La lutte européenne contre la cybercriminalité

Les fraudes et différentes infractions commises sur le réseau internet sont en forte croissance depuis plus de dix ans. Elles sont en corrélation directe avec la démocratisation et l’émancipation de ce moyen de communication : les utilisateurs y sont toujours plus nombreux et les activités menées en ligne sont de plus en plus proches de celles effectuées dans le monde réel. Elles visent même, dans certains cas, à les suppléer.

 

En effet, certaines démarches administratives, autrefois synonymes de déplacements physiques et de perte de temps, ne sont aujourd’hui possibles qu’en ligne. Or, si par certains aspects ce phénomène constitue une avancée majeure pour l’homme, il n’est pas sans contrepartie pour les libertés individuelles.

 

La dématérialisation et le traitement de données personnelles, nécessaires à l’exercice de certaines activités en ligne, en est l’exemple le plus prégnant : les risques concernant l’usurpation d’identité ou le vol de données personnelles (y compris des fameuses coordonnées bancaires lors des transactions en ligne) sont en plein essor[1]. Les différentes tentatives visant à éradiquer ce fléau ont souvent été vaines, très certainement à cause de la nature même de la cybercriminalité : par essence, celle-ci ignore les frontières et les systèmes juridiques des Etats. Dès lors, il est vite apparu que seule une concertation entre Etats pouvait mettre un terme ou, du moins, freiner les actes malveillants commis via internet. Dans ce contexte, l’Europe est naturellement apparu comme une entité capable d’élaborer une politique commune de lutte contre les infractions commises par le biais de l’informatique.

 

 

Notion de cybercriminalité et droit français

 

La cybercriminalité désigne traditionnellement « l'ensemble des infractions pénales qui sont commises via les réseaux informatiques, notamment, sur le réseau internet »[2]. En France, il existe une multitude de textes juridiques susceptibles d’appréhender ce sujet. Tout d’abord, la loi relative à l’Informatique, aux fichiers et aux libertés du 6 janvier 1978 traite pour la première fois des infractions liées à l’informatique. Cette loi, modifiée à de nombreuses reprises, a introduit de nombreux articles dans le Code pénal portant principalement sur le traitement illicite de données personnelles[3].

 

La loi Godfrain du 5 janvier 1988 relative à la fraude informatique a quant à elle introduit les articles 323-1 et suivants dans le Code pénal, concernant notamment l’introduction non sollicitée au sein d’un système informatique ou encore la suppression, modification ou altération des données issues de ce système[4]. La loi pour la confiance dans l'économie numérique du 21 juin 2004[5] a apporté quelques modifications au Code de procédure pénale et notamment pour l’inclusion des données informatiques dans la liste des pièces susceptibles d'être saisies lors des perquisitions réalisées en flagrant délit ou au cours d'une instruction[6]. Enfin, et sans pour autant être exhaustif[7], le Code de la propriété intellectuelle pénalise le délit de contrefaçon ou d’atteinte au droit d’auteur effectué par le biais des réseaux informatiques[8].

 

Néanmoins, tous ces textes sont disséminés au sein de différents Codes ou branches du droit, ce qui n’est pas sans créer quelques difficultés pour une analyse juridique souveraine. De plus, comme dit précédemment, la nature des réseaux informatiques complexifie le processus de prévention et de contrôle par les autorités compétentes[9]. La problématique récurrente est bien évidemment celle afférente à la qualification juridique de l’infraction : si dans un pays tel comportement est répréhensible, ce ne sera pas forcément le cas dans un autre. Or, l’internet promeut l’internationalisation de la criminalité, ce qui rend cette problématique pour le moins fréquente.

 

 

Cybercriminalité et Conseil de l’Europe

 

L’Europe a très tôt tenté d’appréhender ce sujet. Dès 2001, le Conseil de l’Europe a élaboré une Convention dédiée à la cybercriminalité[10]. C’est la première fois qu’un traité à vocation internationale aborde de front les infractions liées à l’informatique et spécifiquement celles commises via internet.

 

Cette Convention, pionnière en la matière, établit les règles de base concernant le déroulement des enquêtes sur les réseaux[11] et instaure une procédure de coopération internationale. Elle énonce aussi une liste d’infractions informatiques scindée en quatre grandes catégories : les infractions informatiques (falsification et fraude informatiques) ; les infractions liées à l’atteinte à la propriété intellectuelle et aux droits connexes ; les infractions relatives aux contenus (actes de production, diffusion, possession de pornographie enfantine etc.) ; les infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes (accès illégal, interception illégale, atteinte à l'intégrité des données etc.).

Enfin, elle détermine des règles concernant la compétence juridictionnelle : désormais chaque pays signataire est juridiquement compétent lorsque l’infraction est commise sur son territoire ou lorsque l’un de ses ressortissants en est l’auteur lorsque l’infraction ne relève de la compétence territoriale d’aucun autre Etat. Le texte du Conseil de l'Europe est complété par un protocole additionnel relatif à l'incrimination d'actes de nature raciste et xénophobe commis par le biais des systèmes informatiques du 28 janvier 2003[12], ratifié par la France en même temps que la Convention, par la loi du 19 mai 2005.

 

Cette convention a finalement connu un rayonnement plus large que celui purement européen, avec notamment une adhésion puis une entrée en vigueur aux Etats-Unis le 1er janvier 2007[13]. Elle témoigne de la volonté fédérative des Etats afin de combattre la criminalité en ligne, même s’il convient de remarquer qu’une majorité d’entre eux reste à l’échelle planétaire, à l’écart de cette convention.

 

 

Cybercriminalité et Union européenne

 

L’Union européenne – à distinguer du Conseil de l’Europe – a quant à elle abondé dans le sens de la présidence française. Cette dernière souhaitait mettre en place une plateforme européenne de lutte contre la cybercriminalité, hébergée par EUROPOL[14], et capable de traiter le signalement des infractions commises via internet, y compris en matière de pédopornographie. Le Conseil Justice et affaires intérieures, réuni à Bruxelles les 24 et 25 juillet 2008, a rapidement validé la proposition française. Ce n’est que près de quatre ans plus tard que la Commission européenne a décidé de relancer le projet tout en l’étayant. En effet, le 28 mars 2012, elle proposa d’ériger un Centre européen de lutte contre la cybercriminalité, rattaché à EUROPOL, et véritable centre névralgique de la lutte la criminalité en ligne au sein de l’Union européenne.

 

Ce Centre européen de lutte contre la cybercriminalité (EC3) a finalement vu le jour le 11 janvier 2013. Basé à La Haye aux Pays-Bas et rattaché à EUROPEL, il est depuis cette date opérationnel. Parmi ses missions, il a en charge le soutien des enquêtes criminelles au niveau de l’Union européenne en assurant une coordination optimale des différents services de police et des différentes instances judiciaires.

Notamment, il se concentre sur les activités illicites en ligne menées par des organisations criminelles, spécifiquement sur les attaques dirigées contre les services de banque en ligne ou d'autres activités financières en ligne, l'exploitation sexuelle en ligne des enfants et la criminalité touchant aux infrastructures critiques et aux systèmes d'information de l'Union. Il est aussi chargé du recueil des données relatives à la cybercriminalité, données qui permettront ultérieurement l’élaboration de rapports d’évaluation ou d’anticipation des menaces. Enfin, un service d’assistance (« help desk ») est mis en place par cette nouvelle institution, et dont l’objet est la mise à disposition des unités répressives des Etats membres toutes les données collectées afférentes à la cybercriminalité.

 

En sus de la création de ce nouveau Centre, l’Union européenne a réitéré, dans une communication en date du 7 février 2013, sa volonté de combattre la criminalité sur les réseaux[15]. L’objectif de ce nouveau « plan cybersécurité » est d’aboutir à « un cyberespace ouvert, sûr et sécurisé » respectueux des droits fondamentaux de chacun. De ce fait, l’Union européenne s’assigne cinq objectifs à réaliser : parvenir à la cyber-résilience ; faire reculer considérablement la cybercriminalité ; développer une politique et des moyens de cyberdéfense en liaison avec la politique de sécurité et de défense commune (PSDC) ; développer les ressources industrielles et technologiques en matière de cybersécurité ; instaurer une politique internationale de l'Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l'UE. Nul ne doute que la réalisation de ces objectifs se fera en étroite collaboration avec le très récent Centre européen de lutte contre la cybercriminalité.

 

Ce Centre constitue une réelle avancée dans le domaine de la criminalité en ligne car il dote l’Union de réels pouvoirs pour lutter efficacement contre les actes illicites dématérialisés. Néanmoins, internet ayant par essence une vocation mondiale, ce projet apparaît quelque peu vain puisqu’il cantonne la lutte à une échelle exclusivement européenne. Cela est fortement dommageable lorsque l’on sait que les principales attaques informatiques proviennent de pays extérieurs à l’Union européenne et même, plus globalement, de l’Europe.

 

 

 

 


 

 

[1] Selon une étude de NORTON, les coûts relatifs à la cybercriminalité visant les particuliers à travers le monde s’élèvent à 110 milliards de dollars pour l’année 2012. Son coût en France sur la même période est chiffré à 2,5 milliards de dollars, avec environ 10 millions de personnes touchées. L’analyse de professionnel des antivirus informatiques souligne une recrudescence de la cybercriminalité sur les mobiles (l’essor des smartphones étant certainement lié à ce constat). Voir l’étude de NORTON « Le coût de la cybercriminalité en France estimé à 2,5 milliards d’euros », publiée le 5 septembre 2012, disponible sur : http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20120917_01 (site consulté le 23/02/2013).

[2] Ministère de l’Intérieur français, « Qu'est-ce-que la cybercriminalité? », disponible sur http://www.interieur.gouv.fr/A-votre-service/Ma-securite/Conseils-pratiques/Sur-internet/Qu-est-ce-que-la-cybercriminalite (site consulté le 23/02/2013).

[3] Articles 226-16 à 226-24 du Code pénal.

[4] Articles 323-1 à 323-6 du Code pénal.

[5] La loi pour la confiance dans l'économie numérique (LCEN), n° 2004-575 du 21 juin 2004.

[6] Article 94 du Code de procédure pénale.

[7] Le Code des postes et des communications électroniques contient de nombreuses dispositions concernant, directement ou indirectement, la cybercriminalité (voir par ex. l’article L. 39). De même, d’autres lois, telles que la loi du 15 novembre 2001 relative à la sécurité quotidienne ou la loi du 23 janvier 2006 relative à la lutte contre le terrorisme traitent de ce sujet.

[8] Articles L. 335-1 à L. 335-12 du Code de la propriété intellectuelle.

[9] Préexistent en France un grand nombre d’organismes ou d’autorités compétentes dans le domaine de la cybercriminalité. Leurs compétences sont parfois communes, ce qui là encore engendre un certain flou juridique. On peut notamment relever le département de lutte contre la cybercriminalité au sein du service technique de recherches judiciaires et de documentation (STRJD), créé dès 1998 et rattaché à la gendarmerie ; l’office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), relevant de la police et du ministère de l’Intérieur, ou encore l’office central pour la répression des violences aux personnes (OCRVP), compétent pour certaines infractions commises sur le réseau.

[10] Convention sur la cybercriminalité, Budapest, 23 novembre 2001, disponible sur http://conventions.coe.int/treaty/fr/Treaties/Html/185.htm (site consulté le 23/02/2013). La France est signataire de cette Convention.

[11] Sont ainsi comprises : la collecte en temps réel des données relatives au trafic et l'interception de données relatives au contenu, la conservation des données stockées, la conservation et divulgation rapide des données relatives au trafic, la perquisition des systèmes et la saisie de données informatiques.

[12] Protocole additionnel à la Convention sur la cybercriminalité, relatif à l'incrimination d'actes de nature raciste et xénophobe commis par le biais de systèmes informatiques, 28 janvier 2003, disponible sur :

http://conventions.coe.int/treaty/fr/Treaties/Html/189.htm (site consulté le 23/02/2013).

[13] La Convention sur la cybercriminalité est en vigueur au sein de différents Etats (39 Etats au total sont parties au traité, mais seuls 18 l’ont effectivement ratifiés et intégrés dans leurs ordres juridiques).

[14] EUROPOL est un office de police criminelle intergouvernemental dont l’objet est de faciliter l'échange de renseignements entre Etats membres de l’Union européenne, notamment en matière de criminalité internationale, de terrorisme ou de pédophilie.

[15] Union européenne, « Un plan de cybersécurité de l'UE pour protéger l'internet ouvert et les libertés en ligne », communiqué de presse, 7 février 2013, disponible sur http://europa.eu/rapid/press-release_IP-13-94_fr.htm (site consulté le 23/02/2013).

 

Autres Actualités

+
d'actualités
juridiques
Droit des TICDroit des médiasDroit de l'informatiqueProtection de la vie privéePropriété intellectuelle

Nos Formations Solution CIL