MASTER 2 « DROIT DU MULTIMEDIA ET DES SYSTEMES D’INFORMATION »

Mme V. JAWORSKI.

Mlle S. CORIOLAND

DROIT PENAL DE L’INTERNET

-ASPECTS DE FOND ET DE PROCEDURE-

Avertissement : Les règles et principes généraux rappelés dans le module « Remise à niveau en droit

pénal » sont applicables à la matière spécifique du droit pénal de l’Internet. Le présent module a pour

objet de présenter de manière schématique –mais non exhaustive- la problématique particulière de la

cybercriminalité, ainsi que ses particularités tant sur le plan du droit pénal de fond que dans ses

aspects procéduraux.

PLAN DU COURS DE DROIT PENAL DE L’INTERNET

I- L’Internet : un « espace de droit pénal » ou « zone de non droit » ?

1- Définition de la « cybercriminalité »

2- Problématique spécifique à la criminalité sur l’Internet

II- La criminalité sur l’Internet : le problème des « infractions transfrontières »

1- Les règles de fond

2- Les règles de procédure

III- L’action de la France contre la cybercriminalité

A- Panorama des principales infractions

1- Les infractions directement liées aux TIC

2- Les infractions facilitées par l’utilisation des TIC ou liées à l’utilisation des TIC

B- Des règles de procédure spécifiques

C- La lutte institutionnelle

IV- La lutte contre la cybercriminalité au niveau européen

A- L’action du Conseil de l’Europe

B- L’action de l’Union européenne

1- Les actions normatives

2- La lutte institutionnelle

V- La lutte contre la cybercriminalité sur le plan international

1- L’action de l’OCDE

2- INTERPOL

3- La SCCOPOL

4- SCHENGEN

3

I- L’Internet : un « espace de droit pénal » ou « zone de non droit » ?

= Problématique de départ : compatibilité entre Internet et le droit.

A n’en pas douter l’Internet constitue un espace de liberté, mais est-ce un espace de

liberté totale ? Une telle situation, dans l’affirmative, présenterait des risques évidents et

graves de déviances en tout genre.

Le problème est qu’Internet entretient une mythologie libertaire : Internet serait une zone de

non droit, où l’on pourrait se défouler et sur laquelle tout est permis. Sur Internet, point de

diffamation, point de contrefaçon !!!

Or la réalité est autre : l’Internet n’est pas un espace de liberté totale. Certains

comportements peuvent être source de responsabilité pénale (et / ou civile).

Mais l’Internet est un environnement dans lequel la diversité des contenus rend

difficile de mettre en œuvre une régulation autoritaire et centralisée. La problématique

spécifique à l’Internet (2) rend particulièrement malaisée la lutte contre cette nouvelle forme

de délinquance que l’on nomme « cybercriminalité » (1).

1- Définition de la « cybercriminalité »

La cybercriminalité est l'ensemble des infractions pénales qui se commettent sur le réseau

Internet. (définition posée par l’ONU : tout comportement illégal faisant intervenir des

opérations électroniques qui visent la sécurité des systèmes informatiques et des données

traitées. Rapport 2005).

Elle désigne à la fois :

- les attaques de tout type sur des systèmes informatiques : virus, tentatives

d’intrusion...

- la diffusion de contenus illégaux : diffusion d’images pédophiles, de méthodes pour

se suicider, de recettes d'explosifs ou d’injures raciales

- l’usurpation d’identité en ligne : fraude à la carte de crédit (utilisation par autrui

sans le consentement du propriétaire de la carte bancaire)

- l’escroquerie en ligne (vente par petites annonces ou aux enchères d’objets volés ou

encaissement d’un paiement sans livraison de la marchandise), le cyber-blanchiment

d’argent

- les atteintes à la propriété intellectuelle (par des échanges de particulier à particulier

– « peer to peer « , streaming ou téléchargements illégaux…)

Le développement d’Internet a entraîné celui d’une nouvelle forme de délinquance,

qui, en utilisant les Nouvelles Technologies de l’Information et de la Communication

(NTIC), menace tout à la fois les individus, les entreprises et les Etats.

Le développement des nouvelles technologies rend plus complexe le traitement judiciaire des

infractions de toute nature, certains faits pouvant être commis hors du territoire national ou

s’inscrivant dans un contexte plus large de criminalité organisée, ce qui rend parfois difficile

l’identification des auteurs. En conséquence, les victimes d’actes de cybercriminalité portent

rarement plainte. Les raisons tiennent à la difficulté, d’une part, d’identifier le ou les auteurs

des infractions sur Internet et, d’autre part, de collecter les preuves desdites infractions.

Au regard de ces nombreuses difficultés, il s’agit donc d’un domaine appelé à

connaître de nombreuses évolutions sur le plan technique, législatif et jurisprudentiel. Ceci est

4

d’autant plus important que les enjeux liés à l’Internet sont multiples : protection des droits

fondamentaux et des libertés individuelles, responsabilité des intermédiaires techniques,

compétence et loi applicable au regard du droit international.

S’agissant de la protection des droits et des libertés, certains ont souhaité qu’Internet

constitue un espace de liberté totale non soumis au droit. En réalité, le monde virtuel n’est pas

un espace de non droit et pour l’essentiel, les lois existantes suffisent à assurer cette

protection1. C’est ainsi qu’un message raciste ou révisionniste sera sanctionné qu’il soit

diffusé sur l’Internet ou à la radio. Il en va de même s’agissant d’une diffusion diffamatoire

ou d’une diffusion violant des droits d’auteurs. Internet est aussi protégé par le droit. Ainsi,

une correspondance échangée par le biais d’un courrier électronique sera protégée par le

secret, comme une lettre envoyée par la poste (ex : consultation des e-mails des salariés par

leurs employeurs).

Face à ce qu’il est convenu d’appeler la "cybercriminalité", les Etats réagissent. Ainsi,

aux Etats-Unis, après trois mois d’enquête, les autorités ont réussi un vaste coup de filet dans

le milieu du cyber-crime, pour des affaires présumées de Spam, de phishing (usurpation

d’identité via de faux sites) et autres escroqueries en ligne (opération « Web Snare »). Un

succès néanmoins à relativiser lorsque l’on sait que les attaques de type phishing ont

augmenté de 800 % sur les six premiers mois de l’année 2006.

La cybercriminalité pose ainsi de nouveaux défis aux Etats, rendant nécessaire une

coopération internationale accrue. Elle n’implique pas seulement le droit pénal, mais aussi

l’éducation des usagers d’Internet, la mise en place de systèmes de sécurité, et la coopération

entre Etats, entreprises et société civile. Dans cette optique, du 15 au 17 septembre 2004 s’est

tenue à Strasbourg une conférence du Conseil de l’Europe sur ce thème. Cette conférence

entendait promouvoir la Convention du Conseil de l’Europe sur la Cybercriminalité, qui

constitue le premier texte international à traiter de cette question. Cette convention du 23

novembre 2001 enjoint notamment aux Etats-membres d’incriminer, entre autres, les

comportements « se rapportant à la pornographie enfantine ». Depuis, cette convention a été

complétée par un protocole additionnel concernant l’incrimination d’actes racistes et

xénophobes le 30 janvier 2003.

2- Problématique spécifique à la criminalité sur l’Internet

L’immatérialité est ce qui caractérise l’Internet. Ce dernier véhicule des biens

immatériels, choses que l’on ne peut pas toucher, qui n’ont pas de consistance physique, tels

que les données informatiques, les systèmes de traitement des données, les sites et leur

contenu, fichiers, logiciels, bases de données, programmes, ou encore le temps de connexion,

l’électricité, l’énergie…

Actuellement, l’opinion générale s’accorde à en avoir une vision dégradée : l’Internet

serait avant tout un moyen pour les néo-nazis, pédophiles, terroristes et personnes mises en

examen d’échapper aux rigueurs de la loi. Si l’Internet constitue une richesse collective pour

la communauté internationale, il présente de nombreux risques de dérapages au regard des

règles de protection des mineurs, des consommateurs ou des auteurs.

1 Rapportde Bercy du 25 février 2005 : « Si Internet est un espace de liberté, cette liberté ne saurait être

absolue ».

5

En facilitant les communications et la diffusion d'informations à l'échelle planétaire, Internet

favorise la commission d'infractions et apparaît comme le vecteur d'une nouvelle forme de

délinquance contre laquelle l'application de notre droit pénal bute pour identifier les auteurs,

eu égard à cette dimension internationale.

Deux problèmes sont ainsi à combiner :

1° Les agissements délictueux sont innombrables : diffusion d'images pornographiques (la

brigade norvégienne de lutte contre la criminalité informatique a identifié 6000 sites

pornographiques), messages racistes, reproduction d'une œuvre sans l'accord de son auteur,

diffamations, injures, atteintes à la vie privée, etc…

2° Les infractions commises sur Internet posent très souvent un problème de droit pénal

international, car elles présentent un élément d’extranéité. Les infractions transfrontières

sont de plus en plus nombreuses, ce qui entraîne une application des règles de droit pénal

international.

Le problème crucial posé par l’Internet réside dans la généralisation de

l’internationalisation des infractions commises. Techniquement, le cheminement des

informations entre le point émetteur et le point récepteur est difficilement reconstituable.

L’immense quantité d’informations traitées alliée à la quasi-instantanéité des transferts

soulève de nombreuses questions, telles que celles de l’application de la loi pénale dans

l’espace, de la désignation du ou des responsables, de la constatation des infractions et de leur

preuve...

La difficulté tient à ce qu'Internet nous confronte à l'hétérogénéité des systèmes juridiques à

l'échelon de la planète : ce qui est répréhensible en France ne l'est pas nécessairement

ailleurs. Ainsi, de nombreux sites révisionnistes ont été créés aux Etats-Unis, où ce type de

messages ne fait l’objet d’aucune interdiction en vertu du 1er

amendement de la Constitution

américaine qui garantit un droit d’expression quasi-illimité. Or ces sites sont consultables en

France. A l’inverse, certaines interdictions pénalement sanctionnées sont prévues par des

législations étrangères, sans l’être par la loi française. Ainsi, le droit coranique interdit toute

représentation du Prophète sous peine de sanctions religieuses et pénales.

Cette dimension internationale, caractérisée par un manque d’harmonisation des législations

nationales, constitue une entrave majeure à la coopération judiciaire internationale, sans

laquelle une répression efficace semble impossible.

Une autre difficulté majeure tient à la preuve des infractions commises. La preuve de la

connexion sur un site est extrêmement difficile à établir. Ainsi, en droit pénal français, tout

mode de preuve est recevable (art. 427 CPP qui consacre le principe de la liberté de la

preuve). Cependant, dans l’environnement numérique, les preuves s’avèrent particulièrement

difficiles à rapporter. C’est le cas par exemple lorsqu’un internaute commet des infractions

sur l’Internet mais n’en garde aucune trace sur son disque dur. Dans une telle hypothèse, la

chambre criminelle de la Cour de cassation, dans un arrêt en date du 5 janvier 2005, a

considéré que la production par les autorités de poursuite des « fichiers temporaires »

retrouvés sur le poste n’était pas en l’espèce une preuve suffisante de l’infraction, car leur

enregistrement est automatique et ne peut donc pas caractériser une intention de copier de la

part de la personne poursuivie.

Il est intéressant de constater que les autorités policières françaises ont mis au point des

formations spécifiques des personnels de la police face à cette nouvelle forme de délinquance.

Un des moyens de preuve des infractions commises consistant à saisir le disque dur des

6

ordinateurs et à l'analyser, des compétences techniques de haut niveau sont désormais

indispensables. En effet, les investigations doivent préserver la preuve des données et faire

appel à des techniques probatoires sûres : démarrage de l’ordinateur à partir d’une disquette

pour éviter tout risque de destruction des données par des fichiers pièges, logiciels d’enquête

interdisant la réécriture ou la modification des contenus, etc…

L’aspect immatériel de l’Internet ne doit pas être un frein à la répression. Une analyse

globale des outils juridiques tant nationaux, qu’européens et internationaux, permet d’affirmer

que le droit est bien présent sur l’Internet. Ainsi, le corpus juridique français semble disposer

des incriminations nécessaires à la sanction de la cybercriminalité. Il est possible d’affirmer

qu’il n’y a pas de vide juridique en matière pénale concernant l’Internet.

Ce qui pose véritablement problème, c’est sa bonne application. Le débat est donc

mal posé. Ce qu’il faut se demander c’est : comment faire respecter de façon efficace le droit

sur l’Internet ?

Dans cette optique, la lutte doit s’organiser à trois niveaux :

- au niveau national (III)

- au niveau européen (IV)

- au niveau international (V)

Elle suppose avant tout de régler le problème d’extranéité que pose dans la plupart des cas la

criminalité sur l’Internet, qui relève donc des règles de droit pénal international (II).

II- La criminalité sur l’Internet : le problème des « infractions transfrontières »

Ou la question de la compétence juridictionnelle et de la loi applicable (cette

question a été traitée de manière détaillée dans le module « Remise à niveau en droit

pénal »)

Par nature, l’Internet est un réseau international. Plusieurs législations nationales

sont donc susceptibles de s’appliquer.

En droit pénal, le conflit ne concerne que la compétence juridictionnelle et la question qui se

pose est la suivante : quand la juridiction pénale française est-elle compétente ?

Cette question est fondamentale car déterminante de la loi pénale applicable. Par exemple,

dans certains pays anglo-saxons, les discours d’incitation à la haine raciale sont tolérés au

nom de la liberté d’expression, alors qu’ils sont poursuivis en France car attentatoires à la

dignité humaine.

Une fois cette question résolue et la compétence des juridictions pénales françaises reconnues,

ne se pose pas la question de la loi pénale applicable, car le principe est le suivant : le juge

pénal français applique systématiquement sa propre loi pénale, à savoir la loi pénale

française. C’est le principe de solidarité des compétences juridictionnelle et législative.

Il est à noter que le droit pénal français bénéficie de règles attributives de compétence

particulièrement larges et attractives, qui permettent d'appréhender juridiquement la

plupart des contenus ou comportements délictueux sur l’Internet. Nous verrons donc les règles

de fond applicables (1), avant de voir les règles de procédure (2).

1- Les règles de fond

7

L’analyse qui suit conduit à différencier le lieu de réalisation matérielle de l'infraction

(lieu du fait générateur), de celui où les effets se produisent (lieu du résultat). Ainsi, cela

donne une large compétence au juge national français. Examinons attentivement trois articles

du Code pénal (rédaction applicable au 1er

mars 1994) :

1° La loi pénale française est applicable aux infractions commises sur le territoire de la

République : article 113-2 al.1 CP.

L'infraction est réputée commise sur le territoire de la République dès qu'au moins un

de ses faits constitutifs a au lieu sur ce territoire, c’est-à-dire dans l'espace maritime, terrestre

ou aérien de la République française (article 113-2 al. 2 CP).

Pour un acte de complicité commis en France, bien que le crime ou le délit ait été

commis à l'étranger, le complice pourra être poursuivi en France si le fait principal est puni

par la loi française et étrangère (article 113- 5 CP).

Ces trois textes du Code pénal nous permettent de déduire aisément que la loi pénale

française s’applique dès lors que la réception par l'utilisateur sur le territoire français

constitue un élément de l'infraction en application de l'article 113-2 du Code pénal.

Ainsi, dans le cas d'un message litigieux disponible sur le réseau Internet, et ce, quelle que

soit sa source dans le monde, la loi française est applicable.

C’est bien ce qu’a décidé la Cour d’appel de Paris, 11e chambre, dans l’affaire Yahoo (arrêt

du 17 mars 2004), concernant la vente aux enchères d’objets nazis caractérisant l’élément de

publicité nécessaire au délit d’apologie de crime de guerre. La Cour a précisé que le juge

pénal français est compétent dès lors qu’un message, émanant d’un serveur localisé à

l’étranger, peut être perçu par les internautes sur le territoire français. La réception du site en

France suffit au sens de l’article 113-2 CP pour justifier la compétence du juge pénal français.

La Cour d’appel a ainsi donné compétence aux tribunaux français et à la loi française en

précisant que « l’élément constitutif essentiel de l’infraction, en droit de la presse, est la

publicité qui peut revêtir plusieurs formes en fonction du vecteur de communication ; (…)

qu’en l’espèce, il est établi que la société Yahoo a continué à diffuser, malgré les décisions du

juge des référés (…), permettant ainsi aux internautes installés en France, et en particulier

dans le ressort du TGI de Paris, de visualiser sur l’écran de leur ordinateur les services et

sites incriminés ».

2° La loi pénale française est applicable aux infractions commises hors du territoire de

la République dans les situations suivantes :

- pour les crimes commis par un Français : article 113-6 al. 1 CP

- pour les délits punis par la législation du pays où ils ont été commis par un Français : article

113-6 al. 2 CP

N.B. : une jurisprudence constante considère que la juridiction française est compétente pour

connaître des faits commis par un étranger dès lors que ces faits forment un tout indivisible

avec les infractions imputées en France à cet étranger et dont elle est également saisie.

- pour les crimes et délits punis d’emprisonnement commis à l’encontre d’un Français :

article 113-7 CP

Ainsi en matière pénale, par l’application de ces textes, il est aisé de comprendre qu’il

n’existe pas de vide juridique pour engager la responsabilité pénale des acteurs du net. Le

droit pénal général est largement applicable à Internet.

2- Les règles de procédure

8

En matière d’infractions commises via Internet, il n’existe pas de parquet à

compétence nationale. Les critères de compétence territoriale de droit commun

demeurent.

Ce qui fait que le droit pénal est particulièrement attractif en matière d’Internet, c’est la règle

attributive de compétence suivante : le tribunal compétent est celui du lieu de l'infraction

(commission ou constatation des faits), celui de la résidence du prévenu ou du lieu

d'arrestation, voire du lieu de détention.

Comme nous l’avons vu, la loi pénale française s’applique dès lors que la réception

par l'utilisateur sur le territoire français constitue un élément de l'infraction en application de

l'article 113-2 du Code pénal. Ainsi, le lieu de l’infraction pouvant tout à fait être le lieu de

réception du message litigieux, la juridiction française est compétente.

III- L’action de la France contre la cybercriminalité

A – Panorama des principales infractions

Lorsque l’on parle de droit pénal de l’Internet, on pense en premier lieu aux

infractions spécifiques à l’informatique et commises via l’Internet. Or l'application des

dispositions pénales aux fraudes informatiques se heurte à une difficulté principale tenant

à la preuve. En effet, ces infractions sont très difficiles à découvrir et souvent la connaissance

de ces agissements illicites relève du hasard.

La loi "Informatique et Libertés" en date du 6 janvier 1978 fut ainsi adoptée pour punir

ces comportements délictueux et organiser un contrôle par la Commission Nationale de

l'Informatique et des Libertés (CNIL), afin de veiller à la stricte application de ces

nouvelles dispositions. La C.N.I.L. est une autorité administrative indépendante, composée de

17 membres, qui disposent d'un pouvoir règlementaire.

La loi de 1978 a été modifiée récemment par la loi du 6 août 2004 qui tend à mettre

en oeuvre la directive européenne du 24 octobre 1995 relative à la protection des

personnes physiques à l'égard du traitement des données à caractère personnel et à la

libre circulation de ces données. Le texte consacre la liberté de circulation des données à

l’intérieur de l’Union européenne en réduisant les divergences entre les législations nationales

sur la protection des données.

Ce texte limite le contrôle a priori des fichiers par la CNIL pour lui substituer le plus souvent

un contrôle a posteriori. Les pouvoirs d'investigation ou d'accès aux données de la

Commission ainsi que ses possibilités effectives d’intervention seront, en contrepartie,

renforcées. La CNIL disposera de pouvoirs de sanction administrative graduée allant du

simple avertissement jusqu’aux sanctions pécuniaires.

Cette loi, aujourd'hui intégrée au Code pénal (articles 226-16 et suivants), permet de

sanctionner les atteintes aux droits des personnes.

Mais au-delà de ces dispositions spécifiques, il faut souligner qu'il est nécessaire de

recourir aux textes du droit pénal classique - par opposition au droit pénal de l'informatique -

pour réprimer d'autres comportements frauduleux qui ont pour support l'ordinateur et dont les

manifestations contemporaines les plus marquantes sont les atteintes aux mœurs.

9

La fragilité de l'outil informatique conduit le législateur à tenter d'assurer la plus

grande sécurité, afin d'éviter les fraudes qui prennent des formes diverses : piratage

informatique, création de compte bancaire ou d'assuré social purement fictif, contrefaçon,

destruction de système par l'introduction de "virus", intrusion dans la vie privée ou atteintes

aux mœurs … Il n'est donc pas surprenant que le droit pénal trouve application dans ce

domaine pour sanctionner les différents agissements frauduleux portant notamment atteinte

aux droits des personnes.

La fraude informatique, c'est-à-dire l'ensemble des agissements répréhensibles relatifs

aux systèmes de traitement automatique d'informations, est un concept protéiforme.

Cependant, il apparaît que l'on peut opposer les biens informatiques qui sont l'objet de

fraudes, l’objet d’infractions (sabotage, piratage, destruction de données…) et les biens

informatiques qui sont le moyen de la fraude, le moyen d’infractions. L'ordinateur

connecté à l’Internet sert alors de vecteur à la réalisation de l'infraction et permet de réaliser

des atteintes aux droits des personnes.

Ainsi, l'utilisation de l'ordinateur peut donner lieu à des agissements malhonnêtes, dont il

importe de savoir s'ils peuvent recevoir une qualification pénale. Il serait vain de faire

l'inventaire de toutes les dispositions pénales applicables. En effet, la plupart des

comportements incriminés par le Code pénal peuvent être commis par le biais de

l'informatique : abus de confiance, escroquerie, faux, détournement, contrefaçon, atteintes à la

paix publique … Cependant, des textes spécifiques intégrés aujourd'hui au Code pénal, les

articles 226-16 et suivants, ont été créés pour sanctionner des comportements particuliers

relatifs "aux atteintes aux droits de la personne résultant des fichiers ou des traitements

informatiques".

La cybercriminalité recouvre donc schématiquement deux catégories d’infractions :

d’une part, les cas où l’infraction est directement liée aux TIC. Ce sont les infractions

purement informatiques, c’est-à-dire celles relevant de la criminalité informatique

(1). Ces infractions sont prévues par les lois du 6 janvier 1978 et du 5 janvier 1988. Il

s’agit d’infractions où l’informatique est l’objet même de l’acte délictueux.

d’autre part, les cas où la commission de l’infraction est facilitée ou liée à l’utilisation

des TIC. Ce sont les infractions de droit commun, contenues dans le Code pénal et

commises au moyen de l’Internet (2). Il s’agit d’infractions où l’informatique est le

moyen de commission de l’acte délictueux.

1- Les infractions directement liées aux TIC

Il s'agit essentiellement de toutes les infractions portant atteinte soit aux systèmes de

traitement automatisé de données (STAD), soit à la confidentialité, à l'intégrité ou à la

disponibilité des données d'information. La législation française réprime les agissements

suivants, contenus dans le Code pénal :

1° Les atteintes aux systèmes de traitement automatisé de données (STAD)

Ce sont les fraudes informatiques, prévues par la loi du 5 janvier 1988, dite loi

« Godfrain ». Cette loi vise à assurer la sécurité des systèmes d’information.

10

Au sens de la décision du Conseil de l’Europe du 31 mars 1992, « la sécurité des

systèmes d’information est reconnue comme une qualité partout nécessaire dans une société

moderne ». La récente convention du Conseil de l’Europe sur la cybercriminalité invite à

incriminer les comportements portant atteinte à la confidentialité, à l’intégrité et à la

disponibilité des données et systèmes informatiques.

* Constituent des infractions :

- L'accès ou le maintien frauduleux dans tout ou partie d’un système de traitement

automatisé de données (art. 323-1, al. 1 du C.P.), qui est puni de 2 ans d'emprisonnement et

de 30.000 € d'amende. Lorsqu’il en est résulté soit la suppression ou la modification de

données contenues dans le système, soit une altération du fonctionnement du système, les

peines sont aggravées et portées à 3 ans d’emprisonnement et 45.000 € d’amende.

Concrètement est ainsi incriminé le fait d’accéder dans tout ou partie d’un STAD par

forcement d’un dispositif (hacker), l’utilisation d’un code d’accès, l’introduction d’un

logiciel, l’utilisation d’un décodeur d’accès à une émission cryptée, l’utilisation d’une clé ou

du code d’accès à une carte bancaire ou à une monnaie électronique.

Tout accès sans droit est réprimé (CA Paris, 5 avr. 1994, PA 1995, n° 80, p. 13, note

Alvarez).

Le terme « système » est large et recouvre par exemple un site Internet, une base de données,

un CD Rom…

Cette incrimination était nécessaire dans la mesure où l’interprétation stricte des textes de

droit pénal interdisait de poursuivre le « vol » de temps de machine.

Ex : Dans une affaire très médiatisée, un informaticien, Serge Humpich, qui avait démontré la

fragilité du système des cartes de crédit s’est vu condamné (Trib. Corr. Paris, 25 févr. 2000,

D. 2000, IR 99 et confirmé par CA Paris, 18 déc. 2000).

Dans une autre affaire aux faits sensiblement identiques, et dans laquelle l’introduction dans

le système avait aussi été faite « sciemment », une condamnation à un emprisonnement avec

sursis et à une amende de 1.000 € a été prononcée (Trib. Corr. Paris, 13 févr. 2002, CCE

2002, n° 72, obs. Grynbaum).

Dans l’affaire Kitetoa, la question a été posée de savoir s’il y a accès frauduleux alors que le

fichier litigieux était accessible par la seule utilisation des fonctionnalités de navigation. Il a

été jugé qu’il n’y avait pas accès frauduleux dès lors que celui-ci est réalisé par la simple

utilisation d’un logiciel grand public avec ajout d’un plug in (CA Paris, 30 oct. 2002,

Expertises 2003, p. 36).

Le tribunal correctionnel du Mans, dans un jugement du 7 novembre 2003, a jugé que falsifier

l’adresse e-mail de son ex-employeur pour faire un spamming dénigrant constituait un accès

frauduleux.

Le même article incrimine aussi le maintien frauduleux dans un STAD lorsque l’on y a

eu accès licitement. Ainsi par exemple du dispositif permettant de se maintenir au-delà du

temps prévu dans une connexion, du fait de contrefaire une œuvre protégée par représentation,

de « voler » du temps de machine…

Ex : utilisation des codes d’accès pour accéder à la banque de données alors que désormais le

salarié travaille pour une entreprise concurrente (Cass. crim., 3 octobre 2007, AJ Pén. 2007,

p. 535).

Lorsque l’accès ou le maintien frauduleux a provoqué soit la suppression ou la

modification de données contenues dans le système, soit une altération du

11

fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45 000 €

d’amende en vertu de l’article 323-1, alinéa 2, du code pénal.

A noter que la suppression ou la modification de données comme l’altération du

fonctionnement du système sont involontaires. Cela signifie que le simple constat de la

suppression, modification ou altération suffit et permet d’appliquer cette circonstance.

- Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 du C.P.),

qui est puni de 5 ans d'emprisonnement et de 75.000 € d'amende.

Le texte utilise un langage non informatique pour une application informatique, ce qui pose

des problèmes d’interprétation (en effet, pas de définition du terme « fausser ». On s’accorde

généralement pour dire qu’il s’agit d’une altération du système).

Ainsi, on peut affirmer que le fait d’introduire un virus dans le STAD tombe sous le coup de

cette incrimination.

C’est ce qu’a jugé le tribunal correctionnel de Paris, dans une décision du 24 mai 2002 : le

spammeur qui, par logiciel, avait bloqué les serveurs de Noos en envoyant des centaines de

milliers de messages, a été condamné à un mois d’emprisonnement avec sursis (v. aussi :

Trib. Corr. du Mans, 7 nov. 2003, Legalis.net).

En outre, la jurisprudence retient que la simple introduction du virus dans le serveur

informatique suffit à caractériser l’intention de l’auteur des faits.

- L'introduction, la suppression ou la modification frauduleuse de données dans un

système de traitement automatisé (art. 323-3 du C.P.), qui est puni de 5 ans

d'emprisonnement et de 75.000 € d'amende.

L’exigence de fraude entraîne que le fait d’effacer des données contenues sur un disque dur en

copiant des fichiers personnels n’est pas suffisant pour constituer le délit (crim., 25 mai

2004).

Cette incrimination doublonne avec celle de l’article 323-2, ce qui crée un concours

idéal de qualifications (cf. remise à niveau).

- L’article 323-3-1 (créé par la LCEN) incrimine le fait d’importer, de détenir, d’offrir,

de céder ou de mettre à disposition un équipement, un instrument, un programme

informatique ou toute donnée conçus ou spécialement adaptés pour commettre les faits

prévus par les articles 323-1 à 323-3 du code pénal.

Ce texte opère la transposition d’une exigence d’une directive européenne

« concernant la protection juridique des services à accès conditionnel ».

La création d’une infraction autonome permet ainsi d’éviter d’avoir à passer par le filtre

incertain de la complicité par fourniture de moyens. Les instruments permettant la captation et

donc le vol d’informations sont concernés par ce texte. De même sont visés les créateurs de

virus et le contournement des mesures de protection technique.

Une rédaction trop large du texte aurait risqué de permettre des poursuites pénales contre la

simple publication d’informations relatives à la vulnérabilité de certains dispositifs

techniques. C’est pourquoi le texte restreint le champ d’application de l’infraction et punit

uniquement quiconque a agi « sans motif légitime ».

Cette infraction est punie des peines prévues pour l’infraction pour laquelle le programme ou

équipement a été conçu ou des peines prévues pour l’infraction la plus sévèrement réprimée

lorsque le programme peut servir à commettre plusieurs des infractions mentionnées aux

articles 323-1 à 323-3 du code pénal.

12

- La participation à un groupement formé ou à une entente établie en vue de commettre

un délit informatique (art. 323-4 du C.P.), qui est puni des mêmes peines prévues par les

articles 323-1 à 323-3.

Le texte incrimine l’association de malfaiteurs informatiques (vise les groupes de

hackers), ce qui permet d’atteindre des individus échangeant des informations relatives à des

projets malfaisants lorsqu’il n’y a eu ni recel, ni tentative, ni complicité.

En outre, le Code pénal prévoit la répression de la tentative de délit informatique

(art. 323-7 du C.P.) et la responsabilité pénale des personnes morales (art. 323-6 du C.P.).

***

2° Les atteintes aux droits de la personne résultant des fichiers ou des traitements

informatiques de données personnelles2

Elles sont prévues par la loi « Informatique et Libertés » du 6 janvier 1978. Cette

loi de 1978 relative à l'informatique, aux fichiers et aux libertés, a été modifiée par la loi

n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des

traitements de données à caractère personnel. Elle détermine un certain nombre

d’infractions, repris par les articles 226-16 à 226-24 du Code pénal.

Avant même de chercher à protéger la technique informatique, la société française a

voulu, dès 1978, se préserver de l'informatique... L'article 1er

définit clairement l'esprit de la

loi : « L'informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à

l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou

publiques ».

* Constituent ainsi des infractions :

- Art. 226-16 : « Le fait, y compris par négligence, de procéder ou de faire procéder à des

traitements de données à caractère personnel sans qu'aient été respectées les formalités

préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et

de 300 000 Euros d'amende ». Ici, l’infraction se constitue indépendamment de toute intention

puisque le texte précise « y compris par négligence ». La faute non intentionnelle est donc

suffisante.

En application de ce texte, un spammeur a été condamné pour non déclaration à la

CNIL du fichier d’adresses personnelles qu’il utilisait : Trib. Corr. Paris, 6 juin 2003.

- Le fait de procéder à un traitement automatisé d'informations nominatives sans

prendre toutes les précautions utiles pour préserver la sécurité de ces informations (art.

226-17 du C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 € d'amende.

2 La loi du 6 août 2004 définit ce qu’il faut entendre par traitement de données à caractère personnel :

« constitue un traitement de données à caractère personnel toute opération ou ensemble d’opérations portant

sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation,

la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication

par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion,

ainsi que le verrouillage, l’effacement ou la destruction ».

13

C’est la légèreté coupable dans la gestion qui est ici incriminée. Ainsi, dans une

décision en date du 19 décembre 1995, la chambre criminelle de la Cour de cassation a

condamné le gestionnaire dans un cas où un homonyme avait été fiché comme mauvais

payeur.

Mais il a été jugé que le fait que les secrétaires et médecins d’un syndicat puissent

accéder aux informations nominatives de patients clients d’autres médecins n’était pas

contraire, en raison du secret médical, à l’article 226-17 (crim., 30 oct. 2001, Gaz. Pal. 2002,

p. 40). En revanche, le fait que des tiers non autorisés puissent avoir assez facilement accès à

ces informations, en raison de l’insuffisance de formation délivrée au personnel du syndicat,

entre dans la prévention de l’article 226-17.

L’obligation de sécurité informatique suppose d’installer des firewalls, mot de passe,

anti-virus, mais aussi, si nécessaire, d’assurer une formation du personnel. Pour un traitement

d’informations nominatives, la CNIL demande si de telles mesures ont été prises.

- La collecte par un moyen frauduleux, déloyal ou illicite de données nominatives (art.

226-18 du C.P.), qui est punie de 5 ans d'emprisonnement et de 300.000 € d'amende.

La Cour de cassation a eu l’occasion de donner un exemple de ce qu’est

l’interprétation restrictive en droit pénal au regard d’un texte qui n’explicite pas les termes

« moyen déloyal ou illicite » : la collecte en vue de constituer non un fichier mais un dossier

ne tombe pas sous le coup de ce texte (crim., 3 nov. 1987). La nouvelle mouture, introduite

par la loi du 6 août 2004, n’améliore pas la rédaction du texte, si ce n’est que le nouvel article

226-18-1 précise que l’infraction est constituée lorsqu’il y a traitement des données

nominatives malgré l’opposition d’une personne, notamment lorsqu’il s’agit de

prospection commerciale.

- Le fait de mettre ou de conserver en mémoire informatisée, sans l'accord exprès de

l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître

les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les

appartenances syndicales ou les moeurs des personnes (art. 226-19 du C.P.), qui est puni

de 5 ans d'emprisonnement et de 300.000 € d'amende.

Ainsi, la mise en conservation de certaines données sensibles réalise un délit. Il existe

néanmoins deux exceptions à cette règle : si un texte autorise la mise en conservation (par

exemple pour certaines Administrations) ou si la personne visée a donné son consentement

par écrit.

Ainsi, un jeune homme a été condamné pour avoir stocké des images pornographiques de son

ancienne petite amie (Trib. Corr. Privas, 3 sept. 1997, PA 11 nov. 1998, p. 19, note

Frayssinet).

- Le fait de conserver des informations sous une forme nominative au-delà de la durée

prévue par la demande d'avis ou la déclaration préalable à la mise en oeuvre du

traitement informatisé (art. 226-20 du C.P.), qui est puni de 5 ans d'emprisonnement et de

300.000 € d'amende.

- Le détournement d'informations à l'occasion de leur enregistrement, de leur

classement, de leur transmission ou de toute autre forme de traitement (art. 226-21 du

C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 € d'amende. En pratique, ce texte

est assez peu appliqué

14

Ainsi, des ex-agents EDF ayant vendu un fichier à des sociétés d’assurances ont été

condamnés pour détournement d’informations de leur finalité (CA Paris, 1er

sept. 1998, JCP

éd. E 1998, 1620).

- La divulgation de données nominatives portant atteinte à la considération de l'intéressé

ou à l'intimité de sa vie privée (art. 226-22 du C.P.), qui est punie de 5 ans

d'emprisonnement et de 300.000 € d'amende.

Ainsi, la révélation à des compagnies d’assurances de clients profilés comme à risques (CE

Rennes, 13 janv. 1992, D. 1994, som. 287).

Lorsque la divulgation a été commise par imprudence ou négligence, les peines

sont diminuées à 3 ans d’emprisonnement et 100.000 € d’amende.

=> La poursuite du chef de ces délits n’est possible que sur plainte préalable de la victime.

- L’article 226-22-1 du CP permet de réprimer l’exportation de fichiers dans des pays

hors CE qui ne présentent pas un niveau de protection suffisant. Il s’agit d’un délit

sanctionné de 5 ans d’emprisonnement et de 300.000 € d’amende.

Au titre des sanctions de ces différentes infractions, l’article 226-22-2 du Code pénal

permet, dans certains cas, d’ordonner la suppression des données à caractère personnel, les

agents de la CNIL étant compétents pour en constater l’effacement.

3° Les infractions aux règles de la cryptologie, contenues dans la loi du 29 décembre

1990 (art. 434-15-2 du Code pénal).

L’article 28 de ladite loi, modifiée par l'article 17 de la loi du 26 juillet 1996 et par la loi

du 21 juin 2004 (LCEN) précise les différentes infractions insérées dans les articles 132-79 et

434-15-2 du Code pénal. (ex : « Est puni de trois ans d'emprisonnement et de 45 000 euros

d'amende, le fait, pour quiconque ayant connaissance de la convention secrète de

déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer,

faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux

autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées

en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis

d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à

cinq ans d'emprisonnement et à 75 000 euros d'amende »).

L’article 132-79 du Code pénal (créé par la LCEN) augmente ainsi le maximum de la

peine privative de liberté encouru lorsqu’un moyen de cryptologie a été utilisé pour

commettre n’importe quel crime ou délit.

Ex: « Lorsqu'un moyen de cryptologie au sens de l'article 29 de la loi n° 2004-575 du 21 juin

2004 pour la confiance dans l'économie numérique a été utilisé pour préparer ou commettre

un crime ou un délit, ou pour en faciliter la préparation ou la commission, le maximum de la

peine privative de liberté encourue est relevé ainsi qu'il suit : 1° Il est porté à la réclusion

criminelle à perpétuité lorsque l'infraction est punie de trente ans de réclusion criminelle ; 2°

Il est porté à trente ans de réclusion criminelle lorsque l'infraction est punie de vingt ans de

réclusion criminelle ; »

15

2 – Les infractions facilitées par l’utilisation des TIC ou liées à l’utilisation des

TIC

Il s'agit de toutes les infractions utilisant les TIC comme moyen de commission de

l'acte délictueux ou comme support de contenus illicites, susceptibles d'être commis sur le

réseau Internet. Ces infractions relèvent de plusieurs codes et lois spécifiques :

1° Les infractions prévues par le Code Pénal :

- Les crimes et délits contre les personnes

Compte tenu de l’importance de l’Internet, le législateur, par une loi du 17 juin 1998, a

durci la répression en édictant des circonstances aggravantes lorsque l’infraction est

commise par voie d’un réseau informatique.

On peut ainsi affirmer que des réseaux de prostitution ont surgi grâce aux nouvelles

technologies. Aussi, le viol lorsque la victime a été sollicitée par un message (art. 222-24-

8° du CP), le proxénétisme (art. 225-7-10° du CP), les ventes et services pornographiques

(art. 32 L. 1998) à des mineurs sont des exemples d’infractions visées par la loi de 1998.

Les atteintes aux mineurs :

Il ne s’agit pas ici d’une préoccupation simplement nationale. En effet, tant le Conseil

de l’Europe que l’Union européenne tentent de lutter contre la pédopornographie (Ex :

décision cadre du 23 décembre 2003 relative à la lutte contre l’exploitation sexuelle des

mineurs et la pédopornographie).

-Art. 227-22 du CP : « Le fait de favoriser ou de tenter de favoriser la corruption d'un mineur

est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. Ces peines sont portées à

sept ans d'emprisonnement et 100000 euros d'amende lorsque le mineur est âgé de moins de

quinze ans ou lorsque le mineur a été mis en contact avec l'auteur des faits grâce à

l'utilisation, pour la diffusion de messages à destination d'un public non déterminé, d'un

réseau de communications électroniques ou que les faits sont commis dans les

établissements d'enseignement ou d'éducation ou dans les locaux de l'administration, ainsi

que, lors des entrées ou sorties des élèves ou du public ou dans un temps très voisin de celles-

ci, aux abords de ces établissements ou locaux ».

Avec ce texte, on voit bien que l’infraction existe indépendamment d’Internet mais que les

sanctions sont aggravées si un réseau de communications électroniques a facilité la

commission des faits.

- Le même constat peut être opéré avec le délit de proposition sexuelle à un mineur de 15

ans prévu par l’article 227-22-1. En effet, les peines sont portées à 2 ans et 30 000 euros

d’amende si un réseau de communications électroniques a permis la commission des faits.

-La diffusion, la fixation, l'enregistrement, l’offre ou la transmission d'image à caractère

pornographique d'un mineur (art. 227-23 du CP).

La loi du 5 mars 2007 incrimine désormais le simple fait de consulter habituellement sur

Internet de telles images ou de les détenir (art. 227-23 al. 5 du CP).

A noter que les juges se contentent d’une « présomption d’apparence d’un mineur » pour

considérer les faits commis, lorsque l’âge exact demeure inconnu.

16

-La fabrication, le transport, la diffusion ou le commerce d'un message à caractère

violent ou pornographique ou de nature à porter gravement atteinte à la dignité

humaine, susceptible d'être vu ou perçu par un mineur (art. 227-24 du CP).

Dans une affaire jugée par la Cour d’appel de Paris (2 avril 2002, D. 2002, 1900), la page

d’accueil d’un site Internet comportait un avertissement relatif aux mineurs, mais ce message

avait une portée jugée annulée par la présence d’images pornographiques sur cette même

page. La Cour ajoute que l’éditeur ne proposait pas de logiciel de filtrage parental. L’éditeur a

été condamné à 30.000 € d’amende.

Par son libellé, c’est donc une véritable obligation de résultat d’empêcher l’accès à

un mineur qui a été mise à la charge du diffuseur. Il est probable que pareille contrainte est

contraire à l’article 10 de la CEDH sur la liberté d’expression. C’est pourquoi la solution

posée par un arrêt infirmatif de la Cour d’appel d’Angers (10 juin 2003, Expertises 2003, 247)

est préférable : il s’agissait en l’espèce d’un site trash pour lequel la cour a jugé que le mineur

ne le verrait que s’il le voulait bien. De plus, la cour a estimé que l’envoi par courriel d’un

hyperlien vers le site supposait la composition d’un mot de passe, si bien que le site n’était

pas accessible au public. Enfin, la cour a jugé que l’envoi d’un mail donnant la référence au

site ne suffisait pas à constituer l’élément intentionnel du délit.

La chambre criminelle de la Cour de cassation semble aussi plus restrictive puisqu’elle

a jugé le 3 février 2004 que l’envoi d’un lien par courriel à un majeur ne contenant que

l’adresse d’un site pornographique ne caractérise pas le délit. Elle a aussi jugé que la présence

sur un disque dur d’images pornographiques, même en l’absence de mot de passe pour y

accéder, ne suffisait pas à constituer l’infraction (crim., 12 oct. 2005, CCE 2006, n° 16). En

revanche, elle a jugé que le simple transfert de photos sur l’ordinateur d’un collège suffisait à

constituer le délit (crim., 12 oct. 2005, Droit Pénal 2006, n° 23).

Les autres atteintes aux personnes : (Attention, liste non exhaustive !!)

Les menaces (art. 222.17 et suivants du CP)

Les atteintes à la vie privée (art. 226-1 al.2 ; 226-2 al.2 du CP)

Les dénonciations calomnieuses (art. 226-10 du CP)

Les atteintes au secret professionnel (art. 226-13 du CP)

Les atteintes aux correspondances (art. 226-15 du CP).

La diffusion sur le net d’images sans l’accord de la personne concernée, et

notamment le fait d’enregistrer et de diffuser sur Internet des images d’agression (art.

222-33-3 du CP) ou ce que l’on appelle le « happy slapping ».

Le fait d’effectuer des vidéos à partir de téléphones portables, notamment d’atteintes à

l’intégrité physique d’une personne, rend son ou ses auteurs coupables en tant que complices

des infractions filmées. Il peut donc s’agir de crimes ou de délits très graves : violences ayant

entraîné la mort sans intention de la donner, violences ayant entraîné une mutilation

permanente, violences ayant entraîné une ITT, viol, meurtre…

La loi du 5 mars 2007 relative à la prévention de la délinquance a créé une nouvelle

infraction concernant les personnes qui diffusent sur Internet de telles images, les

sanctionnant de 5 ans d’emprisonnement et de 75.000 € d’amende (art. 222-33-3 al. 2

du CP).

17

Elles peuvent également être poursuivies pour atteinte à la vie privée (art. 226-1 du

CP, 1 an d’emprisonnement et 45.000 € d’amende). A noter cependant que des

« immunités » ont été mises en place par le dernier alinéa de l’article 222-33-3 : « Le

présent article n'est pas applicable lorsque l'enregistrement ou la diffusion résulte de

l'exercice normal d'une profession ayant pour objet d'informer le public ou est réalisé

afin de servir de preuve en justice ».

- Les crimes et délits contre les biens :

Les escroqueries (art. 313-1 et suivants du C.P.)

L’abus de confiance (art. 314-1 du CP)

Dans un arrêt du 22 septembre 2004, la chambre criminelle de la Cour de cassation a retenu le

détournement d’un projet de borne informatique par un salarié. Dans une décision du 19 mai

2004 (CCE 2004, n° 165), elle a condamné pour abus de confiance le salarié qui faisait une

utilisation immorale de son ordinateur pendant ses heures de travail.

Il est donc désormais évident qu’un droit intellectuel est un bien au sens juridique du terme.

La menace de commettre une destruction, une dégradation ou détérioration (art.

322-12 du C.P.)

Le vol (art. 311-1 du CP) ? Peut-on voler une information ? après l’avoir admis un

moment, la chambre criminelle de la Cour de cassation ne semble l’admettre qu’indirectement

au travers du vol d’un support. En application de la règle de l’interprétation stricte de la loi

pénale, une réponse négative est logique car il n’y a pas dépossession d’un bien, l’information

ne disparaissant pas. Mais l’absence de disparition de la chose est en fait le lot commun de

tous les objets incorporels qui sont duplicables à l’infini, si bien qu’en dérober un exemplaire

ne prive pas le propriétaire de la jouissance de la chose. Il semblerait d’ailleurs que la

chambre criminelle, le 9 septembre 2003, ait admis à nouveau le vol d’information, mais la

portée de cet arrêt est controversée. L’article 311-1 du Code pénal visant « une chose » et non

pas un bien, le doute est permis.

La question du vol pourrait aussi trouver une actualité nouvelle si la pratique du vol

d’identité pour commettre des actes illicites (ex. : usurpation d’identité d’un détenteur de carte

de crédit) se multipliait, à l’instar des Etats-Unis.

Le recel (art. 321-1 du CP) ? Peut-on receler une information, des images

pédophiles par exemple ? Il semble que non (crim., 3 avr. 1995), ce qui est illogique dès lors

que la chambre criminelle de la Cour de cassation incrimine par ailleurs le recel de secret de

l’instruction (crim., 13 mai 1991) et le recel de l’information d’initié (crim., 26 oct. 1995).

2° Les infractions de contenu prévues par des textes spécifiques :

- Les infractions à la loi sur la presse (Loi du 29 juillet 1881 modifiée)

(voir module « Infractions de presse », pour une présentation détaillée des infractions)

La provocation aux crimes et délits (art. 23 et 24)

L'apologie des crimes contre l'humanité (art. 24)

18

L'apologie et la provocation au terrorisme (art. 24)

La provocation à la haine raciale (art. 24)

La contestation des crimes contre l'humanité (art. 24 bis)

La diffamation publique et raciale (art. 30, 31 et 32)

L’injure publique et raciale (art. 33)

- Les infractions au Code de la Propriété Intellectuelle :

Pour assurer la protection des logiciels, le législateur a mis l'accent sur une protection

de type privatif, par le biais du droit d'auteur. Avant la loi de 1985, il s'était en effet

développé une jurisprudence majoritairement favorable à la protection du logiciel par le

recours à la loi de 1957 sur la propriété littéraire et artistique. La loi du 3 juillet 1985, relative

aux droits d'auteur, est venue consacrer ce principe dans son Titre 5, concernant les logiciels

(Articles 45 à 51 de ladite loi). Le Code de la Propriété Intellectuelle, institué par la loi du 1er

juillet 1992 et modifié par la loi du 10 mai 1994, a repris l'essentiel des dispositions de la loi

de 1985. Une loi récente, la loi n° 2006-961 du 1er

août 2006 relative au droit d'auteur et

aux droits voisins dans la société de l'information, est venue renforcer le dispositif

répressif.

Sur le plan pénal, la reproduction d'un logiciel autre qu'une copie de sauvegarde, de même

que l'utilisation d'un logiciel non expressément autorisé, sont passibles d'une peine

d'emprisonnement de 3 ans et d'une amende de 300 000 € (art. L 335-2 et suivants du C.P.I.).

De même, les bases de données bénéficient également d’un régime de protection

particulier prévu par le Code de la Propriété Intellectuelle (Art. L 341-1 et suivants du C.P.I.),

récemment modifié par la loi n° 2007-1544 du 29 octobre 2007 sur la lutte contre la

contrefaçon :

- La contrefaçon d'une œuvre de l'esprit, y compris d'un logiciel, de son, d'une image

fixe ou animée (art. L 335-2 et L 335-3)

- La contrefaçon d'un dessin ou d'un modèle (art. L 521-4)

- La contrefaçon de marque (art. L. 716-9)

Ce dispositif pénal vient encore d’être renforcé par la loi n° 2009-1311 du 28 octobre

2009 relative à la protection pénale de la propriété littéraire et artistique sur internet

(JORF n°0251 du 29 octobre 2009 page 18290), dite « loi Hadopi 2 ». Cette dernière loi en

date comporte de nombreuses dispositions d’ordre procédural de nature à faciliter la recherche

et la constatation des infractions : elle vise principalement à autoriser les agents de la Haute

autorité à constater les infractions à la protection des œuvres via internet et à recueillir les

observations des personnes concernées. En outre, elle vient compléter l’arsenal répressif de

nouvelles peines complémentaires, notamment la peine complémentaire de suspension de

l'accès à un service de communication au public en ligne pour une durée maximale d'un an,

assortie de l'interdiction de souscrire pendant la même période un autre contrat portant sur un

service de même nature auprès de tout opérateur.

19

Elle instaure également deux nouvelles infractions :

– la contrefaçon (déjà existante) « commise au moyen d'un service de communication au

public en ligne » (art. L. 135-7 du CPI).

– la négligence caractérisée.

Elle semble ainsi opérer une distinction entre le « pirate présumé » et l'abonné négligent (V.

sur ce point : L. MARINO, « La loi du 28 octobre 2009 relative à la protection pénale de la

propriété littéraire et artistique sur Internet », D. 2010, p. 160.)

Extrait du site Internet de l’HADOPI (www.hadopi.fr).

L’Hadopi met en œuvre un dispositif pédagogique de sensibilisation qui vise, par l’envoi de

messages d’avertissement, appelés " recommandations ", à informer les internautes de leur

obligation de surveillance de leur accès à internet afin qu’il ne soit pas utilisé pour mettre à

disposition ou reproduire des contenus numériques protégés par un droit d’auteur.

Après deux e-mails d'avertissement aux internautes qui pratiquent le téléchargement illégal, la

Hadopi pourra en cas de nouvelle récidive, constituer un dossier et saisir le tribunal

correctionnel (tous les TGI sont compétents) afin de demander la suspension de l'accès

internet (un an maximum), et/ou une peine d'emprisonnement ainsi qu'une amende. (V. art. L.

335-3 et s. du Code de la propriété intellectuelle).

Par ailleurs, si après avoir reçu deux recommandations de la part de l’HADOPI, de nouveaux

actes de contrefaçon sont accomplis à partir de son accès à internet dans l’année suivant la

présentation de la seconde recommandation, l’abonné pourra être poursuivi pour « négligence

caractérisée » pour s'être abstenu, sans motif légitime, de mettre en place un moyen de

sécurisation ou pour avoir manqué de diligence dans la mise en œuvre de ce moyen ; Ces faits

sont constitutifs d’une contravention de 5ème

classe (1500 euros d’amende encourus). Le juge

20

peut en outre prononcer une peine complémentaire de coupure d’accès à Internet d’une durée

maximale d’un mois (art. R. 335-5 du C. propriété intellectuelle issu du Décret du 26 juin

2010).

A noter que les données ainsi collectées doivent être effacées au bout de deux mois après que

les données ont été transmises à l’HADOPI si aucune recommandation n’est envoyée, dans un

délai de 14 mois après l’envoi d’une première recommandation, non suivie d’une seconde

recommandation ; enfin dans un délai de 20 mois après envoi de la seconde recommandation.

- La participation à la tenue d'une maison de jeux de hasard ("cybercasino") :

Article 1 de la loi du 12 juillet 1983, modifiée par la loi du 16 décembre 1992.

- Les infractions au Code de la Santé Publique :

– Trafic de stupéfiants

– Vente de médicaments sans autorisation de mise sur le marché

B- Des règles de procédure spécifiques

Pour lutter contre la cybercriminalité, une veille permanente des contenus illicites

s’organise sur l’Internet, à l’initiative des pouvoirs publics mais aussi d’acteurs privés.

Quant à la procédure pénale, plusieurs dispositions sont venues compléter le dispositif

existant en vue de faciliter l’établissement des infractions et l’appréhension des coupables.

Ainsi, la sécurité sur Internet se trouve au centre de plusieurs interventions législatives

récentes :

- loi relative à la sécurité quotidienne n° 2001-1062 du 15 novembre 2001

- loi pour la sécurité intérieure n° 2003-239 du 18 mars 2003

- loi portant adaptation de la justice aux évolutions de la criminalité n° 2004-204 du

9 mars 2004 (Loi Perben II)

- loi pour la confiance dans l’économie numérique n° 2004-575 du 21 juin 2004

- loi sur les communications électroniques et services de communication

audiovisuelle n° 2004-669 du 9 juillet 2004

- loi relative à la protection des personnes physiques à l’égard des traitements de

données à caractère personnel n° 2004-801 du 6 août 2004

- loi relative à la prévention de la délinquance n° 2007-297 du 5 mars 2007

Ces lois comportent toutes, de manière supplétive, des dispositions ayant comme objet

de permettre la mise en place de procédures sécuritaires propres aux nouvelles technologies

de l’information et de la communication. Le législateur a clairement affirmé un objectif

d’adaptation des procédures sécuritaires aux nouvelles technologies. Quelles sont donc

les nouvelles mesures pénales dans ces différentes lois ?

La loi Perben II a modifié en profondeur à la fois des dispositions de procédure

pénale et des dispositions de droit pénal afin de renforcer la lutte contre les formes modernes

21

de délinquance et de criminalité organisées. Elle opère un élargissement des dispositions

pénales aux réseaux électroniques, par le biais de la criminalité organisée.

L’objet principal de la loi est de créer dans le Code de procédure pénale un titre

spécifique relatif à la procédure applicable aux infractions dites « de délinquance et de

criminalité organisée », qui font l’objet d’une double définition.

Les formes les plus graves de criminalité et de délinquance organisée sont définies par un

nouvel article 706-73 et concernent essentiellement des atteintes à la personne, telles que

l’assassinat en bande organisée, les tortures et actes de barbarie en bande organisée, les trafics

de stupéfiants, les enlèvements et séquestrations, le proxénétisme ou la traite des êtres

humains, les actes de terrorisme ou les associations de malfaiteurs en vue de commettre ces

infractions.

Une seconde définition, qui figure à l’article 706-74, concerne les autres infractions aggravées

par la circonstance de bande organisée ainsi que les formes classiques d’associations de

malfaiteurs.

Au stade de la répression, la loi prévoit des peines renforcées pour la criminalité

organisée : la liste des infractions en bande organisée est étendue afin d’aggraver les

sanctions encourues et de permettre l’application de tout ou partie des règles spécifiques

nouvelles.

Sont notamment concernées : la corruption de mineurs et la diffusion d’images pédo-

pornographiques. A cet effet, la loi insère à l’article 227-23 du Code pénal, un alinéa 6 ainsi

rédigé : « Les infractions prévues au présent article sont punies de dix ans d’emprisonnement

et de 500 000 € d’amende lorsqu’elles sont commises en bande organisée ».

* La loi prévoit des pouvoirs de police judiciaire accrus :

La preuve des infractions est notamment rapportée grâce aux diligences de services

spécialisés de police judiciaire. Ces « cyberflics », dont l’activité a été créée pour la plupart

en 1994, appartiennent à la police nationale ou à la gendarmerie.

Il s’agit du Service d’Enquêtes sur les Fraudes aux Technologies de l’Information

(SEFTI), de la Brigade de Recherche et de Répression de la Criminalité Informatique

(BRRCI), du Centre Technique de la Gendarmerie Nationale et d’une « cellule Internet »

de la police nationale, créée en septembre 1997 et qui réunit une 12e de policiers spécialisés.

La loi Perben II du 9 mars 2004 renforce la lutte contre certaines infractions de presse,

la contrefaçon, les jeux de loteries. Elle assouplit le régime des interceptions de

correspondances pour les enquêtes sur certains crimes et délits et généralise les

dispositions de la loi sécurité intérieure du 18 mars 2003 relatives aux réquisitions, mise

en place pour les opérateurs de télécommunication et les fournisseurs d’accès internet.

Ainsi, pour les crimes et délits énoncés au nouvel article 706-73 du Code de Procédure

Pénale et « si les nécessités de l’enquête de flagrance ou de l’enquête préliminaire (...)

l’exigent, le juge des libertés et de la détention du tribunal de grande instance peut, à la

requête du procureur de la République, autoriser l’interception, l’enregistrement et la

transcription de correspondances émises par la voie des télécommunications (...) pour une

durée maximum de quinze jours, renouvelable une fois (...) » (article 706-95 du CPP). Ces

opérations sont faites sous le contrôle du juge des libertés et de la détention.

De manière plus générale on retiendra le nouveau régime de la surveillance,

l’infiltration, la possibilité de prolongation de la garde à vue jusqu’à 4 jours, les

perquisitions de nuit et le gel des avoirs. Ces règles, dont certaines étaient déjà prévues par

notre droit, mais uniquement pour certaines infractions - comme le trafic de stupéfiants ou les

22

actes de terrorisme - seront applicables à l’ensemble des infractions visées par l’article 706-

73, et certaines d’entre elles seront applicables aux infractions de l’article 706-74.

* Règles relatives aux perquisitions et saisies : article 56 pour les enquêtes de flagrance

et article 77-1-1 pour les enquêtes préliminaires.

Dans le cadre d’une enquête de flagrance, l’article 56 du CPP habilite l’officier de

police judiciaire (OPJ) à effectuer une perquisition et à saisir des « données informatiques »

en la possession des personnes qui paraissent avoir participé au crime ou détenir des pièces,

« informations » ou objets relatifs aux faits incriminés. Il a le droit de prendre connaissance

des « données informatiques » avant de procéder à leur saisie. Idem pour le JI ou l’OPJ

commis par lui dans le cadre d’une information judiciaire (art. 99-3 du CPP).

« Il est procédé à la saisie des données informatiques nécessaires à la manifestation de la

vérité en plaçant sous main de la justice soit le support physique de ces données soit une

copie réalisée en présence des personnes qui assistent à la perquisition ».

« Si une copie est réalisée, il peut être procédé, sur instruction du procureur de la

République, à l’effacement définitif, sur le support physique qui n’a pas été placé sous main

de la justice, des données informatiques dont la détention ou l’usage est illégal ou dangereux

pour la sécurité des personnes ou des biens ».

« Avec l’accord du procureur de la République, l’OPJ ne maintient que la saisie des (…)

données informatiques utiles à la manifestation de la vérité ».

Enfin, l’article 57-1 du CPP permet aux officiers de police judiciaire de procéder à la

perquisition en ligne, en accédant « par un système informatique implanté sur les lieux où se

déroule la perquisition à des données intéressant l’enquête en cours et stockées dans ledit

système ou dans un autre système informatique, dès lors que ces données sont accessibles à

partir du système initial ou disponibles pour le système initial ».

Dans le cas où les données accessibles seraient situées en dehors du territoire national,

les autorités devront se conformer aux engagements internationaux existants, tels la

Convention du Conseil de l’Europe sur la cybercriminalité.

* Règles relatives aux réquisitions :

« Le procureur de la République ou l’officier de police judiciaire peut, par tout moyen,

requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute

administration publique qui sont susceptibles de détenir des documents intéressant l’enquête,

y compris ceux issus d’un système informatique ou d’un traitement de données nominatives,

de lui remettre ces documents, notamment sous forme numérique, sans que puisse lui être

opposée, sans motif légitime, l’obligation au secret professionnel (...) » (art. 60-1 du CPP).

Idem pour l’article 77-1-1 dans le cadre d’une enquête préliminaire : le procureur de la

République ou, sur l’autorisation de celui-ci, l’OPJ et pour l’article 99-4, pour l’exécution

d’une commission rogatoire par l’OPJ lors de la phase d’instruction.

Lorsque les réquisitions concernent des avocats, notaires, huissiers, médecins ou des

entreprises de presse, la remise des documents ne peut intervenir qu’avec leur accord.

23

Dans le cadre d’une telle réquisition, le fait de s’abstenir de répondre aux demandes

d’un officier de police judiciaire ou du procureur de la République peut être puni d’une

amende de 3 750 €.

Les fournisseurs d’accès à Internet doivent mettre à la disposition de l’officier de

police judiciaire, sur demande de celui-ci, les informations utiles à la manifestation de la

vérité, à l’exception de celles protégées par un secret prévu par la loi, contenues dans le ou les

systèmes informatiques ou traitements de données nominatives qu’ils administrent et ce par

voie télématique ou informatique dans les meilleurs délais (art. 60-2 du CPP). Idem pour

l’OPJ dans le cadre d’une enquête préliminaire, mais sur autorisation du procureur de la

République.

L’officier de police judiciaire peut, en outre, intervenant sur réquisition du procureur

de la République préalablement autorisé par ordonnance du juge des libertés et de la

détention, requérir des opérateurs de télécommunications de prendre, sans délai, toutes

mesures propres à assurer la préservation, pour une durée ne pouvant excéder un an, du

contenu des informations consultées par les personnes utilisatrices des services fournis par les

opérateurs (pour les deux types d’enquêtes).

* Des règles de procédures spécifiques pour la criminalité organisée :

L’article 30 de la loi relative à la sécurité quotidienne (repris par la loi pour la

confiance dans l’économie numérique) a, par ailleurs, modifié le Code de procédure pénale en

y insérant un chapitre concernant la mise en clair des données chiffrées nécessaires à la

manifestation de la vérité (art. 230-1 à 230-5 du CPP).

Ainsi, lorsque les données obtenues au cours d’une enquête ou d’une instruction ont

été chiffrées, « le procureur de la République, la juridiction d’instruction ou la juridiction de

jugement saisie de l’affaire peut désigner toute personne physique ou morale qualifiée, en vue

d’effectuer les opérations techniques permettant d’obtenir la version en clair de ces

informations ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention

secrète de déchiffrement, si cela apparaît nécessaire » (Titre IV « Dispositions communes »

du Livre 1er

« De l’exercice de l’action publique et de l’instruction », Chapitre unique « De la

mise au clair des données chiffrées nécessaires à la manifestation de la vérité », art. 230-1 à

230-5 du CPP).

Pour faciliter cette procédure de déchiffrement, l’article 30 de la loi prévoit également

l’insertion dans la loi n°91-646 du 10 juillet 1991 relative au secret des correspondances

émises par la voie des télécommunications, d’un article 11-1 qui dispose que « Les

personnes physiques ou morales qui fournissent des prestations de cryptologie visant à

assurer une fonction de confidentialité sont tenues de remettre aux agents autorisés dans les

conditions prévues à l’article 4, sur leur demande, les conventions permettant le

déchiffrement des données transformées au moyen des prestations qu’elles ont fournies... ».

Le fait de ne pas déférer, dans ces conditions, aux demandes des autorités habilitées

est puni de deux ans d’emprisonnement et de 30.000 € d’amende.

Ces obligations ont été confirmées par un décret n°2002-997 du 16 juillet 2002 relatif

à l’obligation mise à la charge des fournisseurs de prestations de cryptologie en application de

l’article 11-1 de la loi du 10 juillet 1991 relative au secret des correspondances émises par la

voie des télécommunications.

En pratique, ces dispositions mettent à la charge des fournisseurs des prestations de

cryptologie et des éditeurs de logiciels de chiffrement l’obligation de prévoir des portes

24

cachées dans leurs produits, afin de pouvoir procéder au déchiffrement quand cela leur est

demandé par les autorités compétentes.

* Règles relatives aux données de connexion :

La loi relative à la sécurité quotidienne du 15 novembre 2001, tout d’abord, a introduit

dans le droit positif français certaines mesures sécuritaires spécifiques à Internet, dont

notamment la conservation, pendant une période d’un an, des données relatives à une

communication et ce « pour les besoins de la recherche, de la constatation et de la

poursuite des infractions pénales » (art. 29). Ces données, précise la loi, ne peuvent « en

aucun cas, porter sur le contenu des correspondances échangées ou des informations

consultées sous quelque forme que ce soit », mais concernent seulement l’identité des

utilisateurs et les caractéristiques techniques des services fournis par les prestataires de

communication (comme par exemple les adresses IP, les adresses de messagerie électronique

envoyées ou reçues, ainsi que les adresses des sites visités).

Les hébergeurs et les fournisseurs d’accès sont dans l’obligation « de détenir et de

conserver les données de nature à permettre l’identification de toute personne ayant

contribué à la création d’un contenu des services dont elles sont prestataires. Ils sont

également tenus de fournir aux personnes qui éditent un service de communication en ligne

autre que de correspondance privée, des moyens techniques permettant à celles-ci de

satisfaire aux conditions d’identification prévues à l’article 43-10. Les autorités judiciaires

peuvent requérir communication auprès des prestataires mentionnés aux articles 43-7 et 43-8

des données mentionnées au premier alinéa ».

Il s’agit ainsi pour l’hébergeur de conserver, à titre complémentaire, les traces que

laisse tout auteur lorsqu’il modifie le contenu de son site (l’internaute est « repéré » au moyen

de son adresse IP) : il s’agissait d’une pratique courante chez les hébergeurs et les

fournisseurs d’accès, c’est désormais une obligation légale.

La loi LCEN (article 2, II, V) vient instaurer des peines plus lourdes à la charge des

hébergeurs qui n’ont pas respecté cette obligation :

« Est puni d’un an d’emprisonnement et de 75000 euros d’amende le fait pour une personne

physique ou le dirigeant de droit ou de fait d’une personne morale exerçant l’une des

activités définies aux articles 1 et 2 du I, de ne pas avoir conservé les éléments d’informations

visés au II ou de ne pas déférer à la demande d’une autorité judiciaire d’avoir

communication desdits éléments ».

Cependant, cette technique à vocation subsidiaire que constituent les « données de

connexion » possède également ses limites, car le propre de l’informatique et notamment de

l’Internet, est d’être immatériel : tout peut être modifié ou falsifié...

Ainsi, une adresse IP est attribuée à un ordinateur et non à un internaute : donc la question se

complique lorsque plusieurs individus ont la possibilité d’accéder à un même ordinateur

(entreprise, bibliothèque, cybercafé…), ou encore cette adresse est temporaire et peut donc

disparaître à tout moment...

Le dispositif s’est enrichi des dispositions de la loi du 3 janvier 2006 sur la lutte contre le

terrorisme. Ce texte a introduit dans le Code des postes et des communications électroniques,

et à l’article 6 II bis de la LCEN du 21 juin 2004, une nouvelle obligation de conservation et

de communication des données de connexion.

En vertu de ces textes, les « agents individuellement désignés et dûment habilités des services

de police et de gendarmerie » en charge de la lutte anti-terrorisme peuvent obtenir des

25

opérateurs la communication de certaines des données techniques… sans autorisation

judiciaire préalable.

Un décret du 24 mars 2006, décret d’application de ladite loi, vient préciser la nature des

données à conserver, limite la durée de conservation à un an et prévoit l’indemnisation des

opérateurs pour les surcoûts occasionnés.

C- La lutte institutionnelle

Le ministère de l’Intérieur a dévoilé le 7 septembre 2004 son plan de lutte contre la

cybercriminalité, et précisé les six axes de sa démarche :

- Dresser une cartographie précise de la cybercriminalité

- Intensifier la formation dans le domaine de la cybercriminalité

- Prévenir et sensibiliser l’ensemble des citoyens Français

- Veiller sur les contenus illicites véhiculés par Internet

- Accentuer la veille technologique et sur la Recherche et Développement

- Déférer les criminels de l’Internet devant la justice

1- Les actions ministérielles en faveur de l’Internet

Au premier rang des mesures envisagées par le gouvernement pour rendre l’Internet

plus sûr se trouve la sécurité des réseaux et des données qui y circulent :

- la lutte contre la fraude : le groupement interministériel pour la Protection de la Société de

l’Information (GIPSI), créé en 2003, doit renforcer la lutte contre la fraude et la

cybercriminalité. Matérialisé par un portail gouvernemental (le Serveur sur la sécurité des

systèmes d’information), le travail de ce groupement combine des missions de veille

technologique et des échanges d’expériences dans le domaine de la lutte contre les fraudes

constatées sur l’Internet.

- le paiement électronique : le ministère des Finances entend améliorer l’authentification

pour renforcer la sécurité des transactions. C’est l’objectif de la Mission pour l’économie

numérique du ministère de l’Économie, des Finances et de l’Industrie. La Banque de France

doit élaborer une charte pour améliorer l’identification des parties lors des paiements en ligne.

Un site officiel regroupera toutes les informations utiles pour l’achat et le paiement en ligne.

- la recherche et le développement : une structure placée sous l’égide des ministères de la

Recherche et de l’Industrie définit les thèmes prioritaires dans le domaine de la R&D en

sécurité des systèmes d’information et les moyens du CERT RENATER (qui relie les

organismes français de recherche et d’enseignement) seront renforcés pour qu’il puisse

assurer en toutes circonstances la sécurité du réseau y compris lors de la mise en oeuvre des

plans anti-terroristes.

- le plan e-Europe 2005 et le SMSI : la France a largement contribué à la formalisation et

l’adoption du plan e-Europe 2005 qui a notamment pour objectif de stimuler le

développement de nouveaux services, d’applications et de contenus sécurisés. Pour sa mise en

œuvre, le gouvernement soutient les actions prévues dans le domaine du gouvernement

26

électronique, de la télé santé, de l’apprentissage électronique, du déploiement d’une

infrastructure à haut débit et de la mise en place d’un environnement dynamique pour les

affaires électroniques.

Par ailleurs, le SMSI (Sommet Mondial pour la Société de l’Information) constitue la

première possibilité d’aborder, dans un cadre multilatéral, l’organisation de la société de

l’information et de déterminer les principes communs qui doivent la régir (respect des libertés

individuelles, sécurité des réseaux, mise en place de politiques réglementaires, protection des

consommateurs, garantie des droits de propriété intellectuelle et gouvernance de l’Internet, en

particulier la réforme de la gestion des noms de domaines).

2- Le CLUSIF (Club de la sécurité des systèmes d’information français) :

Observatoire des pratiques et des risques, le CLUSIF est aussi un lieu d’échange et de

réflexions sur les thèmes liés à la Sécurité des Systèmes d’Information. Il est l’auteur d’un

rapport intitulé "panorama de la cyber-criminalité - année 2003".

Les principales conclusions de ce rapport annuel 2003 sont les suivantes :

- L’année 2003 montre une " professionnalisation " des actes de criminalité technologique. La

criminalité technologique est désormais une activité lucrative, bien organisée et plutôt

répandue.

- Pour le CLUSIF, les parasites informatiques et le spam entrent aujourd’hui dans une logique

de recherche de gains, bien loin des motivations idéologiques ou narcissiques des premiers

auteurs de virus.

- Outre le rapprochement entre les auteurs de virus et les spammeurs et l’explosion des

épidémies de vers (Slammer, Blaster...), le CLUSIF met en lumière la généralisation, en 2003,

du phishing. Cette technique consiste à envoyer un e-mail en se faisant passer pour un

fournisseur de service en ligne (banque, site d’enchères...) et en demandant à ses abonnés de

mettre à jour leurs informations personnelles par l’intermédiaire d’un site Web falsifié,

hébergé par un serveur pirate. Le but étant bien sûr de dérober ces informations

confidentielles.

En dépit de toutes les actions menées par la France, la nécessité d’une entraide

internationale est indéniable. L’efficacité de la lutte contre ce type de délinquance

internationale implique une étroite collaboration entre les Etats. Ces derniers se sont employés

à développer cette entraide. Mais à certains égards, elle demeure embryonnaire.

Le chapitre II de la loi Perben II améliore les dispositions relatives à l’entraide

internationale.

A cette fin, il introduit notamment dans le Code de procédure pénale les dispositions

nécessaires à la mise en oeuvre de la convention du 29 mai 2000 relative à l’entraide

judiciaire en matière pénale entre les Etats membres de l’Union européenne ainsi que de la

décision instituant EUROJUST du 28 février 2002.

A cet effet, il réécrit complètement, dans le livre quatrième du Code de procédure

pénale, le titre X relatif à l’entraide judiciaire internationale, qui distingue désormais, dans

deux chapitres, deux régimes d’entraide : le premier, de portée générale, concerne l’entraide

pénale avec tout Etat ; le second est spécifique à l’entraide avec les Etats de l’Union

européenne.

27

Une collaboration policière internationale semble incontournable. Mais elle se

heurte au principe de la souveraineté des Etats qui entraîne une double conséquence :

- d’une part, il n’existe pas de police internationale dont les membres seraient habilités à

rechercher à travers le monde les preuves des infractions et à en arrêter les auteurs.

Contrairement à une idée répandue, Interpol n’est pas une police internationale, ni Europol

une police européenne.

- d’autre part, la police d’un Etat ne peut accomplir aucun acte sur le territoire d’un autre Etat

ni être tenue d’accomplir un acte sur son propre territoire à la demande d’un Etat étranger.

Toutefois, plusieurs textes organisent une coopération à l’échelle européenne (IV)

ou internationale (V) entre les polices nationales, soit en vue de l’obtention de

renseignements et de preuves, soit même en vue de l’accomplissement de mesures de

contrainte

IV– La lutte au niveau européen

A– L’action du Conseil de l’Europe

Dès le 23 novembre 2001, le Conseil de l’Europe a adopté à Budapest une

Convention sur la cybercriminalité.

A ce jour, 21 pays l’ont ratifiée et 42 l’ont signée ; la Convention est entrée en vigueur le 1er

juillet 2004. Cette Convention constitue la première convention pénale à vocation

universelle destinée à lutter contre le cyber-crime. Il s’agit du tout premier traité

international sur les infractions pénales commises contre les réseaux informatiques ou à l’aide

de ceux -ci.

Cette Convention poursuit trois objectifs :

1° harmoniser les législations des Etats signataires en matière de cybercriminalité : cet

objectif passe par un rapprochement des législations des Etats signataires en matière

d’incriminations dans le domaine du cyberespace. A cette fin, la Convention établit des

définitions communes de certaines infractions pénales commises par le biais des réseaux

informatiques. Ces infractions sont notamment relatives aux contenus, ainsi qu’à toute atteinte

à la propriété intellectuelle commise sur la toile.

2° compléter ces législations, notamment en matière procédurale afin d’améliorer la capacité

des services de police à mener en temps réel leurs investigations et à collecter des preuves sur

le territoire national avant qu’elles ne disparaissent. Le texte établit ainsi des règles de base

communes aux Etats signataires en matière, notamment, de conservation des données, de

perquisition et de saisie informatique et d’interception des communications, à l’instar des

dispositions incluses dans la loi n°2003-239 pour la sécurité intérieure, adoptée le 18 mars

2003.

3° améliorer la coopération internationale, notamment en matière d’extradition et d’entraide

répressive : la Convention s’efforce d’adapter les règles classiques de la coopération

internationale pénale que sont l’extradition et l’entraide répressive aux contraintes spécifiques

posées par la cybercriminalité.

28

La Convention prévoit de nouvelles procédures afin d’améliorer la répression de

la cybercriminalité.

La Convention fixe le droit commun des mesures d’enquêtes pénales sur les réseaux et

est basée sur le maintien de la compétence exclusivement nationale des autorités en charge de

lutte contre la cybercriminalité.

Les pouvoirs d’investigations définis dans la Convention visent à permettre l’obtention

et la collecte de données informatiques dans le cadre d’enquêtes pénales en cours.

La Convention reconnaît aux données numériques une valeur juridique et des effets

probants identiques aux éléments matériels existant dans le monde hors ligne.

Le titre 2 définit la notion de “conservation rapide des données stockées". Les

modalités de mise en œuvre de cette mesure varieront selon les États. Il s’agit de préserver

l’intégrité des seules données utiles à l’enquête en cours.

L’article 17 de la Convention vise à assurer la traçabilité de la communication, quel

que soit le nombre de fournisseurs ayant participé à la transmission du message.

Le titre 3, dans son article 18, prévoit le cas des “injonctions de produire des

données”. Cette mesure devrait constituer le fondement juridique permettant la remise aux

autorités compétentes de certaines données.

Le titre 3, dans son article 19, vise les "perquisitions informatiques à distance”. Les

données perquisitionnées peuvent être soit conservées sur un support de stockage ou stockées

dans un autre système informatique si celui-ci demeure dans les limites territoriales de l’Etat

qui perquisitionne. En revanche, cet article n’autorise pas à perquisitionner des données

stockées à l’étranger, même si elles sont accessibles via le réseau.

Ces dispositions sont soumises aux conditions légales des pays signataires mais

doivent garantir le respect des droits de l’homme et l’application du principe de

proportionnalité. En particulier, les procédures ne pourront être engagées que sous certaines

conditions, telles que, selon le cas, l’autorisation préalable d’un magistrat ou d’une autre

autorité indépendante.

La Convention précise également les règles de la coopération internationale : à

côté des formes traditionnelles de coopération pénale internationale prévues notamment par

les conventions européennes d’extradition et d’entraide judiciaire en matière pénale, la

nouvelle Convention exigera des formes d’entraide correspondant aux pouvoirs définis

préalablement par la Convention et, en conséquence, que les autorités judiciaires et services

de police d’un Etat puissent agir pour le compte d’un autre pays dans la recherche de preuves

électroniques, sans toutefois mener d’enquêtes ni de perquisitions transfrontalières. Les

informations obtenues devront être rapidement communiquées.

En janvier 2003, le Conseil de l’Europe a ouvert à la signature le Protocole

additionnel à la Convention sur la cybercriminalité, qui a pour conséquence d’élargir le

champ d’application de la Convention.

Négocié à la demande de la France, ce texte demande aux Etats de criminaliser la

diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques, ainsi que les

menaces et l’insulte à motivation raciste et xénophobe, la négation, la minimisation grossière,

l’approbation ou la justification du génocide ou des crimes contre l’humanité.

Mais une nation ratifiant la Convention sur la cybercriminalité n’est pas obligée

d’adhérer également au protocole. Il est destiné à « ceux qui souhaitent franchir le pas »,

précise le Comité des ministres du Conseil de l’Europe. Les États-Unis ont annoncé dès 2002

qu’ils ne signeraient pas ce protocole, car il va à l’encontre de sa Constitution.

La France a ratifié la convention de 2001 ainsi que son Protocole additionnel par une

loi promulguée le 19 mai 2005. La convention a été publiée au JO par deux décrets du 23 mai

29

2006. Conséquence directe de cette publication au Journal Officiel, la Convention et don

Protocole additionnel sont désormais opposables et invocables par les justiciables français.

B- L’action de l’Union Européenne

1- Les actions normatives

- La décision 276/1999CE du parlement Européen et du Conseil du 25 janvier 1999

adopte un plan d’action communautaire pluriannuel visant à promouvoir une utilisation

plus sûre d’Internet par la lutte contre les messages à contenus illicites et préjudiciables

diffusé sur les réseaux mondiaux. Sont ainsi encouragés l’auto réglementation de l’industrie

d’Internet, le développement de dispositifs de filtrage et enfin la création d’un réseau

européen de hotlines.

- Le plan d’action « e-Europe 2005 » : « une société de l’information pour tous ».

Parmi les objectifs à atteindre par l’UE dans le cadre de ce plan figure " une infrastructure

d’information sécurisée ".

- Conférence internationale sur la lutte contre la pédopornographie sur Internet (Vienne, 29

septembre - 1er octobre 1999).

- Décision du Conseil relative à la lutte contre la pédopornographie sur Internet du 29 mai

2000.

2- La lutte institutionnelle

- L’agence ENISA (European Network and Information Security Agency) : cette agence est

née en mars 2004. Son site, pour l’instant pauvre en contenu, devrait proposer par la suite des

publications et des programmes de travail.

Son objectif est d’aider la Communauté à assurer un niveau particulièrement élevé de

sécurité des réseaux et de l’information. L’Agence concourra donc à l’émergence d’une

culture de la sécurité des réseaux et de l’information dans l’intérêt des citoyens, des

consommateurs, des entreprises et des organismes du secteur public de l’Union européenne.

Elle prêtera son assistance à la Commission, aux États membres et au secteur des entreprises

pour les aider à satisfaire aux exigences en matière de sécurité des réseaux et de l’information,

y compris celles définies dans la législation communautaire actuelle et à venir.

- EUROJUST : les Etats membres de l’Union européenne ont créé EUROJUST afin de faire

obstacle à toutes les formes de criminalité organisée (trafic de drogue, blanchiment d’argent,

trafic d’êtres humains, contrefaçons, criminalité informatique, criminalité au détriment de

l’environnement...).

Cette unité de coopération judiciaire est composée de procureurs, magistrats ou

d’officiers de police des Etats, membres de l’Union européenne.

Les missions d’EUROJUST s’articulent autour de trois objectifs majeurs : promouvoir

et améliorer la coordination des enquêtes et des poursuites entre les autorités compétentes des

Etats membres ; améliorer la coopération entre ces autorités, en facilitant notamment la mise

en oeuvre de l’entraide judiciaire internationale et l’exécution des demandes d’extradition ;

soutenir les autorités nationales afin de renforcer l’efficacité de leurs enquêtes et de leurs

poursuites.

30

- EUROPOL : parce qu’il concerne un grand nombre d’infractions, le traité de Maastricht du

7 février 1992 sur l’Union européenne (modifié par le traité d’Amsterdam du 2 octobre 1997

et par le traité de Nice du 26 février 2001) tend à renforcer la coopération des forces de police

des Etats membres, notamment par « la collecte, le stockage, le traitement, l’analyse et

l’échange d’informations pertinentes… ».

Les articles concernés figurent dans le titre VI -3e pilier- intitulé « Dispositions

relatives à la coopération policière et judiciaire en matière pénale ».

C’est en application du traité de Maastricht qu’a été établie la Convention du 26 juillet

1995 « portant création d’un Office européen de police (convention Europol) ». Son siège se

trouve à La Haye.

Europol « remplit en priorité » les fonctions suivantes : faciliter l’échange

d’informations, collecter, rassembler et analyser des informations et des renseignements,

informer les services compétents des Etats membres des liens constatés entre des faits

délictueux, faciliter des enquêtes dans les Etats membres en leur transmettant toutes les

informations pertinentes, gérer des recueils d’informations contenant des données.

Pour permettre à Europol d’assumer ces fonctions, la convention impose à chaque Etat

membre de créer une « unité nationale », seule intermédiaire entre Europol et les services

nationaux compétents.

Les unités nationales ont pour mission de fournir à Europol les informations et

renseignements nécessaires à l’accomplissement de ses fonctions, de répondre aux demandes

d’informations, de renseignements et de conseils formulées par Europol, d’exploiter et de

diffuser les informations et renseignements au profit des services compétents et d’adresser à

Europol des demandes d’informations, de renseignements et de conseils.

Europol se limite donc à un système d’échanges d’informations : il n’est pas une

« police fédérale » (souhaitée par l’Allemagne) allant effectuer des enquêtes sur le terrain.

S’agissant de sa mission, l’office européen de police est un organe policier chargé du

traitement des renseignements relatifs aux activités criminelles. Son objectif consiste à

améliorer l’efficacité des services compétents des Etats membres et intensifier leur

coopération dans le cadre de la prévention et de la lutte contre les formes graves de

criminalité internationale organisée. Les infractions doivent impliquer une structure ou une

organisation criminelle et deux Etats membres ou plus doivent être affectés. Europol est donc

compétent dans la lutte contre la criminalité informatique ou pour les formes de criminalité

dont la commission est facilitée par Internet.

V– La lutte sur le plan international

1- L’action de l’OCDE :

L’OCDE a mis en place un site "culture of security". Les 30 membres de l’OCDE se

sont engagés à encourager et développer une " culture de la sécurité " au niveau international.

Ce site, créé en 2003, a pour objectif d’aider les pouvoirs publics, les entreprises et le grand

public à comprendre les risques et les responsabilités inhérents aux systèmes et réseaux

d’information. Il collecte des informations sur les initiatives nationales et internationales pour

mettre en place le " security guidelines " de l’OCDE.

2- INTERPOL :

31

INTERPOL est le nom en code radio de l’Organisation Internationale de Police

criminelle (OIPC) créée en 1929.

L’OIPC n’a pas été créée par un traité international et n’est pas une organisation

internationale stricto sensu car elle réunit non pas des Etats, mais des services de police

désignés par les Etats. Elle n’en est pas moins une personne juridique, possédant son siège à

Lyon depuis 1989 et des « bureaux centraux nationaux ».

Elle vise à améliorer la coopération policière dans le monde grâce à des bureaux

dans 181 pays membres (BCN). Ces bureaux sont des services de police permanents

composés de policiers agissant dans le cadre de leur législation nationale.

Ils constituent le relais national aux opérations de police sollicitées par les autres Etats

membres. Le BCN-France, antenne d’Interpol, est rattaché à la Direction centrale de la Police

Judiciaire au sein de la sous Direction des ressources et liaison dans la Division des relations

internationales.

Elle a pour but « d’assurer et de développer l’assistance réciproque la plus large de

toutes les autorités de police criminelle dans le cadre des lois existant dans les différents pays

et dans l’esprit de la Déclaration universelle des droits de l’homme ; d’établir et de

développer toutes les institutions capables de contribuer efficacement à la prévention et la

répression des infractions de droit commun ».

L’OIPC n’exerce elle-même aucune fonction de police proprement dite : elle n’a pas

d’enquêteurs propres à compétence internationale et tous les actes de coopération policière

internationale sont accomplis par des policiers nationaux agissant sur leur propre territoire et

dans le cadre de leur législation.

Mais l’OIPC a un rôle essentiel dans la recherche et la communication de

renseignements : rassemblement et diffusion des renseignements reçus ; diffusion du

signalement d’un individu susceptible de commettre tel type d’infraction ; constatations

d’infractions, identification et recherche de leurs auteurs, victimes et témoins ; recherches

d’objets (véhicules, armes, œuvres d’art…).

Elle ne s’occupe que des infractions de droit commun. Son statut lui interdit « toute

activité ou intervention dans des questions ou affaires présentant un caractère politique,

militaire, religieux ou racial ». Mais depuis 1984, elle considère qu’elle ne saurait « rester

indifférente au phénomène du terrorisme ».

Un accord du 22 décembre 2004 entre la Cour pénale internationale et l’OIPC prévoit

l’échange d’informations et d’analyses criminelles ainsi qu’une coopération pour la recherche

de suspects.

S’agissant de sa mission, le rôle d’Interpol est de faciliter pour ses membres la lutte

contre le trafic de stupéfiants, le terrorisme, la criminalité informatique ou économique.

Interpol dispose d’un système de communication informatique commun à tous les pays

membres et d’une base de données criminelles internationales.

S’agissant de ses moyens, Interpol porte à la connaissance des services de police

nationaux, les BSN, certains renseignements relatifs à des infractions, des délinquants et des

victimes : établissement de notices signalétiques internationales individuelles relatives aux

disparitions des personnes, notamment des mineurs, et aux délinquants susceptibles de

récidiver.

Depuis juillet 1999, Interpol a développé un site Web à deux niveaux d’accès public et

restreint, afin de donner une plus large diffusion aux notices. Interpol réalise des opérations de

police judiciaire d’envergure, telles l’opération « Cathédrale », lancée en 1998, qui a permis le

démantèlement d’un réseau diffusant plus de 750 000 clichés de pornographie enfantine et qui

s’est traduite par l’arrestation de 107 personnes dans 12 pays.

32

3- La SCCOPOL (section centrale de coopération opérationnelle de police) :

Elle est la première cellule européenne de coopération contre la criminalité

transfrontière, regroupant 80 policiers, gendarmes, douaniers et magistrats. Elle a été

inaugurée en juillet 2000 à Paris. Elle permet aux autorités françaises d’établir des liaisons

opérationnelles 24h sur 24, 7 jours sur 7, avec 182 pays.

4- SCHENGEN :

La suppression des contrôles aux frontières intérieures de l’espace Schengen a conduit

à la création d’un système d’information commun dénommé « système d’information

Schengen » et au renforcement de la coopération policière entre les forces de sécurité des

parties contractantes.

Ce système permet l’échange d’informations entre les Etats signataires et la

consultation automatisée de données sur les personnes, les véhicules terrestres et les objets

signalés.

Dans chaque Etat est mis en place un organisme chargé d’assurer 24h sur 24 un point

de contact unique et permanent à la disposition des forces de l’Etat considéré et des autres

partenaires européens.

* Coopération policière dans l’espace Schengen :

La coopération entre les polices des Etats de l’Union ayant signé et ratifié la

Convention s’exerce grâce à un échange d’informations et se traduit par plusieurs mesures

novatrices. Elle prévoit notamment l’assistance mutuelle aux fins de la prévention et de la

recherche de faits punissables, l’intensification de la coopération policière dans les régions

frontalières : assistance mutuelle des services de police et de gendarmerie, échange

d’informations ou d’éléments de procédure par le biais de l’unité centrale de coopération

policière internationale (UCCPI).

Un modèle interministériel de convention de coopération transfrontière policière et

douanière a été mis au point. Il fixe, d’une part, les principes de la coopération judiciaire

directe entre unités opérationnelles situées dans la zone frontalière définie par l’accord et

prévoit, d’autre part, la création de centres de coopération policière et douanière (CCPD) à

proximité des frontières.

Dans une même structure, sont rassemblés policiers, gendarmes et douaniers, mis à

disposition de l’ensemble des services chargés de missions de police et de douane.

• Le droit d’observation (article 40) est une possibilité offerte à un enquêteur de

poursuivre selon certaines modalités qui sont différentes selon les Etats, une filature sur un

Etat voisin. Les magistrats du parquet et de l’instruction peuvent faire procéder d’initiative à

ces observations.

• L’article 41 permet aux services enquêteurs de poursuivre une personne prise en

flagrant délit de participation ou de commission d’une infraction prévue par la Convention,

sans autorisation préalable au-delà de la frontière lorsque cette personne prend la fuite vers un

Etat voisin et si l’avis n’a pu être donné à temps par l’Etat requis. Les règles de la poursuite

varient selon les Etats.

33

• L’entraide répressive entre les Etats Schengen relève des articles 48 à 53 de la

Convention.

Le domaine de l’entraide est étendu aux faits constituant une infraction administrative,

aux procédures liées à des poursuites pénales, à la notification de communications judiciaires,

aux modalités d’exécution des peines et aux infractions fiscales.

Celle-ci peut toutefois être refusée lorsque le montant des droits trop peu perçus ou

non perçus est inférieur à 25 000 €. Il en est de même si la valeur des marchandises exportées

ou importées illégalement ne dépasse pas 10 000 €.

• La Convention Schengen assouplit également les conditions de l’entraide en matière

de perquisitions et de saisies.

L’article 51 prévoit comme seule condition à l’exécution d’une perquisition et d’une

saisie, outre sa compatibilité avec la législation de la partie requise, que l’infraction soit

passible soit d’une peine d’emprisonnement ou d’une mesure de sûreté d’au moins six mois

sur le territoire des deux Etats, soit d’une sanction équivalente sur le territoire d’une partie et

qu’elle constitue dans la législation de l’autre partie une infraction administrative susceptible

de donner lieu à recours devant une juridiction compétente notamment en matière pénale.

De plus, les demandes d’entraide pourront être adressées directement aux autorités

judiciaires compétentes et renvoyées par la même voie. En France, les commissions rogatoires

internationales, les demandes d’entraide ainsi que les pièces d’exécution doivent transiter par

le parquet général territorialement compétent.

* La situation spécifique de la Suisse :

En raison de l’absence de la Suisse des instances de coopération SCHENGEN, et pour

assurer une meilleure sécurité de l’espace SCHENGEN un accord de coopération policière,

judiciaire et douanière a été signé entre la France et la Suisse en mars 1998.

Son contenu est proche de celui de la convention d’application. A ce titre, l’accord

reprend certaines modalités de coopération introduites par la convention d’application des

accords de SCHENGEN. Il s’agit notamment de l’assistance sur demande, et l’échange

d’informations pour lutter contre la délinquance dans la zone frontalière, prévenir

l’immigration illégale et les trafics illicites, sauvegarder l’ordre et la sécurité publics et

recueillir et échanger des informations en matière policière et douanière.

L’accord précise également les conditions d’échange d’informations effectué entre les

services compétents des deux parties, notamment au regard du respect des dispositions

nationales en matière de protection des données à caractère personnel.

A ce titre, la commission des communautés européennes a constaté dans une décision

du 26 juillet 2000 le caractère adéquat de la protection des données à caractère personnel en

Suisse conformément à la directive 95/46/CE du parlement européen et du conseil.

Un centre de coopération policière et douanière (CCPD) prévu dans l’accord franco-

suisse devrait donc être créé pour améliorer la circulation de l’information entre les différents

corps de sécurité dans la région "des trois frontières".

Plusieurs opérations de police de grande ampleur ont déjà été menées à l’échelon

international, témoignant de l’efficacité et du succès d’une telle coopération entre les Etats

dans la lutte contre la cybercriminalité :

- l’opération « Cathédrale », lancée par le FBI américain en 1998, a impliqué 14 pays

(dont les USA, l’Australie et plusieurs pays d’Europe) et a permis de démanteler un

réseau d’images pédopornographiques impliquant plus de 1 000 victimes et une

centaine de suspects.

- En 2001, l’opération « Candyman », également à l’initiative du FBI américain, a

permis d’identifier un réseau de 6 000 membres et a permis une centaine

d’arrestations.

34

- L’opération « Avalanche » a permis en 2001 de faire cesser la diffusion d’images

pédopornographiques diffusées sur plusieurs sites payant, de saisir les coordonnées de

250 000 clients localisés dans 37 Etats américains et 60 pays différents.

- L’opération « One », qui s’inscrit dans la continuité de l’opération « Avalanche » a

conduit en 2003 à l’interpellation de 1 600 suspects en Grande-Bretagne.

NB : A surveiller, la LOPPSI 2 venant d’être adoptée par la commission mixte paritaire,

le 9 février 2011 comporte un volet « cybercriminalité ». Ainsi, concernant les règles procédurales, le filtrage des sites Internet sans le contrôle du

pouvoir judiciaire est instauré, en vue de permettre le blocage des sites à caractère

pédopornographique (art. 4 de la loi).

Il est également prévu que la police judiciaire puisse installer à distance des logiciels espions

sur les postes informatiques des personnes suspectées d’avoir commis une infraction, sur

autorisation du juge d’instruction.

Concernant le volet droit pénal de fond, un délit d’usurpation d’identité sur internet est créé et

passible d’un an d’emprisonnement et 15 000 euros d’amende et les peines sont étendues au

pishing.

Cette loi très controversée (et pas uniquement concernant son volet « cybercriminalité »)

devrait faire l’objet d’une saisine du Conseil constitutionnel.