Upload
haminh
View
217
Download
0
Embed Size (px)
Citation preview
MASTER 2 « DROIT DU MULTIMEDIA ET DES SYSTEMES D’INFORMATION »
Mme V. JAWORSKI.
Mlle S. CORIOLAND
DROIT PENAL DE L’INTERNET
-ASPECTS DE FOND ET DE PROCEDURE-
Avertissement : Les règles et principes généraux rappelés dans le module « Remise à niveau en droit
pénal » sont applicables à la matière spécifique du droit pénal de l’Internet. Le présent module a pour
objet de présenter de manière schématique –mais non exhaustive- la problématique particulière de la
cybercriminalité, ainsi que ses particularités tant sur le plan du droit pénal de fond que dans ses
aspects procéduraux.
PLAN DU COURS DE DROIT PENAL DE L’INTERNET
I- L’Internet : un « espace de droit pénal » ou « zone de non droit » ?
1- Définition de la « cybercriminalité »
2- Problématique spécifique à la criminalité sur l’Internet
II- La criminalité sur l’Internet : le problème des « infractions transfrontières »
1- Les règles de fond
2- Les règles de procédure
III- L’action de la France contre la cybercriminalité
A- Panorama des principales infractions
1- Les infractions directement liées aux TIC
2- Les infractions facilitées par l’utilisation des TIC ou liées à l’utilisation des TIC
B- Des règles de procédure spécifiques
C- La lutte institutionnelle
IV- La lutte contre la cybercriminalité au niveau européen
A- L’action du Conseil de l’Europe
B- L’action de l’Union européenne
1- Les actions normatives
2- La lutte institutionnelle
V- La lutte contre la cybercriminalité sur le plan international
1- L’action de l’OCDE
2- INTERPOL
3- La SCCOPOL
4- SCHENGEN
3
I- L’Internet : un « espace de droit pénal » ou « zone de non droit » ?
= Problématique de départ : compatibilité entre Internet et le droit.
A n’en pas douter l’Internet constitue un espace de liberté, mais est-ce un espace de
liberté totale ? Une telle situation, dans l’affirmative, présenterait des risques évidents et
graves de déviances en tout genre.
Le problème est qu’Internet entretient une mythologie libertaire : Internet serait une zone de
non droit, où l’on pourrait se défouler et sur laquelle tout est permis. Sur Internet, point de
diffamation, point de contrefaçon !!!
Or la réalité est autre : l’Internet n’est pas un espace de liberté totale. Certains
comportements peuvent être source de responsabilité pénale (et / ou civile).
Mais l’Internet est un environnement dans lequel la diversité des contenus rend
difficile de mettre en œuvre une régulation autoritaire et centralisée. La problématique
spécifique à l’Internet (2) rend particulièrement malaisée la lutte contre cette nouvelle forme
de délinquance que l’on nomme « cybercriminalité » (1).
1- Définition de la « cybercriminalité »
La cybercriminalité est l'ensemble des infractions pénales qui se commettent sur le réseau
Internet. (définition posée par l’ONU : tout comportement illégal faisant intervenir des
opérations électroniques qui visent la sécurité des systèmes informatiques et des données
traitées. Rapport 2005).
Elle désigne à la fois :
- les attaques de tout type sur des systèmes informatiques : virus, tentatives
d’intrusion...
- la diffusion de contenus illégaux : diffusion d’images pédophiles, de méthodes pour
se suicider, de recettes d'explosifs ou d’injures raciales
- l’usurpation d’identité en ligne : fraude à la carte de crédit (utilisation par autrui
sans le consentement du propriétaire de la carte bancaire)
- l’escroquerie en ligne (vente par petites annonces ou aux enchères d’objets volés ou
encaissement d’un paiement sans livraison de la marchandise), le cyber-blanchiment
d’argent
- les atteintes à la propriété intellectuelle (par des échanges de particulier à particulier
– « peer to peer « , streaming ou téléchargements illégaux…)
Le développement d’Internet a entraîné celui d’une nouvelle forme de délinquance,
qui, en utilisant les Nouvelles Technologies de l’Information et de la Communication
(NTIC), menace tout à la fois les individus, les entreprises et les Etats.
Le développement des nouvelles technologies rend plus complexe le traitement judiciaire des
infractions de toute nature, certains faits pouvant être commis hors du territoire national ou
s’inscrivant dans un contexte plus large de criminalité organisée, ce qui rend parfois difficile
l’identification des auteurs. En conséquence, les victimes d’actes de cybercriminalité portent
rarement plainte. Les raisons tiennent à la difficulté, d’une part, d’identifier le ou les auteurs
des infractions sur Internet et, d’autre part, de collecter les preuves desdites infractions.
Au regard de ces nombreuses difficultés, il s’agit donc d’un domaine appelé à
connaître de nombreuses évolutions sur le plan technique, législatif et jurisprudentiel. Ceci est
4
d’autant plus important que les enjeux liés à l’Internet sont multiples : protection des droits
fondamentaux et des libertés individuelles, responsabilité des intermédiaires techniques,
compétence et loi applicable au regard du droit international.
S’agissant de la protection des droits et des libertés, certains ont souhaité qu’Internet
constitue un espace de liberté totale non soumis au droit. En réalité, le monde virtuel n’est pas
un espace de non droit et pour l’essentiel, les lois existantes suffisent à assurer cette
protection1. C’est ainsi qu’un message raciste ou révisionniste sera sanctionné qu’il soit
diffusé sur l’Internet ou à la radio. Il en va de même s’agissant d’une diffusion diffamatoire
ou d’une diffusion violant des droits d’auteurs. Internet est aussi protégé par le droit. Ainsi,
une correspondance échangée par le biais d’un courrier électronique sera protégée par le
secret, comme une lettre envoyée par la poste (ex : consultation des e-mails des salariés par
leurs employeurs).
Face à ce qu’il est convenu d’appeler la "cybercriminalité", les Etats réagissent. Ainsi,
aux Etats-Unis, après trois mois d’enquête, les autorités ont réussi un vaste coup de filet dans
le milieu du cyber-crime, pour des affaires présumées de Spam, de phishing (usurpation
d’identité via de faux sites) et autres escroqueries en ligne (opération « Web Snare »). Un
succès néanmoins à relativiser lorsque l’on sait que les attaques de type phishing ont
augmenté de 800 % sur les six premiers mois de l’année 2006.
La cybercriminalité pose ainsi de nouveaux défis aux Etats, rendant nécessaire une
coopération internationale accrue. Elle n’implique pas seulement le droit pénal, mais aussi
l’éducation des usagers d’Internet, la mise en place de systèmes de sécurité, et la coopération
entre Etats, entreprises et société civile. Dans cette optique, du 15 au 17 septembre 2004 s’est
tenue à Strasbourg une conférence du Conseil de l’Europe sur ce thème. Cette conférence
entendait promouvoir la Convention du Conseil de l’Europe sur la Cybercriminalité, qui
constitue le premier texte international à traiter de cette question. Cette convention du 23
novembre 2001 enjoint notamment aux Etats-membres d’incriminer, entre autres, les
comportements « se rapportant à la pornographie enfantine ». Depuis, cette convention a été
complétée par un protocole additionnel concernant l’incrimination d’actes racistes et
xénophobes le 30 janvier 2003.
2- Problématique spécifique à la criminalité sur l’Internet
L’immatérialité est ce qui caractérise l’Internet. Ce dernier véhicule des biens
immatériels, choses que l’on ne peut pas toucher, qui n’ont pas de consistance physique, tels
que les données informatiques, les systèmes de traitement des données, les sites et leur
contenu, fichiers, logiciels, bases de données, programmes, ou encore le temps de connexion,
l’électricité, l’énergie…
Actuellement, l’opinion générale s’accorde à en avoir une vision dégradée : l’Internet
serait avant tout un moyen pour les néo-nazis, pédophiles, terroristes et personnes mises en
examen d’échapper aux rigueurs de la loi. Si l’Internet constitue une richesse collective pour
la communauté internationale, il présente de nombreux risques de dérapages au regard des
règles de protection des mineurs, des consommateurs ou des auteurs.
1 Rapportde Bercy du 25 février 2005 : « Si Internet est un espace de liberté, cette liberté ne saurait être
absolue ».
5
En facilitant les communications et la diffusion d'informations à l'échelle planétaire, Internet
favorise la commission d'infractions et apparaît comme le vecteur d'une nouvelle forme de
délinquance contre laquelle l'application de notre droit pénal bute pour identifier les auteurs,
eu égard à cette dimension internationale.
Deux problèmes sont ainsi à combiner :
1° Les agissements délictueux sont innombrables : diffusion d'images pornographiques (la
brigade norvégienne de lutte contre la criminalité informatique a identifié 6000 sites
pornographiques), messages racistes, reproduction d'une œuvre sans l'accord de son auteur,
diffamations, injures, atteintes à la vie privée, etc…
2° Les infractions commises sur Internet posent très souvent un problème de droit pénal
international, car elles présentent un élément d’extranéité. Les infractions transfrontières
sont de plus en plus nombreuses, ce qui entraîne une application des règles de droit pénal
international.
Le problème crucial posé par l’Internet réside dans la généralisation de
l’internationalisation des infractions commises. Techniquement, le cheminement des
informations entre le point émetteur et le point récepteur est difficilement reconstituable.
L’immense quantité d’informations traitées alliée à la quasi-instantanéité des transferts
soulève de nombreuses questions, telles que celles de l’application de la loi pénale dans
l’espace, de la désignation du ou des responsables, de la constatation des infractions et de leur
preuve...
La difficulté tient à ce qu'Internet nous confronte à l'hétérogénéité des systèmes juridiques à
l'échelon de la planète : ce qui est répréhensible en France ne l'est pas nécessairement
ailleurs. Ainsi, de nombreux sites révisionnistes ont été créés aux Etats-Unis, où ce type de
messages ne fait l’objet d’aucune interdiction en vertu du 1er
amendement de la Constitution
américaine qui garantit un droit d’expression quasi-illimité. Or ces sites sont consultables en
France. A l’inverse, certaines interdictions pénalement sanctionnées sont prévues par des
législations étrangères, sans l’être par la loi française. Ainsi, le droit coranique interdit toute
représentation du Prophète sous peine de sanctions religieuses et pénales.
Cette dimension internationale, caractérisée par un manque d’harmonisation des législations
nationales, constitue une entrave majeure à la coopération judiciaire internationale, sans
laquelle une répression efficace semble impossible.
Une autre difficulté majeure tient à la preuve des infractions commises. La preuve de la
connexion sur un site est extrêmement difficile à établir. Ainsi, en droit pénal français, tout
mode de preuve est recevable (art. 427 CPP qui consacre le principe de la liberté de la
preuve). Cependant, dans l’environnement numérique, les preuves s’avèrent particulièrement
difficiles à rapporter. C’est le cas par exemple lorsqu’un internaute commet des infractions
sur l’Internet mais n’en garde aucune trace sur son disque dur. Dans une telle hypothèse, la
chambre criminelle de la Cour de cassation, dans un arrêt en date du 5 janvier 2005, a
considéré que la production par les autorités de poursuite des « fichiers temporaires »
retrouvés sur le poste n’était pas en l’espèce une preuve suffisante de l’infraction, car leur
enregistrement est automatique et ne peut donc pas caractériser une intention de copier de la
part de la personne poursuivie.
Il est intéressant de constater que les autorités policières françaises ont mis au point des
formations spécifiques des personnels de la police face à cette nouvelle forme de délinquance.
Un des moyens de preuve des infractions commises consistant à saisir le disque dur des
6
ordinateurs et à l'analyser, des compétences techniques de haut niveau sont désormais
indispensables. En effet, les investigations doivent préserver la preuve des données et faire
appel à des techniques probatoires sûres : démarrage de l’ordinateur à partir d’une disquette
pour éviter tout risque de destruction des données par des fichiers pièges, logiciels d’enquête
interdisant la réécriture ou la modification des contenus, etc…
L’aspect immatériel de l’Internet ne doit pas être un frein à la répression. Une analyse
globale des outils juridiques tant nationaux, qu’européens et internationaux, permet d’affirmer
que le droit est bien présent sur l’Internet. Ainsi, le corpus juridique français semble disposer
des incriminations nécessaires à la sanction de la cybercriminalité. Il est possible d’affirmer
qu’il n’y a pas de vide juridique en matière pénale concernant l’Internet.
Ce qui pose véritablement problème, c’est sa bonne application. Le débat est donc
mal posé. Ce qu’il faut se demander c’est : comment faire respecter de façon efficace le droit
sur l’Internet ?
Dans cette optique, la lutte doit s’organiser à trois niveaux :
- au niveau national (III)
- au niveau européen (IV)
- au niveau international (V)
Elle suppose avant tout de régler le problème d’extranéité que pose dans la plupart des cas la
criminalité sur l’Internet, qui relève donc des règles de droit pénal international (II).
II- La criminalité sur l’Internet : le problème des « infractions transfrontières »
Ou la question de la compétence juridictionnelle et de la loi applicable (cette
question a été traitée de manière détaillée dans le module « Remise à niveau en droit
pénal »)
Par nature, l’Internet est un réseau international. Plusieurs législations nationales
sont donc susceptibles de s’appliquer.
En droit pénal, le conflit ne concerne que la compétence juridictionnelle et la question qui se
pose est la suivante : quand la juridiction pénale française est-elle compétente ?
Cette question est fondamentale car déterminante de la loi pénale applicable. Par exemple,
dans certains pays anglo-saxons, les discours d’incitation à la haine raciale sont tolérés au
nom de la liberté d’expression, alors qu’ils sont poursuivis en France car attentatoires à la
dignité humaine.
Une fois cette question résolue et la compétence des juridictions pénales françaises reconnues,
ne se pose pas la question de la loi pénale applicable, car le principe est le suivant : le juge
pénal français applique systématiquement sa propre loi pénale, à savoir la loi pénale
française. C’est le principe de solidarité des compétences juridictionnelle et législative.
Il est à noter que le droit pénal français bénéficie de règles attributives de compétence
particulièrement larges et attractives, qui permettent d'appréhender juridiquement la
plupart des contenus ou comportements délictueux sur l’Internet. Nous verrons donc les règles
de fond applicables (1), avant de voir les règles de procédure (2).
1- Les règles de fond
7
L’analyse qui suit conduit à différencier le lieu de réalisation matérielle de l'infraction
(lieu du fait générateur), de celui où les effets se produisent (lieu du résultat). Ainsi, cela
donne une large compétence au juge national français. Examinons attentivement trois articles
du Code pénal (rédaction applicable au 1er
mars 1994) :
1° La loi pénale française est applicable aux infractions commises sur le territoire de la
République : article 113-2 al.1 CP.
L'infraction est réputée commise sur le territoire de la République dès qu'au moins un
de ses faits constitutifs a au lieu sur ce territoire, c’est-à-dire dans l'espace maritime, terrestre
ou aérien de la République française (article 113-2 al. 2 CP).
Pour un acte de complicité commis en France, bien que le crime ou le délit ait été
commis à l'étranger, le complice pourra être poursuivi en France si le fait principal est puni
par la loi française et étrangère (article 113- 5 CP).
Ces trois textes du Code pénal nous permettent de déduire aisément que la loi pénale
française s’applique dès lors que la réception par l'utilisateur sur le territoire français
constitue un élément de l'infraction en application de l'article 113-2 du Code pénal.
Ainsi, dans le cas d'un message litigieux disponible sur le réseau Internet, et ce, quelle que
soit sa source dans le monde, la loi française est applicable.
C’est bien ce qu’a décidé la Cour d’appel de Paris, 11e chambre, dans l’affaire Yahoo (arrêt
du 17 mars 2004), concernant la vente aux enchères d’objets nazis caractérisant l’élément de
publicité nécessaire au délit d’apologie de crime de guerre. La Cour a précisé que le juge
pénal français est compétent dès lors qu’un message, émanant d’un serveur localisé à
l’étranger, peut être perçu par les internautes sur le territoire français. La réception du site en
France suffit au sens de l’article 113-2 CP pour justifier la compétence du juge pénal français.
La Cour d’appel a ainsi donné compétence aux tribunaux français et à la loi française en
précisant que « l’élément constitutif essentiel de l’infraction, en droit de la presse, est la
publicité qui peut revêtir plusieurs formes en fonction du vecteur de communication ; (…)
qu’en l’espèce, il est établi que la société Yahoo a continué à diffuser, malgré les décisions du
juge des référés (…), permettant ainsi aux internautes installés en France, et en particulier
dans le ressort du TGI de Paris, de visualiser sur l’écran de leur ordinateur les services et
sites incriminés ».
2° La loi pénale française est applicable aux infractions commises hors du territoire de
la République dans les situations suivantes :
- pour les crimes commis par un Français : article 113-6 al. 1 CP
- pour les délits punis par la législation du pays où ils ont été commis par un Français : article
113-6 al. 2 CP
N.B. : une jurisprudence constante considère que la juridiction française est compétente pour
connaître des faits commis par un étranger dès lors que ces faits forment un tout indivisible
avec les infractions imputées en France à cet étranger et dont elle est également saisie.
- pour les crimes et délits punis d’emprisonnement commis à l’encontre d’un Français :
article 113-7 CP
Ainsi en matière pénale, par l’application de ces textes, il est aisé de comprendre qu’il
n’existe pas de vide juridique pour engager la responsabilité pénale des acteurs du net. Le
droit pénal général est largement applicable à Internet.
2- Les règles de procédure
8
En matière d’infractions commises via Internet, il n’existe pas de parquet à
compétence nationale. Les critères de compétence territoriale de droit commun
demeurent.
Ce qui fait que le droit pénal est particulièrement attractif en matière d’Internet, c’est la règle
attributive de compétence suivante : le tribunal compétent est celui du lieu de l'infraction
(commission ou constatation des faits), celui de la résidence du prévenu ou du lieu
d'arrestation, voire du lieu de détention.
Comme nous l’avons vu, la loi pénale française s’applique dès lors que la réception
par l'utilisateur sur le territoire français constitue un élément de l'infraction en application de
l'article 113-2 du Code pénal. Ainsi, le lieu de l’infraction pouvant tout à fait être le lieu de
réception du message litigieux, la juridiction française est compétente.
III- L’action de la France contre la cybercriminalité
A – Panorama des principales infractions
Lorsque l’on parle de droit pénal de l’Internet, on pense en premier lieu aux
infractions spécifiques à l’informatique et commises via l’Internet. Or l'application des
dispositions pénales aux fraudes informatiques se heurte à une difficulté principale tenant
à la preuve. En effet, ces infractions sont très difficiles à découvrir et souvent la connaissance
de ces agissements illicites relève du hasard.
La loi "Informatique et Libertés" en date du 6 janvier 1978 fut ainsi adoptée pour punir
ces comportements délictueux et organiser un contrôle par la Commission Nationale de
l'Informatique et des Libertés (CNIL), afin de veiller à la stricte application de ces
nouvelles dispositions. La C.N.I.L. est une autorité administrative indépendante, composée de
17 membres, qui disposent d'un pouvoir règlementaire.
La loi de 1978 a été modifiée récemment par la loi du 6 août 2004 qui tend à mettre
en oeuvre la directive européenne du 24 octobre 1995 relative à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la
libre circulation de ces données. Le texte consacre la liberté de circulation des données à
l’intérieur de l’Union européenne en réduisant les divergences entre les législations nationales
sur la protection des données.
Ce texte limite le contrôle a priori des fichiers par la CNIL pour lui substituer le plus souvent
un contrôle a posteriori. Les pouvoirs d'investigation ou d'accès aux données de la
Commission ainsi que ses possibilités effectives d’intervention seront, en contrepartie,
renforcées. La CNIL disposera de pouvoirs de sanction administrative graduée allant du
simple avertissement jusqu’aux sanctions pécuniaires.
Cette loi, aujourd'hui intégrée au Code pénal (articles 226-16 et suivants), permet de
sanctionner les atteintes aux droits des personnes.
Mais au-delà de ces dispositions spécifiques, il faut souligner qu'il est nécessaire de
recourir aux textes du droit pénal classique - par opposition au droit pénal de l'informatique -
pour réprimer d'autres comportements frauduleux qui ont pour support l'ordinateur et dont les
manifestations contemporaines les plus marquantes sont les atteintes aux mœurs.
9
La fragilité de l'outil informatique conduit le législateur à tenter d'assurer la plus
grande sécurité, afin d'éviter les fraudes qui prennent des formes diverses : piratage
informatique, création de compte bancaire ou d'assuré social purement fictif, contrefaçon,
destruction de système par l'introduction de "virus", intrusion dans la vie privée ou atteintes
aux mœurs … Il n'est donc pas surprenant que le droit pénal trouve application dans ce
domaine pour sanctionner les différents agissements frauduleux portant notamment atteinte
aux droits des personnes.
La fraude informatique, c'est-à-dire l'ensemble des agissements répréhensibles relatifs
aux systèmes de traitement automatique d'informations, est un concept protéiforme.
Cependant, il apparaît que l'on peut opposer les biens informatiques qui sont l'objet de
fraudes, l’objet d’infractions (sabotage, piratage, destruction de données…) et les biens
informatiques qui sont le moyen de la fraude, le moyen d’infractions. L'ordinateur
connecté à l’Internet sert alors de vecteur à la réalisation de l'infraction et permet de réaliser
des atteintes aux droits des personnes.
Ainsi, l'utilisation de l'ordinateur peut donner lieu à des agissements malhonnêtes, dont il
importe de savoir s'ils peuvent recevoir une qualification pénale. Il serait vain de faire
l'inventaire de toutes les dispositions pénales applicables. En effet, la plupart des
comportements incriminés par le Code pénal peuvent être commis par le biais de
l'informatique : abus de confiance, escroquerie, faux, détournement, contrefaçon, atteintes à la
paix publique … Cependant, des textes spécifiques intégrés aujourd'hui au Code pénal, les
articles 226-16 et suivants, ont été créés pour sanctionner des comportements particuliers
relatifs "aux atteintes aux droits de la personne résultant des fichiers ou des traitements
informatiques".
La cybercriminalité recouvre donc schématiquement deux catégories d’infractions :
d’une part, les cas où l’infraction est directement liée aux TIC. Ce sont les infractions
purement informatiques, c’est-à-dire celles relevant de la criminalité informatique
(1). Ces infractions sont prévues par les lois du 6 janvier 1978 et du 5 janvier 1988. Il
s’agit d’infractions où l’informatique est l’objet même de l’acte délictueux.
d’autre part, les cas où la commission de l’infraction est facilitée ou liée à l’utilisation
des TIC. Ce sont les infractions de droit commun, contenues dans le Code pénal et
commises au moyen de l’Internet (2). Il s’agit d’infractions où l’informatique est le
moyen de commission de l’acte délictueux.
1- Les infractions directement liées aux TIC
Il s'agit essentiellement de toutes les infractions portant atteinte soit aux systèmes de
traitement automatisé de données (STAD), soit à la confidentialité, à l'intégrité ou à la
disponibilité des données d'information. La législation française réprime les agissements
suivants, contenus dans le Code pénal :
1° Les atteintes aux systèmes de traitement automatisé de données (STAD)
Ce sont les fraudes informatiques, prévues par la loi du 5 janvier 1988, dite loi
« Godfrain ». Cette loi vise à assurer la sécurité des systèmes d’information.
10
Au sens de la décision du Conseil de l’Europe du 31 mars 1992, « la sécurité des
systèmes d’information est reconnue comme une qualité partout nécessaire dans une société
moderne ». La récente convention du Conseil de l’Europe sur la cybercriminalité invite à
incriminer les comportements portant atteinte à la confidentialité, à l’intégrité et à la
disponibilité des données et systèmes informatiques.
* Constituent des infractions :
- L'accès ou le maintien frauduleux dans tout ou partie d’un système de traitement
automatisé de données (art. 323-1, al. 1 du C.P.), qui est puni de 2 ans d'emprisonnement et
de 30.000 € d'amende. Lorsqu’il en est résulté soit la suppression ou la modification de
données contenues dans le système, soit une altération du fonctionnement du système, les
peines sont aggravées et portées à 3 ans d’emprisonnement et 45.000 € d’amende.
Concrètement est ainsi incriminé le fait d’accéder dans tout ou partie d’un STAD par
forcement d’un dispositif (hacker), l’utilisation d’un code d’accès, l’introduction d’un
logiciel, l’utilisation d’un décodeur d’accès à une émission cryptée, l’utilisation d’une clé ou
du code d’accès à une carte bancaire ou à une monnaie électronique.
Tout accès sans droit est réprimé (CA Paris, 5 avr. 1994, PA 1995, n° 80, p. 13, note
Alvarez).
Le terme « système » est large et recouvre par exemple un site Internet, une base de données,
un CD Rom…
Cette incrimination était nécessaire dans la mesure où l’interprétation stricte des textes de
droit pénal interdisait de poursuivre le « vol » de temps de machine.
Ex : Dans une affaire très médiatisée, un informaticien, Serge Humpich, qui avait démontré la
fragilité du système des cartes de crédit s’est vu condamné (Trib. Corr. Paris, 25 févr. 2000,
D. 2000, IR 99 et confirmé par CA Paris, 18 déc. 2000).
Dans une autre affaire aux faits sensiblement identiques, et dans laquelle l’introduction dans
le système avait aussi été faite « sciemment », une condamnation à un emprisonnement avec
sursis et à une amende de 1.000 € a été prononcée (Trib. Corr. Paris, 13 févr. 2002, CCE
2002, n° 72, obs. Grynbaum).
Dans l’affaire Kitetoa, la question a été posée de savoir s’il y a accès frauduleux alors que le
fichier litigieux était accessible par la seule utilisation des fonctionnalités de navigation. Il a
été jugé qu’il n’y avait pas accès frauduleux dès lors que celui-ci est réalisé par la simple
utilisation d’un logiciel grand public avec ajout d’un plug in (CA Paris, 30 oct. 2002,
Expertises 2003, p. 36).
Le tribunal correctionnel du Mans, dans un jugement du 7 novembre 2003, a jugé que falsifier
l’adresse e-mail de son ex-employeur pour faire un spamming dénigrant constituait un accès
frauduleux.
Le même article incrimine aussi le maintien frauduleux dans un STAD lorsque l’on y a
eu accès licitement. Ainsi par exemple du dispositif permettant de se maintenir au-delà du
temps prévu dans une connexion, du fait de contrefaire une œuvre protégée par représentation,
de « voler » du temps de machine…
Ex : utilisation des codes d’accès pour accéder à la banque de données alors que désormais le
salarié travaille pour une entreprise concurrente (Cass. crim., 3 octobre 2007, AJ Pén. 2007,
p. 535).
Lorsque l’accès ou le maintien frauduleux a provoqué soit la suppression ou la
modification de données contenues dans le système, soit une altération du
11
fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45 000 €
d’amende en vertu de l’article 323-1, alinéa 2, du code pénal.
A noter que la suppression ou la modification de données comme l’altération du
fonctionnement du système sont involontaires. Cela signifie que le simple constat de la
suppression, modification ou altération suffit et permet d’appliquer cette circonstance.
- Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 du C.P.),
qui est puni de 5 ans d'emprisonnement et de 75.000 € d'amende.
Le texte utilise un langage non informatique pour une application informatique, ce qui pose
des problèmes d’interprétation (en effet, pas de définition du terme « fausser ». On s’accorde
généralement pour dire qu’il s’agit d’une altération du système).
Ainsi, on peut affirmer que le fait d’introduire un virus dans le STAD tombe sous le coup de
cette incrimination.
C’est ce qu’a jugé le tribunal correctionnel de Paris, dans une décision du 24 mai 2002 : le
spammeur qui, par logiciel, avait bloqué les serveurs de Noos en envoyant des centaines de
milliers de messages, a été condamné à un mois d’emprisonnement avec sursis (v. aussi :
Trib. Corr. du Mans, 7 nov. 2003, Legalis.net).
En outre, la jurisprudence retient que la simple introduction du virus dans le serveur
informatique suffit à caractériser l’intention de l’auteur des faits.
- L'introduction, la suppression ou la modification frauduleuse de données dans un
système de traitement automatisé (art. 323-3 du C.P.), qui est puni de 5 ans
d'emprisonnement et de 75.000 € d'amende.
L’exigence de fraude entraîne que le fait d’effacer des données contenues sur un disque dur en
copiant des fichiers personnels n’est pas suffisant pour constituer le délit (crim., 25 mai
2004).
Cette incrimination doublonne avec celle de l’article 323-2, ce qui crée un concours
idéal de qualifications (cf. remise à niveau).
- L’article 323-3-1 (créé par la LCEN) incrimine le fait d’importer, de détenir, d’offrir,
de céder ou de mettre à disposition un équipement, un instrument, un programme
informatique ou toute donnée conçus ou spécialement adaptés pour commettre les faits
prévus par les articles 323-1 à 323-3 du code pénal.
Ce texte opère la transposition d’une exigence d’une directive européenne
« concernant la protection juridique des services à accès conditionnel ».
La création d’une infraction autonome permet ainsi d’éviter d’avoir à passer par le filtre
incertain de la complicité par fourniture de moyens. Les instruments permettant la captation et
donc le vol d’informations sont concernés par ce texte. De même sont visés les créateurs de
virus et le contournement des mesures de protection technique.
Une rédaction trop large du texte aurait risqué de permettre des poursuites pénales contre la
simple publication d’informations relatives à la vulnérabilité de certains dispositifs
techniques. C’est pourquoi le texte restreint le champ d’application de l’infraction et punit
uniquement quiconque a agi « sans motif légitime ».
Cette infraction est punie des peines prévues pour l’infraction pour laquelle le programme ou
équipement a été conçu ou des peines prévues pour l’infraction la plus sévèrement réprimée
lorsque le programme peut servir à commettre plusieurs des infractions mentionnées aux
articles 323-1 à 323-3 du code pénal.
12
- La participation à un groupement formé ou à une entente établie en vue de commettre
un délit informatique (art. 323-4 du C.P.), qui est puni des mêmes peines prévues par les
articles 323-1 à 323-3.
Le texte incrimine l’association de malfaiteurs informatiques (vise les groupes de
hackers), ce qui permet d’atteindre des individus échangeant des informations relatives à des
projets malfaisants lorsqu’il n’y a eu ni recel, ni tentative, ni complicité.
En outre, le Code pénal prévoit la répression de la tentative de délit informatique
(art. 323-7 du C.P.) et la responsabilité pénale des personnes morales (art. 323-6 du C.P.).
***
2° Les atteintes aux droits de la personne résultant des fichiers ou des traitements
informatiques de données personnelles2
Elles sont prévues par la loi « Informatique et Libertés » du 6 janvier 1978. Cette
loi de 1978 relative à l'informatique, aux fichiers et aux libertés, a été modifiée par la loi
n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des
traitements de données à caractère personnel. Elle détermine un certain nombre
d’infractions, repris par les articles 226-16 à 226-24 du Code pénal.
Avant même de chercher à protéger la technique informatique, la société française a
voulu, dès 1978, se préserver de l'informatique... L'article 1er
définit clairement l'esprit de la
loi : « L'informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à
l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou
publiques ».
* Constituent ainsi des infractions :
- Art. 226-16 : « Le fait, y compris par négligence, de procéder ou de faire procéder à des
traitements de données à caractère personnel sans qu'aient été respectées les formalités
préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et
de 300 000 Euros d'amende ». Ici, l’infraction se constitue indépendamment de toute intention
puisque le texte précise « y compris par négligence ». La faute non intentionnelle est donc
suffisante.
En application de ce texte, un spammeur a été condamné pour non déclaration à la
CNIL du fichier d’adresses personnelles qu’il utilisait : Trib. Corr. Paris, 6 juin 2003.
- Le fait de procéder à un traitement automatisé d'informations nominatives sans
prendre toutes les précautions utiles pour préserver la sécurité de ces informations (art.
226-17 du C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 € d'amende.
2 La loi du 6 août 2004 définit ce qu’il faut entendre par traitement de données à caractère personnel :
« constitue un traitement de données à caractère personnel toute opération ou ensemble d’opérations portant
sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation,
la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication
par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion,
ainsi que le verrouillage, l’effacement ou la destruction ».
13
C’est la légèreté coupable dans la gestion qui est ici incriminée. Ainsi, dans une
décision en date du 19 décembre 1995, la chambre criminelle de la Cour de cassation a
condamné le gestionnaire dans un cas où un homonyme avait été fiché comme mauvais
payeur.
Mais il a été jugé que le fait que les secrétaires et médecins d’un syndicat puissent
accéder aux informations nominatives de patients clients d’autres médecins n’était pas
contraire, en raison du secret médical, à l’article 226-17 (crim., 30 oct. 2001, Gaz. Pal. 2002,
p. 40). En revanche, le fait que des tiers non autorisés puissent avoir assez facilement accès à
ces informations, en raison de l’insuffisance de formation délivrée au personnel du syndicat,
entre dans la prévention de l’article 226-17.
L’obligation de sécurité informatique suppose d’installer des firewalls, mot de passe,
anti-virus, mais aussi, si nécessaire, d’assurer une formation du personnel. Pour un traitement
d’informations nominatives, la CNIL demande si de telles mesures ont été prises.
- La collecte par un moyen frauduleux, déloyal ou illicite de données nominatives (art.
226-18 du C.P.), qui est punie de 5 ans d'emprisonnement et de 300.000 € d'amende.
La Cour de cassation a eu l’occasion de donner un exemple de ce qu’est
l’interprétation restrictive en droit pénal au regard d’un texte qui n’explicite pas les termes
« moyen déloyal ou illicite » : la collecte en vue de constituer non un fichier mais un dossier
ne tombe pas sous le coup de ce texte (crim., 3 nov. 1987). La nouvelle mouture, introduite
par la loi du 6 août 2004, n’améliore pas la rédaction du texte, si ce n’est que le nouvel article
226-18-1 précise que l’infraction est constituée lorsqu’il y a traitement des données
nominatives malgré l’opposition d’une personne, notamment lorsqu’il s’agit de
prospection commerciale.
- Le fait de mettre ou de conserver en mémoire informatisée, sans l'accord exprès de
l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître
les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les
appartenances syndicales ou les moeurs des personnes (art. 226-19 du C.P.), qui est puni
de 5 ans d'emprisonnement et de 300.000 € d'amende.
Ainsi, la mise en conservation de certaines données sensibles réalise un délit. Il existe
néanmoins deux exceptions à cette règle : si un texte autorise la mise en conservation (par
exemple pour certaines Administrations) ou si la personne visée a donné son consentement
par écrit.
Ainsi, un jeune homme a été condamné pour avoir stocké des images pornographiques de son
ancienne petite amie (Trib. Corr. Privas, 3 sept. 1997, PA 11 nov. 1998, p. 19, note
Frayssinet).
- Le fait de conserver des informations sous une forme nominative au-delà de la durée
prévue par la demande d'avis ou la déclaration préalable à la mise en oeuvre du
traitement informatisé (art. 226-20 du C.P.), qui est puni de 5 ans d'emprisonnement et de
300.000 € d'amende.
- Le détournement d'informations à l'occasion de leur enregistrement, de leur
classement, de leur transmission ou de toute autre forme de traitement (art. 226-21 du
C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 € d'amende. En pratique, ce texte
est assez peu appliqué
14
Ainsi, des ex-agents EDF ayant vendu un fichier à des sociétés d’assurances ont été
condamnés pour détournement d’informations de leur finalité (CA Paris, 1er
sept. 1998, JCP
éd. E 1998, 1620).
- La divulgation de données nominatives portant atteinte à la considération de l'intéressé
ou à l'intimité de sa vie privée (art. 226-22 du C.P.), qui est punie de 5 ans
d'emprisonnement et de 300.000 € d'amende.
Ainsi, la révélation à des compagnies d’assurances de clients profilés comme à risques (CE
Rennes, 13 janv. 1992, D. 1994, som. 287).
Lorsque la divulgation a été commise par imprudence ou négligence, les peines
sont diminuées à 3 ans d’emprisonnement et 100.000 € d’amende.
=> La poursuite du chef de ces délits n’est possible que sur plainte préalable de la victime.
- L’article 226-22-1 du CP permet de réprimer l’exportation de fichiers dans des pays
hors CE qui ne présentent pas un niveau de protection suffisant. Il s’agit d’un délit
sanctionné de 5 ans d’emprisonnement et de 300.000 € d’amende.
Au titre des sanctions de ces différentes infractions, l’article 226-22-2 du Code pénal
permet, dans certains cas, d’ordonner la suppression des données à caractère personnel, les
agents de la CNIL étant compétents pour en constater l’effacement.
3° Les infractions aux règles de la cryptologie, contenues dans la loi du 29 décembre
1990 (art. 434-15-2 du Code pénal).
L’article 28 de ladite loi, modifiée par l'article 17 de la loi du 26 juillet 1996 et par la loi
du 21 juin 2004 (LCEN) précise les différentes infractions insérées dans les articles 132-79 et
434-15-2 du Code pénal. (ex : « Est puni de trois ans d'emprisonnement et de 45 000 euros
d'amende, le fait, pour quiconque ayant connaissance de la convention secrète de
déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer,
faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux
autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées
en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis
d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à
cinq ans d'emprisonnement et à 75 000 euros d'amende »).
L’article 132-79 du Code pénal (créé par la LCEN) augmente ainsi le maximum de la
peine privative de liberté encouru lorsqu’un moyen de cryptologie a été utilisé pour
commettre n’importe quel crime ou délit.
Ex: « Lorsqu'un moyen de cryptologie au sens de l'article 29 de la loi n° 2004-575 du 21 juin
2004 pour la confiance dans l'économie numérique a été utilisé pour préparer ou commettre
un crime ou un délit, ou pour en faciliter la préparation ou la commission, le maximum de la
peine privative de liberté encourue est relevé ainsi qu'il suit : 1° Il est porté à la réclusion
criminelle à perpétuité lorsque l'infraction est punie de trente ans de réclusion criminelle ; 2°
Il est porté à trente ans de réclusion criminelle lorsque l'infraction est punie de vingt ans de
réclusion criminelle ; »
15
2 – Les infractions facilitées par l’utilisation des TIC ou liées à l’utilisation des
TIC
Il s'agit de toutes les infractions utilisant les TIC comme moyen de commission de
l'acte délictueux ou comme support de contenus illicites, susceptibles d'être commis sur le
réseau Internet. Ces infractions relèvent de plusieurs codes et lois spécifiques :
1° Les infractions prévues par le Code Pénal :
- Les crimes et délits contre les personnes
Compte tenu de l’importance de l’Internet, le législateur, par une loi du 17 juin 1998, a
durci la répression en édictant des circonstances aggravantes lorsque l’infraction est
commise par voie d’un réseau informatique.
On peut ainsi affirmer que des réseaux de prostitution ont surgi grâce aux nouvelles
technologies. Aussi, le viol lorsque la victime a été sollicitée par un message (art. 222-24-
8° du CP), le proxénétisme (art. 225-7-10° du CP), les ventes et services pornographiques
(art. 32 L. 1998) à des mineurs sont des exemples d’infractions visées par la loi de 1998.
Les atteintes aux mineurs :
Il ne s’agit pas ici d’une préoccupation simplement nationale. En effet, tant le Conseil
de l’Europe que l’Union européenne tentent de lutter contre la pédopornographie (Ex :
décision cadre du 23 décembre 2003 relative à la lutte contre l’exploitation sexuelle des
mineurs et la pédopornographie).
-Art. 227-22 du CP : « Le fait de favoriser ou de tenter de favoriser la corruption d'un mineur
est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. Ces peines sont portées à
sept ans d'emprisonnement et 100000 euros d'amende lorsque le mineur est âgé de moins de
quinze ans ou lorsque le mineur a été mis en contact avec l'auteur des faits grâce à
l'utilisation, pour la diffusion de messages à destination d'un public non déterminé, d'un
réseau de communications électroniques ou que les faits sont commis dans les
établissements d'enseignement ou d'éducation ou dans les locaux de l'administration, ainsi
que, lors des entrées ou sorties des élèves ou du public ou dans un temps très voisin de celles-
ci, aux abords de ces établissements ou locaux ».
Avec ce texte, on voit bien que l’infraction existe indépendamment d’Internet mais que les
sanctions sont aggravées si un réseau de communications électroniques a facilité la
commission des faits.
- Le même constat peut être opéré avec le délit de proposition sexuelle à un mineur de 15
ans prévu par l’article 227-22-1. En effet, les peines sont portées à 2 ans et 30 000 euros
d’amende si un réseau de communications électroniques a permis la commission des faits.
-La diffusion, la fixation, l'enregistrement, l’offre ou la transmission d'image à caractère
pornographique d'un mineur (art. 227-23 du CP).
La loi du 5 mars 2007 incrimine désormais le simple fait de consulter habituellement sur
Internet de telles images ou de les détenir (art. 227-23 al. 5 du CP).
A noter que les juges se contentent d’une « présomption d’apparence d’un mineur » pour
considérer les faits commis, lorsque l’âge exact demeure inconnu.
16
-La fabrication, le transport, la diffusion ou le commerce d'un message à caractère
violent ou pornographique ou de nature à porter gravement atteinte à la dignité
humaine, susceptible d'être vu ou perçu par un mineur (art. 227-24 du CP).
Dans une affaire jugée par la Cour d’appel de Paris (2 avril 2002, D. 2002, 1900), la page
d’accueil d’un site Internet comportait un avertissement relatif aux mineurs, mais ce message
avait une portée jugée annulée par la présence d’images pornographiques sur cette même
page. La Cour ajoute que l’éditeur ne proposait pas de logiciel de filtrage parental. L’éditeur a
été condamné à 30.000 € d’amende.
Par son libellé, c’est donc une véritable obligation de résultat d’empêcher l’accès à
un mineur qui a été mise à la charge du diffuseur. Il est probable que pareille contrainte est
contraire à l’article 10 de la CEDH sur la liberté d’expression. C’est pourquoi la solution
posée par un arrêt infirmatif de la Cour d’appel d’Angers (10 juin 2003, Expertises 2003, 247)
est préférable : il s’agissait en l’espèce d’un site trash pour lequel la cour a jugé que le mineur
ne le verrait que s’il le voulait bien. De plus, la cour a estimé que l’envoi par courriel d’un
hyperlien vers le site supposait la composition d’un mot de passe, si bien que le site n’était
pas accessible au public. Enfin, la cour a jugé que l’envoi d’un mail donnant la référence au
site ne suffisait pas à constituer l’élément intentionnel du délit.
La chambre criminelle de la Cour de cassation semble aussi plus restrictive puisqu’elle
a jugé le 3 février 2004 que l’envoi d’un lien par courriel à un majeur ne contenant que
l’adresse d’un site pornographique ne caractérise pas le délit. Elle a aussi jugé que la présence
sur un disque dur d’images pornographiques, même en l’absence de mot de passe pour y
accéder, ne suffisait pas à constituer l’infraction (crim., 12 oct. 2005, CCE 2006, n° 16). En
revanche, elle a jugé que le simple transfert de photos sur l’ordinateur d’un collège suffisait à
constituer le délit (crim., 12 oct. 2005, Droit Pénal 2006, n° 23).
Les autres atteintes aux personnes : (Attention, liste non exhaustive !!)
Les menaces (art. 222.17 et suivants du CP)
Les atteintes à la vie privée (art. 226-1 al.2 ; 226-2 al.2 du CP)
Les dénonciations calomnieuses (art. 226-10 du CP)
Les atteintes au secret professionnel (art. 226-13 du CP)
Les atteintes aux correspondances (art. 226-15 du CP).
La diffusion sur le net d’images sans l’accord de la personne concernée, et
notamment le fait d’enregistrer et de diffuser sur Internet des images d’agression (art.
222-33-3 du CP) ou ce que l’on appelle le « happy slapping ».
Le fait d’effectuer des vidéos à partir de téléphones portables, notamment d’atteintes à
l’intégrité physique d’une personne, rend son ou ses auteurs coupables en tant que complices
des infractions filmées. Il peut donc s’agir de crimes ou de délits très graves : violences ayant
entraîné la mort sans intention de la donner, violences ayant entraîné une mutilation
permanente, violences ayant entraîné une ITT, viol, meurtre…
La loi du 5 mars 2007 relative à la prévention de la délinquance a créé une nouvelle
infraction concernant les personnes qui diffusent sur Internet de telles images, les
sanctionnant de 5 ans d’emprisonnement et de 75.000 € d’amende (art. 222-33-3 al. 2
du CP).
17
Elles peuvent également être poursuivies pour atteinte à la vie privée (art. 226-1 du
CP, 1 an d’emprisonnement et 45.000 € d’amende). A noter cependant que des
« immunités » ont été mises en place par le dernier alinéa de l’article 222-33-3 : « Le
présent article n'est pas applicable lorsque l'enregistrement ou la diffusion résulte de
l'exercice normal d'une profession ayant pour objet d'informer le public ou est réalisé
afin de servir de preuve en justice ».
- Les crimes et délits contre les biens :
Les escroqueries (art. 313-1 et suivants du C.P.)
L’abus de confiance (art. 314-1 du CP)
Dans un arrêt du 22 septembre 2004, la chambre criminelle de la Cour de cassation a retenu le
détournement d’un projet de borne informatique par un salarié. Dans une décision du 19 mai
2004 (CCE 2004, n° 165), elle a condamné pour abus de confiance le salarié qui faisait une
utilisation immorale de son ordinateur pendant ses heures de travail.
Il est donc désormais évident qu’un droit intellectuel est un bien au sens juridique du terme.
La menace de commettre une destruction, une dégradation ou détérioration (art.
322-12 du C.P.)
Le vol (art. 311-1 du CP) ? Peut-on voler une information ? après l’avoir admis un
moment, la chambre criminelle de la Cour de cassation ne semble l’admettre qu’indirectement
au travers du vol d’un support. En application de la règle de l’interprétation stricte de la loi
pénale, une réponse négative est logique car il n’y a pas dépossession d’un bien, l’information
ne disparaissant pas. Mais l’absence de disparition de la chose est en fait le lot commun de
tous les objets incorporels qui sont duplicables à l’infini, si bien qu’en dérober un exemplaire
ne prive pas le propriétaire de la jouissance de la chose. Il semblerait d’ailleurs que la
chambre criminelle, le 9 septembre 2003, ait admis à nouveau le vol d’information, mais la
portée de cet arrêt est controversée. L’article 311-1 du Code pénal visant « une chose » et non
pas un bien, le doute est permis.
La question du vol pourrait aussi trouver une actualité nouvelle si la pratique du vol
d’identité pour commettre des actes illicites (ex. : usurpation d’identité d’un détenteur de carte
de crédit) se multipliait, à l’instar des Etats-Unis.
Le recel (art. 321-1 du CP) ? Peut-on receler une information, des images
pédophiles par exemple ? Il semble que non (crim., 3 avr. 1995), ce qui est illogique dès lors
que la chambre criminelle de la Cour de cassation incrimine par ailleurs le recel de secret de
l’instruction (crim., 13 mai 1991) et le recel de l’information d’initié (crim., 26 oct. 1995).
2° Les infractions de contenu prévues par des textes spécifiques :
- Les infractions à la loi sur la presse (Loi du 29 juillet 1881 modifiée)
(voir module « Infractions de presse », pour une présentation détaillée des infractions)
La provocation aux crimes et délits (art. 23 et 24)
L'apologie des crimes contre l'humanité (art. 24)
18
L'apologie et la provocation au terrorisme (art. 24)
La provocation à la haine raciale (art. 24)
La contestation des crimes contre l'humanité (art. 24 bis)
La diffamation publique et raciale (art. 30, 31 et 32)
L’injure publique et raciale (art. 33)
- Les infractions au Code de la Propriété Intellectuelle :
Pour assurer la protection des logiciels, le législateur a mis l'accent sur une protection
de type privatif, par le biais du droit d'auteur. Avant la loi de 1985, il s'était en effet
développé une jurisprudence majoritairement favorable à la protection du logiciel par le
recours à la loi de 1957 sur la propriété littéraire et artistique. La loi du 3 juillet 1985, relative
aux droits d'auteur, est venue consacrer ce principe dans son Titre 5, concernant les logiciels
(Articles 45 à 51 de ladite loi). Le Code de la Propriété Intellectuelle, institué par la loi du 1er
juillet 1992 et modifié par la loi du 10 mai 1994, a repris l'essentiel des dispositions de la loi
de 1985. Une loi récente, la loi n° 2006-961 du 1er
août 2006 relative au droit d'auteur et
aux droits voisins dans la société de l'information, est venue renforcer le dispositif
répressif.
Sur le plan pénal, la reproduction d'un logiciel autre qu'une copie de sauvegarde, de même
que l'utilisation d'un logiciel non expressément autorisé, sont passibles d'une peine
d'emprisonnement de 3 ans et d'une amende de 300 000 € (art. L 335-2 et suivants du C.P.I.).
De même, les bases de données bénéficient également d’un régime de protection
particulier prévu par le Code de la Propriété Intellectuelle (Art. L 341-1 et suivants du C.P.I.),
récemment modifié par la loi n° 2007-1544 du 29 octobre 2007 sur la lutte contre la
contrefaçon :
- La contrefaçon d'une œuvre de l'esprit, y compris d'un logiciel, de son, d'une image
fixe ou animée (art. L 335-2 et L 335-3)
- La contrefaçon d'un dessin ou d'un modèle (art. L 521-4)
- La contrefaçon de marque (art. L. 716-9)
Ce dispositif pénal vient encore d’être renforcé par la loi n° 2009-1311 du 28 octobre
2009 relative à la protection pénale de la propriété littéraire et artistique sur internet
(JORF n°0251 du 29 octobre 2009 page 18290), dite « loi Hadopi 2 ». Cette dernière loi en
date comporte de nombreuses dispositions d’ordre procédural de nature à faciliter la recherche
et la constatation des infractions : elle vise principalement à autoriser les agents de la Haute
autorité à constater les infractions à la protection des œuvres via internet et à recueillir les
observations des personnes concernées. En outre, elle vient compléter l’arsenal répressif de
nouvelles peines complémentaires, notamment la peine complémentaire de suspension de
l'accès à un service de communication au public en ligne pour une durée maximale d'un an,
assortie de l'interdiction de souscrire pendant la même période un autre contrat portant sur un
service de même nature auprès de tout opérateur.
19
Elle instaure également deux nouvelles infractions :
– la contrefaçon (déjà existante) « commise au moyen d'un service de communication au
public en ligne » (art. L. 135-7 du CPI).
– la négligence caractérisée.
Elle semble ainsi opérer une distinction entre le « pirate présumé » et l'abonné négligent (V.
sur ce point : L. MARINO, « La loi du 28 octobre 2009 relative à la protection pénale de la
propriété littéraire et artistique sur Internet », D. 2010, p. 160.)
Extrait du site Internet de l’HADOPI (www.hadopi.fr).
L’Hadopi met en œuvre un dispositif pédagogique de sensibilisation qui vise, par l’envoi de
messages d’avertissement, appelés " recommandations ", à informer les internautes de leur
obligation de surveillance de leur accès à internet afin qu’il ne soit pas utilisé pour mettre à
disposition ou reproduire des contenus numériques protégés par un droit d’auteur.
Après deux e-mails d'avertissement aux internautes qui pratiquent le téléchargement illégal, la
Hadopi pourra en cas de nouvelle récidive, constituer un dossier et saisir le tribunal
correctionnel (tous les TGI sont compétents) afin de demander la suspension de l'accès
internet (un an maximum), et/ou une peine d'emprisonnement ainsi qu'une amende. (V. art. L.
335-3 et s. du Code de la propriété intellectuelle).
Par ailleurs, si après avoir reçu deux recommandations de la part de l’HADOPI, de nouveaux
actes de contrefaçon sont accomplis à partir de son accès à internet dans l’année suivant la
présentation de la seconde recommandation, l’abonné pourra être poursuivi pour « négligence
caractérisée » pour s'être abstenu, sans motif légitime, de mettre en place un moyen de
sécurisation ou pour avoir manqué de diligence dans la mise en œuvre de ce moyen ; Ces faits
sont constitutifs d’une contravention de 5ème
classe (1500 euros d’amende encourus). Le juge
20
peut en outre prononcer une peine complémentaire de coupure d’accès à Internet d’une durée
maximale d’un mois (art. R. 335-5 du C. propriété intellectuelle issu du Décret du 26 juin
2010).
A noter que les données ainsi collectées doivent être effacées au bout de deux mois après que
les données ont été transmises à l’HADOPI si aucune recommandation n’est envoyée, dans un
délai de 14 mois après l’envoi d’une première recommandation, non suivie d’une seconde
recommandation ; enfin dans un délai de 20 mois après envoi de la seconde recommandation.
- La participation à la tenue d'une maison de jeux de hasard ("cybercasino") :
Article 1 de la loi du 12 juillet 1983, modifiée par la loi du 16 décembre 1992.
- Les infractions au Code de la Santé Publique :
– Trafic de stupéfiants
– Vente de médicaments sans autorisation de mise sur le marché
B- Des règles de procédure spécifiques
Pour lutter contre la cybercriminalité, une veille permanente des contenus illicites
s’organise sur l’Internet, à l’initiative des pouvoirs publics mais aussi d’acteurs privés.
Quant à la procédure pénale, plusieurs dispositions sont venues compléter le dispositif
existant en vue de faciliter l’établissement des infractions et l’appréhension des coupables.
Ainsi, la sécurité sur Internet se trouve au centre de plusieurs interventions législatives
récentes :
- loi relative à la sécurité quotidienne n° 2001-1062 du 15 novembre 2001
- loi pour la sécurité intérieure n° 2003-239 du 18 mars 2003
- loi portant adaptation de la justice aux évolutions de la criminalité n° 2004-204 du
9 mars 2004 (Loi Perben II)
- loi pour la confiance dans l’économie numérique n° 2004-575 du 21 juin 2004
- loi sur les communications électroniques et services de communication
audiovisuelle n° 2004-669 du 9 juillet 2004
- loi relative à la protection des personnes physiques à l’égard des traitements de
données à caractère personnel n° 2004-801 du 6 août 2004
- loi relative à la prévention de la délinquance n° 2007-297 du 5 mars 2007
Ces lois comportent toutes, de manière supplétive, des dispositions ayant comme objet
de permettre la mise en place de procédures sécuritaires propres aux nouvelles technologies
de l’information et de la communication. Le législateur a clairement affirmé un objectif
d’adaptation des procédures sécuritaires aux nouvelles technologies. Quelles sont donc
les nouvelles mesures pénales dans ces différentes lois ?
La loi Perben II a modifié en profondeur à la fois des dispositions de procédure
pénale et des dispositions de droit pénal afin de renforcer la lutte contre les formes modernes
21
de délinquance et de criminalité organisées. Elle opère un élargissement des dispositions
pénales aux réseaux électroniques, par le biais de la criminalité organisée.
L’objet principal de la loi est de créer dans le Code de procédure pénale un titre
spécifique relatif à la procédure applicable aux infractions dites « de délinquance et de
criminalité organisée », qui font l’objet d’une double définition.
Les formes les plus graves de criminalité et de délinquance organisée sont définies par un
nouvel article 706-73 et concernent essentiellement des atteintes à la personne, telles que
l’assassinat en bande organisée, les tortures et actes de barbarie en bande organisée, les trafics
de stupéfiants, les enlèvements et séquestrations, le proxénétisme ou la traite des êtres
humains, les actes de terrorisme ou les associations de malfaiteurs en vue de commettre ces
infractions.
Une seconde définition, qui figure à l’article 706-74, concerne les autres infractions aggravées
par la circonstance de bande organisée ainsi que les formes classiques d’associations de
malfaiteurs.
Au stade de la répression, la loi prévoit des peines renforcées pour la criminalité
organisée : la liste des infractions en bande organisée est étendue afin d’aggraver les
sanctions encourues et de permettre l’application de tout ou partie des règles spécifiques
nouvelles.
Sont notamment concernées : la corruption de mineurs et la diffusion d’images pédo-
pornographiques. A cet effet, la loi insère à l’article 227-23 du Code pénal, un alinéa 6 ainsi
rédigé : « Les infractions prévues au présent article sont punies de dix ans d’emprisonnement
et de 500 000 € d’amende lorsqu’elles sont commises en bande organisée ».
* La loi prévoit des pouvoirs de police judiciaire accrus :
La preuve des infractions est notamment rapportée grâce aux diligences de services
spécialisés de police judiciaire. Ces « cyberflics », dont l’activité a été créée pour la plupart
en 1994, appartiennent à la police nationale ou à la gendarmerie.
Il s’agit du Service d’Enquêtes sur les Fraudes aux Technologies de l’Information
(SEFTI), de la Brigade de Recherche et de Répression de la Criminalité Informatique
(BRRCI), du Centre Technique de la Gendarmerie Nationale et d’une « cellule Internet »
de la police nationale, créée en septembre 1997 et qui réunit une 12e de policiers spécialisés.
La loi Perben II du 9 mars 2004 renforce la lutte contre certaines infractions de presse,
la contrefaçon, les jeux de loteries. Elle assouplit le régime des interceptions de
correspondances pour les enquêtes sur certains crimes et délits et généralise les
dispositions de la loi sécurité intérieure du 18 mars 2003 relatives aux réquisitions, mise
en place pour les opérateurs de télécommunication et les fournisseurs d’accès internet.
Ainsi, pour les crimes et délits énoncés au nouvel article 706-73 du Code de Procédure
Pénale et « si les nécessités de l’enquête de flagrance ou de l’enquête préliminaire (...)
l’exigent, le juge des libertés et de la détention du tribunal de grande instance peut, à la
requête du procureur de la République, autoriser l’interception, l’enregistrement et la
transcription de correspondances émises par la voie des télécommunications (...) pour une
durée maximum de quinze jours, renouvelable une fois (...) » (article 706-95 du CPP). Ces
opérations sont faites sous le contrôle du juge des libertés et de la détention.
De manière plus générale on retiendra le nouveau régime de la surveillance,
l’infiltration, la possibilité de prolongation de la garde à vue jusqu’à 4 jours, les
perquisitions de nuit et le gel des avoirs. Ces règles, dont certaines étaient déjà prévues par
notre droit, mais uniquement pour certaines infractions - comme le trafic de stupéfiants ou les
22
actes de terrorisme - seront applicables à l’ensemble des infractions visées par l’article 706-
73, et certaines d’entre elles seront applicables aux infractions de l’article 706-74.
* Règles relatives aux perquisitions et saisies : article 56 pour les enquêtes de flagrance
et article 77-1-1 pour les enquêtes préliminaires.
Dans le cadre d’une enquête de flagrance, l’article 56 du CPP habilite l’officier de
police judiciaire (OPJ) à effectuer une perquisition et à saisir des « données informatiques »
en la possession des personnes qui paraissent avoir participé au crime ou détenir des pièces,
« informations » ou objets relatifs aux faits incriminés. Il a le droit de prendre connaissance
des « données informatiques » avant de procéder à leur saisie. Idem pour le JI ou l’OPJ
commis par lui dans le cadre d’une information judiciaire (art. 99-3 du CPP).
« Il est procédé à la saisie des données informatiques nécessaires à la manifestation de la
vérité en plaçant sous main de la justice soit le support physique de ces données soit une
copie réalisée en présence des personnes qui assistent à la perquisition ».
« Si une copie est réalisée, il peut être procédé, sur instruction du procureur de la
République, à l’effacement définitif, sur le support physique qui n’a pas été placé sous main
de la justice, des données informatiques dont la détention ou l’usage est illégal ou dangereux
pour la sécurité des personnes ou des biens ».
« Avec l’accord du procureur de la République, l’OPJ ne maintient que la saisie des (…)
données informatiques utiles à la manifestation de la vérité ».
Enfin, l’article 57-1 du CPP permet aux officiers de police judiciaire de procéder à la
perquisition en ligne, en accédant « par un système informatique implanté sur les lieux où se
déroule la perquisition à des données intéressant l’enquête en cours et stockées dans ledit
système ou dans un autre système informatique, dès lors que ces données sont accessibles à
partir du système initial ou disponibles pour le système initial ».
Dans le cas où les données accessibles seraient situées en dehors du territoire national,
les autorités devront se conformer aux engagements internationaux existants, tels la
Convention du Conseil de l’Europe sur la cybercriminalité.
* Règles relatives aux réquisitions :
« Le procureur de la République ou l’officier de police judiciaire peut, par tout moyen,
requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute
administration publique qui sont susceptibles de détenir des documents intéressant l’enquête,
y compris ceux issus d’un système informatique ou d’un traitement de données nominatives,
de lui remettre ces documents, notamment sous forme numérique, sans que puisse lui être
opposée, sans motif légitime, l’obligation au secret professionnel (...) » (art. 60-1 du CPP).
Idem pour l’article 77-1-1 dans le cadre d’une enquête préliminaire : le procureur de la
République ou, sur l’autorisation de celui-ci, l’OPJ et pour l’article 99-4, pour l’exécution
d’une commission rogatoire par l’OPJ lors de la phase d’instruction.
Lorsque les réquisitions concernent des avocats, notaires, huissiers, médecins ou des
entreprises de presse, la remise des documents ne peut intervenir qu’avec leur accord.
23
Dans le cadre d’une telle réquisition, le fait de s’abstenir de répondre aux demandes
d’un officier de police judiciaire ou du procureur de la République peut être puni d’une
amende de 3 750 €.
Les fournisseurs d’accès à Internet doivent mettre à la disposition de l’officier de
police judiciaire, sur demande de celui-ci, les informations utiles à la manifestation de la
vérité, à l’exception de celles protégées par un secret prévu par la loi, contenues dans le ou les
systèmes informatiques ou traitements de données nominatives qu’ils administrent et ce par
voie télématique ou informatique dans les meilleurs délais (art. 60-2 du CPP). Idem pour
l’OPJ dans le cadre d’une enquête préliminaire, mais sur autorisation du procureur de la
République.
L’officier de police judiciaire peut, en outre, intervenant sur réquisition du procureur
de la République préalablement autorisé par ordonnance du juge des libertés et de la
détention, requérir des opérateurs de télécommunications de prendre, sans délai, toutes
mesures propres à assurer la préservation, pour une durée ne pouvant excéder un an, du
contenu des informations consultées par les personnes utilisatrices des services fournis par les
opérateurs (pour les deux types d’enquêtes).
* Des règles de procédures spécifiques pour la criminalité organisée :
L’article 30 de la loi relative à la sécurité quotidienne (repris par la loi pour la
confiance dans l’économie numérique) a, par ailleurs, modifié le Code de procédure pénale en
y insérant un chapitre concernant la mise en clair des données chiffrées nécessaires à la
manifestation de la vérité (art. 230-1 à 230-5 du CPP).
Ainsi, lorsque les données obtenues au cours d’une enquête ou d’une instruction ont
été chiffrées, « le procureur de la République, la juridiction d’instruction ou la juridiction de
jugement saisie de l’affaire peut désigner toute personne physique ou morale qualifiée, en vue
d’effectuer les opérations techniques permettant d’obtenir la version en clair de ces
informations ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention
secrète de déchiffrement, si cela apparaît nécessaire » (Titre IV « Dispositions communes »
du Livre 1er
« De l’exercice de l’action publique et de l’instruction », Chapitre unique « De la
mise au clair des données chiffrées nécessaires à la manifestation de la vérité », art. 230-1 à
230-5 du CPP).
Pour faciliter cette procédure de déchiffrement, l’article 30 de la loi prévoit également
l’insertion dans la loi n°91-646 du 10 juillet 1991 relative au secret des correspondances
émises par la voie des télécommunications, d’un article 11-1 qui dispose que « Les
personnes physiques ou morales qui fournissent des prestations de cryptologie visant à
assurer une fonction de confidentialité sont tenues de remettre aux agents autorisés dans les
conditions prévues à l’article 4, sur leur demande, les conventions permettant le
déchiffrement des données transformées au moyen des prestations qu’elles ont fournies... ».
Le fait de ne pas déférer, dans ces conditions, aux demandes des autorités habilitées
est puni de deux ans d’emprisonnement et de 30.000 € d’amende.
Ces obligations ont été confirmées par un décret n°2002-997 du 16 juillet 2002 relatif
à l’obligation mise à la charge des fournisseurs de prestations de cryptologie en application de
l’article 11-1 de la loi du 10 juillet 1991 relative au secret des correspondances émises par la
voie des télécommunications.
En pratique, ces dispositions mettent à la charge des fournisseurs des prestations de
cryptologie et des éditeurs de logiciels de chiffrement l’obligation de prévoir des portes
24
cachées dans leurs produits, afin de pouvoir procéder au déchiffrement quand cela leur est
demandé par les autorités compétentes.
* Règles relatives aux données de connexion :
La loi relative à la sécurité quotidienne du 15 novembre 2001, tout d’abord, a introduit
dans le droit positif français certaines mesures sécuritaires spécifiques à Internet, dont
notamment la conservation, pendant une période d’un an, des données relatives à une
communication et ce « pour les besoins de la recherche, de la constatation et de la
poursuite des infractions pénales » (art. 29). Ces données, précise la loi, ne peuvent « en
aucun cas, porter sur le contenu des correspondances échangées ou des informations
consultées sous quelque forme que ce soit », mais concernent seulement l’identité des
utilisateurs et les caractéristiques techniques des services fournis par les prestataires de
communication (comme par exemple les adresses IP, les adresses de messagerie électronique
envoyées ou reçues, ainsi que les adresses des sites visités).
Les hébergeurs et les fournisseurs d’accès sont dans l’obligation « de détenir et de
conserver les données de nature à permettre l’identification de toute personne ayant
contribué à la création d’un contenu des services dont elles sont prestataires. Ils sont
également tenus de fournir aux personnes qui éditent un service de communication en ligne
autre que de correspondance privée, des moyens techniques permettant à celles-ci de
satisfaire aux conditions d’identification prévues à l’article 43-10. Les autorités judiciaires
peuvent requérir communication auprès des prestataires mentionnés aux articles 43-7 et 43-8
des données mentionnées au premier alinéa ».
Il s’agit ainsi pour l’hébergeur de conserver, à titre complémentaire, les traces que
laisse tout auteur lorsqu’il modifie le contenu de son site (l’internaute est « repéré » au moyen
de son adresse IP) : il s’agissait d’une pratique courante chez les hébergeurs et les
fournisseurs d’accès, c’est désormais une obligation légale.
La loi LCEN (article 2, II, V) vient instaurer des peines plus lourdes à la charge des
hébergeurs qui n’ont pas respecté cette obligation :
« Est puni d’un an d’emprisonnement et de 75000 euros d’amende le fait pour une personne
physique ou le dirigeant de droit ou de fait d’une personne morale exerçant l’une des
activités définies aux articles 1 et 2 du I, de ne pas avoir conservé les éléments d’informations
visés au II ou de ne pas déférer à la demande d’une autorité judiciaire d’avoir
communication desdits éléments ».
Cependant, cette technique à vocation subsidiaire que constituent les « données de
connexion » possède également ses limites, car le propre de l’informatique et notamment de
l’Internet, est d’être immatériel : tout peut être modifié ou falsifié...
Ainsi, une adresse IP est attribuée à un ordinateur et non à un internaute : donc la question se
complique lorsque plusieurs individus ont la possibilité d’accéder à un même ordinateur
(entreprise, bibliothèque, cybercafé…), ou encore cette adresse est temporaire et peut donc
disparaître à tout moment...
Le dispositif s’est enrichi des dispositions de la loi du 3 janvier 2006 sur la lutte contre le
terrorisme. Ce texte a introduit dans le Code des postes et des communications électroniques,
et à l’article 6 II bis de la LCEN du 21 juin 2004, une nouvelle obligation de conservation et
de communication des données de connexion.
En vertu de ces textes, les « agents individuellement désignés et dûment habilités des services
de police et de gendarmerie » en charge de la lutte anti-terrorisme peuvent obtenir des
25
opérateurs la communication de certaines des données techniques… sans autorisation
judiciaire préalable.
Un décret du 24 mars 2006, décret d’application de ladite loi, vient préciser la nature des
données à conserver, limite la durée de conservation à un an et prévoit l’indemnisation des
opérateurs pour les surcoûts occasionnés.
C- La lutte institutionnelle
Le ministère de l’Intérieur a dévoilé le 7 septembre 2004 son plan de lutte contre la
cybercriminalité, et précisé les six axes de sa démarche :
- Dresser une cartographie précise de la cybercriminalité
- Intensifier la formation dans le domaine de la cybercriminalité
- Prévenir et sensibiliser l’ensemble des citoyens Français
- Veiller sur les contenus illicites véhiculés par Internet
- Accentuer la veille technologique et sur la Recherche et Développement
- Déférer les criminels de l’Internet devant la justice
1- Les actions ministérielles en faveur de l’Internet
Au premier rang des mesures envisagées par le gouvernement pour rendre l’Internet
plus sûr se trouve la sécurité des réseaux et des données qui y circulent :
- la lutte contre la fraude : le groupement interministériel pour la Protection de la Société de
l’Information (GIPSI), créé en 2003, doit renforcer la lutte contre la fraude et la
cybercriminalité. Matérialisé par un portail gouvernemental (le Serveur sur la sécurité des
systèmes d’information), le travail de ce groupement combine des missions de veille
technologique et des échanges d’expériences dans le domaine de la lutte contre les fraudes
constatées sur l’Internet.
- le paiement électronique : le ministère des Finances entend améliorer l’authentification
pour renforcer la sécurité des transactions. C’est l’objectif de la Mission pour l’économie
numérique du ministère de l’Économie, des Finances et de l’Industrie. La Banque de France
doit élaborer une charte pour améliorer l’identification des parties lors des paiements en ligne.
Un site officiel regroupera toutes les informations utiles pour l’achat et le paiement en ligne.
- la recherche et le développement : une structure placée sous l’égide des ministères de la
Recherche et de l’Industrie définit les thèmes prioritaires dans le domaine de la R&D en
sécurité des systèmes d’information et les moyens du CERT RENATER (qui relie les
organismes français de recherche et d’enseignement) seront renforcés pour qu’il puisse
assurer en toutes circonstances la sécurité du réseau y compris lors de la mise en oeuvre des
plans anti-terroristes.
- le plan e-Europe 2005 et le SMSI : la France a largement contribué à la formalisation et
l’adoption du plan e-Europe 2005 qui a notamment pour objectif de stimuler le
développement de nouveaux services, d’applications et de contenus sécurisés. Pour sa mise en
œuvre, le gouvernement soutient les actions prévues dans le domaine du gouvernement
26
électronique, de la télé santé, de l’apprentissage électronique, du déploiement d’une
infrastructure à haut débit et de la mise en place d’un environnement dynamique pour les
affaires électroniques.
Par ailleurs, le SMSI (Sommet Mondial pour la Société de l’Information) constitue la
première possibilité d’aborder, dans un cadre multilatéral, l’organisation de la société de
l’information et de déterminer les principes communs qui doivent la régir (respect des libertés
individuelles, sécurité des réseaux, mise en place de politiques réglementaires, protection des
consommateurs, garantie des droits de propriété intellectuelle et gouvernance de l’Internet, en
particulier la réforme de la gestion des noms de domaines).
2- Le CLUSIF (Club de la sécurité des systèmes d’information français) :
Observatoire des pratiques et des risques, le CLUSIF est aussi un lieu d’échange et de
réflexions sur les thèmes liés à la Sécurité des Systèmes d’Information. Il est l’auteur d’un
rapport intitulé "panorama de la cyber-criminalité - année 2003".
Les principales conclusions de ce rapport annuel 2003 sont les suivantes :
- L’année 2003 montre une " professionnalisation " des actes de criminalité technologique. La
criminalité technologique est désormais une activité lucrative, bien organisée et plutôt
répandue.
- Pour le CLUSIF, les parasites informatiques et le spam entrent aujourd’hui dans une logique
de recherche de gains, bien loin des motivations idéologiques ou narcissiques des premiers
auteurs de virus.
- Outre le rapprochement entre les auteurs de virus et les spammeurs et l’explosion des
épidémies de vers (Slammer, Blaster...), le CLUSIF met en lumière la généralisation, en 2003,
du phishing. Cette technique consiste à envoyer un e-mail en se faisant passer pour un
fournisseur de service en ligne (banque, site d’enchères...) et en demandant à ses abonnés de
mettre à jour leurs informations personnelles par l’intermédiaire d’un site Web falsifié,
hébergé par un serveur pirate. Le but étant bien sûr de dérober ces informations
confidentielles.
En dépit de toutes les actions menées par la France, la nécessité d’une entraide
internationale est indéniable. L’efficacité de la lutte contre ce type de délinquance
internationale implique une étroite collaboration entre les Etats. Ces derniers se sont employés
à développer cette entraide. Mais à certains égards, elle demeure embryonnaire.
Le chapitre II de la loi Perben II améliore les dispositions relatives à l’entraide
internationale.
A cette fin, il introduit notamment dans le Code de procédure pénale les dispositions
nécessaires à la mise en oeuvre de la convention du 29 mai 2000 relative à l’entraide
judiciaire en matière pénale entre les Etats membres de l’Union européenne ainsi que de la
décision instituant EUROJUST du 28 février 2002.
A cet effet, il réécrit complètement, dans le livre quatrième du Code de procédure
pénale, le titre X relatif à l’entraide judiciaire internationale, qui distingue désormais, dans
deux chapitres, deux régimes d’entraide : le premier, de portée générale, concerne l’entraide
pénale avec tout Etat ; le second est spécifique à l’entraide avec les Etats de l’Union
européenne.
27
Une collaboration policière internationale semble incontournable. Mais elle se
heurte au principe de la souveraineté des Etats qui entraîne une double conséquence :
- d’une part, il n’existe pas de police internationale dont les membres seraient habilités à
rechercher à travers le monde les preuves des infractions et à en arrêter les auteurs.
Contrairement à une idée répandue, Interpol n’est pas une police internationale, ni Europol
une police européenne.
- d’autre part, la police d’un Etat ne peut accomplir aucun acte sur le territoire d’un autre Etat
ni être tenue d’accomplir un acte sur son propre territoire à la demande d’un Etat étranger.
Toutefois, plusieurs textes organisent une coopération à l’échelle européenne (IV)
ou internationale (V) entre les polices nationales, soit en vue de l’obtention de
renseignements et de preuves, soit même en vue de l’accomplissement de mesures de
contrainte
IV– La lutte au niveau européen
A– L’action du Conseil de l’Europe
Dès le 23 novembre 2001, le Conseil de l’Europe a adopté à Budapest une
Convention sur la cybercriminalité.
A ce jour, 21 pays l’ont ratifiée et 42 l’ont signée ; la Convention est entrée en vigueur le 1er
juillet 2004. Cette Convention constitue la première convention pénale à vocation
universelle destinée à lutter contre le cyber-crime. Il s’agit du tout premier traité
international sur les infractions pénales commises contre les réseaux informatiques ou à l’aide
de ceux -ci.
Cette Convention poursuit trois objectifs :
1° harmoniser les législations des Etats signataires en matière de cybercriminalité : cet
objectif passe par un rapprochement des législations des Etats signataires en matière
d’incriminations dans le domaine du cyberespace. A cette fin, la Convention établit des
définitions communes de certaines infractions pénales commises par le biais des réseaux
informatiques. Ces infractions sont notamment relatives aux contenus, ainsi qu’à toute atteinte
à la propriété intellectuelle commise sur la toile.
2° compléter ces législations, notamment en matière procédurale afin d’améliorer la capacité
des services de police à mener en temps réel leurs investigations et à collecter des preuves sur
le territoire national avant qu’elles ne disparaissent. Le texte établit ainsi des règles de base
communes aux Etats signataires en matière, notamment, de conservation des données, de
perquisition et de saisie informatique et d’interception des communications, à l’instar des
dispositions incluses dans la loi n°2003-239 pour la sécurité intérieure, adoptée le 18 mars
2003.
3° améliorer la coopération internationale, notamment en matière d’extradition et d’entraide
répressive : la Convention s’efforce d’adapter les règles classiques de la coopération
internationale pénale que sont l’extradition et l’entraide répressive aux contraintes spécifiques
posées par la cybercriminalité.
28
La Convention prévoit de nouvelles procédures afin d’améliorer la répression de
la cybercriminalité.
La Convention fixe le droit commun des mesures d’enquêtes pénales sur les réseaux et
est basée sur le maintien de la compétence exclusivement nationale des autorités en charge de
lutte contre la cybercriminalité.
Les pouvoirs d’investigations définis dans la Convention visent à permettre l’obtention
et la collecte de données informatiques dans le cadre d’enquêtes pénales en cours.
La Convention reconnaît aux données numériques une valeur juridique et des effets
probants identiques aux éléments matériels existant dans le monde hors ligne.
Le titre 2 définit la notion de “conservation rapide des données stockées". Les
modalités de mise en œuvre de cette mesure varieront selon les États. Il s’agit de préserver
l’intégrité des seules données utiles à l’enquête en cours.
L’article 17 de la Convention vise à assurer la traçabilité de la communication, quel
que soit le nombre de fournisseurs ayant participé à la transmission du message.
Le titre 3, dans son article 18, prévoit le cas des “injonctions de produire des
données”. Cette mesure devrait constituer le fondement juridique permettant la remise aux
autorités compétentes de certaines données.
Le titre 3, dans son article 19, vise les "perquisitions informatiques à distance”. Les
données perquisitionnées peuvent être soit conservées sur un support de stockage ou stockées
dans un autre système informatique si celui-ci demeure dans les limites territoriales de l’Etat
qui perquisitionne. En revanche, cet article n’autorise pas à perquisitionner des données
stockées à l’étranger, même si elles sont accessibles via le réseau.
Ces dispositions sont soumises aux conditions légales des pays signataires mais
doivent garantir le respect des droits de l’homme et l’application du principe de
proportionnalité. En particulier, les procédures ne pourront être engagées que sous certaines
conditions, telles que, selon le cas, l’autorisation préalable d’un magistrat ou d’une autre
autorité indépendante.
La Convention précise également les règles de la coopération internationale : à
côté des formes traditionnelles de coopération pénale internationale prévues notamment par
les conventions européennes d’extradition et d’entraide judiciaire en matière pénale, la
nouvelle Convention exigera des formes d’entraide correspondant aux pouvoirs définis
préalablement par la Convention et, en conséquence, que les autorités judiciaires et services
de police d’un Etat puissent agir pour le compte d’un autre pays dans la recherche de preuves
électroniques, sans toutefois mener d’enquêtes ni de perquisitions transfrontalières. Les
informations obtenues devront être rapidement communiquées.
En janvier 2003, le Conseil de l’Europe a ouvert à la signature le Protocole
additionnel à la Convention sur la cybercriminalité, qui a pour conséquence d’élargir le
champ d’application de la Convention.
Négocié à la demande de la France, ce texte demande aux Etats de criminaliser la
diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques, ainsi que les
menaces et l’insulte à motivation raciste et xénophobe, la négation, la minimisation grossière,
l’approbation ou la justification du génocide ou des crimes contre l’humanité.
Mais une nation ratifiant la Convention sur la cybercriminalité n’est pas obligée
d’adhérer également au protocole. Il est destiné à « ceux qui souhaitent franchir le pas »,
précise le Comité des ministres du Conseil de l’Europe. Les États-Unis ont annoncé dès 2002
qu’ils ne signeraient pas ce protocole, car il va à l’encontre de sa Constitution.
La France a ratifié la convention de 2001 ainsi que son Protocole additionnel par une
loi promulguée le 19 mai 2005. La convention a été publiée au JO par deux décrets du 23 mai
29
2006. Conséquence directe de cette publication au Journal Officiel, la Convention et don
Protocole additionnel sont désormais opposables et invocables par les justiciables français.
B- L’action de l’Union Européenne
1- Les actions normatives
- La décision 276/1999CE du parlement Européen et du Conseil du 25 janvier 1999
adopte un plan d’action communautaire pluriannuel visant à promouvoir une utilisation
plus sûre d’Internet par la lutte contre les messages à contenus illicites et préjudiciables
diffusé sur les réseaux mondiaux. Sont ainsi encouragés l’auto réglementation de l’industrie
d’Internet, le développement de dispositifs de filtrage et enfin la création d’un réseau
européen de hotlines.
- Le plan d’action « e-Europe 2005 » : « une société de l’information pour tous ».
Parmi les objectifs à atteindre par l’UE dans le cadre de ce plan figure " une infrastructure
d’information sécurisée ".
- Conférence internationale sur la lutte contre la pédopornographie sur Internet (Vienne, 29
septembre - 1er octobre 1999).
- Décision du Conseil relative à la lutte contre la pédopornographie sur Internet du 29 mai
2000.
2- La lutte institutionnelle
- L’agence ENISA (European Network and Information Security Agency) : cette agence est
née en mars 2004. Son site, pour l’instant pauvre en contenu, devrait proposer par la suite des
publications et des programmes de travail.
Son objectif est d’aider la Communauté à assurer un niveau particulièrement élevé de
sécurité des réseaux et de l’information. L’Agence concourra donc à l’émergence d’une
culture de la sécurité des réseaux et de l’information dans l’intérêt des citoyens, des
consommateurs, des entreprises et des organismes du secteur public de l’Union européenne.
Elle prêtera son assistance à la Commission, aux États membres et au secteur des entreprises
pour les aider à satisfaire aux exigences en matière de sécurité des réseaux et de l’information,
y compris celles définies dans la législation communautaire actuelle et à venir.
- EUROJUST : les Etats membres de l’Union européenne ont créé EUROJUST afin de faire
obstacle à toutes les formes de criminalité organisée (trafic de drogue, blanchiment d’argent,
trafic d’êtres humains, contrefaçons, criminalité informatique, criminalité au détriment de
l’environnement...).
Cette unité de coopération judiciaire est composée de procureurs, magistrats ou
d’officiers de police des Etats, membres de l’Union européenne.
Les missions d’EUROJUST s’articulent autour de trois objectifs majeurs : promouvoir
et améliorer la coordination des enquêtes et des poursuites entre les autorités compétentes des
Etats membres ; améliorer la coopération entre ces autorités, en facilitant notamment la mise
en oeuvre de l’entraide judiciaire internationale et l’exécution des demandes d’extradition ;
soutenir les autorités nationales afin de renforcer l’efficacité de leurs enquêtes et de leurs
poursuites.
30
- EUROPOL : parce qu’il concerne un grand nombre d’infractions, le traité de Maastricht du
7 février 1992 sur l’Union européenne (modifié par le traité d’Amsterdam du 2 octobre 1997
et par le traité de Nice du 26 février 2001) tend à renforcer la coopération des forces de police
des Etats membres, notamment par « la collecte, le stockage, le traitement, l’analyse et
l’échange d’informations pertinentes… ».
Les articles concernés figurent dans le titre VI -3e pilier- intitulé « Dispositions
relatives à la coopération policière et judiciaire en matière pénale ».
C’est en application du traité de Maastricht qu’a été établie la Convention du 26 juillet
1995 « portant création d’un Office européen de police (convention Europol) ». Son siège se
trouve à La Haye.
Europol « remplit en priorité » les fonctions suivantes : faciliter l’échange
d’informations, collecter, rassembler et analyser des informations et des renseignements,
informer les services compétents des Etats membres des liens constatés entre des faits
délictueux, faciliter des enquêtes dans les Etats membres en leur transmettant toutes les
informations pertinentes, gérer des recueils d’informations contenant des données.
Pour permettre à Europol d’assumer ces fonctions, la convention impose à chaque Etat
membre de créer une « unité nationale », seule intermédiaire entre Europol et les services
nationaux compétents.
Les unités nationales ont pour mission de fournir à Europol les informations et
renseignements nécessaires à l’accomplissement de ses fonctions, de répondre aux demandes
d’informations, de renseignements et de conseils formulées par Europol, d’exploiter et de
diffuser les informations et renseignements au profit des services compétents et d’adresser à
Europol des demandes d’informations, de renseignements et de conseils.
Europol se limite donc à un système d’échanges d’informations : il n’est pas une
« police fédérale » (souhaitée par l’Allemagne) allant effectuer des enquêtes sur le terrain.
S’agissant de sa mission, l’office européen de police est un organe policier chargé du
traitement des renseignements relatifs aux activités criminelles. Son objectif consiste à
améliorer l’efficacité des services compétents des Etats membres et intensifier leur
coopération dans le cadre de la prévention et de la lutte contre les formes graves de
criminalité internationale organisée. Les infractions doivent impliquer une structure ou une
organisation criminelle et deux Etats membres ou plus doivent être affectés. Europol est donc
compétent dans la lutte contre la criminalité informatique ou pour les formes de criminalité
dont la commission est facilitée par Internet.
V– La lutte sur le plan international
1- L’action de l’OCDE :
L’OCDE a mis en place un site "culture of security". Les 30 membres de l’OCDE se
sont engagés à encourager et développer une " culture de la sécurité " au niveau international.
Ce site, créé en 2003, a pour objectif d’aider les pouvoirs publics, les entreprises et le grand
public à comprendre les risques et les responsabilités inhérents aux systèmes et réseaux
d’information. Il collecte des informations sur les initiatives nationales et internationales pour
mettre en place le " security guidelines " de l’OCDE.
2- INTERPOL :
31
INTERPOL est le nom en code radio de l’Organisation Internationale de Police
criminelle (OIPC) créée en 1929.
L’OIPC n’a pas été créée par un traité international et n’est pas une organisation
internationale stricto sensu car elle réunit non pas des Etats, mais des services de police
désignés par les Etats. Elle n’en est pas moins une personne juridique, possédant son siège à
Lyon depuis 1989 et des « bureaux centraux nationaux ».
Elle vise à améliorer la coopération policière dans le monde grâce à des bureaux
dans 181 pays membres (BCN). Ces bureaux sont des services de police permanents
composés de policiers agissant dans le cadre de leur législation nationale.
Ils constituent le relais national aux opérations de police sollicitées par les autres Etats
membres. Le BCN-France, antenne d’Interpol, est rattaché à la Direction centrale de la Police
Judiciaire au sein de la sous Direction des ressources et liaison dans la Division des relations
internationales.
Elle a pour but « d’assurer et de développer l’assistance réciproque la plus large de
toutes les autorités de police criminelle dans le cadre des lois existant dans les différents pays
et dans l’esprit de la Déclaration universelle des droits de l’homme ; d’établir et de
développer toutes les institutions capables de contribuer efficacement à la prévention et la
répression des infractions de droit commun ».
L’OIPC n’exerce elle-même aucune fonction de police proprement dite : elle n’a pas
d’enquêteurs propres à compétence internationale et tous les actes de coopération policière
internationale sont accomplis par des policiers nationaux agissant sur leur propre territoire et
dans le cadre de leur législation.
Mais l’OIPC a un rôle essentiel dans la recherche et la communication de
renseignements : rassemblement et diffusion des renseignements reçus ; diffusion du
signalement d’un individu susceptible de commettre tel type d’infraction ; constatations
d’infractions, identification et recherche de leurs auteurs, victimes et témoins ; recherches
d’objets (véhicules, armes, œuvres d’art…).
Elle ne s’occupe que des infractions de droit commun. Son statut lui interdit « toute
activité ou intervention dans des questions ou affaires présentant un caractère politique,
militaire, religieux ou racial ». Mais depuis 1984, elle considère qu’elle ne saurait « rester
indifférente au phénomène du terrorisme ».
Un accord du 22 décembre 2004 entre la Cour pénale internationale et l’OIPC prévoit
l’échange d’informations et d’analyses criminelles ainsi qu’une coopération pour la recherche
de suspects.
S’agissant de sa mission, le rôle d’Interpol est de faciliter pour ses membres la lutte
contre le trafic de stupéfiants, le terrorisme, la criminalité informatique ou économique.
Interpol dispose d’un système de communication informatique commun à tous les pays
membres et d’une base de données criminelles internationales.
S’agissant de ses moyens, Interpol porte à la connaissance des services de police
nationaux, les BSN, certains renseignements relatifs à des infractions, des délinquants et des
victimes : établissement de notices signalétiques internationales individuelles relatives aux
disparitions des personnes, notamment des mineurs, et aux délinquants susceptibles de
récidiver.
Depuis juillet 1999, Interpol a développé un site Web à deux niveaux d’accès public et
restreint, afin de donner une plus large diffusion aux notices. Interpol réalise des opérations de
police judiciaire d’envergure, telles l’opération « Cathédrale », lancée en 1998, qui a permis le
démantèlement d’un réseau diffusant plus de 750 000 clichés de pornographie enfantine et qui
s’est traduite par l’arrestation de 107 personnes dans 12 pays.
32
3- La SCCOPOL (section centrale de coopération opérationnelle de police) :
Elle est la première cellule européenne de coopération contre la criminalité
transfrontière, regroupant 80 policiers, gendarmes, douaniers et magistrats. Elle a été
inaugurée en juillet 2000 à Paris. Elle permet aux autorités françaises d’établir des liaisons
opérationnelles 24h sur 24, 7 jours sur 7, avec 182 pays.
4- SCHENGEN :
La suppression des contrôles aux frontières intérieures de l’espace Schengen a conduit
à la création d’un système d’information commun dénommé « système d’information
Schengen » et au renforcement de la coopération policière entre les forces de sécurité des
parties contractantes.
Ce système permet l’échange d’informations entre les Etats signataires et la
consultation automatisée de données sur les personnes, les véhicules terrestres et les objets
signalés.
Dans chaque Etat est mis en place un organisme chargé d’assurer 24h sur 24 un point
de contact unique et permanent à la disposition des forces de l’Etat considéré et des autres
partenaires européens.
* Coopération policière dans l’espace Schengen :
La coopération entre les polices des Etats de l’Union ayant signé et ratifié la
Convention s’exerce grâce à un échange d’informations et se traduit par plusieurs mesures
novatrices. Elle prévoit notamment l’assistance mutuelle aux fins de la prévention et de la
recherche de faits punissables, l’intensification de la coopération policière dans les régions
frontalières : assistance mutuelle des services de police et de gendarmerie, échange
d’informations ou d’éléments de procédure par le biais de l’unité centrale de coopération
policière internationale (UCCPI).
Un modèle interministériel de convention de coopération transfrontière policière et
douanière a été mis au point. Il fixe, d’une part, les principes de la coopération judiciaire
directe entre unités opérationnelles situées dans la zone frontalière définie par l’accord et
prévoit, d’autre part, la création de centres de coopération policière et douanière (CCPD) à
proximité des frontières.
Dans une même structure, sont rassemblés policiers, gendarmes et douaniers, mis à
disposition de l’ensemble des services chargés de missions de police et de douane.
• Le droit d’observation (article 40) est une possibilité offerte à un enquêteur de
poursuivre selon certaines modalités qui sont différentes selon les Etats, une filature sur un
Etat voisin. Les magistrats du parquet et de l’instruction peuvent faire procéder d’initiative à
ces observations.
• L’article 41 permet aux services enquêteurs de poursuivre une personne prise en
flagrant délit de participation ou de commission d’une infraction prévue par la Convention,
sans autorisation préalable au-delà de la frontière lorsque cette personne prend la fuite vers un
Etat voisin et si l’avis n’a pu être donné à temps par l’Etat requis. Les règles de la poursuite
varient selon les Etats.
33
• L’entraide répressive entre les Etats Schengen relève des articles 48 à 53 de la
Convention.
Le domaine de l’entraide est étendu aux faits constituant une infraction administrative,
aux procédures liées à des poursuites pénales, à la notification de communications judiciaires,
aux modalités d’exécution des peines et aux infractions fiscales.
Celle-ci peut toutefois être refusée lorsque le montant des droits trop peu perçus ou
non perçus est inférieur à 25 000 €. Il en est de même si la valeur des marchandises exportées
ou importées illégalement ne dépasse pas 10 000 €.
• La Convention Schengen assouplit également les conditions de l’entraide en matière
de perquisitions et de saisies.
L’article 51 prévoit comme seule condition à l’exécution d’une perquisition et d’une
saisie, outre sa compatibilité avec la législation de la partie requise, que l’infraction soit
passible soit d’une peine d’emprisonnement ou d’une mesure de sûreté d’au moins six mois
sur le territoire des deux Etats, soit d’une sanction équivalente sur le territoire d’une partie et
qu’elle constitue dans la législation de l’autre partie une infraction administrative susceptible
de donner lieu à recours devant une juridiction compétente notamment en matière pénale.
De plus, les demandes d’entraide pourront être adressées directement aux autorités
judiciaires compétentes et renvoyées par la même voie. En France, les commissions rogatoires
internationales, les demandes d’entraide ainsi que les pièces d’exécution doivent transiter par
le parquet général territorialement compétent.
* La situation spécifique de la Suisse :
En raison de l’absence de la Suisse des instances de coopération SCHENGEN, et pour
assurer une meilleure sécurité de l’espace SCHENGEN un accord de coopération policière,
judiciaire et douanière a été signé entre la France et la Suisse en mars 1998.
Son contenu est proche de celui de la convention d’application. A ce titre, l’accord
reprend certaines modalités de coopération introduites par la convention d’application des
accords de SCHENGEN. Il s’agit notamment de l’assistance sur demande, et l’échange
d’informations pour lutter contre la délinquance dans la zone frontalière, prévenir
l’immigration illégale et les trafics illicites, sauvegarder l’ordre et la sécurité publics et
recueillir et échanger des informations en matière policière et douanière.
L’accord précise également les conditions d’échange d’informations effectué entre les
services compétents des deux parties, notamment au regard du respect des dispositions
nationales en matière de protection des données à caractère personnel.
A ce titre, la commission des communautés européennes a constaté dans une décision
du 26 juillet 2000 le caractère adéquat de la protection des données à caractère personnel en
Suisse conformément à la directive 95/46/CE du parlement européen et du conseil.
Un centre de coopération policière et douanière (CCPD) prévu dans l’accord franco-
suisse devrait donc être créé pour améliorer la circulation de l’information entre les différents
corps de sécurité dans la région "des trois frontières".
Plusieurs opérations de police de grande ampleur ont déjà été menées à l’échelon
international, témoignant de l’efficacité et du succès d’une telle coopération entre les Etats
dans la lutte contre la cybercriminalité :
- l’opération « Cathédrale », lancée par le FBI américain en 1998, a impliqué 14 pays
(dont les USA, l’Australie et plusieurs pays d’Europe) et a permis de démanteler un
réseau d’images pédopornographiques impliquant plus de 1 000 victimes et une
centaine de suspects.
- En 2001, l’opération « Candyman », également à l’initiative du FBI américain, a
permis d’identifier un réseau de 6 000 membres et a permis une centaine
d’arrestations.
34
- L’opération « Avalanche » a permis en 2001 de faire cesser la diffusion d’images
pédopornographiques diffusées sur plusieurs sites payant, de saisir les coordonnées de
250 000 clients localisés dans 37 Etats américains et 60 pays différents.
- L’opération « One », qui s’inscrit dans la continuité de l’opération « Avalanche » a
conduit en 2003 à l’interpellation de 1 600 suspects en Grande-Bretagne.
NB : A surveiller, la LOPPSI 2 venant d’être adoptée par la commission mixte paritaire,
le 9 février 2011 comporte un volet « cybercriminalité ». Ainsi, concernant les règles procédurales, le filtrage des sites Internet sans le contrôle du
pouvoir judiciaire est instauré, en vue de permettre le blocage des sites à caractère
pédopornographique (art. 4 de la loi).
Il est également prévu que la police judiciaire puisse installer à distance des logiciels espions
sur les postes informatiques des personnes suspectées d’avoir commis une infraction, sur
autorisation du juge d’instruction.
Concernant le volet droit pénal de fond, un délit d’usurpation d’identité sur internet est créé et
passible d’un an d’emprisonnement et 15 000 euros d’amende et les peines sont étendues au
pishing.
Cette loi très controversée (et pas uniquement concernant son volet « cybercriminalité »)
devrait faire l’objet d’une saisine du Conseil constitutionnel.