercer un contrôle au sein de la personne morale.
2. Les États membres prennent les mesures nécessaires pour que les personnes morales puissent être tenues pour responsables lorsque le défaut de surveillance ou de contrôle de la part d'une personne visée au paragraphe 1 a rendu possible la commission de l'une des infractions visées aux articles 3 à 8 pour le compte de la personne morale, par une personne soumise à son autorité.
3. La responsabilité des personnes morales au titre des paragraphes 1 et 2 n'exclut pas les poursuites pénales contre les personnes physiques auteurs, instigatrices ou complices de l'une des infractions visées aux articles 3 à 8.
Article 11
Sanctions à l'encontre des personnes morales
Les États membres prennent les mesures nécessaires pour qu'une personne morale déclarée responsable au titre de l'article 10, paragraphe 1 ou 2, soit passible de sanctions effectives, proportionnées et dissuasives, qui incluent des amendes pénales ou non pénales, et éventuellement d'autres sanctions, telles que :
a) l'exclusion du bénéfice d'un avantage ou d'une aide publics;
b) l'exclusion temporaire de l'accès aux financements publics, y compris aux procédures d'appels d'offres, aux subventions et aux concessions;
c) l'interdiction temporaire ou définitive d'exercer une activité commerciale;
d) le placement sous surveillance judiciaire;
e) une mesure judiciaire de dissolution;
f) la fermeture temporaire ou définitive d'établissements ayant servi à commettre l'infraction.
TITRE III
COMPÉTENCE ET ENQUÊTES
Article 12
Compétence
1. Chaque État membre prend les mesures nécessaires pour établir sa compétence à l'égard des infractions visées aux articles 3 à 8 lorsqu'un ou plusieurs des points suivants s'appliquent :
a) l'infraction a été commise, en tout ou en partie, sur son territoire;
b) l'auteur de l'infraction est l'un de ses ressortissants.
2. Aux fins du paragraphe 1, point a), une infraction est considérée comme commise en tout ou en partie sur le territoire d'un État membre lorsque l'auteur de l'infraction a commis l'infraction alors qu'il était physiquement présent sur ledit territoire et sans qu'il soit pertinent que l'infraction ait ou non été commise à l'aide d'un système d'information sur ledit territoire.
3. Un État membre informe la Commission lorsqu'il décide d'établir sa compétence à l'égard d'une infraction visée aux articles 3 à 8 qui a été commise en dehors de son territoire, notamment dans les cas suivants:
a) l'auteur de l'infraction réside habituellement sur son territoire;
b) l'infraction a été commise pour le compte d'une personne morale établie sur son territoire;
c) l'infraction a été commise à l'encontre de l'un de ses ressortissants ou d'une personne résidant habituellement sur son territoire.
Article 13
Efficacité des enquêtes et de la coopération
1. Les États membres prennent les mesures nécessaires pour que des outils d'enquête, tels que ceux qui sont utilisés dans les affaires de lutte contre la criminalité organisée ou d'autres formes graves de criminalité, soient efficaces, proportionnés à l'infraction commise et mis à la disposition des personnes, des unités ou des services chargés des enquêtes ou des poursuites concernant les infractions visées aux articles 3 à 8.
2. Les États membres prennent les mesures nécessaires pour que, lorsque le droit national oblige des personnes physiques et morales à communiquer des informations relatives aux infractions visées aux articles 3 à 8, les autorités chargées des enquêtes ou des poursuites concernant ces infractions reçoivent lesdites informations sans retard indu.
TITRE IV
ÉCHANGE D'INFORMATIONS ET SIGNALEMENT DES INFRACTIONS
Article 14
Échange d'informations
1. Aux fins de l'échange d'informations relatives aux infractions visées aux articles 3 à 8, les États membres veillent à disposer d'un point de contact national opérationnel, disponible vingt-quatre heures sur vingt-quatre, sept jours sur sept. Ils veillent également à mettre des procédures en place pour traiter rapidement les demandes urgentes d'assistance et pour que l'autorité compétente réponde dans un délai de huit heures à compter de la réception de la demande, en indiquant au moins si la demande sera satisfaite et la forme d'une telle réponse et le délai estimé dans lequel elle sera envoyée. Les États membres peuvent décider de recourir aux réseaux existants de points de contact opérationnels.
2. Les États membres communiquent à la Commission, à Europol et à Eurojust le point de contact visé au paragraphe 1 qu'ils ont désigné. Ils mettent cette information à jour si nécessaire. La Commission transmet ces informations aux autres États membres.
Article 15
Signalement des infractions
1. Les États membres prennent les mesures nécessaires pour que des canaux de communication appropriés soient mis à disposition afin de faciliter le signalement aux services répressifs et aux autres autorités nationales compétentes, sans retard indu, des infractions visées aux articles 3 à 8.
2. Les États membres prennent les mesures nécessaires pour encourager les établissements financiers et les autres personnes morales exerçant une activité sur leur territoire à signaler, sans retard indu, les soupçons de fraude aux services répressifs et aux autres autorités compétentes, aux fins de la détection et de la prévention des infractions visées aux articles 3 à 8 et des enquêtes et poursuites les concernant.
Article 16
Aide et soutien aux victimes
1. Les États membres veillent à ce que les personnes physiques et morales qui ont subi un préjudice à la suite d'infractions visées aux articles 3 à 8 ayant été commises par l'utilisation abusive de données à caractère personnel:
a) bénéficient d'informations et de conseils sur la façon de se protéger contre les conséquences négatives de ces infractions, telles que l'atteinte à la réputation; et
b) reçoivent une liste d'établissements s'occupant spécifiquement des divers aspects des infractions relatives à l'usurpation d'identité et du soutien aux victimes de ces infractions.
2. Les États membres sont encouragés à mettre en place des outils nationaux uniques d'information en ligne afin de faciliter l'accès aux mesures d'aide et de soutien aux personnes physiques ou morales qui ont subi un préjudice à la suite d'infractions visées aux articles 3 à 8 qui ont été commises par l'utilisation abusive de données à caractère personnel.
3.Les États membres veillent à ce que les personnes morales victimes des infractions visées aux articles 3 à 8 de la présente directive bénéficient, sans retard indu après leur premier contact avec une autorité compétente, les informations suivantes :
a) les procédures de dépôt de plainte concernant l'infraction et le rôle de la victime dans ces procédures;
b) le droit de recevoir des informations sur leur dossier, conformément au droit interne;
c) les procédures disponibles pour introduire une réclamation si l'autorité compétente ne respecte pas les droits de la victime au cours de la procédure pénale;
d) les coordonnées utiles pour l'envoi de communications relatives à leur dossier.
Article 17
Prévention
Les États membres prennent des mesures appropriées, y compris sur l'internet, telles que des campagnes d'information et de sensibilisation et des programmes de recherche et d'éducation, visant à réduire la fraude en général, sensibiliser le public et réduire le risque que des personnes deviennent victimes d'une fraude. Les États membres agissent en coopération avec des parties prenantes s'il y a lieu,
Article 18
Suivi et statistiques
1. Au plus tard le 31 août 2019, la Commission établit un programme détaillé de suivi des réalisations, résultats et effets de la présente directive. Le programme de suivi définit les moyens à utiliser et les intervalles à appliquer pour recueillir les données et autres éléments de preuves nécessaires. Il précise les rôles respectifs de la Commission et des États membres dans la collecte, le partage et l'analyse des données et des autres éléments de preuve.
2. Les États membres veillent à mettre en place un système permettant d'enregistrer, de produire et de communiquer les statistiques anonymisées mesurant les phases de signalement, d'enquête et de procès relatives aux infractions visées aux articles 3 à 8.
3. Les statistiques visées au paragraphe 2 portent, au minimum, sur les données existantes concernant le nombre d'infractions visées aux articles 3 à 8 enregistrées par les États membres, ainsi que le nombre de personnes poursuivies et condamnées pour les infractions visées aux articles 3 à 7.
4. Les États membres transmettent chaque année à la Commission les données recueillies conformément aux paragraphes 1, 2 et 3. La Commission veille à ce qu'un état consolidé des rapports statistiques soit publié chaque année et soumis aux agences et organes spécialisés compétents de l'Union.
Article 19
Remplacement de la décision-cadre 2001/413/JAI
La décision-cadre 2001/413/JAI est remplacée en ce qui concerne les États membres liés par la présente directive, sans préjudice des obligations de ces États membres concernant le délai de transposition de ladite décision-cadre en droit interne.
En ce qui concerne les États membres liés par la présente directive, les références faites à la décision-cadre 2001/413/JAI s'entendent comme faites à la présente directive.
Article 20
Transposition
1. Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard le 31 mai 2021. Ils en informent immédiatement la Commission. Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
2. Les États membres communiquent à la Commission le texte des dispositions de droit interne qu'ils adoptent dans le domaine régi par la présente directive.
Article 21
Évaluation et rapport
1. La Commission présente au Parlement européen et au Conseil, au plus tard le 31 mai 2023, un rapport évaluant dans quelle mesure les États membres ont pris les mesures nécessaires pour se conformer à la présente directive. Les États membres fournissent à la Commission les informations nécessaires à l'établissement dudit rapport.
2. La Commission procède, au plus tard le 31 mai 2026, à une évaluation de l'impact de la présente directive sur la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces, ainsi que sur les droits fondamentaux, et remet un rapport au Parlement européen et au Conseil. Les États membres fournissent à la Commission les informations nécessaires à l'établissement dudit rapport.
3. Dans le cadre de l'évaluation visée au paragraphe 2 du présent article, la Commission apprécie également la nécessité, la faisabilité et l'efficacité de la mise en place de systèmes nationaux sécurisés en ligne pour permettre aux victimes de signaler l'une des infractions visées aux articles 3 à 8, ainsi que de l'élaboration d'un modèle de signalement normalisé au niveau de l'Union afin de servir de base aux États membres.
Article 22
Entrée en vigueur
La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Les États membres sont destinataires de la présente directive conformément aux traités.
Fait à Strasbourg, le 17 avril 2019.
Par le Parlement européen
Le président
A. TAJANI
Par le Conseil
Le président
G. CIAMBA