Académique Documents
Professionnel Documents
Culture Documents
1
Pr. HADID Noufyele et Mr. MERBOUHI Samir, Conséquences de l’utilisation des TIC sur la criminalité économique et
financière en Algérie, Université d’Alger 3, Revue Nouvelle Economie
2
Convention des Nations Unies sur la lutte contre l’utilisation des Technologies d’Information et de la Communication à des
fins criminelles
3
Convention de Budapest sur la cybercriminalité
La cybercriminalité est désormais une réalité. Elle est d’autant plus dangereuse qu’elle
pénètre au sein des familles, là où la délinquance ordinaire n’avait pas accès jusqu’à présent.
En 1972, le Doyen jean CARBONNIER affirmait déjà que << l’évolution des mœurs et des
techniques donne naissance à des nouvelles formes de délinquance >> 4. En effet, la plupart
des grandes découvertes technologiques ont presque toujours engendré, à côté des progrès
économiques qu’elles procurent à l’humanité, des retombées négatives parmi lesquels figure
en bonne place l’avènement de nouvelles formes de criminalité. Internet n’échappe pas à
cette loi sociologique du développement.5
Selon le général d’Armée Marc WATIN-AUGOUARD, « lorsque le développement
économique se limitait au secteur primaire agricole, l’insécurité se résumait aux atteintes
contre les personnes. Le secteur secondaire a vu l’apparition de la production de biens
manufacturés et donc de vols, destructions, dégradations. Le développement des secteurs
tertiaires des services a inspiré les infractions dites intelligentes » 6. Avec l’apparition d’un
secteur quaternaire de l’économie, celui où l’information est devenue source de richesse, la
cybercriminalité. Elle joue des frontières entre les États, rapproche la victime de son
agresseur mais éloigne le délinquant de son juge.
La cybercriminalité n’étant pas définie avec rigueur, elle conduit vers des dérives
terminologiques. Ainsi, MM. Alterman et Bloch retiennent comme définition du délit
informatique, la définition de la cybercriminalité proposée par des experts de l’Organisation
pour la Coopération et le Développement Economique (OCDE), à savoir « tout
comportement illégal ou contraire à l’éthique ou non autorisé, qui concerne un traitement
automatique de données et/ou de transmissions de données »7.
Selon l’O.N.U., la « cybercriminalité » doit recouvrir « tout comportement illégal faisant
intervenir des opérations électroniques qui visent la sécurité des systèmes informatiques et
des données qu’ils traitent », et dans une acception plus large « tout fait illégal commis au
moyen d’un système ou d’un réseau informatique ou en relation avec un système
informatique »8. Cette définition utilise le terme comportement illégal pour se référer à la
cybercriminalité. Cependant, un comportement peut être considéré illégal dans un Etat et
légal dans l’autre.
…...........Mais le terme de cybercriminalité demeure difficile à conceptualiser, car il ne fait
l'objet d'aucune définition légale ou réglementaire » 9 ; tout du moins, ne fait-il pas l'objet
d’une définition universelle de la part des États, chacun ayant tenté d'appréhender cette notion
selon ses propres critères..................
4
Les technologies de l’information et de la communication et leur impact sur l’économie, OCDE, page 7
5
Dr. Kamel REZGUI, Droit de la sécurité du cyberespace, Master Droit des TIC, Université Internationale de
Tunis, 2022
6
Wikipédia, cyberattaque
7
GASSIN (R.), « Le droit pénal de l'informatique », DS., [1986], Chron p. 35.
8
CSIS, Centre for Stratégie and international Studies
9
Dr. Sami SOUDANI, Introduction à la sécurité informatique, Master Droit des TIC, Université Internationale
de Tunis, 2022
infractions. L’examen de ces définitions permet d’identifier les grands concepts et d’utiliser
ces définitions de manière cohérente dans le cadre d’une stratégie nationale de lutte contre la
cybercriminalité...............
...............Un exemple de cette méthode est le Décret-loi n°2022-54 du 13 septembre 2022,
relatif à la lutte contre les infractions se rapportant aux systèmes d’information et de
communication qui introduit des dispositions sur la cybercriminalité. Ce texte de loi
commence par définir quelques termes-clés: système d’information, données informatiques,
système de communication, fournisseur de service de communication, flux de trafic ou
données d’accès, support informatique, programme, l'effacement de données informatiques.
Après avoir défini ces termes-clés, la Loi énumère les principales infractions considérées
comme entrant dans le périmètre de la cybercriminalité : la violation de l’intégrité des
systèmes d’informations et des données et de leur confidentialité, les infractions commises à
l'aide de systèmes d'information ou de données informatiques. Cette approche est très
similaire à celle adoptée par la Convention sur la cybercriminalité du Conseil de l’Europe
(Convention de Budapest). …......................................
La cybercriminalité peut se définir comme toute action illégale dont l’objet est de perpétrer
des infractions pénales sur ou au moyen d’un système informatique interconnecté à un réseau
de télécommunication. Elle vise soit des infractions spécifiques à l’intérêt pour lesquelles les
technologies de l’information et de la communication sont l’objet même du délit, soit des
infractions de droit commun pour lesquelles internet est le moyen de développer des
infractions préexistantes.
En tant que tel, dans l’activité de chaque organisation, on utilise une quantité importante
d’information. La protection des données est devenue un enjeu majeur pour les personnes et
les organisations face à la cybercriminalité. Les données sont une mine d’or pour les
organisions, mais leur valeur est trop souvent sous-estimée. Les données personnelles sont le
carburant du numérique (Isabelle Falque-Pierrotin, Présidente de la Cnil).
Une donnée est une information factuelle et brute, sans contexte. Dans certaines situations,
cela correspond à chaque information communiquée volontairement par une personne. Ce
sont par exemple, des données démographiques (âge, sexe, lieu de résidence…). Les données
peuvent aussi correspondre à tous résultats de recherches, d’analyses et autres informations
détenues par une organisation. Les données correspondent donc à tout ce qui est collecté par
une organisation. Soit par ses propres moyens, soit lors d’échanges avec des clients, patients,
partenaires, … dès lors qu’ils ont donné leur accord. Les données se révèlent nécessaires
uniquement quand elles peuvent être exploitées, confrontées, analysées, et mener à un
résultat. Sans le travail de confrontation et d’analyse, les données sont bien souvent peu
utiles.;;;;;;;;;;;;;;;;;(reference)
10
https://www.ibm.com/fr-fr/topics/cyber-attack
11
https://www.ibm.com/fr-fr/topics/cyber-attack
12
https://www.ibm.com/fr-fr/topics/cyber-attack
13
https://blog.netwrix.fr/2018/07/04/les-10-types-de-cyberattaques-les-plus-courants/
14
https://www.ibm.com/fr-fr/topics/cyber-attack
En plus de la cybercriminalité, les cyberattaques peuvent également être associées à la guerre
cybernétique ou au cyberterrorisme, comme les hacktivistes. Les motivations peuvent varier,
en d’autres termes. Et dans ces motivations, on trouve trois catégories principales :
criminelle, politique et personnelle. Les pirates motivés par des motifs criminels recherchent
un gain financier via le vol d’argent, le vol de données ou la perturbation des activités. De
même, les personnes motivées par des griefs personnels, comme les employés anciens ou
actuels mécontents, saisiront de l’argent, des données ou une simple chance d’interrompre le
système d’une entreprise. Cependant, ils cherchent principalement à se venger. Les pirates
dont les motivations sont socio-politiques cherchent à attirer l’attention sur leurs causes. En
conséquence, ils font en sorte que leurs attaques connues du public - c'est-ce qu’on appelle
aussi le hacktivisme. Parmi les autres motivations de cyberattaque, on peut citer l’espionnage
industriel (dans le but d’obtenir un avantage déloyal sur les concurrents) et le défi
intellectuel.15
Les organisations criminelles, les acteurs de l’Etat et les personnes physiques lancent des
cyberattaques contre les entreprises. L'une des manières de classer les risques de cyberattaque
consiste à distinguer les menaces externes des menaces internes. Les cybermenaces externes
comprennent : les criminels organisés ou les groupes criminels, les pirates professionnels, tels
les acteurs parrainés par un Etat, les pirates amateurs, dont font partie les hacktivistes. Les
menaces internes proviennent des utilisateurs qui détiennent un accès légitime et autorisé aux
actifs d’une entreprise et en abusent délibérément ou accidentellement ; notamment : les
employés négligents vis-à-vis des politiques et procédures de sécurité, les employés actuels
ou anciens mécontents, les partenaires commerciaux, les clients, les sous-traitants ou les
fournisseurs ayant accès au système16.
Les cyberattaques se produisent dès lors que des organisations, des acteurs pour le compte
d’un Etat ou des personnes privées veulent s’accaparer une ou plusieurs choses, telles que :
les données financières de l’entreprise, de listes des clients, des données financières
concernant des clients, des bases de données clients, y compris les informations
personnellement identifiables (PII), des adresses électroniques et des justificatifs d’identité
pour les ouvertures de session, toute propriété intellectuelle, comme des secrets commerciaux
ou des conceptions de produits, un accès l’infrastructures informatique, les services
informatiques, pour accepter les paiements financiers, des données à caractère personnel, la
possibilité d’infiltrer les départements du gouvernement et les agences gouvernementales17.
Dans l’environnement numérique connecté actuel, les cybercriminels utilisent des outils
sophistiqués pour lancer des cyberattaques contre les entreprises. Leurs cibles d’attaque
comprennent les ordinateurs personnels, les réseaux informatiques, l’infrastructure
informatique et les systèmes informatiques18. Les types courants de cyberattaques sont les
suivants :19
15
Dixième Congrès des Nations Unies, à Vienne, sous le titre « la prévention du crime et le traitement des
délinquants », [10 – 17 avril 2000], disponible sur ,(consulté le 12/11/2004).
16
H. ALTERMAN et A. BLOCH : La Fraude Informatique (Paris, Gaz. Palais), [3 sep. 1988] p. 530
17
Dérivé de l'anglais « Cyberspace », contraction des mots « Cybernétique » et « Espace », ce terme a été
introduit pour la première fois par l'auteur américain William Gibson dans son roman de science-fiction «
Neuromancer », paru en 1984.
18
LEBERT (M-F.), « De l'imprimé à Internet », thèse Paris, éd. 00h00, [1999].
19
CARBONNIER (J.), « Sociologie juridique », éd. A. Colin, [1972], éd. PUF, coll. Thémis, Paris, [1978],
Refondue coll. Quadrige, [1994] et [2004].
- Les chevaux de Troie de porte dérobée : un cheval de Troie crée une porte dérobée
vulnérable dans le système la victime, permettant au pirate d’en obtenir le contrôle à
distance et presque total. Fréquemment utilisé pour relier un groupe d’ordinateurs de
victimes, dans un réseau de bots ou réseau de Zombies, les pirates peuvent se servir
du cheval de Troie pour d’autres cybercrimes.
- Attaque de script intersite (XSS) : les attaques cross-site Scripting insèrent un code
malveillant dans un site web ou un script d’application légitime dans le but d’obtenir
les informations d’un utilisateur, souvent à l’aide de ressources web tierces. Les
pirates se servent fréquemment de JavaScript pour les attaques XSS, mais Microsoft
VCScript, ActiveX et Adobe Flash peuvent également être utilisés.
- Attaque par déni de service (DoS) et l’attaque par déni de service distribuée (DDoS)
inondent les ressources d’un système, les surchargeant et empêchant les réponses aux
demandes de services, ce qui réduit la capacité de fonctionnement du système, le
rendant indisponible pour les utilisateurs légitimes. Souvent, ce type d’attaque prépare
une autre attaque.
- Tunnellisation des systèmes de noms de domaines (DNS) : les cybercriminels utilisent
la tunnellisation DNS, un protocole transactionnel, pour échanger des données
d’applications, comme l’extraction de données en mode silencieux ou l’établissement
d’un canal de communication avec un serveur inconnu, à l’image de l’échange de
commande et de contrôle (C&C) à titre d’exemple.
- Logiciels malveillants : Il s’agit d’un logiciel malveillant qui peut rendre les systèmes
infectés inopérants. La plupart des variantes de logiciels malveillants détruisent les
données en supprimant ou en effaçant les fichiers essentiels au fonctionnement du
système d’exploitation.
- Hameçonnage : L’escroquerie par hameçonnage tente de voler les identifiants ou les
données sensibles des utilisateurs comme les numéros de cartes de crédit. Dans ce cas,
les escrocs envoient aux utilisateurs des e-mails ou des SMS conçus pour avoir l’air
de venir d’un code source légitime, en utilisant de faux hyperliens.
- Rançongiciel : le rançongiciel est un logiciel malveillant sophistiqué qui tire avantage
des faiblesses du système, en utilisant un chiffrement renforcé pour retenir les
données ou la fonctionnalité du système en otage. Les cybercriminels se servent du
rançongiciel pour exiger un paiement en échange de la libération du système. Un
développement récent avec le rançongiciel est l’ajout de tactiques d’extorsion.
- Injection SQL : Les attaques par injection de langage de requête structurée (langage
SQL) intègrent un code malveillant dans des applications vulnérables, produisant des
résultats finaux de requêtes de bases de données et exécutant des commandes ou des
actions similaires que l’utilisateur n’a pas demandées.
- Exploit zero-day : Les attaques zero-day tirent avantages des faiblesses inconnues du
matériel et du logiciel. Ces vulnérabilités peuvent exister pendant des jours, des mois
ou des années avant que les développeurs ne prennent connaissances de ces failles.
- Attaques de type Man-in-the-middle (MitM) : dans ce type d'attaque, un pirate
informatique intercepte la communication entre deux parties pour voler ou modifier
des informations.
- Attaques par mot de passe : les attaques par mot de passe utilisent diverses méthodes,
telles que la force brute ou les attaques par dictionnaire, pour deviner ou déchiffrer les
mots de passe et obtenir un accès non autorisé aux systèmes informatiques.
- Attaque Ping of Death : Les attaques Ping of Death impliquent l’envoi de paquets de
données surdimensionnés à un ordinateur, le faisant planter ou ne plus répondre.
En cas de succès, les cyberattaques peuvent porter préjudice aux entreprises. Elles peuvent
causer une indisponibilité précieuse, des manipulations ou des pertes de données, et des
pertes d’argent par le biais de rançons. De plus, les temps d’indisponibilité peuvent entrainer
des interruptions de service majeures et des pertes financières. Par exemple :
- Les attaques DoS, DDoS et par logiciel malveillant peuvent causer des plantages du
système ou du serveur.
- Les attaques par tunnelisations DNS ou injection SQL ont la capacité de modifier,
supprimer, insérer ou voler des sonnées à l’intérieur d’un système.
- Les attaques par hameçonnage et les exploits du jour zéro permettent aux pirates
d’entrer dans un système pour causer des dommages ou voler de précieuses
informations.
- Les attaques par hameçonnage et les exploits du jour zéro permettent aux pirates
d’entrer dans un système pour causer des dommages ou voler de précieuses
informations.
- Les attaques par rançongiciel peuvent désactiver un système jusqu’à ce que
l’entreprise paie une rançon au pirate.
À titre d’illustration, Darkside, un gang de rançongiciels, a attaqué Colonial Pipeline, un
large réseau américain de pipelines de produits raffinés, le 29 avril 2021. Par l’intermédiaire
d’un réseau privé virtuel (VPN) et d’un mot de passe compromis (lien externe à ibm.com),
cette cyberattaque de pipeline a pénétré dans les réseaux de l’entreprise et a perturbé les
opérations du pipeline. En effet, DarkSide a fermé le pipeline qui transporte 45% du gaz, du
diesel et du carburéacteur qui est acheminé vers la cote est des États-Unis. Rapidement après
le blocage du pipeline, l’entreprise a reçu une demande de rançon de près de 5 millions de
dollars en cryptomonnaie Bitcoin, finalement payée par le PDG de colonial Pipeline5lien
externe à ibm.com). Suite à cette mésaventure, Colonial Pipeline a engagé une entreprise de
cybersécurité tierce et a informé les agences fédérales et les autorités américaines20.
Les mesures de cybersécurité, telles que le pare-feu, les logiciels antivirus et le chiffrement,
peuvent aider à se protéger contre les cyberattaques. Il est important de rester informé des
dernières menaces et de suivre les meilleures pratiques en matière de cybersécurité afin de
minimiser le risque d'une cyberattaque.
Les Nations Unies ont adopté une convention pour lutter contre l'utilisation des TIC à des fins
criminelles21.
La lutte contre le piratage des données est un enjeu important pour les États, qui ont mis en
place des stratégies nationales de cybersécurité pour y faire face. Ces stratégies nationales
visent à protéger les citoyens et les entreprises contre les cyberattaques et à réduire la
menace, l'impact et la victimisation de la cybercriminalité. Elles comprennent des mesures
pour renforcer la sécurité des systèmes d'information, sensibiliser les utilisateurs aux risques
liés à la cybersécurité, et lutter contre le piratage des données. Les États travaillent également
en collaboration avec des organisations internationales telles qu'INTERPOL pour lutter
20
WATIN-AUGOUARD (M.), Préface du livre « Cybercriminalité Défi mondial », VII.
21
CHAWKI (M.), « Essai sur la notion de cybercriminalité », IEHEI, [2006], p. 6.
contre la cybercriminalité à l'échelle mondiale. La Tunisie a en revanche une stratégie de
cybersécurité 2020 – 2025. Cette stratégie vise à diriger et gérer le cyberespace national, en
identifiant les parties impliquées et en soutenant la coordination entre elles. Elle vise aussi à
prévenir les cybermenaces et à améliorer la résilience du pays face à ces menaces en
renforçant les capacités nationales, en accélérant la sensibilisation et en protégeant les
infrastructures d’informations vitales. Pour atteindre ces objectifs, la stratégie mise sur 5 axes
principaux, y compris la mise en place de stratégies sectorielles de cybersécurité,
l’amélioration du cadre juridique et réglementaire, le renforcement des compétences, la
promotion de la culture de la cybersécurité ainsi que la maîtrise des normes et des
technologies en relation avec la sécurité digitale."
Face à ces stratégies nationales de lutte contre la cybercriminalité et dans le but de construire
un raisonnement logique autour de notre sujet de recherche, se pose le problème de savoir à
quel point le cadre juridique sur la lutte contre la cybercriminalité en Tunisie répond-il aux
enjeux de la protection des données ? Pour répondre à cette problématique nous allons voir
dans quelle mesure ce cadre juridique répond efficacement à la lutte contre le piratage des
données (I) avant d’étudier ses faiblesses (II).
Première partie. Etat de la législation tunisienne sur la cybercriminalité face à la
protection des données .
Dans cette partie, la législation Tunisienne sera présentée par rapport à ses réactions contre la
cybercriminalité touchant aux données. Ainsi donc, nous exposerons les mesures juridiques et
réglementaires sur la cybercriminalité face à la protection des données (Chapitre I) et les
organismes de réglementation, de contrôle et de répression impliquées dans la lutte contre les
cybercrimes (chapitre II).
Le Décret-loi n° 2023-17 du 11 mars 2023 charge l’ANC sera d’attribuer le label « sécurisé
» à chaque logiciel ou équipement électronique sur demande du développeur ou de
l’importateur. Ce label, facultatif, est renouvelé tous les trois ans, et peut être retiré avant
22
article 6 du Décret-loi n° 2023-17 du 11 mars 2023, relatif à la cybersécurité
l’expiration de la durée de la validité en cas de modification des caractéristiques techniques
ou survenance de changement technologique qui introduit des failles au logiciel ou
équipement électronique.
Les procédures et conditions d’octroi du label « sécurisé » et de son retrait seront fixées par
arrêté du ministre chargé du portefeuille des Technologies de la communication.
En vertu de ce décret, les structures qui gèrent des infrastructures numériques d’importance
vitale sont tenues d’utiliser des logiciels et équipements ayant le label « sécurisé », avoir leur
propre centre d’hébergement principal et un centre de backup auprès d’un fournisseur de
services informatique en nuage ayant obtenu le label, et respecter les mesures et les
procédures nécessaires pour assurer la continuité d’activité et protéger les bases de données
sensibles dont l’atteinte à l’intégrité pourrait affecter à la sécurité nationale en cas de crise
cybernétique, et ce selon un manuel de procédure approuvé par décret sur proposition du
ministre chargé des Technologies de la communication.
23
article 4 du Décret n° 2008-2639 du 21 juillet 2008, fixant les conditions et procédures
d'importation et de commercialisation des moyens ou des services de cryptages à travers les
réseaux de télécommunications
24
article 1
25
article 3
- Possibilité de consulter tous les documents relatifs aux équipements et aux systèmes
électroniques permettant de crypter les données ou examiner lesdits équipements et
systèmes
- Intervenir auprès de toute personne détenant ces équipements ou systèmes
- Obligation à la charge de ces personnes de délivrer ces équipements ou systèmes à la
première demande et de s’exécuter aux mesures
Ce decret a soumis l’activité de fourniture de services internet au regime d’autorisation accordée par
décision du Ministre chargé des télécommunications et après avis du Ministre de l’Intérieur , de
l’Instance Nationale des Télécommunications et de la commission consultative créée en
l’occurrence.
- fournir l'accès aux services Internet à tous les demandeurs en utilisant les solutions techniques les
plus efficaces, - mettre à la disposition des abonnés des informations claires concernant l’objet et les
méthodes d’accès au service et de les soutenir en cas de demande,
- fournir un service de réponse aux questions et requêtes des abonnés et leurs suivi à travers un
point focal permanent. prendre les dispositions nécessaires pour assurer la qualité des services qu’il
fournit aux abonnés et de respecter leurs droits résultant du contrat de service conclu avec eux, à
cet effet il est tenu de prendre les mesures nécessaires pour :
- assurer la neutralité de ses services, la confidentialité et l’intégralité des données transmises dans
le cadre des services fournis conformément à la législation et réglementation en vigueur
- assurer la protection, la sécurité et la confidentialité des donnés d’ordre personnel qu’ils gardent
ou traite ou enregistre à l’unité d’identification des abonnés conformément à la législation et
réglementation en vigueur
- la non divulgation aux tiers des données transmises ou détenues, relatives aux abonnés et
notamment celles nominatives, et ce sans l’accord de l’abonné concerné sous réserve des
prescriptions exigées par la défense nationale et la sécurité publique et les prérogatives de l’autorité
judiciaire et par la législation en vigueur
- garantir le droit à tout abonné de ne pas figurer à n’importe quelle base de données nominative du
fournisseur à l’exception de celles relatives à la facturation, - garantir le droit à tout abonné de
s’opposer à l’utilisation des données de facturation le concernant à des fins de prospections
commerciales
- garantir le droit à tout abonné de rectifier les données à caractères personnel le concernant ou de
les compléter ou de les clarifier ou de les mettre à jour, ou de les supprimer
- respecter ses obligations relatives aux conditions de confidentialité et de neutralité dans le cadre
de ses relations contractuelles avec les sociétés de commercialisation de services - fournir un service
d'accompagnement et d'information sur la nature des services à offrir à ses abonnés en assurant la
protection de leurs données à caractère personnel à travers le réseau d'Internet - adopter les
solutions et mécanismes qui permettent d'assurer d'un service de la navigation sécurisée des
enfants sur Internet
- définir le service de la de navigation sécurisée des enfants sur Internet et le prévoir dans les
contrats de services en tant que service au choix qui dépend de la volonté du client - donner aux
abonnés la possibilité de changer leur choix à propos du service de la de navigation sécurisée des
enfants sur Internet et ce à travers des mécanismes simples et instantanés.
- assurer la continuité des services ,selon la nature des contrats à conclure avec ses abonnés, et
garantir la permanence de fonctionnement du matériel et des programmes informatiques exploités
et de prendre les mesures nécessaires pour maintenir le niveau d'indicateurs de qualité de services
Internet prévu par les normes en vigueur à l'échelle nationale et internationale.
Nous traiterons dans cette section l'aspect législatif de l'atteinte aux systèmes d’information et
des données. Avec le développement et la généralisation des systèmes informatiques dans
tous les secteurs de la société, le système judiciaire a dû s’adapter à de nouvelles infractions
et délits et mettre en place des mesures pour faire face à ces phénomènes. Ainsi, voici les
principales lois sur le sujet sans se vouloir exhaustif :
Le décret-loi n° 2023-17 du 11 mars 2023 crée des sanctions aux incriminations suivantes :
1.1. Sanctions administratives
Le ministre chargé des technologies de la communication peut, sur rapport motivé de
l’Agence, dégrader les organismes mentionnés à l'article 6 du présent décret-loi, et classés
aux premier et deuxième niveaux, et ce dans les cas suivants :
- La non-réalisation de l’audit obligatoire et périodique de sécurité des systèmes
d’information.
- Le défaut de remise à l'Agence d'une copie électronique protégée du rapport d'audit
dans le délai mentionné à l'article 8 du présent décret-loi.
- La non-exécution des recommandations du rapport d'audit ou leur exécution partielle
dans un délai n'excédant pas une année.
- Le non-respect des mesures d'urgence prescrites par le point de contact national pour
la réponse aux urgences cybernétiques ou les centres de réponse aux urgences
cybernétiques suite à la survenance d'un incident ou d'une attaque cybernétique.
- Le non-relève des défaillances dans le délai mentionné à l'article 17 du présent décret-
loi.
- La non-création d’un centre de réponse aux urgences cybernétiques ou la non-
adhésion aux centres de réponse aux urgences cybernétiques.
- Le non-respect du référentiel mentionné à l'article 14 du présent décret-loi
1.2. Sanctions financières
Plusieurs sanctions sont, également, prévues dans ce décret en cas d’infraction ; une
amende de cinquante mille (50 000) dinar à cent mille (100 000) dinar les organismes
mentionnés à l’article 6 du présent décret-loi, et classés au troisième niveau, et ce
dans les cas suivants :
- La non-réalisation de l’audit obligatoire et périodique de sécurité des systèmes
d’information.
- La non-exécution des recommandations du rapport d’audit ou leur exécution
partielle dans un délai n’excédant pas une année.
- Le non-respect des mesures d’urgence prescrites par le point de contact
national pour la réponse aux urgences cybernétiques ou les centres de réponse
aux urgences cybernétiques suite à la survenance d’un incident ou d’une
attaque cybernétique.
- Le non-relève des défaillances dans le délai mentionné à l’article 17 du présent
décret-loi.
- La non-création d’un centre de réponse aux urgences cybernétique ou la non
adhésion aux centres de réponse aux urgences cybernétiques.
- Sans préjudice des droits des victimes à réparation, le ministre chargé d61-la tutelle de l'agence
nationale de certification électronique peut effectuer des transactions concernant les infractions
prévues à l'article 45 de la présente loi, et qui sont constatées conformément aux dispositions de la
présente loi.
- Sans préjudice des droits des tiers, les modalités et procédures des transactions sont celle prévues
par les textes en vigueur régissant le contrôle économique, notamment la loi n°91-64 du 29 juillet
1991 relative à la concurrence et aux prix, ensemble les textes qui l'ont complété et modifié.
- Les amendes
- L’emprisonnement
Paragraphe 9. Code de telecommunications
La code sus-évoqué réprime un certain nombre de comportements à l’occasion de l’usage des
télécommunications dans son chapitre 6. Cette répression est prévue aux articles 81, 82, 83,
84, 85, 86, 87.
L’article 89 du code sous examen, prévoit une procédure spéciale pour les infractions en
matière de communication. Ainsi donc, au terme de l’article susmentionné, « les infractions
en matière des télécommunications prévues à l’article 81 donnent lieu à une procédure de
transaction. Le Ministre chargé des télécommunications peut transiger avec le contrevenant et
faire payer une amende transactionnelle.
Paragraphe 10. Décret-loi n° 2022-54 du 13 septembre 2022, relatif à la lutte contre les
infractions se rapportant aux systèmes d'information et de communication
Le Decret-Loi no. 2022-54 prévoit les infractions suivantes :
Dommages causés aux systèmes informatiques dans le cadre d’un projet terroriste
(article 14 de la loi organique n° 2015-26 du 7 août 2015 relative à la lutte contre le
terrorisme et la répression du blanchiment d’argent).
Divulgation du contenu des communications et des échanges électroniques (article
85 du Code des télécommunications).
Infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes
(particulièrement articles 50 à 55 de la loi n° 94-36 du 24 février 1994 relative à la
propriété littéraire et artistique, trois autres lois adoptées en 2001 règlementant la
protection des marques de fabrique, de commerce et de service ; la protection des
dessins et modèles industriels ; et la protection des schémas de configuration des
circuits intégrés).
Paragraphe 11. Code pénal
Il s’agit de la loi n°99-89 du 02 aout 1999 modifiant certaines dispositions du code pénal,
notamment dans ses articles 199 bis 199 ter. En effet, cette loi ne réprime que partiellement
les infractions qui sont prévues par la Convention de Budapest.
Ainsi donc, cette loi incrimine quatre types d’infractions, à savoir :
- L'infraction d’accès et du maintien frauduleux dans un système informatique
- L'infraction d’introduction de données dans un système informatique
- L'infraction de faux informatique
Chapitre 2 : Les organismes de réglementation, de contrôle et de répression impliquées dans la
lutte contre les cyber-crimes
Nous allons présenter dans ce chapitre les principaux agences techniques existants dans le cadre de la lutte
contre les cybercrimes touchant les données (section I) et les juridictions compétentes pour leur répression
(section2).
La cybercriminalité est reconnue par beaucoup d’experts comme étant la nouvelle forme de
criminalité du 21ème siècle. Dès lors, pour la contrôler, la Tunisie a mis en place de nouveaux organes
de lutte. En voici quelques exemples :
Nous développerons rapidement leurs rôles et les actions qu'ils peuvent entreprendre.
Les Etats du monde ont rapidement compris que pour être efficace, la lutte contre la cybercriminalité
devrait être mondiale. Ainsi donc, plusieurs organes ont été créés, entre autre :
2.1. INTERPOL
International police (INTERPOL) : crée le 7 septembre 1923 dans le but de promouvoir la coopération
policière internationale. C’est une organisation internationale de police criminelle (OIPC) ayant pour
siège dans la ville de Lyon en France ;
2.2. Cybersud
2.3. ONUDC
L'Office des Nations Unies contre la drogue et le crime (ONUDC) a fourni à la Tunisie des
équipements et des logiciels forensic pour aider à arrêter la cybercriminalité. L'ONUDC travaille avec
des partenaires nationaux et internationaux en Tunisie
Il a été constaté que, en droit tunisien, les infractions cybernétiques sont punissables soit d’une peine
d’emprisonnement et d’une amende. Par conséquent, les juridictions suivantes restent compétentes. A
savoir : le tribunal de premier instance, la cour d’appel et la cour de cassation.
Toute infraction donne ouverture à une action publique ayant pour but l'application des peines et, si
un dommage a été causé, à une action civile en réparation de ce dommage. Ainsi l’action publique
est l’œuvre du procureur et le juge d'instruction.
Chapitre 1 : Les difficultés liées à une mise en œuvre efficace de la réglementation sur la
cybercriminalité en Tunisie
Paragraphe 1. Le cyber crime n’est pas un crime simple – il est transfrontalier - dimension
international
Le principe de territorialité de la loi pénale donne compétence au juge répressif dès lors
qu’une infraction est commise sur le territoire national, quelle que soit la nationalité des
auteurs ou des victimes 1 , même si la jurisprudence admet la compétence des juridictions
françaises lorsque l’infraction commise à l’étranger a développé ses effets en France. Aussi,
quand une enquête est ouverte en France, c’est généralement parce que les victimes s’y
trouvent. Les auteurs eux-mêmes peuvent aussi s’y trouver, comme l’a montré cette affaire
dans laquelle deux jeunes Français de 21 ans ayant envoyé des millions de messages
électroniques de chantage à la vidéo intime (sextorsion) ont été arrêtés en France, fin
décembre 2019, après que 28 000 personnes eurent signalé cette arnaque, et plus de 2 000
d’entre elles déposé plainte. De même, les effets d’une décision de condamnation sont
limités au territoire de l’État où elle a été rendue. De ce fait, un jugement de condamnation
étranger n’est normalement pas exécutoire en France. Or, la cybercriminalité est, par
essence, un phénomène international : Internet permet de réaliser très rapidement quantité
de délits dans plusieurs États. Le cyberespace s’affranchit par nature de toutes les frontières
étatiques, d’autant plus que les cyberdélinquants ont tendance à commettre leurs délits
dans des pays où la législation est embryonnaire, voire inexistante. Ainsi, beaucoup de
cybercriminels se trouvent à l’étranger, en particulier en Europe de l’Est – « Hackerville » est
le surnom donné par la presse américaine à la ville roumaine de Ramnicu Vâlcea qui, selon
elle, serait la capitale mondiale du vol sur Internet et où le FBI a envoyé une équipe épauler
la police locale – dans l’ancien espace soviétique, ainsi qu’en Afrique. La directrice générale
de Tracfin a par exemple expliqué que des centres d’appel se situant à l’étranger pouvaient
organiser des escroqueries prenant la forme de faux investissements prétendument très
rentables, dans des produits tels que des forêts, des terres rares ou des diamants, en
incitant les victimes à s’enregistrer sur des sites Internet situés au Moyen-Orient, en Israël,
en Europe de l’Est, voire au Royaume-Uni. Il en est de même pour les atteintes sexuelles
contre les mineurs sur Internet, qui impliquent très souvent des individus, les victimes en
particulier, se trouvant non seulement hors du territoire national, mais aussi hors du
territoire européen, en Asie en général. Cette situation constitue un obstacle au traitement
de ces affaires. Ainsi, tant les services enquêteurs que judiciaires peuvent se heurter aux
frontières nationales et au principe de souveraineté dès lors que les États concernés ne
veulent, ou ne peuvent, coopérer loyalement. Il existe également des zones de non droit,
propices à la prolifération d’activités illégales de toutes sortes, y compris dans le
cyberespace. Par exemple, des cybercriminels se sont installés en Crimée depuis l’annexion
illégale de ce territoire ukrainien par la Russie en 2014. Ils se trouvent ainsi à l’abri de toute
procédure de coopération judiciaire : l’Ukraine n’a plus autorité sur ce territoire, et il est
diplomatiquement inenvisageable d’émettre une demande à la Russie… L’une des difficultés
dans la lutte contre la cybercriminalité est que cette forme de délinquance mondiale défie
les règles classiques de compétence législative fondées en grande partie sur la souveraineté
étatique : les États sont libres dans l’organisation de leur système répressif de telle sorte
qu’une multitude de règles pénales nationales cohabitent, ce qui pose problème en cas
d’infraction concernant plusieurs États à la fois. Le caractère international des infractions
cybercriminelles est souvent source de difficultés pour déterminer la juridiction
territorialement compétente pour juger de l’affaire. Le traitement judiciaire de la
cybercriminalité appelle régulièrement des investigations transfrontalières. Celles-ci sont
rendues d’autant plus complexes que des informations doivent parfois être sollicitées
auprès d’opérateurs étrangers ou dont les activités sont situées en territoire étranger, tels
que les GAFAM1 , dont le siège se trouve aux États-Unis, ainsi qu’auprès des hébergeurs
importants basés en Suisse. Au total, les cybercriminels paraissent souvent insaisissables. Ils
ne le sont cependant pas toujours, y compris les plus importants d’entre eux. Ainsi, le 23
janvier dernier, deux juges d’instruction du pôle financier du tribunal judiciaire de Paris ont
obtenu de la Grèce l’extradition du Russe Alexander Vinnik, un grand délinquant du
darkweb, également recherché par les États-Unis et la Russie. Dès son arrivée en France, il a
été mis en examen pour blanchiment aggravé, association de malfaiteurs et piratage
informatique en bande organisée. Il est soupçonné de blanchiment d’argent sur la
plateforme d’échange de bitcoins BTC-e, dont il est le fondateur, qui aurait été la plus
grande « lessiveuse » de capitaux de la planète, avec un préjudice se chiffrant en milliards
de dollars. La Russie a demandé son extradition à la France.
Paragraphe 2. Manque de coopération et d’entraide international
Face aux limites de la coopération internationale classique, le Conseil de l’Europe a mis en
place une convention innovante dont la portée universelle inspire les législations et les
pratiques au-delà du Vieux Continent. Dans ce schéma d’ensemble, il est essentiel que
l’Union européenne continue de coopérer étroitement avec le Royaume-Uni pour lutter
contre la cybercriminalité.
2.1. Manque de coopération internationale
La convention de Budapest, « l’un des plus beaux succès du Conseil de l’Europe » La sécurité
de l’espace numérique se négocie dans un contexte mondial marqué par des intérêts et des
objectifs divergents. Si l’Europe se positionne en faveur d’un Internet ouvert, ce n’est pas
nécessairement le cas de certains de ses partenaires. Les négociations de conventions
internationales en matière numérique sont rendues plus complexes par ce facteur
géopolitique. C’est pourquoi elles aboutissent généralement à des textes de portée
générale, dont le champ géographique est seulement régional ; tel est le cas, par exemple,
de la convention de Malabo sur la lutte contre la cybercriminalité, qui concerne l’Afrique.
L’Union européenne, quant à elle, dispose d’une réglementation de plus en plus large en
matière de cybercriminalité et de cybersécurité (cf. infra), mais pas d’un traité global. C’est
pourquoi elle soutient la convention sur la cybercriminalité du 23 novembre 2001, dite
convention de Budapest, établie dans le cadre du Conseil de l’Europe, seul traité à portée
universelle sur ce sujet. Son objectif principal est de poursuivre une politique pénale
commune destinée à protéger la société de la criminalité dans le cyberespace, notamment
par l’adoption d’une législation appropriée et l’amélioration de la coopération
internationale. Certains États contestent toutefois le caractère universel de la convention de
Budapest. Ainsi, à l’initiative de la Russie, l’Assemblée générale de l’ONU a, le 27 décembre
2019, adopté une résolution visant à établir une convention des Nations unies en matière de
lutte contre la cybercriminalité. L’Union européenne et ses États membres s’étaient alors
opposés à ce texte, estimant que le cadre juridique international actuel était suffisant et
qu’il convenait de porter les efforts de la communauté internationale sur le développement
de législations nationales et le renforcement des capacités. Depuis l’adoption de cette
résolution, l’Union et ses États membres se coordonnent pour éviter que le nouveau
processus de négociation pour une convention des Nations unies ne remette en cause
l’équilibre nécessaire entre renforcement des moyens dédiés à la lutte contre la
cybercriminalité et respect des droits fondamentaux et de l’État de droit, qui prévaut
actuellement dans le cadre de la convention de Budapest. La convention de Budapest est
ouverte à l’ensemble des pays, audelà des 47 États membres du Conseil de l’Europe – la
Russie ne l’a ni signée ni ratifiée, contrairement à la Turquie. Elle compte d’ailleurs
actuellement 65 États parties, dont les États-Unis, et une centaine de pays s’inspireraient de
ses dispositions dans leur législation nationale. Deux États membres de l’Union européenne
l’ont seulement signée sans la ratifier : la Suède et l’Irlande. Cette convention, sans donner
de définition de la cybercriminalité, aborde ce phénomène sous deux angles : celui du droit
pénal, en visant des infractions qui doivent être intégrées dans la législation nationale des
États parties, et celui de la coopération internationale – « dans la mesure la plus large
possible » stipule l’article 23 –, en facilitant l’extradition entre États parties et l’entraide
pénale judiciaire, par exemple par des échanges de preuves numériques localisées dans ces
États. Son champ d’application porte sur les atteintes aux systèmes d’information et de
données, la fraude aux moyens de paiement et les atteintes aux mineurs en ligne. La
convention de Budapest a été qualifiée par l’une des personnes auditionnées par les
rapporteurs d’ « un des plus beaux succès du Conseil de l’Europe ». Cet instrument a en
effet démontré son efficacité : il permet une harmonisation des outils d’entraide tels que la
conservation des données informatiques, très utile aux enquêteurs pour obtenir des
preuves, l’injonction de produire, la perquisition et la saisie de données informatiques
stockées ou encore l’accès transfrontière à des données stockées, avec consentement ou
lorsqu’elles sont accessibles au public. Ce texte permet de « figer les scènes de crimes
numériques » et donne ainsi la possibilité de remonter jusqu’aux auteurs des infractions
informatiques. Par exemple, il constitue le fondement de la base de données relative aux
commissions rogatoires internationales initiées par les autorités françaises. Les États-Unis, le
Canada, l’Australie, le Royaume-Uni, l’Allemagne ou encore les Pays-Bas, ainsi que la France,
comptent parmi les États parties les plus impliqués dans la mise en œuvre de la convention
de Budapest. La convention a également institué un « réseau 24/7 », c’est-à-dire un point de
contact joignable 24 heures sur 24, 7 jours sur 7, désigné par chaque État partie afin
d’assurer une assistance immédiate pour mener des investigations concernant les
infractions pénales liées à des systèmes et à des données informatiques, ou pour recueillir
les preuves sous forme électronique d’une infraction pénale. Le point de contact français est
l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la
communication (OCLCTIC), division de la sous-direction de la lutte contre la cybercriminalité
au sein de la direction centrale de la police judiciaire du ministère de l’intérieur. Le comité
de la convention sur la cybercriminalité, qui représente les États parties, a pour objectif de
faciliter l’usage et la mise en œuvre effective de la convention, l’échange d’informations et
l’examen de tout futur amendement à la législation. Il publie des rapports et des notes
d’information sur tout sujet se rapportant à la convention, en particulier sur l’interprétation
des dispositions de la convention au regard des évolutions techniques intervenues, ce qui
permet une adaptation souple de l’application de la convention. Il publie également des
formulaires d’utilisation concrète de la convention, sur la conservation des données par
exemple. Par ailleurs, la convention de Budapest donne lieu à des programmes de
coopération en faveur des États parties les moins avancés, en Afrique, au Maghreb ou en
Asie-Pacifique. Les actions de formation, en particulier le programme GLACY +, mis en
œuvre conjointement avec l’Union européenne, sont conduites et coordonnées par le
Bureau de programme sur la cybercriminalité (C-PROC), institué par le Comité des ministres
du Conseil de l’Europe en 2013, situé à Bucarest. La convention de Budapest fait, depuis
septembre 2017, l’objet d’importantes négociations visant à la doter d’un deuxième
protocole additionnel1 . Celui-ci a pour objectif de moderniser et compléter la convention
sur plusieurs aspects : une entraide juridique plus efficace (régime simplifié pour les
demandes d’entraide, injonctions de produire internationales, coopération directe entre
autorités judiciaires pour les demandes d’entraide, enquêtes et équipes d’enquête
communes, audition audio/vidéo des témoins, des victimes et des experts, procédures
d’urgence pour les demandes d’entraide) ; la coopération directe avec des fournisseurs de
services dans d’autres juridictions pour ce qui est des demandes relatives à des informations
sur les abonnés, des demandes de conservation et des demandes en urgence ; un cadre plus
clair et des garanties plus fortes concernant les pratiques existantes en matière d’accès
transfrontière aux données, et des garanties, notamment quant aux conditions relatives à la
protection des données. La Commission européenne a mandat, depuis juin 2019, pour
participer à ces négociations au nom de l’Union européenne et de ses États membres. Les
négociations donnent souvent lieu à des débats et soulèvent des interrogations sur la
souveraineté territoriale dans le cyberespace. Elles sont prévues pour se terminer fin 2020,
mais seront sans doute prolongées, du fait à la fois de la crise sanitaire et de la longueur des
discussions. Le deuxième protocole additionnel, après son adoption, devra être approuvé
par l’Assemblée parlementaire du Conseil de l’Europe puis ratifié par l’ensemble des États
parties.
La lutte contre la cybercriminalité donne lieu, depuis 2007 et tous les 12 à 18 mois, à
l’organisation d’un événement international, connu sous le nom de conférence Octopus. La
dernière édition de la conférence a été organisée à Strasbourg, du 20 au 22 novembre 2019,
dans le cadre de la Présidence française du Comité des ministres du Conseil de l’Europe,
avec un ordre du jour portant notamment sur les preuves dans le cyberespace, l’exploitation
et les abus sexuels d’enfants en ligne, les enjeux de la protection des données et de la
justice pénale, la coopération en matière de cybercriminalité et de cybersécurité ou encore
les fake news et l’ingérence électorale. Les conférences Octopus réunissent des ministres,
des représentants d’organisations internationales et non gouvernementales, des
universitaires, des associations, des entreprises privées, en particulier les GAFAM, ou encore
des représentants des autorités nationales de protection des données, telles que la CNIL
française, soit environ 250 personnes. Elles permettent de débattre des dernières
évolutions, les cyberviolences par exemple, et de « tester » les réactions des acteurs du
cyberespace.
2.2. Manque d’entraide internationale
Toutes les conventions d’entraide judiciaire pénale, qui sont nombreuses, peuvent
contribuer à lutter contre la cybercriminalité dès lors que l’infraction concernée relève de
l’espace « cyber ». C’est le cas, par exemple, du traité de Paris de décembre 1998 entre la
France et les ÉtatsUnis. Néanmoins, ce cadre bilatéral a, par définition, une portée
restreinte. La commission rogatoire est l’outil procédural privilégié d’entraide judiciaire
permettant de poursuivre les infractions transnationales telles que les cybercrimes.
Consistant, pour un juge, à confier à toute autorité judiciaire relevant d’un autre État la
mission de procéder en son nom à des mesures d’instruction ou à d’autres actes judiciaires,
elle porte sur tout acte d’instruction, l’audition des témoins, les perquisitions et saisies ou
encore l’arrestation des suspects. Elle permet ainsi en théorie de surmonter les difficultés
liées aux frontières. Pourtant, la commission rogatoire est une procédure lourde à manier et
présentant de longs délais de réponse ; elle est donc un outil lent par rapport à la vitesse
d’exécution des infractions informatiques et la volatilité des preuves numériques. Elle
connaît deux principales limites. La première tient à la subordination de la commission
rogatoire à l’existence d’accords bilatéraux ou multilatéraux entre les États. Bien que l’envoi
d’une demande ne soit pas, en principe, subordonné à l’existence d’une convention
bilatérale entre l’État demandeur et l’État requis, l’existence de celle-ci conditionne souvent
l’acceptation et la coopération des États. En l’absence d’une telle convention, le demandeur
n’est jamais sûr d’une réponse positive. La recevabilité de la demande de commission
rogatoire relève de l’appréciation de l’autorité compétente de l’État requis, qui aura la
possibilité d’invoquer l’exception de défaut de réciprocité et toute autre fin de non-recevoir.
Le principe de souveraineté permet en effet aux États de se dérober à leur obligation de
coopération, surtout lorsqu’il peut exister certaines tensions entre eux. La seconde limite
est relative aux difficultés liées à la portée de la commission rogatoire. L’exécution de la
commission rogatoire dépend de la législation nationale de l’État qui reçoit la demande, la
commission rogatoire étant exécutée conformément aux règles usuelles de procédures et
de fond de l’État requis et non de l’État demandeur. Les traités bilatéraux, lorsqu’ils
existent, peuvent limiter l’objet et la portée des commissions rogatoires. Certains traités
limitent la commission rogatoire à l’audition de témoins ou la production de pièces à
conviction ou des documents judiciaires. D’autres mesures d’instruction peuvent être
subordonnées à des conditions particulières. Ainsi est-il généralement difficile d’obtenir des
réponses positives de certains États tels que la Russie, la Chine ou Israël qui se montrent
parfois réticents à communiquer des données stockées chez leurs fournisseurs d’accès à
Internet. Il a également été indiqué aux rapporteurs que les services de police suisses
souhaitaient rarement coopérer et qu’ils orientaient leurs collègues français vers cette
procédure judicaire. Les autorités judiciaires américaines ne seraient pas non plus très
allantes en matière d’entraide judiciaire internationale, alors que les GAFAM sont des
entreprises américaines. D’ailleurs, lors de la signature de la convention sur la
cybercriminalité du Conseil de l’Europe, en 2001 (cf. infra), de nombreux États ont émis des
réserves portant sur les demandes d’exécution de commission rogatoire, si la condition de
double incrimination n’était pas remplie. En effet, la commission rogatoire suppose
également une double incrimination, à savoir l’incrimination de l’infraction dans les deux
États concernés. Or, de nombreuses cyberinfractions restent actuellement exclues de toute
incrimination dans de nombreux États, rendant ainsi la commission rogatoire inopérante
dans de nombreux cas. Cette différence des règles nationales applicables peut
compromettre l’instruction des infractions transnationales, ce qui permet aux
cybercriminels de continuer à échapper à la justice. Cette difficulté peut se retrouver dans la
lutte contre le blanchiment d’argent en ligne. Les standards du Groupe d’action financière
(GAFI) définissent les modalités de coopération internationale et prévoient la réciprocité des
échanges d’informations. Mais, selon Tracfin, la qualité des relations de travail diffère
beaucoup selon la volonté de coopération de ses interlocuteurs étrangers : les échanges
sont très bons en Europe, bons avec les pays d’Amérique centrale et du Sud et ceux du
Golfe, qui ont adopté une démarche de coopération, mais ils le sont moins avec la Chine et
même les États-Unis, d’autant plus que les services de renseignement financier de ces
derniers seraient dotés de pouvoirs d’investigation bien plus limités, ce qui réduit l’intérêt
des informations transmises.
Section 2 : Difficultés liées à la complexité des procédures
Obligation de conservation (article 6), qui n'est pas prevue dans la Convention de
Budapest;
Constatation des infractions et l'exécution des ordonnances d’interception et d’accès
(articles 8 - 11);
Interception des communications (article 10);
Collecte des preuves électroniques (articles 12-15).
Le Decret-Loi no. 2022 - 54 ne transpose pas les dispositions relatives à la préservation des
données de la Convention de Budapest sur la cybercriminalité (articles 16, 17, 29 et 30).
En matière d’interceptions relative aux contenus, les articles 54 à 56 de la loi organique n°
2015-26 du 7 août 2015 relative à la lutte contre le terrorisme et la répression du
blanchiment d’argent permettent, « lorsque la nécessité de l’enquête l’exige », de « recourir
à l’interception des communications des prévenus », laquelle comprend « les données des
flux, l'écoute, ou l’accès au leur contenu, leur reproduction, leur enregistrement », sous le
contrôle du procureur de la République ou du juge d’instruction (art. 54).
Enfin, le chiffrement ne répondant pas aux exigences du décret n°2001-2727 du 20
novembre 2001 est interdit par l’article 9 du Code des télécommunications, l’article 87 de ce
même code réprimant notamment l’utilisation et la détention en vue de la leur distribution
à titre gratuit ou onéreux de ces moyens. La responsabilité des fournisseurs d’accès n’étant
pas spécifiquement régulée, et l’article 87 du Code des télécommunications ne requérant
pas d’intention frauduleuse, la possible responsabilité des fournisseurs d’accès pour avoir
transporté des moyens illégaux de cryptologie, sur la base de ces articles, reste en question
(en matière civile, par application des articles 82 et 83 du Code des obligations et des
contrats (COC), les fournisseurs d’accès ne paraissent pouvoir être déclarés responsables
que s’ils peuvent techniquement agir, savent qu’ils doivent agir et n’agissent pas).
De nombreuses infractions prévues par le Décret loi sont déjà sanctionnées dans
d’autres tex tes juridiques. Les crimes mentionnés dans le Décret loi tels que la
diffamation, la diffusion des images d’abus sexuels d’enfants et le discours de haine sont
déjà sanctionnés dans d’autres textes juridiques, à savoir le Code pénal, le Décret loi n°
115 d e 2011 relatif à la liberté de la presse , de l’imprimerie et de l’édition ci après le
Décret loi n° 115 de 2011 ) ou le Code des télécommunications , avec différentes peines
applicables à ce qui correspond effectivement aux mêmes délits. Cela n’est pas
conf orme au principe de sécurité juridique et accroît la possibilité d’une application
Chapitre 12 : Les risques d’atteinte aux droites et aux libertés individuelles
d’information pendant au moins deux ans et potentiellement plus , par arrêté conjoint des
des Télé communications. Les personnes dont les données sont conservé e s ne sont pas
obligées d’être, même indirectement, dans une situation susceptible de donner lieu à des
poursuites pénales.
Les données qui doivent être stockées comprennent des données sur l’identité de
permettre de tirer des conclusions précises sur les individus impliqués, telles que les
mouvements quotidiens et autres, les activités entreprises, les relations sociales de ces
Section 2 : risques liées à l’atteinte à la liberté d’expression