Académique Documents
Professionnel Documents
Culture Documents
- un systme informatique ou une partie dun tel systme et aux donnes informatiques
qui y sont stockes
- un moyen de stockage des donnes informatiques dans lequel les donnes
informatiques peuvent tre stockes sur le territoire du pays.
2 - Si un agent qui entreprend une perquisition sur la base de larticle prcdent a des
raisons de penser que les donnes recherches sont stockes dans un autre systme
informatique ou dans une partie de celui-ci situ sur le territoire national, et que ces
donnes sont lgalement accessibles partir du systme initial ou disponibles pour ce
systme initial, il sera en mesure dtendre rapidement la perquisition ou laccs similaire
lautre systme.
3 - Un agent qui entreprend une perquisition a le pouvoir de saisir ou dobtenir de faon
similaire les donnes informatiques auxquelles il a accd en vertu des articles
prcdents.
Assistance :
Toute personne non suspecte de crime mais qui a connaissance du fonctionnement
du systme informatique ou des mesures appliques pour protger les donnes
informatiques qui sy trouvent et qui font lobjet dune perquisition au terme des articles
227
prcdents doit permettre et assister la personne autorise effectuer la perquisition, si
cela est requis et exig de manire raisonnable,
- fournir des informations permettant de prendre les mesures mentionnes aux articles
prcits
- accder et utiliser un systme informatique ou un moyen de stockage de donnes
informatiques pour effectuer une perquisition sur toutes les donnes informatiques
disponibles ou sur le systme
- obtenir et copier ces donnes informatiques
- utiliser lquipement pour faire des copies
- et obtenir un rsultat intelligible dun systme informatique dans un format simple
admissible des fins de procdure lgales.
Ce droit dassistance a pour fondement larticle 19.4 de la Convention de
BUDAPEST relatif aux perquisitions et saisie de donnes informatiques
stockes, qui dispose que Chaque partie adopte les mesures lgislatives et autres qui
se rvlent ncessaires pour habiliter ses autorits comptentes ordonner toute
personne connaissant le fonctionnement du systme informatique ou les mesures
appliques pour protger les donnes informatiques quil contient de fournir toutes les
donnes raisonnablement ncessaires, pour permettre (les perquisitions et saisies).
1.- Le champ des saisies et des perquisitions
les textes actuels, qui constituaient, en 2003, une avance certaine, sont
aujourdhui pour partie obsoltes, comme partant du principe que les
donnes sont entreposes dans un ordinateur fixe ou dans des supports
de stockage informatique (cf. art. 57-1 in fine), saisis dans le cadre de la
perquisition dun domicile, voire sur les lieux du crime ou du dlit (cf. art.
54).
Or, la diversification des supports de stockage numrique (cdroms, clefs USB),
la multiplication des terminaux mobiles (smartphones, tablettes) comme le recours
frquent des supports appartenant des tiers ou leur partage par plusieurs
utilisateurs, rend une telle conception par trop restrictive, mme si la notion de
domicile a t largie par la jurisprudence.
Il est ainsi prconis de mieux distinguer la notion de saisie dobjets numriques
de celle de perquisition.
Recommandation n/ 40
relative lextension du droit de perquisition et de saisie
des terminaux et supports informatiques
1 - Etendre le droit de perquisition tout lieu privatif o se trouvent des objets
ou donnes informatiques utiles la manifestation de la vrit.
2 - Autoriser explicitement la saisie des terminaux et des supports
indpendamment de tout transport sur les lieux de linfraction et de toute
perquisition.
Une telle assimilation de laccs un systme informatique la perquisition dun domicile est
180
dailleurs lorigine du concept, vocateur mais mal dfini, de perquisition informatique, traduction
approximative du terme anglais de search qui a un contenu beaucoup plus large, raison pour laquelle il est
prconis de retenir le terme daccs aussi usit dans la Convention de Budapest.
228
2.- Laccs aux systmes informatiques et lanalyse des donnes informatiques.
Les services dinvestigation se heurtent des difficults de diffrente nature.
21 - la premire difficult concerne les modalits relatives lanalyse des
donnes informatiques saisies et linterrogation des autres systmes
informatiques accessibles partir du systme initial et viss lart. 57-1.
En ltat actuel, les textes (cf. art. 56 du C.P.P.) prvoient soit une analyse sur les
lieux de la perquisition, soit, en prsence des personnes assistant cette
perquisition, la constitution dun scell provisoire - la mise ultrieure sous scells
dfinitifs devant tre alors aussi ralise en la mme prsence - ou la ralisation
dune copie sur un support numrique, afin de permettre implicitement une
exploitation ultrieure .
180
Lanalyse sur place, qui demande un environnement technique, notamment la
prsence sur les lieux dun technicien, saccorde mal avec les possibilits des
services territoriaux et avec un travail en urgence sur les lieux de la perquisition.
Il y a, en effet, des diffrences sensibles entre la prise de connaissance de
documents-papier ou la reconnaissance dobjets, et lanalyse de donnes
informatiques qui peuvent tre volumineuses.
En cas de recours des scells provisoires, la prsence des personnes ayant
assist la perquisition aux fins de constitution des scells dfinitifs savre
souvent impossible en pratique, compte-tenu de la dure que requiert leur
exploitation.
Si la possibilit reconnue aux services denqute de procder une copie des
donnes numriques afin dexploiter plus aisment ces dernires constitue une
avance indniable, la grande capacit de certains supports requiert un temps
de copie souvent important, qui savre incompatible avec la dure de la
perquisition ainsi que, en cas dinterpellation dune personne, avec celle de la
garde vue.
Les services de police judiciaire sont aujourdhui contraints, dans de telles
situations, de profiter de la prsence du mis en cause ou des tiers concerns,
pour placer le support informatique sous scell dfinitif puis de faire appel un
de leurs collgues techniciens en le requrant sur le fondement de lart. 60 du
C. P.P. , puisque la loi autorise cette personne requise briser le scell aux fins
danalyse et le reconstituer, hors la prsence de la personne, compte-tenu de
son indpendance par rapport lenqute...La complexit de la dmarche est
vidente pour un surcrot de garantie limite par rapport celle quoffre tout
officier de police judiciaire.
Enfin, la loi est muette sagissant de lexploitation des supports saisis en dehors
dune perquisition, par exemple sur la personne suspecte ou sur un tiers, ou de
la possibilit de raliser, en pareille hypothse, une copie.
229
Laccs un serveur distant pose les mmes types de difficults.
Indpendamment de la question des garanties qui doivent accompagner
lanalyse (voir les recommandations sur la preuve numrique), il sagit moins dune
difficult de nature juridique que dune insuffisance tenant la conduite tenir
en matire daccs, selon que lon procde des scells ferms provisoires du
support physique des donnes informatiques ou la ralisation de copies, selon
que la personne en cause peut tre ou non prsente, insuffisance lorigine
dune vritable inscurit juridique, en premier lieu pour les enquteurs.
Il est aujourdhui ncessaire dadapter la procdure aux spcificits du support
informatique.
Recommandation n/ 41
relative lanalyse des donnes saisies
1 - Prvoir explicitement que laccessibilit, partir du systme initial ou du
scell provisoire, aux donnes stockes dans ce systme ou dans un autre
systme vis lart. 57-1 peut tre ralise soit sur les lieux de sa saisie, soit
dans les locaux du service denqute ou dans les locaux des techniciens
saisis en application de lart. 60.
2 - Autoriser explicitement la ralisation dune copie sur les lieux de la saisie
du support numrique ainsi que dans les locaux denqute sur la base du
scell provisoire et hors la prsence de la personne.
3.- Autoriser lenquteur, en cas de ralisation diffre de la copie ou dans
lhypothse dune exploitation diffre du scell provisoire, de mettre le
support saisi sous scells dfinitifs hors la prsence de la personne, mais en
prsence dun responsable hirarchique.
Ces trois dispositions doivent saccompagner de garanties spcifiques (voir
les recommandations sur la preuve numrique).
4 - Doter les services denqute, compte-tenu des besoins croissants cet
gard et de lexigence de rapidit qui prvaut en cas dinterpellation du mis
en cause, du matriel technique leur permettant de raliser ces copies dans
les meilleurs dlais.
22. - la seconde de ces difficults tient la mconnaissance des codes
daccs verrouillant laccs au contenu informatique, dans la mesure o
leur dtenteur (suspect ou tiers) est soit absent, soit refuse de les fournir.
Dans la mesure o lart. 56 al.2 lui permet de prendre connaissance sur place
des donnes informatiques avant saisie, lofficier de police judiciaire se trouve
confront une impossibilit difficilement surmontable.
En outre, il importe de rpondre lhypothse de la dcouverte des codes
daccs sur place et de leur utilisation, soit en labsence de lintress, soit
aprs refus de sa part de les fournir. Dans lespce ayant donn lieu larrt
de la Chambre criminelle en date du 6.11.2013, cette utilisation par les
230
enquteurs ne soulevait pas de difficults dans la mesure o lidentifiant avait t
obtenu dans le cadre dune perquisition autorise par le juge des liberts et de
la dtention ; toutefois, dune part, la perquisition ne requiert pas ncessairement
une autorisation dun juge ; dautre part, une telle saisie peut tre opre en tous
lieux.
Enfin, le droit lassistance doit tre spcialement reconnu, au-del de la
possibilit de rtention prvue in fine par lart. 56 du C.P.P. ou de faire appel
une personne qualifie. Une telle disposition complterait harmonieusement les
dispositions de lart. 434-15-2 du code pnal rprimant la personne qui, ayant
connaissance de la convention secrte de dchiffrement dun moyen de
cryptologie susceptible davoir t utilis dans le cadre dun crime ou dun dlit,
refuse de prter son concours alors quil en est requis.
Recommandations n/ 42
relative aux codes daccs
1.- Prvoir explicitement que la saisie peut porter tant sur les terminaux et
supports de stockage que sur les lments permettant laccessibilit aux
diffrents systmes informatiques (identifiants, mthodes de chiffrement...) et que
ces lments peuvent tre utiliss par lofficier de police judiciaire pour avoir
accs aux donnes informatiques, condition den faire mention dans la
procdure.
2.- Inscrire dans le code de procdure pnale le droit, pour lofficier de police
judiciaire, de requrir tout tiers ayant connaissance du systme informatique,
dans la mesure o il ne saurait tre assimil une personne qualifie,
3.- reconnatre explicitement le droit, dj largement mis en oeuvre en
pratique, pour lofficier de police judiciaire de casser lui-mme le code
daccs ou de faire appel une personne qualifie pour ce faire, condition
dassurer lintgrit du systme et den faire mention dans la procdure.
23.- La troisime difficult tient au recours de plus en plus frquent des
logiciels de chiffrement.
Quant aux donnes cryptes ou chiffres, les dispositions des art. 230-1 et s.
du code de procdure pnale permettent, aux seuls magistrats, de requrir toute
personne physique ou morale ainsi que lorganisme technique interministriel
habilit secret dfense - le Centre technique dassistance (DCRI) -. Si, sagissant des
donnes manant des oprateurs de communication lectronique, la future Plate-
forme nationale des interceptions judiciaires devrait apporter des solutions, dans le
cadre de la convention conclue avec le centre prcit, la difficult reste entire
pour laccs aux autres donnes informatiques.
181
art. 57-1 du C.P.P. :
Les officiers de police judiciaire ou, sous leur responsabilit, les agents de police judiciaire peuvent, au cours
dune perquisition effectue dans les conditions prvues par le prsent code, accder par un systme
informatique implant sur les lieux o se droule la perquisition des donnes intressant lenqute en cours et
stockes dans ledit systme ou dans un autre systme informatique, ds lors que ces donnes sont accessibles
partir du systme initial ou disponibles pour le systme initial.
Sil est pralablement avr que ces donnes, accessibles partir du systme initial ou disponibles pour le
systme initial, sont stockes dans un autre systme informatique situ en-dehors du territoire national, elles
sont recueillies par lofficier de police judiciaire, sous rserve des conditions daccs prvues par les
engagements internationaux en vigueur.
231
Recommandation n/ 43
relative au cryptage et au chiffrement des donnes
1 - Autoriser lofficier de police judiciaire, sagissant des donnes chiffres et
lorsque la convention de chiffrement ne peut tre obtenue du matre du
systme ou du tiers dont lassistance est requis, requrir toute personne
qualifie, y compris, par le biais de lO.C.L.C.T.I.C. ou de lI.R.C.G.N., le
Centre technique dassistance.
2 - Compte-tenu des comptences de ce Centre et de lassistance prcieuse
quil peut fournir, gratuitement, aux autorits judiciaires, mieux faire connatre
ce service, en accrotre les capacits afin dacclrer son expertise et en
faciliter laccs en prvoyant la possibilit pour les magistrats de le saisir
directement, sans devoir passer par lintermdiaire de lO.C.L.C.T.I.C,
3 - Rechercher et poursuivre effectivement les personnes, physiques ou
morales, qui se livrent au commerce, limportation et lexportation des
logiciels de chiffrement et de cryptologie, en violation de la rglementation
franaise existante, sans exclure, sagissant des utilisateurs, lapplication de
la circonstance aggravante prvue par lart. 132-79 du code pnal.
3 - les droits daccs un systme informatique second sis ltranger.
Le temps o les donnes intressant lenqute taient toutes stockes dans
lordinateur du mis en cause est dsormais rvolu ; dune part, lvolution de la
technique favorise leur externalisation ; dautre part, les liens informatiques qua
pu entretenir un suspect avec dautres bases de donnes intressent aujourdhui
autant la lutte contre la cybercriminalit que les donnes stockes.
La Convention du Conseil de lEurope sur la cybercriminalit en a tir les
consquences en prvoyant, en son article 32, que, sauf pour celles qui sont
accessibles au public, laccs transfrontalier des donnes stockes sur le
territoire dun autre Etat est conditionn par le consentement lgal et volontaire de
la personne autorise lgalement divulguer ces donnes.
Le lgislateur franais a ainsi modifi les deux premiers alinas de lart. 57-1 .
181
Quant la Chambre criminelle, elle a elle-mme, en son arrt du 6 novembre
2013, donn linterprtation la plus large possible au texte existant en privilgiant
le doute quant la localisation des donnes.
cf. le code dinstruction criminelle belge, le code de procdure pnale portugais...
182
232
Il en rsulte que, pour les donnes non publiques, sil nest pas pralablement
avr que ces donnes sont stockes dans un systme informatique situ en
dehors du territoire national, lofficier de police judiciaire est autoris les
consulter, implicitement selon la loi, explicitement selon la Cour de cassation.
En revanche, lorsquil est avr que le systme informatique en cause est situ
en-dehors du territoire national, le principe est aussi celui de la consultation, sous
rserve du consentement lgal et volontaire de la personne autorise lgalement
divulguer ces donnes, qui suppose de disposer dinformations le plus souvent
inexistantes quant la domiciliation lgale du serveur ou du site concern, et a
fortiori, quant lidentification du pays dans lequel les donnes sont stockes.
Les spcialistes se perdent aussi en conjecture pour dterminer exactement la
personne autorise lgalement dont fait tat la Convention, dautant plus quune
telle dfinition renvoie des ralits propres chaque systme juridique.
A dfaut, la seule solution juridique consiste en louverture dune information
judiciaire aux fins de dlivrance dune commission rogatoire internationale,
solution qui nest pas envisageable dans les affaires de masse et de moindre
gravit et savre inadapte compte-tenu de la clrit qui simpose et du risque
de dplacement ou daltration des donnes.
Si laccs un site ouvert au public ne soulve pas de difficults ( la condition de
sentendre sur ce que recouvre exactement un tel concept, notamment pour les rseaux
sociaux : cf. La notion damis sur Facebook...), la difficult est entire sagissant des
espaces privatifs situs ltranger, qui, linstar du coffre bancaire ou de la
bote lettres, requirent, en terme daccs, des garanties tenant, la fois, la
personne et lEtat, voire la personne seule dans le cadre de la Convention
prcite.
Dvidence, une telle limitation favorise limpunit des dlinquants,
compte-tenu du recours de plus en plus frquent la localisation des
donnes ltranger, au besoin dans des cyber-paradis, voire dans les
nuages. Elle constitue, pour les praticiens, lune des difficults majeures
rencontres dans les enqutes ou les instructions prparatoires portant
sur la cybercriminalit.
Le groupe interministriel a pris acte des rflexions du Conseil de lEurope
susceptibles de dboucher, terme, sur un protocole additionnel destin
autoriser distance, pour les donnes didentit et de trafic, ce type de
consultations dans la mesure o les donnes intressant lenqute sont
accessibles partir du systme initial. Il conviendra toutefois de bien examiner
les effets directs dune telle volution sagissant des socits franaises ainsi
que le temps que va requrir une telle volution.
Le Groupe est davis, vu lurgence et linstar de nombre autres Etats europens
, de procder sur le plan de la lgislation interne.
182
Deux solutions ont t explores.
233
En premier lieu, il pourrait tre envisag de procder de manire similaire ce
qui est recommand pour les rquisitions et dinstituer un droit de suite en
nonant que tout systme informatique accessible partir dun systme initial
prsent sur le territoire franais et en possession ou utilis par une personne
paraissant avoir particip un crime ou un dlit grave est prsum ne faire
quun avec le systme initial et soumis aux mmes modalits de consultation que
ce dernier, en bornant ou non cette possibilit daccs aux seules donnes
personnelles de lintress.
Une telle solution, conforme semble-t-il aux dispositions dj existantes au
bnfice de ladministration fiscale et la dcision prise par la cour dappel de
PARIS en son arrt du 31 aot.2012, serait logique dans la mesure o, si des
agents ont autorit pour accder un ordinateur, ils doivent tre mme de
consulter lensemble des donnes cres par le suspect ou accessibles par lui.
Toutefois, cest une autre solution qui est prconise, comme plus protectrice et
plus cohrente avec les dispositions internationales existantes : recourir
lautorisation pralable dun magistrat lorsque le consentement de la personne
habilite autoriser laccs na pu tre recueilli.
Cette proposition se situe dans la droite ligne des dispositions de la Convention
prcite tout en leur donnant leur pleine effectivit, en positionnant en quelque
sorte le magistrat comme une autorit de substitution lorsque, notamment, la
personne lgale autorise consentir la divulgation nest pas dtermine, se
trouve tre empche ou a pris la fuite.
Recommandation n/ 44
relative laccs en ligne
aux donnes informatiques stockes ltranger
Prvoir, dans la loi franaise, que, lorsquil avr que le stockage des
donnes informatiques a lieu ltranger et que le consentement de la
personne habilite autoriser laccs na pu tre recueilli, leur consultation
puisse tre autorise par un magistrat.
.
4.- le recours des techniciens et experts qualifis
La technicit requise par les analyses numriques suppose le concours de
spcialistes forms cet effet. Les praticiens rencontrent plusieurs difficults
concrtes cet gard.
41 - La premire difficult, rencontre par les enquteurs, a trait au rle
respectif des officiers de police judiciaire habilits procder lenqute,
et des policiers ou gendarmes requis en tant que personnes qualifies sur
le fondement des dispositions de lart. 60 du code de procdure pnale,
notamment les ICC et les NTECH.
234
Pour des raisons pratiques et afin dviter une csure dans les investigations
ncessaires en cours danalyse et dexploitation des matriels, les services
enquteurs souhaiteraient que les policiers et gendarmes requis puissent
exercer, la fois, leur qualit de technicien et leur qualit dofficier de police
judiciaire.
En ltat de la jurisprudence, il nexiste aucune incompatibilit entre les deux
qualits lorsque le technicien appartient au service charg de procder
lenqute. Ainsi, dans larrt n/ 10-84.389 rendu le 4.11.2010 par la Chambre
criminelle, le fait que des fonctionnaires du service local didentit judiciaire aient
effectu des constatations et examens, mmes techniques, pour le compte dun
officier de police judiciaire relevant du mme service rgional de police judiciaire
saisi de lenqute par instructions du procureur de la Rpublique, ne relevait pas
des dispositions de lart. 60 ; vraisemblablement, la Cour de cassation a ainsi
voulu viter quil soit procd des rquisitions internes un mme service et
des prestations de serment, qui revtiraient un aspect purement formel au
regard du principe de lautorit hirarchique. Par-del, il y a la volont dassurer
le respect de la dsignation du service denqute comptent par le procureur de
la Rpublique comme par le juge dinstruction.
En revanche, lorsque le technicien relve dun autre service ou dune autre unit
que celui ou celle saisi de lenqute, le recours lart. 60 simpose avec, comme
corollaire, limpossibilit, pour le technicien, de procder des actes denqute.
Toutefois, linterprtation de larrt prcit tendrait permettre de faire
lconomie dun tel recours si le service ou lunit dont fait partie le technicien -
la condition quil sagisse dun service ou dune unit de police judiciaire et que
le technicien ait lui-mme la qualit dofficier ou dagent de police judiciaire -, est
co-saisi par le magistrat.
En consquence, ce nest que dans lhypothse dune saisine doffice, par
lenquteur, dun technicien relevant dun autre service que le sien, quil devrait
tre fait recours aux dispositions de lart.60 avec les consquences quil
implique.
Le groupe interministriel a estim ne pas devoir revenir sur cette dichotomie
dans la mesure o les examens techniques et scientifiques effectus dans le
cadre de lart.60 requirent, de manire gnrale, sinon une certaine
indpendance institutionnelle, du moins une impartialit fonctionnelle consacre
par la prestation de serment. Cest dailleurs, compte-tenu de cette spcificit
que la personne qualifie de lart. 60 peut, comme un expert dans le cours dune
information, briser les scells et les reconstituer.
Bien entendu, plus la comptence des O.P.J. sera leve sagissant des
constatations opres en cette matire, plus les services et units seront dots
de NTEC ou dICC, moins ils auront besoin de requrir les techniciens
spcialiss en provenance dautres services.
A noter sur ce point quil existe, depuis 1989, une Compagnie nationale des experts de justice en
183
informatique et techniques associes (CNEJITA), qui regroupe environ 110 experts.
235
42 - la seconde difficult, propre aux juges dinstruction, a trait la
comptence comme dailleurs au cot des experts en matire numrique.
183
Si une partie des experts dispose dune vritable comptence, une des difficults
que rencontre la Justice, qui nest dailleurs pas propre la cybercriminalit,
concerne linstruction des demandes dinscription sur les listes des experts
judiciaires.
Elle doit pouvoir bnficier dun avis technique autoris provenant soit de la
profession, soit, si celle-ci nest pas suffisamment organise, dune autorit
externe qualifie.
Une autre difficult tient au recours mme lexpertise. Sil sagit simplement de
procder des constatations sur le fondement de lal. 4 de lart. 81 (consultation
et analyse des donnes existantes sur les supports saisis, y compris avec la mise en
oeuvre de logiciels forensiques), un tel recours ne savre pas ncessaire et les
enquteurs spcialiss peuvent y procder, la condition que leur nombre
saccroisse.
Il convient toutefois de dterminer plus prcisment o sarrtent les
constatations et o dbutent les investigations vritablement techniques
(recherche ou reconstitution de donnes illisibles ou effaces, mise jour de donnes
caches, recherche de mots cls, dimages, de logiciels illgaux...).
La formation comme le soutien apports aux juges dinstruction doit aussi
prendre en compte la ncessit de dterminer de manire prcise les missions
expertales et de veiller ce que les experts ainsi commis aillent bien lessentiel
et prsentent leurs travaux de manire dynamique, sans se limiter une
transcription et une mise plat des donnes recueillies.
Enfin, reste le cot des expertises, souvent dmesur par rapport aux attentes
du juge, et qui ncessiterait dtre mieux encadr, sous peine de peser
lourdement dans le futur sur la dotation alloue aux juridictions.
Si les futures juridictions spcialises seront en mesure de disposer du savoir-
faire ncessaire, il serait opportun que ladministration centrale apporte un
soutien institutionnel sur ces diffrents points.
236
Recommandation n/ 45
relative aux recours aux personnes qualifies et aux experts
1 - prvoir une aide institutionnelle de lAutorit nationale sur la scurit des
systmes dinformation en ce qui concerne linscription des experts en
cybercriminalit sur les listes des cours dappel, soit sous la forme davis, soit
sous celle de labellisations dorganismes ou de laboratoires
2 - prconiser, de prfrence lexpertise, le recours aux techniciens de la
Police ou de la Gendarmerie sil sagit de procder de simples
constatations.
3.- apporter, au plan de ladministration centrale de la Justice avec le
concours de lEcole nationale de la Magistrature, un soutien aux magistrats
instructeurs dans la dtermination des missions dexpertise (diffusion de
missions-type...).
4 - poursuivre la tarification des analyses en matire informatique et examiner
la possibilit de passation de marchs publics.
.
---------
qui se distingue toutefois de la technique dite du coup dachat, prvue par le mme art. 67-I du
184
code des Douanes, et utilise par Cyberdouane pour lutter contre les infractions supposant des transferts dargent
ou de marchandises, notamment dans le domaine de la contrefaon
237
.- lenqute sous pseudonyme
Elle est prvue, pour des infractions strictement dlimites (provocation directe aux
actes de terrorisme, apologie du terrorisme, traite des tres humains, proxntisme assimil, recours
la prostitution de mineurs ou de personnes particulirement vulnrables, mise en pril des mineurs) par
les art. 706-25-2, 706-35-1 et 706-47-3 du code de procdure pnale ainsi que par lart. 59 de
la loi du 12.05.2010 relative louverture la concurrence et la rgulation du secteur des jeux
dargent et de hasard en ligne, et, sagissant de plusieurs dlits douaniers (limportation,
lexportation ou la dtention de produits stupfiants, de tabac manufactur et de marchandises
contrefaites), par le 3/ de lart. 67 bis-1 du code des douanes.
Mme si leurs formulations diffrent, ces dispositions ont pour but dautoriser
certains fonctionnaires nommment dsigns participer sous un pseudonyme des changes
lectroniques, tre en contact, par ce moyen, avec les personnes susceptibles dtre les
auteurs des infractions vises, et dextraire ou dacqurir les donnes didentification ainsi que
les lments de preuve ncessaires lenqute, sans que de tels actes puissent, en aucun cas,
tre constitutifs dune provocation commettre une infraction.
Si une telle interdiction comme la possibilit dacqurir des lments de preuve
constituent des points de similitude avec la procdure dite dinfiltration, prvue en droit
184
commun par les art. 706-32, 706-81 s. du C.P.P. et lart. 67 bis du code des Douanes, parler
de cyber-infiltration pour cette technique denqute mene sous pseudonyme relve dun abus
de langage, juridiquement erron et de nature susciter des rserves quant son utilisation.
En effet, les pouvoirs dvolus aux enquteurs sont bien en-de de ceux dont
disposent les agents infiltrs qui peuvent, eux, acqurir, dtenir, transporter, livrer ou dtenir des
substances, biens produits, documents ou informations tirs de la commission des infractions ou servant
la commission de ces infractions et surtout utiliser ou mettre disposition des personnes se livrant
ces infractions des moyens de caractre juridique ou financier ainsi que des moyens de transport, de
dpt, dhbergement, de conservation et de tlcommunication, cest--dire commettre des
infractions pour la bonne cause.
Telle est dailleurs la raison pour laquelle les conditions de linfiltration sont plus
rigoureuses que celle de lenqute sous pseudonyme.
Paradoxalement, le champ de linfiltration est bien plus large (cf. lensemble
des infractions vises lart. 706-73 du C.P.P.) que celui de lenqute sous pseudonyme.
En outre, par comparaison avec les exemples trangers, la lgislation franaise
parat bien restrictive, puisque, dans plusieurs pays, il est recouru cette technique dans le
cadre des pouvoirs gnraux denqute (Canada, USA, Luxembourg) ; que dautres distinguent
les investigations passives qualifies dobservations, des investigations actives (Suisse) ; enfin,
au Royaume-Uni, qui dispose dune lgislation spcifique, les conditions tiennent la formation
particulire des enquteurs et lautorisation de leurs chefs de service, la technique tant par
ailleurs autorise pour toute infraction si la mesure est ncessaire et proportionne.
En ltat, lobjectif recherch par le lgislateur - faciliter les enqutes pro-actives
des services spcialiss sur Internet - nest pas vritablement atteint pour deux raisons.
une telle veille en mode cach rpond des raisons videntes : le recours ladresse IP du
185
ministre de lIntrieur prviendrait dventuels dlinquants...Encore faudrait-il que lensemble des services
denqute en soient dots.
nombreux sont les services administratifs, autorits administratives indpendantes, associations,
186
groupements professionnels qui ralisent de telle veille sur Internet
238
9 une confusion entre la veille policire sur Internet et lenqute sous
pseudonyme
La veille consiste accder aux espaces ouverts au public sur Internet afin de
dceler lexistence dventuelles infractions. Cest lapplication ce systme de
communication du vieux principe de surveillance prventive que doivent exercer
policiers et gendarmes en tous lieux ouverts au public, qui ne ncessite pas une
autorisation lgale autre que celle qui rsulte des art. 12 et 41 du C.P.P., sauf
a contrario, sagissant de la surveillance des personnes, les dispositions de lart.
706-80 du C.P.P.
Cette veille se ralise sans moyens dinvestigation particuliers autres que le
recours un accs Internet non rattach au rseau Police ainsi qu des
185
moteurs de recherche et ne donne lieu aucun acte denqute.
Elle suppose toutefois, ne serait-ce que pour pouvoir accder aux rseaux
sociaux, forums de discussions, blogs... davoir recours, comme tout un chacun,
un pseudonyme. Un tel recours procde aussi dune ncessaire galit des
armes, compte-tenu de lusage gnralis de pseudonymes sur Internet, mais
aussi dune scurit minimale pour les agents.
Une telle veille tait de pratique courante ; elle se trouve aujourdhui fragilise,
sagissant des seuls officiers et agents de police judiciaire comme des douaniers
, par la rdaction mme des articles prcits qui paraissent soumettre aux
186
mmes conditions lusage dun pseudonyme quil soit ou non accompagn
dinvestigations.
En liant ainsi le recours un pseudonyme avec la prise de contact et lacquisition
ou lextraction de preuve, la veille est limite quelques agents et pour quelques
infractions graves, alors mme que, par nature, elle doit revtir une porte
gnrale et ne requiert pas un encadrement normatif au sens des alinas 2 des
art.8 et 10 de la Convention europenne des droits de lhomme, car elle ne saurait
tre assimile une ingrence dans le droit au respect de la vie prive des
personnes ou dans la libert dexpression.
.
Sauf remettre en cause cet objectif gnral de veille, il importe de modifier les
articles en question afin de lever les interrogations existantes et de permettre aux
membres de la police judiciaire ainsi quaux douaniers de recourir librement un
pseudonyme.
239
Recommandation n/ 46
relative la veille sur Internet
pratique par la police judiciaire
Autoriser, de manire gnrale, le simple usage dun pseudonyme sur
Internet par les officiers et agents de police judiciaire, lorsquil ne
saccompagne pas dinvestigations particulires.
9 le champ dapplication trop restreint de lenqute sous patronyme
Parfois la veille ne suffit pas et il faut passer une phase active didentification
de lauteur dune infraction et la runion dlments de preuve.
Les services enquteurs, quils soient spcialiss ou non, sont tous unanimes
pour souligner combien la phase didentification dun cyber-dlinquant devient de
plus en plus difficile. La mthode reine dinvestigation - lidentification dune
personne par une adresse IP - devient de plus en plus hypothtique et pour
plusieurs raisons mises en vidence notamment par lO.C.L.C.T.I.C. qui ont dj
t mentionnes mais qui mritent dtre prcises :
2 les internautes malveillants ont recours frquemment des techniques,
gratuites et simples, garantissant leur anonymat ; certains sites
fournissent ainsi un service consistant masquer ladresse IP ; dautres
serveurs permettent lenvoi de-mails anonymes ; les rseaux
dcentraliss alatoires (comme TOR) et les serveurs mandataires
(proxies) allouent des adresses IP demprunt ; des navigateurs gratuits (tel
que Firefox) permettent le tlchargement doptions danonymisation
(plugins)...
2 les mmes bnficient du dveloppement de lInternet nomade, qui leur
permet de se connecter, de prfrence, des bornes wifi publiques et
gratuites, dans les gares, les mairies, les aroports...Lorsquils ont
recours des connexions en 3G (Internet mobile), les flux changs
passent par des serveurs intermdiaires des fournisseurs daccs, qui
reoivent des milliers de connexion par seconde, rendant lidentification
dun abonn particulirement complexe.
2 quant aux dlinquants les plus organiss, ils placent leurs traces
informatiques hors de porte des enquteurs franais en jouant sur le
particularisme des lgislations internes : les forums ddis la
consommation et lchange de produits stupfiants sont hbergs
ltranger, dans des cyber-paradis ; les sites incitant la haine raciale
sont hbergs sur des serveurs de socits amricaines...
Ds lors, lenqute sous pseudonyme, malgr labsence de contrainte qui
la caractrise au regard de linfiltration, savre parfois la seule possibilit
encore offerte un service spcialis pour identifier un dlinquant.
240
Certes, les praticiens saccordent reconnatre quune telle technique denqute
nest pas la panace, puisquelle suppose une certaine disponibilit de
lenquteur et une formation pralable et quelle nest pas adapte toutes les
formes de cybercriminalit. Toutefois, de manire gnrale, lefficacit de telles
enqutes est avre.
Telle est dailleurs la raison pour laquelle elle est largement pratique, sous une
forme ou sous une autre, tant par CYBERDOUANE que par des enquteurs de
nombreux pays dEurope (Belgique, Bulgarie, Lettonie, Pays-Bas, Royaume-Uni...).
En France, le caractre extrmement restrictif de son champ dapplication pose
problme.
Deux possibilits dvolution sont envisageables : soit lautoriser pour un plus
grand nombre dinfractions, spcialement vises par la loi, selon une mthode
souvent mise en oeuvre depuis 15 ans en matire de procdure pnale, mais
lon voit mal quel serait le critre dinclusion ; soit la gnraliser mais en la
bornant, cest--dire en lrigeant en rponse spcifique aux difficults
didentification dune personne mise en cause, et en laccompagnant de
garanties supplmentaires au regard des art.8 et 10 dj cits de la Convention
europenne des droits de lhomme. Cest la solution prconise.
Recommandation n/ 47
relative la gnralisation de lenqute sous pseudonyme
Gnraliser la possibilit de raliser des enqutes sous pseudonyme tous
les crimes et dlits punis dune peine demprisonnement commis par le biais
dun rseau de communications lectroniques, lorsque lenquteur est
confront une difficult didentification de la personne susceptible den tre
lauteur, et la triple condition que
- lofficier ou agent de police judiciaire appartienne un service spcialis
dsign et soit spcialement habilit cette fin
- lenqute soit limite une certaine dure, avec une possibilit de
renouvellement soumise lautorisation pralable du procureur de la
Rpublique
- la traabilit des oprations soit assure.
*****
241
- la captation des donnes distance
La loi du 14.03.2011 a reconnu au juge dinstruction la possibilit de
dcider de la captation distance des donnes informatiques, dans le cadre des dispositions
spcifiques relatives la criminalit et la dlinquance organise (cf. art. 706-102-1 706-102-8
du code de procdure pnale).
Ce texte a manifestement t inspir tant par les dispositions relatives
la sonorisation des domiciles que par les lgislations trangres comparables.
A cet gard et titre dexemple, on peut souligner que le plus rcent
modle lgislatif de lutte contre la cybercriminalit dit en 2012 avec le soutien de lUnion
europenne prvoit un dispositif similaire ( cf. Cybercriminalit - Modles de lignes directrices
politiques et de textes lgislatifs - HIPACAR - UIT 2012" - Logiciel de criminalistique), la disposition -
prsente comme une norme minimale -, tant ainsi rdige :
Si un juge/magistrat est convaincu quil existe, dans une enqute relative une
infraction numre au par. 7 ci-aprs, des motifs raisonnables de croire que les
preuves essentielles ne peuvent tre collectes en utilisant dautres moyens,
mais quelles font lobjet dune demande raisonnable pour les besoins dune
enqute criminelle, il peut autoriser un agent utiliser un logiciel de
criminalistique distance pour effectuer la tche spcifique exige pour lenqute
et linstaller sur le systme informatique du suspect afin de recueillir les preuves
pertinentes. ...
La dure de lautorisation est limite 3 mois...
Lautorisation dinstaller le logiciel inclut laccs distance au systme
informatique du suspect....
Deux ans et demi aprs le vote lgislatif et alors mme que les
dispositions rglementaires sont intervenues (dcret 3.11.2011, arrt 4.07.2012), la loi nest
toujours pas en application, ce qui distingue la France des autres Etats comparables qui mettent
dj en oeuvre, souvent depuis des annes, cette technique de la captation.
En fait, les raisons du retard sont exclusivement techniques, le vote de
la loi tant intervenu alors que les solutions techniques navaient pas t suffisamment
expertises, sans doute pour rassurer les socits franaises concernes quant aux
investissements requis.
Si les dispositions prcites prvoient deux moyens de captation - lun par
introduction physique au domicile, lautre distance, permettant soit denregistrer les frappes
du clavier, soit les donnes figurant lcran -, il sest avr ncessaire de faire dvelopper les
outils utiles par des socits franaises, tant pour des raisons de scurit que pour des raisons
de souverainet, et de rpondre aux impratifs de miniaturisation et de contingentement de la
captation par rapport aux donnes autorises par la loi. Cette question technique, dans laquelle
sest implique lA.N.S.S.I., devrait tre dfinitivement rgle pour le dbut de 2014.
Reste rgler lpineuse question du cot de linvestissement et de la
commercialisation de ces produits, lExcutif ayant le choix entre le dgagement dune
enveloppe budgtaire consquente ou le paiement lacte sur les frais de justice, lequel pose,
son tour, le problme dune ventuelle tarification.
Cette question est actuellement examine par le ministre de lIntrieur et celui de la Justice
(Dlgation aux interceptions judiciaires).
242
Recommandation n/ 48
relative la captation distance de donnes informatiques
Le Groupe de travail raffirme lintrt que revt le recours, pour
combattre les formes les plus graves et les plus organises de la
cybercriminalit, la technique de la captation distance - quivalent de la
sonorisation pour les infractions de droit commun -, ainsi que la ncessit de
donner rapidement aux praticiens la possibilit dutiliser cette technique
lgalise ds 2011.
*****
En son considrant 75, le Conseil a valid lextension certains dlits conomiques et financiers de
187
divers pouvoirs de surveillance et dinvestigation propres la dlinquance organise (surveillance tendue de
lart. 706-80 du C.P.P., infiltration de lart. 706-81s., interception de correspondances de lart. 706-95,
sonorisation et captation de donnes informatiques des art. 706-96s.), en considration de la gravit des
infractions concernes et de la difficult dapprhender les auteurs de ces infractions (tenant) des lments
dextranit ou lexistence dun groupement ou dun rseau dont lidentification, la connaissance et le
dmantlement posent des problmes complexes.
En revanche, en son considrant 77, il a jug comme contraire au principe de proportionnalit le fait de prvoir,
pour ces mmes dlits, la possibilit de prolonger la garde vue, sur le fondement de lart. 706-88, de deux
prolongations supplmentaires de 24h. venant sajouter au dlai de droit commun, aux motifs que les infractions
numres constituent des dlits qui ne sont pas susceptibles de porter atteinte en eux-mmes la scurit,
la dignit ou la vie des personnes. Il est noter quun tel revirement de jurisprudence fragilise, pour lavenir,
les atteintes aux biens commises en bande organise vises au titre de la dlinquance organise - et notamment
les escroqueries qui intressent directement la lutte contre la cybercriminalit -, bien que la loi de 2004 ait t
valide par ce mme Conseil.
les J.I.R.S. ont t cres, principalement, pour connatre de lensemble de la criminalit organise
188
(cf. art. 706-75 s. du C.P.P.).
243
- le recours aux moyens de lutte contre la dlinquance organise
Le code de procdure pnale (art. 706-73 s.) prvoit, sagissant de crimes et dlits
graves spcialement viss relevant de la dlinquance organise, des moyens procduraux
exceptionnels, notamment les interceptions et les gardes vue prolonges.
Compte-tenu des difficults, dj soulignes, pour lutter contre la
cybercriminalit, le groupe interministriel sest interrog sur lopportunit dtendre le dispositif
en question aux infractions les plus significatives commises par lintermdiaire ou au moyen dun
systme de communications lectroniques.
Dans sa rflexion, il a tenu compte des rserves dordre gnral mises quant
lopportunit daccrotre encore le recours une procdure pnale spcifique et drogatoire
aux rgles communes ; du fait que la plupart des infractions vises lart. 706-73 sont
rprimes dune peine au moins gale 10 ans demprisonnement, alors que les infractions
incriminant spcifiquement des infractions relevant de la cybercriminalit sont punies de peines
maximales infrieures ; du revirement de jurisprudence rsultant de la dcision du Conseil
constitutionnel du 4.12.2013 portant sur la loi relative la fraude fiscale et la grande
dlinquance conomique et financire .
187
Toutefois, eu gard la gravit exceptionnelle que peut revtir une atteinte aux
systmes de traitements automatiss de donnes (S.T.A.D.), le groupe de travail a dj t
conduit recommander, dune part, des modifications du droit pnal, aux fins notamment de la
cration dune circonstance aggravante tenant lexistence dune bande organise, dautre part,
la reconnaissance dune comptence spcifique aux juridictions inter-rgionales spcialises
les concernant et dune comptence spciale pour Paris sagissant des atteintes portes
188
des sites vitaux.
Par voie de consquence, les atteintes aux S.T.A.D. ainsi aggraves, compte-
tenu et de leur gravit et des difficults tenant lidentification et lapprhension de leurs
auteurs, devraient relever des dispositions procdurales exceptionnelles susvises.
244
Nanmoins, et afin de prendre en compte la dcision constitutionnelle prcite,
il est propos de nautoriser le recours la garde vue prolonge que dans lhypothse o
latteinte prcite porterait sur un service de lEtat ou un oprateur dimportance vitale, induisant
alors la comptence Parisienne ; en effet, dans un tel cas de figure, la dure de la garde vue
de droit commun apparat insuffisante pour rpondre une dlinquance qui, au-del des
difficults gnrales tenant la lutte contre la cybercriminalit, y ajoute la complexit tenant
la bande organise et celle tenant au but recherch. Certes, un tel critre va au-del de celui
rcemment fix par le Conseil, mais la dfense des intrts fondamentaux de la Nation
parat mriter autant dattention que les atteintes la dignit de la personne.
Recommandation n/ 49
relative lextension certaines formes de cybercriminalit
des moyens relevant de la lutte contre la dlinquance organise
1 - Autoriser le recours aux moyens de procdure exceptionnels relevant de
la lutte contre la dlinquance organise sagissant des atteintes aux
systmes de traitements automatiss de donnes, aux motifs que de telles
atteintes peuvent revtir un degr de gravit particulirement important dans
certaines circonstances et que, par nature, la complexit des enqutes
mener en ce domaine ncessite de pouvoir disposer de lensemble des
moyens dinvestigation existants.
2.- Limiter toutefois la possibilit de recourir la garde vue exceptionnelle
de 96h. lhypothse o latteinte en question porte sur un service de lEtat
ou un oprateur dimportance vitale et menace ainsi les intrts
fondamentaux de la Nation.
,,,,,,
245
IIII.4.- De la rponse aux contentieux de masse
et de la police des noms de domaine
La cybercriminalit donne lieu deux types de contentieux de masse qui, pour
des raisons diffrentes, ne sont pas traits de manire satisfaisante et appellent, ds lors, des
modes de traitement spcifiques et totalement novateurs.
1.- Lescroquerie constitue linfraction la plus rpandue, celle qui fait le plus grand nombre de
victimes, quelle prenne la forme dune fraude sur la vente distance, constitutive dun vritable
march parallle qui recourt des intermdiaires plus ou moins complices (les mules dans le
jargon policier), de lescroquerie dite la nigriane, qui exploite la crdulit humaine sous la
forme de mails (faux appels aux dons, fausses loteries, faux hritages, fausses annonces, voire
escroqueries sentimentales) et fait transiter les fonds par lintermdiaire de socits de transfert
dargent incontrles, ou encore de vastes escroqueries soigneusement prpares visant
exclusivement les entreprises (cf. les escroqueries par faux ordres de virement, apparues en France
il y a deux ans, et qui font actuellement lobjet dinformations judiciaires ouvertes Paris, Bordeaux, Lille,
Lyon, Rennes...). Cest aussi celle qui est la plus mal lucide et pour laquelle les services de
police et les parquets rencontrent les plus grandes difficults.
Lorigine de cet tat de fait doit tre recherche dans le mode de traitement mis
en oeuvre.
Par nature, lescroquerie, qui ne peut en ltat faire lobjet dinvestigations pro-
actives car la cyber-infiltration nest pas actuellement autorise pour ce type dinfractions, est
porte, comme nimporte quelle infraction, la connaissance dun service enquteur par la
plainte de la victime, en fonction de son domicile ou de son sige social.
Cette plainte, qui nest pas souvent accompagne des lments ncessaires
lenqute - notamment le courriel qui en est lorigine, voire les rares lments didentification
disponibles -, nest pas non plus toujours recueillie de manire utile, faute de sensibilisation
suffisante des agents concerns.
En outre, ds labord, lenqute se heurte lanonymisation des donnes
personnelles, ce qui ncessite de requrir le fournisseur daccs aux fins dobtention de
ladresse IP.
A ce stade, lenquteur et, a fortiori, le parquet sur le ressort duquel il opre ne
disposent daucune donne pour apprcier si lescroquerie dont il est saisi relve dun acte isol
ou dune dlinquance plus organise, puisquaucun rapprochement ne peut tre opr entre
plaintes similaires, sauf pour celles dposes auprs de la mme sret ou de la mme brigade.
Sauf lexistence dun modus operandi rvlateur dune dlinquance
organise, le parquet apprcie alors la suite donner en fonction du seul prjudice
individuel subi par chaque victime, souvent de peu dimportance ; ds lors, pour des
raisons tant de priorits que dconomies - les dotations en frais de justice tant particulirement
contraintes - il a tendance, en fonction de seuils divers quil a lui-mme fixs, de ne pas requrir
le fournisseur, ce qui entrane le classement sans suite de la plainte.
246
Mme dans lhypothse o ladresse IP est requise et obtenue - ce qui nest pas
toujours le cas, faute parfois de rquisitions pertinentes ou du fait de labsence ou du refus de
rponse de certains fournisseurs -, les services locaux se heurtent une autre difficult tenant
au fait que, le plus souvent, ladresse renvoie une domiciliation trangre, parfois
loigne de lUnion europenne. Le parquet se livre alors une nouvelle apprciation,
tenant lopportunit davoir recours lentraide pnale internationale pour aller plus
loin, voire douvrir une information judiciaire. L encore ce stade de nombreuses plaintes
sont classes sans suite pour des raisons similaires aux prcdentes.
Enfin, lorsque ladresse IP renvoie une domiciliation sur le territoire
national, la plainte est, le plus souvent, transmise au parquet territorialement comptent,
ce qui ncessite la saisine dun nouveau service denqute, avec la dperdition de temps et
dnergie que lon imagine.
En fait, les services dinvestigation territoriaux comme les parquets
manquent dune donne essentielle dapprciation, tenant lexistence de faits similaires
commis selon le mme modus operandi au-del du territoire dans lequel ils oprent, car
les diffrents fichiers existants ne sont pas en mesure, en ltat, de jouer ce rle.
Or, la spcificit de lescroquerie commise par Internet tient ce que lescroc
opre, concomitamment, en direction de milliers ou de dizaines de milliers de victimes
potentielles sur le territoire national.
Policiers, gendarmes et magistrats du parquet sont bien conscients dune telle
carence mais nont aucun moyen dy pallier, raison pour laquelle tous ceux qui ont t entendus
par le groupe de travail sollicitent une rforme.
Quant aux services spcialiss lchelle nationale, faute de remonte
dinformations, ils ne peuvent que raliser des recoupements partiels, fonds sur les seuls
signalements des internautes via la base PHAROS (cette base exclut les plaintes) et des
partenariats mis en oeuvre avec les entreprises prives impactes par la fraude, partenariats
certes importants mais insuffisants ; il est vrai que les 5 6 policiers ou gendarmes dont dispose
le groupe escroqueries de lO.C.L.C.T.I.C. sont dj au maximum de leurs capacits.
En rsum, les modes classiques de saisine et de traitement, en ce quils
reposent sur le traitement individualis et local de chaque plainte, outre quils psent
lourdement sur des services territoriaux impuissants, savrent totalement inadapts
pour les escroqueries commises via Internet.
Il est aujourdhui temps de substituer au traitement local actuel un
traitement centralis, de nature permettre, lissue de la phase didentification opre
par le futur service central crer, deffectuer les regroupements ncessaires entre les
diffrents faits dnoncs et de saisir ensuite, de manire utile, le parquet le plus
comptent pour en connatre.
Ai nsi serai t - i l mi s un t erme un t rai t ement di ffrenci , gure
comprhensible, entre les signalements qui sont traits un niveau
centralis, et les plaintes dpendantes encore du niveau local, alors que
les uns et les autres renvoient une mme ralit criminelle, qui appelle
des recoupements.
En outre, la rforme prconise aurait valeur de test avant dventuelles
extensions.
247
Recommandation n/ 50
relative la cration dune plate-forme centralise
pour le traitement des cyber-escroqueries
Compte-tenu de linefficacit du traitement de ces infractions en fonction du
lieu du dpt de plainte, il est prconis
1.- de substituer au systme actuel un traitement centralis par une plate-
forme nationale de lensemble des escroqueries ralises via Intranet, les
usurpations de carte bancaire relevant toutefois dun traitement spcifique.
2.- Dalimenter cette plate-forme par des plaintes formules en ligne selon
des menus droulants destins sassurer de lexhaustivit des informations
utiles, plaintes qui, contrairement lexprimentation actuelle, feraient
lconomie dune convocation et dune audition de la victime par le service
denqute, et donneraient lieu la dlivrance dun accus de rception
automatis.
Cette nouvelle modalit sera de nature simplifier et favoriser les
dmarches des victimes.
Toutefois, sagissant des victimes qui souhaiteraient pouvoir continuer
dposer plainte localement, les applications informatiques relatives au
traitement des procdures de la Police et de la Gendarmerie devront intgrer
des imprims et conduites-type, afin de sassurer, l encore, de lexhaustivit
des informations recueillies.
3.- Donner pour mission cette plate-forme nationale - qui devrait tre gre
par lO.C.L.C.T.I.C. ou travailler en synergie avec lui, puisque cet Office
assure dj la responsabilit de la base PHAROS qui reoit les signalements
des internautes ainsi que du dispositif INFO-ESCROQUERIE, mais qui
devrait, en tout tat de cause, favoriser une approche interministrielle - de
9 procder une analyse des plaintes, particulirement du modus operandi,
grce un logiciel performant de rapprochement de nature mettre en
vidence les escroqueries relevant dune mme action criminelle
9 dlivrer les rquisitions ncessaires aux prestataires afin dobtenir les
lments didentification et de domiciliation disponibles
9 puis, sur la base de critres pr-dtermins par lautorit judiciaire et avec
son aval, saisir les parquets comptents des affaires ainsi regroupes avec
les lments recueillis par ses soins, tout en en informant les victimes. Ainsi,
chaque parquet et chaque service denqute, tout en faisant lconomie de
la phase didentification, disposera dinformations plus directement
exploitables.
4.- Rendre, comme PHAROS depuis peu, cette plate-forme accessible aux
services denqute, tant pour son alimentation qu des fins de consultation.
5.- Doter cette mme plate-forme des moyens en personnels ncessaires
son action, notamment en analystes, ainsi que des moyens en logiciels utiles.
248
2.- Lautre contentieux de masse concerne le dtournement des moyens de paiement que
constituent les captations des donnes de cartes bancaires et les fraudes associes, qui
sont commises, pour partie, via Internet, et lorigine de partie des escroqueries prcites.
Stant substitues aux chques sans provision, elles sont en constante augmentation depuis
plusieurs annes (cf. le titre I, chapitre 1).
Ainsi que le souligne lO.C.L.C.T.I.C., le principal mode de captation est le
skimming (copie des donnes numriques de la carte bancaire), qui permet aux rseaux criminels
organiss de montiser ces donnes captes frauduleusement soit en les encodant sur des
nouvelles cartes partir desquelles sont ralises des retraits dans les distributeurs de billets
ou des achats chez les commerants, soit par leur revente sur des forums internet ddis et
difficiles daccs (forums de carding), vritables commerces virtuels de coordonnes bancaires
et personnelles.
Toutefois, les techniques de ces rseaux, qui intgrent dsormais des
techniciens de haut niveau exploitant les carences du systme bancaire comme lensemble des
possibilits dInternet, voluent trs rapidement ; perfectionnant sans cesse les dispositifs de
captation, ces rseaux sont aussi lorigine de socits commerciales fictives dont lobjet
consiste exclusivement en lobtention dun terminal de paiement lectronique destin alimenter
un compte bancaire par le passage en masse de cartes bancaires rencodes, les sommes
ainsi acquises tant immdiatement blanchies par exemple par lachat de vhicules ou des
retraits en espces servant lalimentation de cartes bancaires prpayes assurant lanonymat.
En cette matire, le droit comme la politique pnale ont volu.
Au plan juridique, la priorit sest porte sur lindemnisation du titulaire de la carte
bancaire par le prestataire de services de paiement (cf. art. L. 133-18 et L.133-19 du code montaire
et financier).
Quant la politique pnale, elle a volu, puisque le ministre de la Justice,
aprs avoir rappel, dans un premier temps (cf. circulaire du 17.02.2010, Direction des affaires
criminelles et des grces), que la couverture financire par les banques ne saurait se traduire par
un refus denregistrer les plaintes de la part des services denqute, soulignait, dans un second
temps (cf. circulaire du 2.08.2011, id.), la ncessit, pour ces mmes services, de diffrer
lenregistrement des plaintes.
Ce diffr devait saccompagner de la recommandation faite la victime de
solliciter son remboursement auprs de sa banque aux motifs que le rgime dindemnisation
restait encore trop mconnu des utilisateurs de carte bancaire et quune plainte pralable ne
conditionnait pas cette dernire.
Dautres motifs, tenant la volont du ministre de lIntrieur de matriser les
statistiques de la dlinquance conomique et financire, expliquaient aussi un tel revirement.
Toutefois, la mme instruction suggrait que les banques, seules en mesure de
fournir les lments utiles aux investigations, dposent plainte aux lieu et place des titulaires.
Cette volution a, certes, permis de librer les services de police de plaintes
extrmement nombreuses qui, faute de possibilits de recoupements centraliss, parvenaient
rarement leur terme (cf. titre I, chapitre 1 : seuls un peu moins de la moiti des victimes dposeraient
plainte).
Mais elle a entran, dans le mme temps, une mconnaissance par ces mmes
services tant des cartes bancaires pirates que de la ralit de cette criminalit, le plus souvent
249
organise, qui a dautant plus prospr quelle ntait gure rprime, les organismes bancaires
ne stant pas substitus aux dtenteurs pour dposer plainte leur place.
En outre, il est craindre que labandon total du recours la plainte d-
responsabilise une minorit des titulaires de cartes, voire incitent un petit nombre dentre eux
effectuer des fausses dclarations leurs banques.
Enfin, les vritables victimes que sont les commerants ou prestataires de
service, qui supportent in fine lessentiel du prjudice, se sont retrouves sans protection
effective et conduites, leur tour, dposer plainte du chef descroquerie. Cest par ce biais
que, tardivement, les services denqute connaissent dune partie des captations ralises, alors
que la ractivit est une donne essentielle en face dquipes criminelles trs mobiles au plan
international ; ils sont ainsi contraints dadresser des rquisitions diffrents oprateurs
techniques ou bancaires
Si certains ont prconis dabroger la circulaire de 2011 et den revenir,
purement et simplement, au principe du dpt de plaintes individuelles par les dtenteurs
pralablement la demande dindemnisation, le groupe interministriel a considr quun
tel mode ne serait pas opratoire et se heurterait aux mmes difficults que celles
rencontres en matire de cyber-escroqueries, dautant plus que le dtenteur ignore, le
plus souvent, le moment et les circonstances dans lesquelles les lments
didentification leur ont t soustraits, mme sil a tendance en rendre responsables
les paiements sur Internet.
Considrant, au contraire, que la circulaire en question ntait pas alle jusquau
bout de sa logique, il recommande driger en obligation le fait pour les organismes bancaires
de dnoncer la future plate-forme comptente pour les escroqueries les fraudes dont il a
connaissance ainsi que les lments dont il dispose en terme didentification et de
rapprochement. Il est noter que cest aussi lintrt du systme bancaire daccrotre leffectivit
de la lutte contre ce type de dlinquance, qui gnre des incertitudes, parmi les
consommateurs, sur la scurisation du dispositif des cartes bancaires et les rglements
associs.
Recommandation n/ 51
relative la centralisation du traitement des captations des cartes
bancaires et des fraudes qui leur sont associes
Eu gard la dperdition des informations actuelles par rapport une
dlinquance, le plus souvent organise et en forte progression, il est
prconis,
1.- de faire obligation au systme bancaire de dnoncer les captations illicites
et fraudes associes dont ils ont connaissance ainsi que les lments utiles
dont il dispose via ses processus et enqutes internes tenant notamment
lidentit des titulaires des comptes destinataires de fonds, aux victimes
directes ou indirectes, ainsi quau rapprochement des escroqueries
commises selon le mme mode opratoire.
2.- de solliciter le G.I.E. cartes bancaires et les autres oprateurs de moyens
de paiement de produire les points de compromission dont il a connaissance
(commerces principalement viss par les transactions frauduleuses)
3.- doprer de telles dnonciations en ligne et en direction dun point dentre
unique, qui pourrait tre la plate-forme prconise en matire de cyber-
escroqueries, cela afin de favoriser une synergie entre deux natures
dinfractions souvent associes.
identits virtuelles ou pseudos utiliss par les mis en cause, sites ou forums utiliss, adresses
189
lectroniques, adresses de livraisons...
250
Faut-il aller plus loin et gnraliser une 1 phase de centralisation pour
re
lensemble des infractions relevant de la cybercriminalit ?
Cela ne parat, en ltat, ni souhaitable, ni dailleurs ralisable.
En effet, dune part, une telle centralisation napporterait rien sagissant de
certaines infractions, compte-tenu de leur nature, notamment lorsquelles sinscrivent dans des
conflits entre personnes identifies ou identifiables ; dautre part, et sagissant des infractions
les plus graves, les recommandations relatives la spcialisation de certains tribunaux comme
le fait que lenqute soit, le plus souvent, confie des services denqute spcialiss facilitent,
par nature, les recoupements ; enfin, pour les autres infractions, moins importantes
quantitativement, dautres procds techniques devraient permettre de favoriser les
rapprochements ncessaires.
En effet, le futur fichier de traitement dantcdents judiciaires (TAJ), ds lors que
les traitements de rdaction des procdures de la Police et de la Gendarmerie, qui lalimentent,
prendraient effectivement en compte les donnes intressant spcifiquement la cybercriminalit
(cf. la recommandation ), devrait tre en mesure, terme, deffectuer des rapprochements
189
automatiss de donnes, notamment quant au mode opratoire, favorisant ainsi les
rapprochements ncessaires.
*****
251
3.- Ces deux rformes organisationnelles devraient tre combines une troisime, visant,
spcifiquement, les fraudes commises par le biais dentreprises commerciales sur
Internet, par le biais du renforcement de la police des noms de domaine.
Si les adresses IP constituent les identifiants fondamentaux des ordinateurs
proposant des services sur Internet, elles ne peuvent tre aisment mmorises. Le nom de
domaine est un systme permettant linternaute de retenir et de communiquer facilement ces
adresses IP, puisquil suffit de taper ce nom, obtenu le plus souvent par le biais dun moteur de
recherche, pour que le navigateur interroge une base de rfrence et permette laccs direct
de lutilisateur au site concern.
Lattribution dun nom de domaine revt ainsi une importance toute particulire
pour les sites commerciaux sur Internet, ce nom jouant leur gard le rle de vritables
enseignes.
Le systme dadressage Internet (D.N.S.) est compos de deux types de domaines :
2 les domaines nationaux, en fr. (France), re. (La Runion)..., dont les
rgles sont dfinies par la France (2,6 millions de noms de domaine en
fr., intituls ordinairement nomdesocit.fr)
2 les domaines gnriques en com., org. et net., dont les rgles sont
dfinies, au plan international, par lICANN.
Sur le plan franais, lencadrement juridique des noms de domaine rsulte de la loi du
21.06.2004 modifie par celle du 22.03.2011 (cf. art. L.45 L.45-7, art. R.20-44-38
R.20-44-46 du code des postes et tlcommunications lectroniques). Toutefois, faute
dinscription dans un cadre europen, une remise plat doit intervenir courant 2014.
LAssociation franaise pour le nommage internet en coopration (A.F.N.I.C.), personne
de droit priv charge dune mission de service public, assure lattribution des noms des
domaines nationaux via les 480 bureaux denregistrement quelle accrdite (pour
lessentiel, des hbergeurs) ; elle tablit les rgles de nommage qui doivent garantir, selon
la convention qui la lie lEtat, la libert de communication, celle dentreprendre et les
droits de proprit intellectuelle.
Mme si pour certains noms de domaine, lA.F.N.I.C. doit procder un examen
pralable, le principe est que lenregistrement seffectue sous la seule responsabilit du
demandeur et sous la forme dune simple location pluri-annuelle. Par voie de
consquence, lA.F.N.I.C. ne procde pas un contrle pralable et nest pas en mesure
de refuser un enregistrement.
Toutefois, lA.F.N.I.C., outre la diffusion quotidienne des noms de domaine enregistrs,
a pour mission de collecter auprs des bureaux denregistrement les donnes
ncessaires lidentification des personnes titulaires de noms de domaines, qui sont
intgres dans la base de donnes Whois.
Elle contribue aussi la lutte contre la fraude de plusieurs manires :
*la communication aux organismes dEtat qui en font la demande de la liste des
noms de domaine en fr., voire dextractions ralises partir dun certain nombre
de mots clefs.
*la leve danonymat dun titulaire de nom de domaine (identit et coordonnes
des personnes, historique des noms de domaine, portefeuille des noms de
domaine du titulaire vis...) au bnfice des services de lEtat disposant dun droit
de rquisition ou de communication (autorit judiciaire, Police, Gendarmerie,
Douanes, D.G.C.C.R.F., Finances Publiques, C.N.I.L.)
cf. art. L.45-2 du C.P.E. : latteinte lordre public ou aux bonnes moeurs ou des droits garantis
190
par la Constitution ou par la loi, mais lA.F.N.I.C. a tendance interprter restrictivement certains de ces
concepts ; latteinte illgitime et de mauvaise foi un droit de proprit intellectuelle ou de la personnalit ;
lutilisation illgitime et de mauvaise foi dun nom apparent un service public ou une entit publique.
252
* la procdure de vrification des coordonnes dun titulaire de nom de domaine,
lA.F.N.I.C. tant habilite procder des vrifications dligibilit dun titulaire,
soit doffice (chaque anne, un contrle de qualit est effectu sur un chantillon
de 25.000 titulaires), soit suite la demande motive dun tiers (D.G.C.C.R.F. et
Finances Publiques notamment) ; un courrier recommand est adress
ladresse dclare et le titulaire doit fournir les lments justificatifs dans un dlai
de 30 jours, dfaut de quoi le nom de domaine peut tre supprim si les rgles
dligibilit nont pas t respectes.
* le systme de rsolution des litiges (SYRELI), entr en vigueur en novembre
2011, permet tout intress dobtenir la suppression ou la transmission dun
nom de domaine dans un dlai de 3 mois sil justifie que ce nom est soit
susceptible de porter atteinte lordre public, aux bonnes moeurs, des droits
garantis par la Constitution, aux droits de proprit intellectuelle ou de la
personnalit, soit semblable celui dun nom public.
Sur les 317 dcisions rendues depuis un an et demi, 10% des requrants sont
des personnes publiques, tant entendu que la prestation est gratuite pour
certaines dentre elles selon la Convention prcite (D.G.C.C.R.F., Douanes,
Finances publiques, O.C.L.C.T.I.C...).
Ce dispositif savre toutefois insuffisant, comme le montre le constat dress
notamment par CYBERDOUANE :
2 les noms de domaines en fr. constituent un label de qualit. Toute
tromperie en la matire induit en erreur le consommateur quant
certaines qualits attendues du prestataire (socit franaise ou domicilie
en France...).
2 Or, partie des contrefacteurs parviennent obtenir un tel nom de
domaine, en arguant de fausse identit ou de lidentit dun tiers (fausse
domiciliation, domiciliation fictive ou simple bote aux lettres...), le rglement
intrieur de lAFNIC exigeant simplement de justifier dune activit en
France.
2 De telles pratiques sont aussi motives par le souci de fraude fiscale.
2 Les conditions de suppression du nom de domaine sont lacunaires,
dans la mesure o il ne peut intervenir que dans trois circonstances
limitatives qui sont apprcies par lA.F.N.I.C., sauf agir en justice
190
devant le juge des rfrs sur le fondement de lart. 6-1-8 de la loi du
21.06.2004, selon une procdure souvent peu compatible avec la clrit
que requiert la raction sociale.
2 Une fois quun nom de domaine est interdit une entreprise, ce nom
est remis sur le march aux risques de voir les mmes individus le
redposer nouveau quelques instants aprs le prononc de
linterdiction ; en outre, rien ninterdit une personne convaincue de
fraude ou de contrefaon dobtenir un nouveau nom de domaine.
253
LEurope a bien compris lenjeu que reprsentait la police des noms de domaine
(un projet de recommandation est en cours dexamen).
Quant aux U.S.A., ils autorisent, depuis 2010, la saisie des noms de domaines
par lEtat dans le cadre de la protection de la proprit intellectuelle sur Internet ou en cas de
fraude douanire. Cette saisie saccompagne dun renvoi vers une page dinformation officielle.
Cest ainsi quen 2012, une vaste opration a t mene dans le domaine des contrefaons, en
association avec EUROPOL Les juridictions amricaines ont jug rcemment que de telles
saisies taient compatibles avec la libert dexpression.
En liaison troite avec lA.F.N.I.C. qui a mis certaines suggestions en ce sens,
le groupe interministriel sest attach dfinir les conditions dans lesquelles cette police des
noms de domaine devrait tre sensiblement renforce, y compris en cours de procdure pnale,
afin de prvenir et de mettre un terme aux activits pnalement sanctionnes, telles que les
contrefaons ou les escroqueries.
254
Recommandation n/ 52
relative au renforcement de
la police des noms de domaine
Dans le souci de rendre le nom de domaine en fr et assimils plus sr et donc plus
attractif, il est prconis de
1.- Renforcer le contrle a priori dans le processus dattribution, en ce qui concerne
lidentit et la domiciliation, et prvoir une obligation de mise jour de cette
dernire.
2.- Faciliter aux services de lEtat concerns la surveillance des enregistrements
grce la production gratuite de la liste des noms de domaine correspondant
certains mots cls.
3.- Faciliter aux services de lEtat concerns la leve de lanonymat.
4.- Permettre lensemble des services de lEtat concerns de solliciter
gratuitement de lA.F.N.I.C., la suppression du nom de domaine en cas de fausse
dclaration relative lidentit ou la domiciliation, ou, dans le cadre du dispositif
SYRELLI, en cas de violation de la loi par le titulaire du nom ou autres motifs dj
viss par la lgislation actuelle.
5.- Reconnatre aux services de lEtat concerns, en cas de suppression pour lun
des motifs viss en 4, dexiger le transfert de titularit du nom de domaine lEtat,
afin dviter tout nouveau dpt ; cela suppose la cration dun bureau
denregistrement propre lEtat.
6.- Prvoir la possibilit pour les services denqute, avec laccord du procureur de
la Rpublique et lautorisation pralable du juge des liberts, ou celle du juge
dinstruction, de saisir en cours denqute et en cas durgence tout nom de
domaine en cas dactivit contraire la loi, et cela ds linterpellation de son
titulaire et la saisie du serveur.
7.- Reconnatre la facult au juge dinstruction ou au tribunal saisi au fond de
confisquer le nom de domaine saisi, emportant transfert lEtat
8.- Au titre des peines complmentaires obligatoires et sauf dcision contraire du
tribunal, interdire la personne reconnue coupable dune infraction commise au
moyen dun site ainsi dnomm de pouvoir solliciter tout autre nom de domaine de
1 catgorie pendant une certaine dure.
re
9.- Dans tous les cas de suppression et de saisie dun nom de domaine, prvoir
linscription dun message dinformation sur le site concern pour linformation du
public
,,,,,,
Entre en vigueur le 1 juillet 2004, cette Convention a t signe et ratifie par 39 Etats, dont
er 191
certains non europens, tels les U.S.A. ; pour les Etats non parties, lentraide est rgie par des conventions
bilatrales ou multilatrales qui ne comportent aucune disposition spcifique la lutte contre la cybercriminalit.
Toutefois, lensemble des Etats parties la Convention nont pas sign ce protocole, notamment les
192
U.S.A.
255
III.5.- de la coopration pnale internationale
Bien plus que les autres formes de dlinquance, cest lextranit qui caractrise
la cybercriminalit, dabord parce que lessentiel des prestataires techniques dtenteurs des
informations ncessaires lenqute sont eux-mmes trangers et avec eux les principales
bases de donnes, ensuite du fait que les auteurs, du moins ceux relevant de bandes
organises, agissent, pour partie, depuis ltranger, et que les fonds dtourns sont, pour
lessentiel, aussi destins ltranger.
En outre et compte-tenu de la volatilit de certaines informations (cf. lexemple de
ladresse IP) comme des lments de preuve, la clrit de laction savre essentielle, ce qui
nest pas toujours compatible avec le formalisme juridique.
Ces spcificits sont, pour partie, lorigine de lefficacit rduite de laction
rpressive.
Certes, la Convention du Conseil de lEurope sur la cybercriminalit adopte,
BUDAPEST, le 23.11.2001, a permis une avance essentielle, notamment (cf. son art. 29) en
organisant, en pralable dune demande dentraide judiciaire, le gel provisoire des donnes
informatiques stockes dans les Etats-parties qui est opr en urgence comme reposant sur
des points de contact nationaux, disponibles 24 heures sur 24, le plus souvent policiers
(O.C.L.C.T.I.C. en ce qui concerne la France) .Le protocole additionnel adopt le 7.11.2002 a
191
tendu ce dispositif en matire de racisme et de xnophobie sur Internet . Il en a t de mme
192
de la Directive adopte par lUnion europenne en juillet 2013 sagissant des attaques contre
les systmes dinformation, non encore en vigueur.
Encore faut-il que lentraide judiciaire internationale puisse suivre pour que les
donnes ainsi geles puissent tre rcupres et exploites.
Or cette entraide rencontre des difficults jusquici non surmontes.
Elles tiennent, dune part, la lourdeur du processus, qui fait en sorte quil ny
est pas fait recours pour les infractions de masse faible prjudice, chaque parquet dfinissant
des seuils en fonction de son plan de charge et de ses priorits. Les recommandations qui
prcdent sur ces types de contentieux sont de nature, en substituant lapproche individuelle
de chaque plainte un recoupement effectu au plan central, lever cet obstacle en mettant en
vidence le caractre organis des escroqueries.
Mme lorsquil est dcid dy recourir, la simple prparation de la demande
dentraide puis, le plus souvent, sa traduction, gnrent des dlais parfois incompatibles avec
le maintien disposition des donnes geles. Ces contraintes de formalisation se doublent de
difficults organisationnelles car, lexception des grands parquets, le ministre public peine
spcialiser des magistrats cet gard ; sans doute, le rle de soutien des parquets gnraux
est-il appel stendre sur ce point..
cf., sur ce point, le guide en ligne sur lentraide avec les U.S.A. mis en ligne sur le site du B.E.P.I.
193
256
Une autre contrainte tient lhtrognit des conditions fixes lentraide, en
fonction des traits applicables, qui, malgr lincitation de la Convention prcite, ne prennent
gure en compte les contraintes de la lutte contre la cybercriminalit, sauf pour certains types
dinfractions qui font, en gnral, lunanimit (tels la pdo-pornographie, le terrorisme ou la protection
des droits dauteur). Les contraintes sont dautant plus fortes lorsque la demande concerne un
Etat tranger extrieur lUnion europenne. Or, ce sont prcisment de tels Etats qui, soit sont
supposs dtenir sur leur territoire, par le biais des prestataires techniques, les informations
ncessaires laction judiciaire, soit sont utiliss par la criminalit organise comme point de
dpart de lattaque.
Si lon ne dispose pas de donnes quantitatives quant aux demandes dentraide
transmises directement par la voie judiciaire locale, les 136 dossiers qua eu traiter depuis
2009, hors Europe et concernant les seules infractions qualifies par la loi de cybercriminalit,
le Bureau de lentraide pnale internationale (B.E.P.I., Direction des affaires criminelles et des grces,
ministre de la Justice) concernent principalement les U.S.A., sige des principaux gestionnaires
de donnes ; or, les autorits amricaines ont tendance considrer que le trait bilatral qui
lie cet Etat et la France nest ni coercitif, ni exclusif. Au surplus, sagissant des donnes de
contenu, et tout spcialement concernant la libert dexpression protge par le 1 amendement
er
de la Constitution amricaine, le systme juridique amricain savre trs restrictif et trs
formaliste lorsquil sagit danalyser les demandes dont il est saisi, alors quil est lui-mme trs
demandeur des donnes trangres ...
193
Cette htrognit se retrouve aussi dans la dure lgale de conservation,
extraordinairement variable selon les Etats, mme si, l encore, lEurope a fait oeuvre utile en
fixant par directive une dure minimale ; mais nombreux sont encore , y compris en Europe, les
systmes juridiques qui se sont refuss, jusquici, fixer des dures de conservation quelles
quelles soient.
En outre, et par nature, le cybercriminel est essentiellement mobile, mettant en
chec le concept territorial, en voluant, en un espace de temps, dun tat lautre, en fonction
des opportunits comme des couvertures juridiques. Nombreux dailleurs sont les cas o les
services denqute ne savent pas prcisment o se trouvent les donnes utiles.
Un dernier obstacle tient lincapacit de bon nombre des tats requis faire
face, en urgence, aux demandes dentraide pnale qui leur sont adresses, compte-tenu de
linflation gnrale quune telle entraide connat.
Il y a consensus en France comme dans bon nombre dautres tats pour
considrer que, si lon ne remdie pas de telles difficults, la lutte contre la cybercriminalit
continuera gnrer une dbauche dnergie pour des rsultats limits. Faut-il encore pouvoir
traduire un tel consensus dans les faits. Si les solutions sont gnralement rechercher dans
lvolution des instruments internationaux, quelques pistes peuvent tre prconises cet
gard.
LLa premire consiste diffrencier les modes de traitement selon quils
portent sur des donnes didentit et de trafic ou sur des donnes de
contenu (pour mmoire, cf. la recommandation n/ 44 ).
257
L au plan europen, lobligation, faite aux prestataires techniques, de stockage
des donnes durant une certaine dure est, eu gard au temps policier et
judiciaire, une condition sine qua non de lefficacit de laction, tant dailleurs au
plan civil que pnal. A cet gard, les rticences, voire les souhaits de remise en
cause exprims par certains Etats-membres sont des plus proccupants. Il
importe, non seulement de maintenir les instruments existants, mais aussi de
les tendre au plan international.
L au plan europen encore, il est prconis de sinspirer des exemples existants
en instituant un dispositif Schengen de coopration simplifie en matire
de cybercriminalit, sagissant, notamment, de la saisie des donnes de contenu
mais aussi des moyens de mettre fin des contenus ou comportements illgaux,
pour une liste dinfractions graves prcisment numres.
Si un tel processus a pu tre mis en oeuvre, et de manire satisfaisante,
sagissant de larrestation des personnes, sil a pu tre tendu une partie de
lexcution des peines notamment sagissant du recouvrement des amendes, a
fortiori on doit pouvoir aisment sen inspirer pour saisir des lments de preuve,
mettre un terme des infractions et contribuer la mise excution des
condamnations prononces en matire de cybercriminalit en ce quelles ont de
spcifique.
Il est aujourdhui peu comprhensible que la dcision-cadre 2008/798/JAI du Conseil
du 18 dcembre 2008 relative au mandat europen dobtention de preuves visant
recueillir des objets, des documents et des donnes en vue de leur utilisation dans le
cadre de procdure pnale exclut dlibrment, par exemple, les donnes de
communication conserves par les fournisseurs de service (cf. art.4 3e). Il faut
esprer que la future directive relative la dcision denqute europenne qui
va la remplacer lvera ce genre dexceptions.
L hors Europe, outre les actions classiques de coopration policire et judiciaire
notamment lgard de certains pays africains, il est aujourdhui temps davoir
une action rsolue sagissant des Etats constitutifs de vritables cyber-paradis
qui refusent toute coopration et qui nadhreront jamais la convention sur la
cybercriminalit car leurs intrts sont ailleurs ; ces Etats sont aujourdhui bien
connus, ne serait-ce que par le rsultat des enqutes qui ont mis jour de
vritables filires ayant des origines territoriales communes.
Cet objectif participe entirement de la lutte contre la criminalit organise, dont
Internet sert de plus en plus de vecteur, et revt autant dimportance que la lutte
contre les paradis fiscaux et le blanchiment de largent du crime mise en oeuvre
par lOrganisation de coopration et de dveloppement conomique (O.C.D.E.). Les
Etats-parties la convention sur la cybercriminalit devraient prendre des
initiatives cet gard afin que lensemble de la communaut internationale se
dote de normes minimales communes.
258
Recommandation n/ 53
sur lentraide pnale internationale
1- Limiter le recours lentraide pnale internationale aux donnes qui le
mritent. Cette voie nest ni adapte, ni approprie pour lobtention des
donnes relatives lidentit et au trafic, qui, compte-tenu de leur nombre
mais aussi de leur moindre gravit au regard des liberts individuelles,
doivent pouvoir tre directement obtenues des prestataires techniques qui en
disposent, sur le fondement du droit national prconis cet effet.
2- Maintenir lobligation, pour les prestataires techniques, de stockage des
informations dont ils disposent, et tendre sur le plan international cette
obligation, pour les besoins de la coopration policire comme lentraide
pnale internationale suppose de maintenir
3- Dfinir un dispositif Schengen de coopration simplifie en matire de
cybercriminalit, pour lobtention des donnes de contenu comme pour la
mise excution des dcisions propres mettre un terme des activits ou
contenus illgaux via Internet.
4- Conduire, au plan international, une action rsolue contre les cyber-
paradis, par le biais de ladoption de normes minimales, voire dun processus
de sanction.
,,,,,,
Sauf, sans doute, en terme de cyber-harclement en milieu scolaire, compte-tenu des enqutes
194
menes par lEducation nationale.
Seule, en ltat, luniversit de STRASBOURG (Groupe de recherches-actions sur la criminalit
195
organise - GRASCO) parat disposer dun dpartement-recherche consacr aux cyber-victimes
259
III.6.- de la rponse aux victimes
dinfractions
Sur un plan gnral, la politique franaise daide aux victimes, impulse par le
ministre de la Justice, est lune des plus avances au plan international ; elle a dailleurs
inspir, pour partie, la rcente Directive 2012/29 de lUnion europenne concernant les droits, le soutien
et la protection des victimes. Ceci tant, elle na pas encore t adapte aux cyber-victimes. Il est
venu le temps de combler cette lacune.
Nombre de recommandations dj formules dans ce rapport concernent
directement les victimes ; il est apparu nanmoins utile de les mettre en perspective, tout en
formulant de nouvelles prconisations.
Toute politique en matire de victimes est fonde sur une apprhension des
attentes qui, en ltat, nest gure satisfaite alors mmes que ces dernires, sagissant de
194
la cybercriminalit, sont souvent spcifiques. Deux consquences doivent en tre tires : une
association plus systmatique, dans les organismes institutionnels, tant du rseau INAVEM que
des associations de consommateurs et des reprsentants des entreprises ; une mobilisation,
linitiative notamment de la Chancellerie et de ses organismes ad hoc, des organismes de
recherche, en particulier universitaires .
195
La prvention, gnrale ou cible, constitue, on la vu, un lment essentiel
pour viter des passages lacte qui transforment linternaute en victime. La sensibilisation des
victimes potentielles sur le type d'actions malveillantes dont elles peuvent tre la cible et la faon
de s'en prmunir ou den diminuer l'impact, constitue ainsi la seconde des priorits, au mme
titre que la facilitation des signalements en ligne.
Toutefois, en terme de victimes, la sensibilisation npuise pas les exigences de
la prvention. Trop souvent, les atteintes la vie prive sont la consquence des donnes
introduites sur Internet, en particulier sur les rseaux sociaux, par linternaute lui-mme, alors
quil na aucunement conscience que ces donnes, parfois trs intimes, sont condamnes
demeurer en ligne sa vie entire et mme au-del et risquent de lexposer une exploitation
nuisible. Cest la question du droit loubli qui se pose.
La Commission europenne a prsent sur ce point un projet trs ambitieux
puisque le droit loubli concernait toute information contenue dans un traitement concernant
une personne identifie ou identifiable (cf. La communication de la Commission sur la protection de
la vie prive dans un monde en rseau : un cadre europen relatif la protection des donnes, adapt aux
dfis du 21/s.). Eu gard au caractre gnral de ce projet et la mobilisation considrable des
lobbies, notamment de la part de certains prestataires techniques dInternet, il a suscit une
opposition considrable et na pas t adopt.
A noter que ds 1996 la Commission nationale consultative des droits de lhomme proposait la
196
cration dun observatoire avec, notamment, un rle de mdiation entre les professionnels dInternet et les
utilisateurs
260
La prconisation du groupe interministriel sur ce point est plus modre et sans
doute plus raliste, puisquelle consiste limiter le droit loubli aux informations receles
par Internet durant la minorit dun individu, en reconnaissant ce dernier ou ses
reprsentants lgaux, durant cette mme minorit ou une fois devenu majeur pendant un dlai
dterminer, le droit dobtenir du juge des enfants leffacement des donnes le concernant,
sans quil soit fait de distinction, car la preuve est impossible rapporter, entre celles quil a lui-
mme introduites et celles gnres par autrui. Une telle requte pourrait dailleurs tre
dpose, soit titre prventif, soit en raction une utilisation malveillante des donnes en
question.
La protection particulire que requiert un mineur et sur laquelle tout le monde
saccorde, comme les drames gnrs par certaines atteintes, notamment du droit limage,
devrait favoriser un consensus sur ce point.
Une fois linfraction commise, cest linformation qui simpose, sur la faon dy
rpondre et les diffrentes solutions ou dmarches qui soffrent la victime, en terme de prise
de contact avec des structures associatives ou professionnelles susceptibles de lui venir en
aide, de consultation dun avocat en particulier pour certaines atteintes la vie prive, daction
au civil ou de dpt de plainte.
A cet effet, un guide des droits des victimes de la cybercriminalit devrait
tre prpar par la Chancellerie, en liaison avec les autres dpartements ministriels, les
associations des victimes et les entreprises. Il devra prendre en compte les principales
infractions intressant les victimes ainsi que les diffrents types de victimes, dans la mesure o
ceux-ci appelleraient des informations particulires. Une telle action dinformation doit, au
surplus, tre relaye par les structures daccs au droit, car cest bien dun droit nouveau quil
sagit en ralit.
Lune des premires dmarches qui soffre la victime, notamment en cas
dinjure ou de diffamation, consiste, dfaut de connaissance de lauteur ou de lditeur,
dnoncer linfraction lhbergeur, voire au fournisseur daccs, pour quil la retire si elle
savre manifestement illicite.
Force est de constater que lapprciation faite dun tel caractre est, le plus
souvent, restrictive, ne serait-ce que pour des raisons de responsabilit, ce qui oblige la victime
saisir le juge civil, voire dposer plainte, pour faire reconnatre son droit.
Sur ce point, les prconisations du groupe interministriel sont de deux sortes:
lune consiste faire obligation au prestataire concern, outre de faciliter la transmission en
ligne de telles demandes, de rpondre de manire succinctement motive lintress en cas
de rejet ; lautre, plus ambitieuse, consiste crer une autorit de mdiation, sinscrivant dans
la dlgation interministrielle quil est projet de crer ; cette autorit pourrait tre saisie en
ligne du rejet, examiner le caractre manifestement illicite et ordonner au prestataire les
mesures propres faire cesser le dommage ou rejeter, une nouvelle fois, la demande .
196
261
Laction de cette autorit viendrait complter les mcanismes dj mis en oeuvre
dans le cadre du droit de la consommation pour le commerce en ligne ou par certaines autorits
administratives indpendantes (cf. le rle assign au Dfenseur des droits en matire de
discriminations). Il est, en effet, de lintrt de chacun dinstituer un tel mode alternatif de
rglement des litiges, simple et gratuit, en amont de lintervention judiciaire, afin de rendre plus
effectifs les droits des personnes lses, tant entendu que les dispositions de lart. 6-I.2 et 3
de la loi du 21.06.2004 ne font pas actuellement lobjet dun contrle, sauf lhypothse -
relativement rare - dune action civile fonde sur les dispositions de lart. 6-I.8 de la mme loi,
et dviter, dans le mme temps, la surcharge des juridictions civiles.
Vient ensuite souvent le temps de la plainte.
On la vu aussi, certaines infractions lies aux technologies numriques induisent
un nombre de victimes trs important envers lesquelles le traitement pnal classique nest pas
adapt : le processus de dpt de plainte est peru, la fois par les victimes et les services
chargs de les accueillir, particulirement lourd pour un rsultat peu tangible du point de vue
de chaque cas individuel.
La 1re rponse consiste ainsi favoriser le dpt de plainte en ligne ; dj
prconise pour les cyber-escroqueries, la plainte en ligne mriterait dtre largie
lensemble des infractions ralises via Internet.
Certes, il existe dj la possibilit deffectuer une pr-plainte en ligne, mais elle
nest gure aujourdhui utilise, sans doute car elle nentrane pas les effets juridiques dune
plainte en bonne et due forme et ne fait pas lconomie dune convocation et donc dun
dplacement devant le service de police ou lunit de gendarmerie comptent.
Rapide et simple, susceptible dtre ralise ds aprs la constatation de
linfraction, conomique pour les services dinvestigation voire pour les parquets, la plainte en
ligne prsente aussi lavantage dtre oriente, selon les ncessits, soit vers une plate-forme
centralise de traitement (cf. les escroqueries), soit vers le service ou lunit comptentes.
Son efficacit, dj teste par la Commission nationale de linformatique et des liberts
pour ses besoins propres, dpend toutefois de son exhaustivit - do le recours des modles
dimprims CERFA selon la nature de la plainte-, ainsi que dune organisation stricte des
services, en terme denregistrement comme de traitement.
Si elle doit tre encourage et, dans toute la mesure possible, systmatise pour
les atteintes aux biens, la plainte en ligne nest toutefois pas adapte aux atteintes aux
personnes ou aux infractions qui, de par le prjudice subi, demandent une raction immdiate;
au surplus, il faut aussi tenir compte des victimes qui, pour des raisons culturelles, linguistiques
ou tout simplement en raison dun manque de familiarit avec Internet, ne pourront pas ou ne
souhaiteront pas y avoir recours.
Cest l quune 2me rponse en terme de sensibilisation spcifique des
agents prposs au recueil des plaintes revt toute son importance, tant pour sassurer du
caractre exhaustif des lments recueillis - car il manque souvent des prcisions essentielles
aux plaintes actuelles - que pour amliorer laccueil des plaignants en cas de violation grave de
la vie prive, de harclement, ou tout simplement pour les aider surmonter le sentiment de
culpabilit que peut engendrer une trop grande crdulit.
262
Encore faut-il pouvoir dposer plainte au regard de la trop courte prescription
de la loi sur la presse qui ne prend pas encore suffisamment en compte le fait que, trop
souvent, la victime ne prend connaissance des infractions commises sur Internet quune fois
pass le dlai fatidique des trois mois.
Pour les entreprises, qui sont souvent lobjet datteintes graves et aux enjeux
importants, la possibilit de dposer plainte ne suffit pas ; il faut encore savoir auprs de qui et
sous quelles formes, tout en tant assur dune certaine confidentialit, car cest souvent la
crainte de voir laffaire voque dans la presse ds le lendemain de ce dpt qui justifie les
fortes rticences dune partie des chefs dentreprise.
Or, police et justice sont souvent perues comme connaissant mal le monde de
lentreprise, mais linverse est aussi vrai. A cet gard, il est prconis de crer, sur lensemble
du territoire, un rseau de rfrents pour les entreprises, grandes ou petites, victimes de
cybercriminalit, pris parmi les policiers ou gendarmes spcialiss de niveau 3 ; cette dmarche
mriterait dtre coordonne avec la Direction centrale du renseignement intrieur et la cration
prconise dun CERT dans la mesure o les attentes des entreprises concernent aussi le volet
technique de latteinte.
Une telle liste de rfrents pourrait tre utilement diffuse avec le concours des
chambres de commerce et des organisations patronales, en lien avec les ples de comptitivit
qui procdent dj de linformation sur la protection de lintelligence conomique.
Reste une attente commune lensemble des catgories de victimes, mais qui
nest pas spcifique la cybercriminalit : leur information sur les suites donnes leur
plainte, y compris les plaintes en ligne prconises, doit tre amliore.
Si cette information peut tre de deux types - globale sur l'action des services et
les rponses judiciaires apportes la cybercriminalit, et individuelle par rapport chaque
victime -, cest cette dernire qui est la plus attendue. Le groupe interministriel est conscient
des obstacles tenant la masse des infractions dont sont saisis les services rpressifs ainsi que
de la dure des enqutes et des procdures pnales : la rponse ne relve pas de la norme.
Si la possibilit de se constituer partie civile en cas douverture dinformation, si
lavis victime systmatiquement dcern en cas de poursuites rpondent une telle exigence,
cest labsence de toute information pendant lenqute ou en cas de dessaisissement dun
parquet ou encore le caractre strotyp des avis de classement qui posent problme.
Deux solutions sont prconises cet gard : sagissant des plaintes manant
du monde de lentreprise, confier au rfrent policier ou gendarme, avec laval du ministre
public, de tenir inform le plaignant ; en ce qui concerne les victimes individuelles, il revient aux
associations daide aux victimes habilites par la Justice de jouer ce rle dinformation,
notamment dans le cadre des bureaux daide aux victimes.
Il sera toutefois ncessaire, dans lavenir, mais lobservation vaut pour lensemble
des victimes, dtre plus ambitieux et de doter les parquets de ressources humaines de greffe
leur permettant de constituer de vritables services de traitement des requtes, ou, encore
mieux, de permettre chaque victime et, au-del, aux justiciables civils de pouvoir consulter
directement en ligne ltat davancement de leurs affaires.
263
De manire gnrale, les plaignants individuels doivent tre accompagns par
les associations daide aux victimes prcites lorsquelles en font la demande ds aprs
linformation qui leur est obligatoirement dispense lors de leur dpt de plainte - et il faudra
prvoir un mcanisme comparable pour les plaintes en ligne insr dans lavis de rception
automatis -.
Un tel dispositif savre toutefois insuffisant lorsquil sagit dune victime
gravement traumatise soit en raison de la nature de la cyber-infraction (atteintes au respect de
la vie prive, atteintes visant des mineurs, prjudice grave...), soit eu gard la vulnrabilit mme
de la personne : en pareille hypothse, et lexemple des politiques mises en oeuvre dans
certains ressorts, le groupe interministriel prconise que, avec le soutien de lINAVEM, le
parquet, sous la forme dinstructions gnrales ou sur mandat individuel dans le cadre du
traitement en temps rel, oriente ce type de victimes vers les associations en question, afin
quelles leur apportent laide et lassistance, voire le soutien psychologique ncessaires.
Le renforcement de leffectivit de la Justice, tant pnale que civile, grce
laccroissement, dj voqu, des moyens dinvestigation, rpond aussi lattente des victimes.
Toutefois, ce qui importe pour les victimes, tout particulirement en cas de
blocage de leur ordinateur ou datteintes la vie prive, cest la cessation de linfraction dans
les meilleurs dlais, cest--dire sans attendre le terme dune enqute ou dune procdure.
Telle est la raison pour laquelle le groupe interministriel propose, outre les
attributions confres au mdiateur, daccrotre les pouvoirs du juge des rfrs ainsi que du
juge dinstruction ou du juge des liberts et de la dtention en cours denqute, lgard des
prestataires techniques dInternet.
Leffet miroir dInternet, rsultant de la reprise massive en ligne et en temps
quasi rel dune atteinte la vie prive, la rputation ou au droit limage, pose toutefois un
problme particulier puisque, par exemple, le dfrencement ordonn au gestionnaire dun
moteur de recherche ne saurait concerner quun site prcis et non un propos tenu sur un blog,
sauf pouvoir bloquer les interrogations faites partir dune identit particulire, si tel est le cas
(cf. les prcdents sagissant des contrefaons ou des jeux illicites).
Telle est la raison pour laquelle il est prconis, daccompagner linjonction de
retrait, de dfrencement ou de blocage dune obligation, mettre en oeuvre par le prestataire
sous le contrle de lagence de rgulation dj cite, une surveillance spcifique pendant une
certaine dure.
La rparation du prjudice subi par la victime constitue un autre enjeu. En
effet, les victimes de la cybercriminalit sont trs souvent dmunies : pertes financires directes
lies certaines escroqueries en ligne et non garanties par une assurance ou l'obligation de
remboursement des intermdiaires de paiement (en cas de mandat-cash par exemple), dommages
causs leur systme informatique (qu'il s'agisse d'un ordinateur personnel ou d'outils de travail),
impact psychologique ou sur l'image de la personne...
Or, faute didentification ou dapprhension du dlinquant, plus que toute autre
catgorie de victimes, elles ne peuvent obtenir, le plus souvent, des dommages et intrts.
264
En premier lieu, qu'il s'agisse d'un particulier ou d'une entreprise ou toute autre
organisation, il est important, pour la prise en compte sa juste mesure de l'importance de
chaque cas individuel, que les victimes soient en mesure d'valuer et de justifier correctement
leur prjudice. Cela relve des mesures de prvention et d'information du public comme de la
formation et de l'accompagnement des personnes charges de prendre ou de traiter les
plaintes, ou daider les victimes.
En second lieu, sil importe de vrifier la ralit de la couverture du dommage au
titre des assurances, lindemnisation de solidarit doit pouvoir prendre le relais lorsque, comme
cest le cas en matire de cybercriminalit, laction de lEtat dans son rle rpressif ne savre
pas suffisamment effectif : si les fraudes la carte bancaire bnficient dun dispositif
spcifique, les escroqueries sont aussi indemnisables sous certaines conditions, il est vrai
restrictives.
Toutefois, le groupe de travail a estim quune ventuelle modification des
dispositions de lart. 706-14 du C.P.P. ne pouvait tre examine sous le seul angle des cyber-
infractions, mme si une volution de la jurisprudence quant lapprciation de la faute de la
victime lui semble opportune. Reste la question dune possible indemnisation par le commerce
en ligne, lorsque son imprudence est lorigine du dommage, qui mrite dtre attentivement
examine.
En dernier lieu, la pnologie pourrait tre utilement adapte afin de mieux
prendre en compte les attentes des victimes. A ce titre, plusieurs prconisations peuvent tre
faites :
2la facult dordonner la diffusion de la condamnation ou dextraits sur Internet
nest, en ltat, ni juridiquement possible dans toutes les affaires relevant de la
cybercriminalit, ni, en pratique, souvent mise en oeuvre.
A linstar du droit du travail, qui privilgie la publicit et laffichage, la diffusion
des condamnations sur Internet, notamment en ce qui concerne les infractions
la libert de la presse mais aussi les autres atteintes la personne et les
escroqueries, devrait tre, tout la fois, facilite et rendu plus systmatique.
2 par-del, il est propos la cration dune nouvelle peine complmentaire
consistant en la rparation des dommages spcifiques causs la victime, sous
la forme, par exemple, tant de la rparation du systme informatique
endommag par un prestataire habilit que du nettoyage du net sagissant des
atteintes la rputation ou limage dune personne dont la mise en oeuvre
pourrait tre confie lautorit de mdiation dj cite, et cela aux frais du
condamn ou, dfaut, du Fonds de garantie des victimes dinfractions, qui
dispose dune action rcursoire.
2 enfin, au titre de la prvention de la ritration et hors le champ de la
dlinquance organise, il est recommand de recourir soit un stage
dducation civique adapt cette problmatique, soit au module de
sensibilisation prcite, soit des travaux dintrt gnral spcifiques au sein
de structures adaptes, voire de pouvoir soumettre les personnes condamnes
des restrictions temporaires de laccs ou de lusage dInternet (sur le modle
des chques de banque pour les infractions relevant du droit des moyens de paiement),
accompagnes dun dispositif de contrle logiciel, voire dun contrle sur place
par des professionnels. Et cela sans prjudice de la peine complmentaire
dinterdiction dun tel accs pendant une certaine dure dont la cration est
propose pour les atteintes aux mineurs.
265
Recommandation n/ 54
relative aux rponses aux victimes dinfractions
Une politique daide aux cyber-victimes volontariste et adapte suppose de
1- mieux apprhender les attentes des victimes
2- crer un guide des droits des victimes de la cybercriminalit
3- instituer, sous lgide du juge des enfants, un droit loubli sagissant des
donnes relatives aux mineurs
4- faciliter les demandes de retrait adresses par les victimes aux
prestataires techniques dInternet en instituant, au sein de la future dlgation
interministrielle, une autorit de mdiation
5- gnraliser la possibilit de dposer plainte en ligne ; amliorer
concomitamment le recueil des plaintes par les policiers et les gendarmes
6- diffuser aux entreprises une liste denquteurs-rfrents
7- mieux informer les victimes des suites donnes leurs plaintes, par un
dispositif scuris accessible en ligne
8- mobiliser les associations daide aux victimes et les associations de
consommateurs
9- accrotre les pouvoirs du juge des rfrs pour faire cesser linfraction ;
confier des pouvoirs similaires au juge des liberts et de la dtention
10- confier au juge civil comme pnal la possibilit dassocier linjonction
de retrait, de dfrencement ou de blocage, dune obligation de surveillance
spcifique limite dans le temps pour limiter leffet-miroir
11- adapter la pnologie en prenant mieux en considration les besoins des
victimes
12- amliorer la rparation du prjudice, y compris en mobilisant les
professionnels.
,,,,,,
266
III.7.- de la politique
pnale
Il revient au Garde des Sceaux, ministre de la Justice, de conduire la politique
pnale dtermine par le Gouvernement.
Cette politique pnale, qui donne de lintelligence laction de la police judiciaire
et du ministre public, est un lment central de la stratgie prconise pour lutter contre la
cybercriminalit.
Elle doit, tout la fois, dfinir les priorits, prciser les schmas de comptence,
adapter les modes de traitement la spcificit des diffrents contentieux, mobiliser les moyens
procduraux les plus pertinents, mettre en exergue les rponses pnales les plus appropries,
dfinir les conditions dune meilleure effectivit des dcisions, traiter de la coopration pnale
internationale, spcifier la politique daide aux victimes sans ngliger les questions propres aux
entreprises, mobiliser les partenaires indispensables, et valuer les rsultats.
Elle repose ncessairement sur une bonne connaissance des attentes comme
des forces et faiblesses de lexistant ; elle suppose aussi, par nature, une large concertation,
non seulement avec le ministre de lIntrieur, mais avec nombre dautres acteurs, publics
comme privs ; elle requiert encore de prendre en compte des autres types de rglement des
conflits, quils relvent des alternatives, des rponses administratives, des procdures civiles
sur la protection de la vie prive, ne serait-ce que pour dfinir la juste place du pnal ; elle doit
ncessairement enfin tenir compte des capacits des services de police judiciaire comme des
parquets, du sige comme du greffe, ainsi que des pouvoirs propres des procureurs de la
Rpublique et du rle dimpulsion et de coordination imparti aux procureurs gnraux.
Les dveloppements prcdents permettent de faire lconomie dentrer plus
avant dans le dtail.
Certains points mritent toutefois dtre mis en exergue car ils nont pas t
abords jusquici.
1.- le constat de lexistant
Il mrite dtre dress, non pas tant en ce qui concerne les difficults rencontres
car le groupe interministriel sest employ les cerner, mais sagissant de la ralit de la
dlinquance apprhende par chaque parquet, des rponses qui y sont apportes, des
initiatives locales prises.
La diffusion du prsent rapport en pourrait tre loccasion, charge, pour les
parquets dy associer aussi les services de police judiciaire qui oeuvrent sous leur direction ainsi
que les magistrats instructeurs. Il serait aussi opportun, cette occasion, de dresser un bilan
de la coopration pnale se rapportant la lutte contre la cybercriminalit mise en oeuvre
directement par ces magistrats avec leurs homologues trangers.
Le futur rapport de politique pnale rendant compte de lactivit 2014 devra aussi
permettre daffiner le constat et de rendre compte des premires volutions.
267
2.- les critres de comptence territoriale
Certaines des recommandations prcdentes concernent dj cette question,
quil sagisse de la reconnaissance dune comptence concurrente la juridiction parisienne ou
aux juridictions inter-rgionales spcialises (J.I.R.S.), ou du nouveau critre de comptence
territoriale tenant au domicile de la victime ou au sige social de lentreprise. Dautres
prconisent une centralisation des plaintes afin de favoriser les recoupements indispensables
une meilleure orientation et un traitement plus efficace de certains contentieux,
essentiellement les escroqueries et les fraudes aux cartes bancaires.
Toutes ncessitent que soient pralablement fixs, au titre de la politique pnale,
des critres prioritaires dattribution sans lesquels lobjectif deffectivit recherch ne sera pas
atteint.
Sagissant des atteintes aux systmes automatiss de traitement de donnes,
la mise en oeuvre de la comptence parisienne ne devrait pas soulever de difficults
particulires, puisquelle repose sur la nature des cibles (les administrations de lEtat, les oprateurs
dimportance vitale), le principe de la comptence concurrente ntant l que pour permettre le
maintien dun traitement strictement local par le parquet concern lorsque latteinte ne revt
aucun caractre de gravit. Il en est dailleurs de mme pour le cyber-terrorisme.
En ce qui concerne la comptence des J.I.R.S. pour les autres atteintes aux
systmes automatiss de traitement des donnes ou pour lensemble des cyber-crimes ou dlits
commis en bande organise, il importe de dfinir des lignes directrices de saisine, comme pour
tous les autres contentieux dont elles ont connatre. Une telle dfinition apparat dautant plus
importante qu lexception des escroqueries organises commises par faux ordres de virement,
les J.I.R.S. ne paraissent gure saisies des autres cyber-infractions qui, pourtant, le
mriteraient. Or la complexit, la gravit comme le caractre transfrontalier de certains dossiers
commandent une telle saisine.
Une difficult particulire, qui nest dailleurs pas propre la cybercriminalit, a
trait la rpartition des affaires entre J.I.R.S. ; elle est, en particulier, illustre par les
escroqueries prcites pour lesquelles on constate un parpillement des saisines entre de
nombreuses J.I.R.S., sans que lon soit, pour autant, assur quil se fonde sur des bandes
organises diffrentes et donc sur des cibles spcifiques. La diffusion et le partage
dinformations revt ici une importance toute particulire.
Le traitement centralis des infractions, quil soit induit par les signalements que
reoit PHAROS ou, demain, par la centralisation des plaintes relatives aux escroqueries et des
dnonciations requises des organismes bancaires, requiert aussi une adaptation de la politique
pnale en terme dorientation et donc de choix des parquets susceptibles dtre saisis.
En effet, il revient aux organismes centraux de police judiciaire comptents
deffectuer les recoupements ncessaires pour faciliter les orientations pertinentes ; il ne leur
revient pas den dcider. Le parquet territorialement comptent en fonction du sige de ces
organismes ne saurait, non plus, avoir, lui seul, vocation dcider de la rpartition des affaires
concernes sur lensemble du territoire national. La dtermination de critres de rpartition par
la Chancellerie, qui devra aussi, par lintermdiaire de la future Mission Justice, tablir des liens
privilgis et constants avec ces organismes, rpond ainsi une ncessit.
Un constat identique simpose pour les juridictions de droit commun, qui ont
connatre du reste du contentieux.
cet effet, les critres des parquets de CRETEIL et de PARISont t examins
197
268
En ralit et comme cela a dj t soulign, la question ne se pose pas lorsque
la cyber-infraction sinscrit dans des relations inter-personnelles (la majeure partie des infractions
dites de presse comme des atteintes la vie prive), lorsquelle est constate en flagrance (par ex.,
en cas de dtention dimages pdopornographiques), ou lorsque le parquet est saisi aprs
identification de lauteur et de son domicile (par ex., toujours en matire de pdo-pornographie, sur
dnonciation dInterpol ou des services centraux franais, ou, sagissant des signalements de la base
PHAROS, sur dnonciation de lO.C.L.C.T.IC aprs exploitation). Il en sera de mme demain, si les
recommandations sont suivies, sagissant des contentieux de masse dj cits, ceux-l mme
qui posaient le plus de difficults aux services denqute et aux parquets.
Il reste toutefois des hypothses dans lesquelles les services locaux continueront
tre saisis sur plainte de faits commis par un auteur encore inconnu, alors mme quils
ignorent si dautres victimes sont aussi concernes par des faits similaires et imputables au
mme dlinquant. La future application T.A.J. devrait, peu peu, pallier limpossibilit de tels
recoupements.
Encore, la question du critre de comptence peut tre assez aisment rsolue
dans lhypothse de lidentification dun auteur domicili en France, puisque cette dernire
entranera, naturellement, la saisine du parquet correspondant ce domicile, si ltat
davancement de lenqute initiale ne fait pas prfrer le maintien de la comptence premire
sur la base du futur critre li la victime.
Cest, en dfinitive, dans lhypothse, soit dun auteur ou dun site identifi mais
domicili ltranger, soit dun auteur non identifi avec une pluralit de victimes, que des
priorits devront tre dtermines dans le cadre de la politique pnale, tant soulign que de
telles procdures sont actuellement mal traites et que les parquets sont dautant plus rticents
accepter de regrouper des procdures multiples quils ont peu de chance de les mener bien,
sauf dans le strict cadre de lUnion europenne.
Compte-tenu du constat prcdent, il convient, de manire gnrale, dordonner
les diffrents critres qui sont ou seront en concours, afin datteindre une effectivit maximale
et conomiser les forces des services dinvestigation comme des parquets ; les propositions
sont les suivantes :
197
2 en premier lieu, le domicile ou la rsidence de lauteur, sil est identifi
2 en second lieu, la domiciliation ou la rsidence du responsable du site
litigieux sil est en France, indpendamment de la localisation du ou des
serveurs ncessaires son fonctionnement
ou
2 la localisation physique du serveur hbergeant le site litigieux, lorsquil
se situe sur le territoire national
dfaut de tels critres,
2 la domiciliation, la rsidence ou le sige social de la victime (critre
crer)
2 le lieu de commission (disparition de fichier, remise dargent...), qui peut
sassimiler aussi au lieu dans lequel le dommage a t subi (par ex., en
matire de contrefaon)
Elle pourrait utilement tre mise jour
198
269
2 et, en cas de pluralit de parquets potentiellement comptents,
-celui qui cumule le maximum de critres de comptence ou (et)
qui se caractrise par lampleur du prjudice caus ou le plus
grand nombre de victimes domicilies dans son ressort
-celui dans le ressort duquel est situ le service enquteur
linitiative de lenqute suite la plainte de la victime, si le
dessaisissement envisag nest pas de nature apporter une
plus-value
-tout en tenant compte de la capacit du parquet traiter ce
genre denqute.
3.- les critres de saisine des diffrents services denqute
Aux critres tenant la comptence judiciaire, doivent sajouter des critres plus
prcis sagissant de la saisine respective des diffrents services centraux et territoriaux, mme
si la circulaire de la Direction gnrale de la Gendarmerie nationale nonce dj des priorits
cet gard ,si lO.C.L.C.T.I.C. a une comptence exclusive pour les affaires fort contenu
198
international, et si les Douanes ne paraissent pas tre confrontes cette question eu gard
au quasi-monopole reconnu Cyberdouane en terme dinterface avec les oprateurs et les
entreprises du commerce sur Internet.
Cest, naturellement, en fonction des comptences spcifiques de chacun de ces
services, et sur la base des changes que devra avoir cet effet la Chancellerie avec le
ministre de lIntrieur, que devront tre suggres des lignes de conduite.
On constate, en effet, quen matire de cybercriminalit, les saisines de certains
services centraux sont rares ou ne paraissent gure rpondre une logique cohrente, sauf de
la part des parquets qui les ctoient habituellement ; dautres juridictions saisissent des agences
qui nont pas de comptence oprationnelle (par ex., lANSSI). Quant aux critres de rpartition
de comptence entre les S.R.P.J. et les directions dpartementales de scurit urbaine, ils
relvent du protocole de 2007, qui ncessite une mise jour.
Enfin, mais l encore la question ne concerne pas la seule cybercriminalit, les
parquets doivent veiller regrouper les saisines concernant les cyber-infractions les plus graves
ou les plus topiques, afin dviter un parpillement nfaste laction judiciaire. Il revient aux
procureurs gnraux de demander aux S.R.P.J. de tenir un tat de ces infractions et den
assurer la diffusion auprs des parquets de leur ressort.
270
Recommandation n/ 55
relative la politique pnale en matire de cybercriminalit
1- Dresser un constat de lexistant auprs des parquets et des services de
police judiciaire.
2- Arrter, pour la cybercriminalit, les orientations de politique pnale afin de
dfinir les priorits, prciser les schmas de comptence, adapter les modes
de traitement la spcificit des diffrents contentieux, mobiliser les moyens
procduraux les plus pertinents, mettre en exergue les rponses pnales les
plus appropries, dfinir les conditions dune meilleure effectivit des
dcisions, traiter de la coopration pnale internationale, spcifier la politique
daide aux victimes sans ngliger les questions propres aux entreprises,
mobiliser les partenaires indispensables, et valuer les rsultats.
3- Prciser notamment les critres prioritaires de comptence territoriale des
parquets et de saisine des services denqute.
,,,,,,
271
C
onclusion : un rapport dtape
pour une stratgie globale
Pour tre rcente, la cybercriminalit, cette dlinquance distance, savre en
pleine expansion.
Certaines de ses manifestations relvent de la dlinquance organise, menacent
le monde conomique, voire la souverainet nationale ; dautres sont le fait de simples
individualits qui profitent de laubaine pour dverser leur haine de lautre ou assouvir leurs
penchants pervers ; le plus grand nombre cherche, comme toujours, un moyen facile de gagner
de largent en contournant les lois et les interdits.
Toutes constituent des dfis pour une socit qui peine matriser
lextraordinaire volution technologique qui leur sert de support, dfendre des donnes
personnelles mises mal par une mmoire qui noublie jamais, adapter ses rponses un
phnomne qui na pas de frontires, surmonter un anonymat quasiment garanti. Mais sans
doute linvention de limprimerie ou du tlphone a-t-elle gnr des dfis du mme ordre.
...Une socit qui doit pleinement prendre conscience de cette face noire de
lInternet, plus discrte sans doute que le vol main arme ou que lattentat terroriste, mais qui
recle des menaces graves, gnre des prjudices importants, trouble la vie personnelle et
cause parfois la mort.
Cette face noire, mme si elle est le fait dune petite minorit, tout internaute peut
en tre victime, nombreux sont dailleurs qui lont dj t, nul ne peut tre assur quil ne le
sera pas demain.
...Prise de conscience du risque et du chemin parcourir pour le contrer, mais
sans oublier, dans le mme temps, que ce systme dinformation et de communication relve
dsormais de notre quotidien, quil constitue une avance considrable dont peuvent tmoigner
ceux qui ne sont pas ns lre dIntranet et que nul demain ne pourrait sen passer.
Cette prise de conscience collective, lEtat doit sy atteler avec la mme vigueur
que celle quill consacre la lutte contre la fracture numrique ou au dveloppement dune
activit riche en emplois futurs, car tous ces objectifs sont lis.
Il doit pour cela arrter une vritable stratgie, court et moyen terme, qui aurait
vocation sinscrire dans une loi de programmation et qui devra tre accompagne des moyens
ncessaires.
Cette stratgie, elle appelle dabord une organisation. La dlgation
interministrielle la lutte contre la cybercriminalit, place directement sous lautorit du
Premier Ministre, permettra de donner cette impulsion, cette visibilit et cette cohrence qui
manquent aujourdhui, en coopration avec tous les acteurs publics et privs concerns, tout
en renforant les liens avec les deux autres ples que constituent la scurit des systmes
dinformation et la cyber-dfense.
272
Elle devra toutefois sappuyer sur une Mission Justice spcifique, afin que la
Chancellerie joue pleinement son rle de ministre de la loi et dtermine la politique pnale
applicable.
Connatre mieux la cybercriminalit, lapprhender quantitativement, valuer le
prjudice quelle reprsente, la mieux saisir grce la recherche, autant dobjectifs qui
constituent la deuxime priorit.
Prvenir est le troisime mot dordre de la stratgie propose ; il simpose
dautant plus que cette dlinquance, plus que toute autre, joue de nos imprudences, celles des
individus comme celle des entreprises. Linternaute doit tre le premier acteur de sa scurit,
mais aussi de cette lutte contre des propos insoutenables, des images scandaleuses ou des
activits condamnables. Le partenariat y a aussi toute sa place, il la prend dj. Mais il revient
lEtat de donner llan, de conduire cette action sur le long terme, de structurer les ples de
comptence spcifique en fonction des besoins, des catgories, des risques, de mobiliser enfin
lindustrie, la recherche, luniversit.
Former, cest la quatrime priorit, car la mobilisation attendue ne peut tre le
fait que des seuls initis : former les acteurs, au premier rang desquels les agents
dinvestigation et les magistrats, mais, par-del, tous ceux dont la mission est dduquer,
danimer, de faciliter laccs Internet, car on ne peut prvenir et lutter efficacement contre la
cybercriminalit si on ne la connat pas, si on ne la comprend pas.
Mobiliser aussi les professionnels et, au premier rang dentre eux, ceux de
lInternet, dans le cadre dune norme rajeunie dfinissant prcisment leurs obligations ; dune
norme vocation universelle qui doit concerner aussi bien les prestataires trangers que
franais, les fournisseurs de moteur de recherche comme les hbergeurs et fournisseurs
daccs ; dune norme propre faciliter lidentification des cyber-dlinquants, la runion des
lments de preuve ncessaires laction judiciaire, les lgitimes exigences defficacit de
ladministration comme de la justice grce un dispositif de notification/action rnov et enrichi.
Adapter encore les modes de rponse cette dlinquance, car les schmas
traditionnels sont impuissants, sans pour autant crer un droit dexception insupportable au
regard des liberts fondamentales. Cette adaptation, elle passe, l encore, par des rformes
organisationnelles, avec la centralisation du traitement des contentieux de masse que
constituent les escroqueries et les fraudes par cartes bancaires et avec la spcialisation du
tribunal de Paris comme des juridictions inter-rgionales spcialises pour les atteintes les plus
graves ; mais aussi par des pouvoirs dinvestigation prciss et ajusts la recherche dune
nouvelle effectivit ; par une meilleur contrle des noms de domaine ; enfin par une meilleure
lisibilit et une plus grande cohrence de la norme et la cration doutils daide lanalyse et
la dcision.
Rpondre aux cyber-victimes est la septime priorit ; elle passe, entre autres,
par la cration dune mission de mdiation entre les internautes et les prestataires dInternet,
la reconnaissance du droit loubli pour les mineurs, des processus destins assurer
leffectivit de lexcution des dcisions, y compris contre leffet miroir, sans oublier les attentes
particulires des entreprises.
Dvelopper enfin les moyens daction internationaux, telle est la dernire
exigence. La rponse une dlinquance sans frontire dpend, on le sait, dabord et avant tout,
de la capacit de lEurope prsenter un front uni et entraner le reste du monde, y compris
dans la lutte contre les cyber-paradis. La stratgie propose pour la France prend dailleurs
racine dans la stratgie Europenne et sinspire largement des rflexions menes au sein du
Conseil de lEurope comme de lUnion europenne. Rien dutile ne se fera isolment, rien ne
273
se fera non plus sans la mobilisation et le volontarisme des Etats Nations, ainsi que lillustre la
coopration pnale internationale. Cette dernire doit tre recentre sur les objectifs les plus
importants, mais aussi rendue plus effective en crant, dans lespace europen, un Schengen
du numrique.
Protger les internautes, lobjectif est ambitieux mais ralisable.
Pour autant, le prsent rapport na pas lambition de lexhaustivit.
Compte-tenu, tout la fois, du temps dvolu, qui na pas permis dentendre
lensemble des acteurs concerns, du prisme juridique privilgi eu gard la composition du
groupe de travail, mais aussi de la complexit du sujet, de la forte emprise internationale et enfin
du caractre essentiellement volutif de la cybercriminalit, qui ncessitera des ajustements
continus, lapproche se veut forcment modeste.
Telle est dailleurs lune des raisons pour laquelle des outils organisationnels sont
proposs pour lavenir.
Marc ROBERT
Le 16 fvrier 2014
,,,,,,
274
R
capitulatif des Recommandations
n/ objet page
1 la dfinition de la cybercriminalit 12
2 lapprhension statistique de la cybercriminalit 19
3 la prvention de la cybercriminalit 112
4 la formation des acteurs pnaux 124
5 lextension des attributions de lObservatoire de la scurit des
cartes de paiement
134
6 la cration dun centre dalerte et de raction aux attaques
informatiques (CERT)
135
7 la cration dune dlgation interministrielle la lutte contre la
cybercriminalit
141
8 lorganisation judiciaire 144
9 la coordination des structures administratives spcialises dans la
lutte contre la cybercriminalit
145
10 lorganisation centrale de la police judiciaire 146
11 lorganisation territoriale de la police judiciaire 147
12 le renforcement des moyens affects la lutte contre la
cybercriminalit
150
13 le droit pnal gnral et le droit pnal spcial en matire de
cybercriminalit
153
14 lusurpation didentit 154
15 les atteintes aux systmes de traitement automatis des donnes 154
16 les spams 155
17 le cyber-harclement 157
18 le secret des affaires 158
19 la peine complmentaire de suspension du droit daccs Internet 158
20 lamlioration de la visibilit et de la cohrence du droit pnal de
fond
162
21 la clarification du droit relatif aux prestataires techniques 173
275
22 les obligations des fournisseurs de moteurs de recherche 177
23 les obligations des prestataires techniques trangers lgard de la
loi franaise
182
24 lextension du rle assign la future Plate-forme nationale des
interceptions judiciaires
183
25 la dtection, par un hbergeur ou un fournisseur, dinfractions
graves
185
26 la procdure dite de notification/action lgard des hbergeurs et
fournisseurs
192
27 le blocage des sites et des noms de domaine 204
28 les cyber-cafs et les hots-spot wi-fi 206
29 lamlioration de la visibilit et de la cohrence du droit
procdural
209
30 la comptence des juridictions franaise 211
31 lextension des critres de comptence territoriale 212
32 le dlai de prescription des infractions dites de presse commises
sur Internet
214
33 la preuve numrique 216
34 la conservation des donnes numrises 220
35 labrogation des dispositions autorisant lintrusion dans les
systmes informatiques
221
36 lobjet de la rquisition 221
37 les rquisitions adresses aux oprateurs et fournisseurs visant le
contenu des changes
223
38 le respect de la confidentialit par les tiers requis 224
39 la sanction de linaction ou du refus de rponse du tiers requis 225
40 lextension du droit de perquisition et de saisie des terminaux et
supports informatiques
227
41 lanalyse des donnes saisies 229
42 les codes daccs 230
43 le cryptage et le chiffrement des donnes 231
44 laccs en ligne aux donnes informatiques stockes ltranger 233
45 le recours aux personnes qualifies et aux experts 236
46 la veille sur Internet pratique par la police judiciaire 239
47 la gnralisation de lenqute sous patronyme 240
276
48 la captation distance des donnes informatiques 242
49 lextension certaines formes de cybercriminalit des moyens
relevant de la lutte contre la dlinquance organise
244
50 la cration dune plate-forme centralise pour le traitement des
cyber-escroqueries
247
51 la centralisation du traitement des captations de cartes bleues et
des fraudes qui leur sont associes
249
52 le renforcement de la police des noms de domaine 254
53 lentraide pnale internationale 258
54 les rponses aux victimes dinfractions 265
55 la politique pnale en matire de cybercriminalit 270
,,,,,
277
A
nnexes au rapport
Compte-tenu de leur caractre volumineux,
elles sont rassembles dans un tome distinct.
- le mandat du groupe de travail interministriel
- la composition du groupe de travail
- la liste des personnes entendues, des visites effectues
et des contributions reues
- le questionnaire adress aux prestataires techniques
- la carte de limplantation des cyber-enquteurs spcialiss
en regard du sige des juridictions interrgionales spcialises
- ltude de droit compar
- les outils pdagogiques :
la liste des infractions relevant de la cybercriminalit
- les outils pdagogiques :
lbauche dune nomenclature des cyber-infractions spcifiques
- les statistiques judiciaires
- les outils pdagogiques :
le glossaire