Droit de l'internet droit francais et européen.docx 1

_UNIVERSITE D’ABOMEY-CALAVI
Faculté de droit et de science politiques
Droit des Technologies de l’Informatique et de la

Communication
(TIC)
Année: LICENCE 3
2023-2024
Enseignant: Dr. Malick Oluchegoun FALOLA
1
L’INTERNET ET LA SECURITE
L’informatique est un outil qui suscite une criminalité particulière : les délinquants
ont un profil discret, les biens qui font l’objet d’atteintes sont pour la plupart
incorporels, la valeur des sommes détournées est considérable grâce à l’effet
multiplicateur de la rapidité et à l’aisance des manipulations1. En outre, l’internet est
un réseau, de nature à faciliter la circulation des informations et des capitaux issus
du terrorisme et plus largement de toutes les criminalités organisées. Il peut donc
être un outil de criminalité, de nature à remettre en cause la sécurité. L’internet est
alors un facteur de développement de la criminalité existant hors réseau et se
servant du réseau pour prospérer.
Mais la thématique « internet et sécurité » vise aussi et en premier lieu la

sécurité du réseau lui-même, qu’il s’agisse des échanges ou des systèmes
informatiques. On ne saurait vouloir développer le commerce électronique sans
assurer la sécurité du réseau. La question de la sécurité est alors interne au réseau
internet.
Il convient donc d’envisager la sécurité sous ces deux aspects : la sécurité du réseau
internet (Chapitre 1) et la sécurité via le réseau internet, soit la lutte contre la
cybercriminalité (chapitre 2).
1
Voir J.-Ch. Le Toquin, « Le cybercrime et la coopération public/ privé : fantasmes ou réalité ? », in
Actes du colloque juriscom.net, RLDI, nov. 2008, n° 43, p.90.
2
CHAPITRE 1
LA SECURITE DU RESEAU INTERNET
L’informatique a suscité une législation spécifique (Section 2) qui vise à réprimer :
- La fraude informatique au sens strict, c’est-à-dire l’atteinte aux systèmes

informatiques et aux biens informationnels,
- Et, symétriquement, l’utilisation des moyens informatiques pour commettre

certains types d’infractions.
Parallèlement, la sécurité sur l’internet peut être renforcée par le recours à la

cryptologie (Section 1).
Section1
La sécurité des échanges : la cryptologie
La définition. La cryptologie est l’ensemble des techniques qui permettent de

protéger les informations grâce à un code secret ou une clé. Le décret du 24 février
1998 définit les conventions secrètes comme des clés non publiées, nécessaires à la
mise en œuvre d’un moyen ou d’une prestation de cryptologie pour les opérations de
chiffrement ou de déchiffrement.
L’article 29 de la loi n° 2004-575 pour la confiance dans l’économie numérique du 21

juin 2004 définit la cryptologie comme étant « tout matériel ou logiciel conçu ou
modifié pour transformer les données, qu’il s’agisse d’informations ou de signaux, à
l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans
convention secrète. Ces moyens de cryptologie ont principalement pour objet de
garantir la sécurité du stockage ou de la transmission de données, en permettant
d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité ».
L’aliéna 2 ajoute : « on entend par prestation de cryptologie toute opération visant à
3
la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie ».
Ces définitions ont été modifiées par rapport à celles qui figurent actuellement à
l’article 28 de la loi n° 90-1170 du 29 décembre 1990 pour inclure les moyens de
cryptologie utilisant des systèmes de clés asymétriques.
La cryptologie ainsi définie, il convient d’en préciser le régime (S 1) et la

responsabilité encourue en cas de mauvais usage des moyens de cryptologie (S 2).
S 1 : Le régime de la cryptologie
La législation a progressivement libéralisé des moyens de cryptologie (A) et mis en

place un régime plural et allégé (B).
A. La libéralisation des moyens de cryptologie
Un régime initial strict d’autorisation et de déclaration. Pendant longtemps, l’usage de

moyens de cryptologie a été réservé aux seuls domaines militaire, diplomatique et
gouvernemental. Son principal objectif était de garantir la sécurité de l’Etat et la
défense nationale. La cryptologie est vue comme un danger par l’Etat, puisque le
chiffrage des informations pour encourager la criminalité et la délinquance sur les
réseaux, aussi l’Etat s’est-il, dans un premier temps, réservé cette technique.
La loi n° 90-1170 du 29 décembre 1990 a rendu accessible la cryptologie aux

personnes privées, mais a instauré des régimes très stricts d’autorisation et de
déclaration auprès des services du premier ministre. L’autorisation préalable était par
exemple requise pour les systèmes d’authentification et les prestations de
confidentialité. La difficulté était toutefois que l’Etat imposait souvent les systèmes
de cryptologie, afin de pouvoir les décrypter. En outre, la loi ne fixait pas de délai pour
la délivrance de l’autorisation, souvent tardive.
Surtout, la difficulté principale était que ce système faisait obstacle au

développement du commerce électronique puisque pour prospérer, ce dernier a
besoin de mettre en œuvre des mécanismes de paiement en ligne et donc des
mécanismes d’authentification et de sécurité pour inspirer confiance. Les moyens de
cryptographie vont permettre d’assurer des fonctions de signature électronique
sécurisée, d’intégrité et de confidentialité des échanges. Sur un réseau ouvert, la
confidentialité des échanges est un enjeu essentiel. Ce constat s’applique tout autant
aux particuliers, soucieux de protéger leur vie privée et le secret de leurs
4
correspondances, qu’aux entreprises. L’usage de données cryptées est alors
nécessaire, aussi a-t-il paru indispensable de libéraliser l’usage des moyens de
cryptologie pour encourager le développement du commerce électronique.
La libéralisation de la cryptologie en faveur du commerce électronique. La loi n° 90-

1170 du 29 décembre 1990 a été libéralisée par la loi n°96-659 du 26 juillet 1996
suite au passage d’une logique de sécurité de l’Etat à celle de sécurité électronique.
La loi du 26 juillet 1996 a libéralisé le régime, de manière incomplète certes, mais
suffisante pour permettre le développement du commerce électronique. Deux
décrets du 24 février 1998 et deux du 17 mars 1999, ainsi que trois arrêtés du 13
mars 1998 complètent le dispositif.
Le gouvernement a ainsi instauré un nouveau cadre réglementaire pour la cryptologie

dont l’usage est une condition indispensable à la protection de la vie privée, ainsi que
la sécurité des systèmes et des échanges d’informations par voie électronique,
notamment pour les transactions financières. Il constitue un compromis réaliste et
efficace qui concilie les besoins légitimes de confidentialité des utilisateurs et les
exigences de sécurité de l’Etat.
Mais les utilisateurs ont jugé ce système trop lourd, trop complexe et trop coûteux. Il
fallait donc aller encore plus loin dans la libéralisation.
La libéralisation de la cryptologie par la loi LCEN. La loi n° 2004-575 sur la confiance

dans l’économie numérique (LCEN) du 21 juin 2004 prévoit un titre III « de la sécurité
dans l’économie numérique ». Le chapitre 1er du titre III du projet (« Moyens et
prestations de cryptologie ») procède à la mise à jour complète de la réglementation
touchant à la cryptologie, jusqu’ici définie par la loi n° 90-1170 du 29 décembre 1990
modifiée par la loi n° 96-659 du 26 juillet 1996.
La loi LCEN consacre ainsi :
- une libéralisation de l’utilisation de la cryptologie. Les dispositions instaurent la

liberté complète d’utilisation des moyens et des prestations de cryptologie,
- un nouveau régime pour l’importation, la fourniture et l’exportation des moyens de

cryptologies. Ces nouvelles mesures limitent les obligations pesant sur les
fournisseurs de tels produits, tout en les responsabilisant.
5
2
L’abrogation du régime d’interdiction de la cryptologie par la LCEN . L’article 40, I de
la LCEN abroge l’article 28 de la loi n° 90-1170 du 29 décembre 1990 sur la
réglementation des télécommunications modifié par la loi 96-659 du 26 juillet 1996
relative à l’utilisation de moyens et aux prestations de cryptologie.
B. L’allégement des régimes de la cryptologie
L’article 30 fixe le cadre général du contrôle de l’importation, de la fourniture, de

l’utilisation, et de l’exportation des moyens de cryptologie, cadre général basé sur
trois régimes :
- Un régime de liberté,
- Un régime de déclaration,
- Un régime d’autorisation.
Ces mesures s’accompagnent toutefois des moyens nécessaires pour lutter contre
l’utilisation à des fins criminelles de cet outil, afin d’éviter les effets négatifs sur la
confiance qu’induiraient ces pratiques illicites, et qui seraient de nature à entraver la
croissance et le développement de l’économie numérique. Elles renforcent les
moyens des pouvoirs publics pour lutter contre l’usage de la cryptologie à des fins
délictueuses.
Le régime de liberté des moyens de cryptologie d’authentification. La LCEN a posé

des principes en vue de libéraliser l’utilisation de la cryptologie.
Elle consacre d’abord un principe de liberté d’utilisation des moyens de

cryptologie à l’article 30, I. de la LCEN. Désormais, « l’utilisation des moyens de
cryptologie est libre ».
Ce principe de liberté vaut aussi pour la fourniture, le transfert au sein de l’Union

Européenne, l’importation et l’exportation des moyens de cryptologie assurant des
fonctions d’authentification ou de contrôle d’intégrité (art. 30, II. LCEN).
Le régime de déclaration. L’article 30, III dispose que : « La fourniture, le transfert

depuis un Etat membre de la communauté européenne ou l’importation d’un moyen
de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de
6
contrôle d’intégrité sont soumis à une déclaration préalable auprès du premier
ministre, sauf dans les cas prévus au b du présent III ».
Le régime de déclaration en cas de fourniture, transfert ou importation d’un moyen de

cryptologie suppose donc que deux conditions cumulatives soient respectées :
- L’usage de ces moyens pour des fonctions autres que l’authentification ;
- La fourniture, le transfert ou l’importation depuis un Etat membre de la

communauté.
Le fournisseur ou la personne procédant au transfert ou à l’importation tiennent à la

disposition du Premier ministre une description des caractéristiques techniques de
ce moyen de cryptologie, ainsi que le code source des logiciels utilisés.
« Un décret en conseil d’Etat fixe :
a) Les conditions dans lesquelles sont souscrites ces déclarations, les

conditions et les délais dans lesquels le Premier ministre peut demander
communication des caractéristiques du moyen, ainsi que la nature de ces
caractéristiques ;
b) Les catégories de moyens dont les caractéristiques techniques ou les

conditions d’utilisation sont telles que, au regard des intérêts de la défense
nationale et de la sécurité intérieure ou extérieure de l’Etat, leur fourniture, leur
transfert depuis un Etat membre de la communauté européenne ou leur
importation peuvent être dispensés de toute formalité préalable ».
Ces règles assouplissent amplement les modalités de contrôle des moyens

de cryptologie auparavant en vigueur, par application des décrets n° 98-101 du
24 février 1998, n° 99-199 et 99-200 du 17 mars 1999).
L’exportation des moyens de cryptologie hors de l’union Européenne. Le

règlement n° 1504/20041 du 19 juillet 2004 modifié régit l’exportation des
moyens et prestations de cryptologie en vue de simplifier les mécanismes de
contrôle. Il prévoit un régime d’autorisation générale communautaire pour les
exportations de produits cryptologiques vers certains pays.
L’obligation de déclaration de la fourniture de prestations de cryptologie.

L’article 31, I de la LCEN prévoit que « la fourniture de prestations de
7
cryptologie doit être déclarée auprès du Premier ministre ». Un décret en
Conseil d’Etat définit les conditions dans lesquelles est effectuée cette
déclaration. L’activité de fourniture de prestations de cryptologie est donc
simplement soumise à un régime de déclaration auprès des services du
Premier ministre.
Une dispense de déclaration est également mise en œuvre par décret

lorsque les caractéristiques techniques ou les conditions de fourniture des
prestations sont telles qu’elles ne portent pas atteinte aux intérêts de la
défense nationale et de la sécurité intérieure ou extérieure de l’Etat.
Les fournisseurs de prestations de cryptologie sont assujettis au secret

professionnel, dans les conditions prévues aux articles 226-13 et 226-14 du
code pénal (art. 31, II de la LCEN).
S2 : La responsabilité des moyens de cryptologie
Le recours aux moyens de cryptologie est de nature à engager la

responsabilité civile des prestataires dans la fourniture de ces moyens (A),
mais aussi administrative et pénale. Le mauvais usage des moyens de
cryptologie est aussi de nature à engager une responsabilité des auteurs de
l’infraction (B). la loi met donc en place un contrôle de l’usage de ces moyens
(C).
A- La responsabilité civile des prestataires de services
Le régime de responsabilité civile des prestataires de services de cryptologie.

L’article 32 de la LCEN pose un principe de responsabilité pour faute au titre
de l’activité de fournisseurs de prestations de cryptologie à des fins de
confidentialité, en dépit de toute stipulation contractuelle contraire. Ces
prestataires sont responsables du préjudice causé aux personnes leur
confiant la gestion de leurs conventions secrètes en cas d’atteinte à l’intégrité,
à la confidentialité ou à la disponibilité des données transformées à l’aide de
ces conventions. Le préjudice se caractérise donc précisément par une
atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données.
Ces fournisseurs peuvent s’exonérer de leur responsabilité en prouvant qu’ils

8
n’ont commis aucune faute intentionnelle ou de négligence, conformément au
régime de responsabilité pour faute de droit commun.
La formulation consacre une présomption de faute et donc une inversion de la

charge de la preuve : il appartient aux fournisseurs des prestations de
cryptologie d’apporter la preuve de leur absence de faute.
Le régime de responsabilité civile des prestataires de services de certification

électronique. Les prestataires de services de certification électronique sont
responsables du préjudice causé aux personnes qui se sont fiés
raisonnablement aux certificats présentés par eux comme qualifiés (art. 33
LCEN). Il s’agit également d’un régime de responsabilité pour faute
intentionnelle ou de négligence.
La loi énumère aussi les hypothèses de responsabilité. Le prestataire

est responsable quand :
1° Les informations contenues dans le certificat, à la date de sa délivrance,

étaient inexactes ;
2° Les données prescrites pour que le certificat puisse être regardé comme
qualifié étaient incomplètes ;
3° La délivrance du certificat n’a pas donné lieu à la vérification que le

signataire détient la convention privée correspondant à la convention publique
de ce certificat ;
4° Les prestataires n’ont pas, le cas échéant, fait procéder à l’enregistrement

de la révocation du certificat et tenu cette information à la disposition des
tiers.
En revanche, la loi précise les cas d’irresponsabilité : « les prestataires ne sont

pas responsables du préjudice causé par un usage du certificat dépassant les
limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il
peut être utilisé, à condition que ces limites figurent dans le certificat et soient
accessibles aux utilisateurs ».
Par ailleurs, les prestataires de certification électronique « doivent justifier

d’une garantie financière suffisante, spécialement affectée au paiement des
9
sommes qu’ils pourraient devoir aux personnes s’étant fiées raisonnablement
aux certificats qualifiés qu’ils délivrent, ou d’une assurance garantissant les
conséquences pécuniaires de leur responsabilité civile professionnelle ».
Ce régime de responsabilité renforcée des prestataires de service de

signature électronique est mis en œuvre en application de la directive
1999/93/CE du 13 décembre 1999 sur les signatures électroniques.
B- La responsabilité administrative et pénale
Les sanctions administratives. En cas de violation de l’article 30 de la loi LCEN,

l’article 34 prévoit que « le Premier ministre peut, après avoir mis l’intéressé à
même de présenter ses observations, prononcer l’interdiction de mise en
circulation du moyen de cryptologie concerné. L’interdiction de mise en
circulation est applicable sur l’ensemble du territoire national ».
Elle emporte en outre pour le fournisseur l’obligation de procéder au retrait :
1° Auprès des diffuseurs commerciaux, des moyens de cryptologie dont la mise en

circulation a été interdite ;
2° Des matériels constituant des moyens de cryptologie dont la mise en circulation a

été interdite et qui ont été acquis à titre onéreux, directement ou par l’intermédiaire
de diffuseurs commerciaux ».
Néanmoins, il est possible de revenir sur cette décision d’interdiction : « le moyen de

cryptologie concerné pourra être remis en circulation dès que les obligations
antérieurement non respectées auront été satisfaites, dans les conditions prévues à
l’article 30 ».
Les sanctions pénales. La violation de l’article 30 engendre aussi la mise en œuvre

de sanctions pénales, en application de l’article 35 de la loi LCEN. Donne lieu à
sanction pénales :
« 1° Le fait de ne pas satisfaire à l’obligation de déclaration prévue à l’article 30 en

cas de fourniture, de transfert, d’importation ou d’exportation d’un moyen de
cryptologie ou à l’obligation de communication au Premier ministre prévue par ce
même article est puni d’un an d’emprisonnement et de 15 000 euros d’amende ;
2° Le fait d’exporter un moyen de cryptologie ou de procéder à son transfert vers un
10
Etat membre de la communauté européenne sans avoir préalablement obtenu
l’autorisation mentionnée à l’article 90 ou en dehors des conditions de cette
autorisation, lorsqu’une telle autorisation est exigée, est puni de deux ans
d’emprisonnement et de 30 000 euros d’amende.
II. Le fait de vendre ou de louer un moyen de cryptologie ayant fait l’objet d’une
interdiction administrative de mise en circulation en application de l’article 34 est
puni de deux ans d’emprisonnement et de 30 000 euros d’amende.
III. Le fait de fournir des prestations de cryptologie visant à assurer des fonctions de
confidentialité sans avoir satisfait à l’obligation de déclaration prévue à l’article 31
est puni de deux ans d’emprisonnement et de 30 000 euros d’amende ».
Les peines complémentaires. L’article 35, IV de la LCEN prévoit en outre des peines
complémentaires :
« 1° L’interdiction, suivant les modalités prévues par les articles 131-19 et 131-20 du
Code pénal, d’émettre des chèques autres que ceux qui permettent le retrait de fonds
par le tireur auprès du tiré ou ceux qui sont certifiés, et d’utiliser des cartes de
paiement ;
2° La confiscation, suivant les modalités prévues par l’article 131-21 du code Pénal,
de la chose qui a servi ou était destinée à commettre l’infraction ou de la chose qui
en est le produit, à l’exception des objets susceptibles de restitution ;
3° L’interdiction, suivant les modalités prévues par l’article 131-27 du code pénal et
pour une durée de cinq ans au plus, d’exercer une fonction publique ou d’exercer
l’activité professionnelle ou sociale dans l’exercice ou à l’occasion de l’exercice de
laquelle l’infraction a été commise ;
4° La fermeture, dans les conditions prévues par l’article 131-33 du Code pénal et
pour une durée de cinq ans au plus, des établissements ou de l’un ou de plusieurs
des établissements de l’entreprise ayant servi à commettre les faits incriminés ;
5° L’exclusion, dans les conditions prévues par l’article 131-34 du Code pénal et pour
une durée de cinq ans au plus, des marchés publics ».
La responsabilité des personnes morales. La responsabilité pénale des personnes

morales est également prévue à l’article 35, V, dans les conditions prévues par
11
l’article 121-2 du code pénal, pour les infractions énumérées à l’article 35. « Les
peines encourues par les personnes morales sont l’amende et les peines
mentionnées à l’article 131-39 du code pénal comme par exemple la dissolution ou
l’exclusion des marchés publics.
La cryptologie et la téléphonie mobile. L’article 35, VI crée enfin une nouvelle

interdiction codifiée à l’article L. 39-1 4° du CPCE, selon lequel il est désormais
interdit : « 4° De commercialiser ou de procéder à l’installation d’appareils conçus
pour rendre inopérants les téléphones mobiles de tous types, tant pour l’émission
que pour la réception, en dehors des cas prévus à l’article L. 33-3 ».
La cryptologie comme circonstance aggravante dans la répression des crimes et

délits – L’article 37 renforce les sanctions pour les infractions commises en ayant
recours à des moyens de cryptologie : les peines encourues au titre d’une infraction
sont relevées, dès lors que son auteur aura utilisé un moyen de cryptologie pour
faciliter la préparation ou la commission de celle-ci.
L’article 37 de la LCEN insère un nouvel article 132-79 dans le code pénal, ainsi
rédigé : « Art. 132-79. – lorsqu’un moyen de cryptologie au sens de l’article 29 de la
loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique a été
utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la
préparation ou la commission, le maximum de la peine privative de liberté encourue
est relevé ainsi qu’il suit :
« 1° Il est porté à la réclusion criminelle lorsque l’infraction est punie de trente ans de
réclusion criminelle ;
« 2° Il est porté à trente ans de réclusion criminelle lorsque l’infraction est punie de
vingt ans de réclusion criminelle ;
« 3° Il est porté à vingt ans de réclusion criminelle lorsque l’infraction est punie de
quinze ans de réclusion criminelle ;
« 4° Il est porté à quinze ans de réclusion criminelle lorsque l’infraction est punie de
dix ans d’emprisonnement ;
« 5° Il est porté à dix ans d’emprisonnement lorsque l’infraction est punie de sept ans
d’emprisonnement ;
12
« 6° Il est porté à sept ans d’emprisonnement lorsque l’infraction est punie de cinq
ans d’emprisonnement ;
« 7° Il est porté au double lorsque l’infraction est punie de trois ans

d’emprisonnement au plus. »
La loi prévoit toutefois une exception : « Les dispositions du présent article ne sont
toutefois pas applicables à l’auteur ou au complice de l’infraction qui, à la demande
des autorités judiciaires ou administratives, leur a remis la version en clair des
messages chiffrés ainsi que les conventions secrètes nécessaires au
déchiffrement ». Autrement dit, les dispositions sur les circonstances aggravantes ne
sont pas applicables en cas de collaboration avec la police. La possibilité de se
repentir est ainsi laissée aux auteurs de l’infraction.
C. Les contrôles
La police judiciaire de la cryptologie. L’article 36 de la loi LCEN envisage les

personnels compétents pour procéder au contrôle du respect de la loi :
- Les officiers et agents de police judiciaire agissant conformément aux

dispositions du code de procédure pénale et, dans leur domaine de
compétence,
- Les agents des douanes agissant conformément aux dispositions du code

des douanes,
- Les agents habiletés à cet effet par le Premier ministre et assermentés dans
les conditions fixées par décret en Conseil d’Etat.
Tous ces personnels peuvent rechercher et constater par procès-verbal les

infractions aux dispositions des articles 30, 31 et 34 de la loi LCEN et des textes
d’application.
Les modalités de constat des infractions. L’article 36 de la loi LCEN précise aussi le
champ d’action des agents habiletés par le Premier ministre : ils peuvent « accéder
aux moyens de transport, terrains ou locaux à usage professionnel, à l’exclusion des
parties de ceux-ci affectées au domicile privé, en vue de rechercher et de constater
les infractions, demander la communication de tous les documents professionnels et
13
en prendre copie, recueillir, sur convocation ou sur place, les renseignements et
justifications. Les agents ne peuvent accéder à ces locaux que pendant leurs heures
d’ouverture lorsqu’ils sont ouverts au public et, dans les autres cas, qu’entre 8 heures
et 20 heures ».
Ces opérations envisagées en vue de la recherche des infractions se font sous le

contrôle du Procureur de la République, préalablement informé. Il peut s’y opposer.
La saisie des moyens de cryptologie. L’intervention des agents habilités peut, dans
les mêmes lieux et les mêmes conditions de temps, aller jusqu’à la saisie des
moyens de cryptologie, à condition d’avoir obtenu au préalable l’autorisation
judiciaire donnée par ordonnance du président du tribunal de grande instance ou d’un
magistrat du siège délégué par lui, sur saisine du procureur de la République. La
demande doit comporter tous les éléments d’information de nature à justifier la
saisie. Celle-ci s’effectue sous l’autorité et le contrôle du juge qui l’a autorisée. Les
matériels et logiciels saisis sont immédiatement inventoriés.
Le Président du Tribunal de grande instance ou le magistrat du siège délégué

par lui peut à tout moment, d’office ou sur la demande de l’intéressé, ordonner
mainlevée de la saisie.
Les sanctions. Est puni de six mois d’emprisonnement et de 7 500 euros

d’amende le fait de faire obstacle au déroulement des enquêtes prévues au
présent article ou de refuser de fournir les informations ou documents y
afférant.
L’obligation de remise des clés de déchiffrement dans les opérations de police.

L’article 38 de la loi LCEN insère un deuxième alinéa à l’article 230-1 du code
de procédure pénale et porte sur l’obligation de remise des clés de
déchiffrement aux autorités habilitées. Cette obligation pèse sur les
prestataires de service de confidentialité et sur les personnes ayant
connaissance de conventions secrètes de déchiffrement, susceptibles d’avoir
été ou d’être utilisées pour commettre un délit.
La sécurité sur les réseaux n’est pleinement assurée que si on garantit

aussi la sécurité des systèmes d’information, en plus de celle des échanges.
14
SECTION 2 : LA SECURITE DES SYSTEMES D’INFORMATION
Les sources nationales. Qu’il s’agisse des utilisations relevant de la

communication au public ou de la correspondance privée, l’essor des
échanges sur l’internet doit s’accompagner d’un renforcement des garanties
offertes aux utilisateurs.
La sécurité des systèmes d’information est garantie par la loi n° 88-19 du 5

janvier 1988 dite loi Godfrain qui réprime la criminalité informatique. Les
dispositions de cette loi ont été intégrées dans le Code pénal et demeurent
aujourd’hui encore le socle de la protection3.
La loi n° 2004-575 pour la confiance dans l’économie numérique dite

LCEN s’est contentée d’apporter quelques modifications, sans remettre en
cause le dispositif. Les articles 41 à 46 de la loi, insérés dans un chapitre II sur
la cybercriminalité, sont destinés à améliorer la loi Godfrain. Il ne s’agit donc
pas véritablement de lutter contre les infractions pénales commises par le
biais des réseaux, mais plutôt de lutter contre les atteintes aux systèmes
d’information.
La sanction des atteintes aux systèmes informatiques. Les intrusions non

autorisées sur un système informatique, par le biais ou non de l’internet, sont
sanctionnées par la loi Godfrain du 8 janvier 1988, complétée par la loi LCEN.
La loi de 1988 prévoit un cadre pénal, codifié aux articles 323-1 à 323-7 du
code pénal.
L’intrusion. L’article 323-1 dispose que « le fait d’accéder ou de se maintenir

frauduleusement dans tout ou partie d’un système de traitement automatisé
de données est puni de deux ans d’emprisonnement et de 30 000 euros
d’amende ». Cet article a été modifié par la loi n° 2012-410 du 27 mars 2012
relative à la protection de l’identité qui a augmenté les sanctions et ajouté un
troisième alinéa, selon lequel : « Lorsque les infractions prévues aux deux
3
. Pour une présentation plus large de toutes les sources en lien avec la sécurité de systèmes
d’information, voir E. A. CAPRIOLI, « Introduction au droit de la sécurité des systèmes d’information
(SSI) », in Etudes à la mémoire de Linant de Bellefonds, Litec, 2007, p. 72.
15
premiers alinéas ont été commises à l’encontre d’un système de traitement
automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine
est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende ».
Sur le fondement des articles 323-1 et suivants du code pénal, un jeune

hacker a été condamné par le Tribunal correctionnel de Lyon pour avoir
« défacé » le site de la fédération du Rhône du Front national. Les juges ont
retenu les actes délictueux et l’ont condamné pour accès frauduleux à un
traitement automatisé de données et modification de données4.
- Le sabotage et les altérations. L’article 323-1 alinéa 2 dispose que « lorsqu’il

en est résulté soit la suppression ou la modification de données contenues
dans le système, soit une altération du fonctionnement de ce système, la
peine est de trois ans d’emprisonnement et de 45 000 euros d’amende ».
- L’entrave au fonctionnement d’un système de traitement automatisé. L’article

323-2 du Code pénal sanctionne « le fait d’entraver ou de fausser le
fonctionnement d’un système de traitement automatisé de données ». La
sanction est de cinq ans d’emprisonnement et de 75 000 euros d’amende. La
loi du 27 mars 2012 a ajouté un alinéa selon lequel : « Lorsque cette infraction
a été commise à l’encontre d’un système de traitement automatisé de
données à caractère personnel mis en œuvre par l’Etat, la peine est portée à
sept ans d’emprisonnement et à 100 000 euros d’amende ».
- L’introduction frauduleuse de données. L’article 323-3 du code pénal vise « le

fait d’introduire frauduleusement les données dans un système de traitement
automatisé ou de supprimer ou de modifier frauduleusement les données qu’il
contient ». De telles actions sont punies de cinq ans d’emprisonnement et de
75 000 euros d’amende. La loi du 27 mars 2012 a également ajouté un alinéa
qui prévoit que « Lorsque cette infraction a été commise à l’encontre d’un
système de traitement automatisé de données à caractère personnel mis en
œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 100 000
euros d’amende ».
4
. TGI Lyon, ch. Corr., 27 mai 2008, legalis.net ; E.A. CAPRIOLI, « Le ‘’défacage’’ de site sanctionné
pénalement », comm. Com. Electr., n°3, mars 2009, comm. 30. Voir Ph. BELLOIR et M. PENDU,
« L’incrimination d’accès ou de maintien frauduleux dans un système automatisé de données », RLDI,
févr. 2008, n° 35, p.51.
16
L’article 323-3-1 du code pénal introduit par la loi n° 2004-575 dit LCEN pour la
confiance en l’économie numérique est ainsi rédigé :
« art. 323-3-1 : Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de

céder ou de mette à disposition un équipement, un instrument, un programme
informatique ou toute donnée conçus ou spécialement adaptés pour
commettre une ou plusieurs des infractions prévues par les articles 323-1 à
323-3 est puni des peines prévues respectivement pour l’infraction elle-même
ou pour l’infraction la plus sévèrement réprimée ».
Cette infraction doit servir à sanctionner la fourniture de moyens

informatiques destinés à commettre une infraction. Les peines encourues
sont les mêmes que pour l’infraction commise elle-même. Par exemple, pour
les infractions au droit de la propriété intellectuelle, les peines de contrefaçon
seront encourues : trois ans d’emprisonnement et 300 000 d’amende.
- La participation à un groupement formé ou à une entente. L’article 323-4 du

code pénal prévoit que « la participation à un groupement formé ou à une
entente établie en vue de la préparation, caractérisée par un ou plusieurs faits
matériels, d’une ou de plusieurs des infractions prévues par les articles 323-1
à 323-1 est punie des peines prévues pour l’infraction elle-même ou pour
l’infraction la plus sévèrement réprimée ».
Les peines complémentaires. Les peines complémentaires sont posées à

l’article 323-5 du Code pénal ;
1° L’interdiction, pour une durée de cinq ans au plus, des droits civiques, civils
et de la famille suivant les modalités de l’article 131-26 ;
2° L’interdiction, pour une durée de cinq ans au plus, d’exercer une fonction
publique ou d’exercer l’activité professionnelle ou sociale dans l’exercice de
laquelle ou à l’occasion de laquelle l’infraction a été commise ;
3° La confiscation de la chose qui a servi ou était destinée à commettre

l’infraction ou de la chose qui en est le produit, à l’exception des objets
susceptibles de restitution ;
4° La fermeture, pour une durée de cinq ans au plus, des établissements ou de

l’un ou de plusieurs des établissements de l’entreprise ayant servi à
17
commettre les faits incriminés ;
5° L’exclusion, pour une durée de cinq ans au plus, des marchés publics
6° L’interdiction, pour une durée de cinq ans au plus, d’émettre des chèques
autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré
ou ceux qui sont certifiés ;
7° L’affichage ou la diffusion de la décision prononcée dans les conditions

prévues par l’article 131-35.
- La sanction des personnes morales. Les personnes morales déclarées

responsables pénalement, dans les conditions prévues par l’article 121-2, des
infractions définies au présent chapitre encourent, outre l’amende suivant les
modalités prévues par l’article 131-38, les peines prévues par l’article 131-39.
L’interdiction mentionnée au 2° de l’article 131-39 porte sur l’activité dans
l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise
(art. 323-6 C. pén.).
- La tentative. La tentative des délits prévus par les articles 323-1 à 323-3-1 est
punie des mêmes peines (art. 323-7 C. pén).
Les améliorations de la loi LCEN. La loi LCEN propose deux améliorations :
- La première amélioration porte sur le code de procédure pénale et constitue

un « toilettage » par l’ajout d’un certain nombre d’articles relatifs aux
investigations. L’objectif est d’adapter le vocabulaire évolutions de la
technologie, afin de pouvoir englober toutes les situations nouvelles. Ces
changements sont indispensables puisqu’en matière pénale, le principe est
celui de l’interprétation stricte et le juge ne saurait raisonner par analogie. Il
est donc nécessaire que le texte de la loi précise clairement ce qu’il vise. Ainsi,
les mots « données informatiques » ont été insérés, là ou jusqu’alors n’étaient
employées que des références à des éléments purement matériels
« document » et « objets ». Tel est l’objectif des articles 41 à 43 de la loi LCEN.
- La seconde amélioration concerne le renforcement des dispositions de la loi

Godfrain du 5 janvier 1988. C’est ainsi que trois des cinq agissements
frauduleux prévus par cette loi voient leurs sanctions renforcées par l’article
18
45 de la loi LCEN. En outre, l’article 46 crée une nouvelle infraction.
Le changement terminologique. Les articles 41 à 43 de la LCEN sont relatifs à

la saisie judiciaire de données informatiques. L’article 41 modifie l’article 56
du Code de procédure pénale de la sorte :
« 1° Au premier alinéa, après le mot : « documents », sont insérés les mots :

« données informatiques » et, après le mot « pièces », il est inséré le mot :
« informations » ;
2° Au deuxième alinéa, les mots : « ou documents » sont remplacés par les

mots : « documents ou données informatiques » ;
3° le cinquième alinéa est remplacé par trois alinéas ainsi rédigés :
« Il est procédé à la saisie des données informatiques nécessaires à la

manifestation de la vérité en plaçant sous-main de justice soit le support
physique de ces données, soit une copie réalisée en présence des personnes
qui assistent à la perquisition.
« Si une copie est réalisée, il peut être procédé, sur instruction du Procureur de
la République, à l’effacement définitif, sur le support physique qui n’a pas été
placé sous-main de justice, des données informatiques dont la détention ou
usage est illégal ou dangereux pour la sécurité des personnes ou des biens.
Avec l’accord du procureur de la République, l’officier de police judiciaire ne

maintient que la saisie des objets, documents et données informatiques utiles
à la manifestation de la vérité ».
Des dispositions comparables ont été insérées à l’article 97 du Code de

procédure pénale par l’article 43 de la LCEN. Enfin, l’article 42 de la loi LCEN
ajoute la notion de « données informatiques » à l’article 94 du Code de
procédure pénale.
Les articles 41 à 43 modifient le Code de procédure pénale pour adapter les

pouvoirs de saisie de l’officier de police judiciaire et du juge d’instruction aux
données informatiques.
Ainsi, le législateur reconnaît qu’il n’est pas nécessaire de saisir le support

matériel pour prouver une infraction. Les enquêteurs peuvent saisir une copie
19
des données sans avoir à saisir le matériel informatique sur lequel celles-ci
sont conservées. La copie des données informatiques suffit à faire la preuve
puisque l’infraction est constituée non pas par le support matériel mais par les
données informatiques, de nature immatérielle. Dans ce cas, il peut être
procédé, sur instruction du procureur de la république ou du juge d’instruction,
à l’effacement définitif des données informatiques originales sur le support
physique qui n’aura pas été appréhendé lorsque leur détention, ou leur usage,
est illégal ou dangereux pour la sécurité des personnes ou des biens.
La répression de la tentative de piraterie informatique. L’article 44 modifie

l’article 227-23 du Code pénal, afin de punir la tentative.
L’alinéa 1er de l’article 227-23 du Code pénal incrimine la tentative de piraterie

informatique en faveur de la protection des mineurs. Désormais, « le fait, en
vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la
représentation d’un mineur lorsque cette image ou cette représentation
présente un caractère pornographique est puni de trois ans d’emprisonnement
et de 45 000 euros d’amende.
Se trouve par ailleurs incriminé au 2e alinéa de cet article, non plus seulement
le « fait de diffuser une telle image ou représentation, par quelque moyen que
ce soit, de l’importer ou de l’exporter, de le faire importer ou de la faire
exporter » mais aussi désormais le fait d’offrir une telle image ou
représentation à un mineur.
Le renforcement des sanctions en matière de piraterie informatique. L’article

45 de la LCEN renforce les sanctions contre la piraterie informatique et
modifie l’article 323-1 du Code pénal, désormais ainsi rédigé :
1° Au premier alinéa, les mots : « d’un an » sont remplacés par les mots « deux
ans » et la somme : « 15 000 euros » est remplacé par la somme : « 30 000
euros » ;
2° Au second alinéa, les mots : « deux ans » sont remplacés par les mots :
« trois ans » et la somme : « 30 000 euros » est remplacé par la somme :
« 45 000 euros ».
II. A l’article 323-2 du même code, les mots : « trois ans » sont remplacés par
20
les mots : « cinq ans » et la somme : « 45 000 euros » est remplacé par la
somme
2012-410 du 27 mars 2012 relative à la protection de l’identité va également

dans le sens du renforcement des sanctions et de la protection des
informations. En outre, cette loi nouvelle protège tout particulièrement les
systèmes de traitement de l’information mis en œuvre par l’Etat. A n’en point
douter, l’intérêt de l’Etat est particulièrement pris en compte aujourd’hui.
Les nouvelles infractions non visées par la loi : l’usurpation d’identité. La

commission européenne a publié le 22 avril 2008 un rapport sur la sécurité
des moyens de paiement autres que les espèces5. Ce rapport constate une
multiplication des fraudes sur l’internet. Le rapport relève que la fraude aux
moyens de paiement est devenue une véritable composante des activités de
cybercriminalité, de plus en plus répandue en Europe. De nouvelles formes de
fraude, fondées sur l’usurpation d’identité se sont développées, en particulier
le phishing. Afin de lutter contre ce phénomène, la Commission européenne a
rendu publics ses objectifs stratégiques en matière de lutte contre la
cybercriminalité6 et lancé une étude comparative de législations nationales
contre le crime organisé en matière de vol d’identité.
Les sources de l’Union Européenne. Outre les textes sur la cybercriminalité,

l’Union européenne se préoccupe de la protection des systèmes d’information.
Ainsi, la Commission a adopté une communication le 30 Mars 2009 relative à
la protection des infrastructures d’information critique et intitulée « Protéger
l’Europe des cyberattaques et des perturbations de grande envergure :
améliorer l’état de préparation, la sécurité et la résilience »7. Les technologies
de l’information et des communications sont de plus en plus étroitement liées
à notre quotidien. Certains systèmes, services, réseaux et infrastructures de
TIC (ou, en bref, les infrastructures TIC) constituent une partie essentielle de
l’économie et de la société européenne, soit parce qu’ils fournissent des biens
et services d’importance capitale, soit parce qu’ils servent de base à d’autres
5
. Voir le commentaire de E. CAPRIOLI, « Publication du rapport sur le second plan de lutte de la
Commission européenne en matière de lutte contre la fraude aux moyens de paiement », RD bancaire
et fin., n°4, juillet. 2008, comm. 123.
6
. Comm. CE, 22 mai 2007, « vers une politique générale en matière de lutte contre la
cybercriminalité ».
7
. COM (2009) 149 final.
21
infrastructures critiques. Ils sont généralement considérés comme des
infrastructures d’information critiques (IIC) car leur perturbation ou leur
destruction aurait de graves incidences sur les fonctions vitales de la société.
La communication est consacrée à la prévention, à l’état de préparation et à la
sensibilisation, et elle établit un programme d’actions à entreprendre
immédiatement pour renforcer la sécurité et la résilience des IIC. Le but est de
développer la politique européenne destinée à améliorer la sécurité de la
société de l’information et à renforcer la confiance qu’elle inspire aux citoyens.
L’action de l’Union Européenne est menée avec l’aide de l’Agence européenne
chargée de la sécurité des réseaux et de l’information (ENISA), créée en 2004
aux fins d’assurer un niveau élevé et efficace de sécurité des réseaux et de
l’information au sein de la Communauté et en vue de favoriser l’émergence
d’une culture de la sécurité des réseaux et de l’information dans l’intérêt des
citoyens, des consommateurs, des entreprises et des organismes du secteur
public de l’Union Européenne.
Le Parlement européen et le conseil ont adopté le 30 septembre 2010, une

proposition de directive relative aux attaques visant les systèmes
d’information et abrogeant la décision-cadre 2005/222/JAI du conseil8 du 24
février 2005 relative aux attaques visant les systèmes d’information. La
décision-cadre a contraint les Etats membres à incriminer les comportements
visés qui ont trait : à l’accès illicite à un système d’information ; à l’atteinte à
l’intégrité d’un système ; à l’atteinte à l’intégrité des données. L’adoption de
telles mesures est obligatoire « au moins dans les cas où les faits ne sont pas
sans gravité ». L’accès illicite à un système d’information peut éventuellement
uniquement être incriminé en cas d’infraction à une mesure de sécurité.
L’instigation, la complicité et la tentative doivent aussi être incriminées Des
sanctions pénales effectives, proportionnées et dissuasives sont prévues pour
les comportements visés. Une circonstance aggravante obligatoire est prévue
lorsqu’il y a organisation criminelle. Une circonstance aggravante facultative
concerne l’hypothèse d’un préjudice grave ou l’atteinte à des intérêts
essentiels. Le traité de Lisbonne entré en vigueur en décembre 2009 a modifié
la répartition des compétences et l’article 83 S 1 du TFUE a donné une
8
. COM(2010) 517 final.
22
compétence pénale à l’Union, lui permettant désormais d’intervenir dans
l’ensemble des matières relevant de l’espace de liberté, de sécurité et de
e
justice. Avec la suppression du 3 pilier de l’UE, cette dernière peut désormais
utiliser des instruments plus efficaces que les décisions-cadres, outils de la
coopération interétatique et prendre des directives et règlements. Ce
changement d’outil entraine naturellement un renforcement de la vigueur
normative des décisions ainsi prises. En outre, la proposition tient compte des
nouvelles méthodes adoptées pour commettre des infractions informatiques,
notamment le recours aux « botnets » ou « réseaux zombies ». Ce terme
désigne un groupe d’ordinateurs qui ont été contaminés par des logiciels
malveillants (virus informatiques). Un tel réseau d’ordinateurs compromis
(« zombies ») peut être activé pour exécuter certaines actions, comme
attaquer des systèmes d’informations (cyberattaques). Les « zombies »
peuvent être contrôlés, souvent à l’insu des utilisateurs de ces ordinateurs, par
un autre ordinateur. En outre, bien que les dispositions de la décision-cadre
aient été transposées par les Etats membres dans l’ensemble, le texte
comporte plusieurs failles, imputables à l’évolution de la taille et du nombre
d’infractions et ne permet pas de faire face à la menace potentielle que les
attaques à grande échelle représentent pour la société. Il ne tient pas non plus
suffisamment compte de la gravité des infractions et ne prévoit pas de
sanctions à leur mesure. La proposition de directive doit permettre de pallier
ces faiblesses.
La Commission européenne a également adopté une autre Communication le

31 mars 2011 relative à la protection des infrastructures d’information
critiques et ambitieusement intitulée : « Réalisations et prochaines étapes :
vers une cyber sécurité mondiale »9. Elle complète la précédente de
communication et s’articule autour de cinq axes suivants : la préparation et la
prévention, la détection et la réaction, l’atténuation et la récupération, la
coopération internationale et les critères concernant les infrastructures
critiques européennes dans le secteur des TIC. Il indique les tâches à
accomplir, au titre de chacun de ces axes, par la commission, les Etats
membres et /ou les entreprises, avec le soutien de l’Agence européenne
9
. COM(2011) 163 final.
23
chargée de la sécurité des réseaux et de l’information (ENISA). La stratégie
numérique pour l’Europe, adoptée en mai 201010, souligne bien que la
confiance et la sécurité sont des conditions préalables fondamentales pour
favoriser une adoption généralisée des TIC. La stratégie numérique insiste sur
la nécessité, pour toutes les parties prenantes, d’unir leurs forces dans un
effort global pour renforcer la sécurité et la résilience des infrastructures TIC
en centrant leur action sur la prévention, la préparation et la sensibilisation et
de mettre en place des mécanismes efficaces et coordonnés propres à
répondre à de nouvelles formes de cyberattaques et de cybercriminalité de
plus en plus perfectionnées. Cette approche permet de garantir que des
mesures de prévention et de réaction seront adoptées pour faire face au
problème.
CHAPITRE 2
La sécurité via le réseau internet : La lutte contre la cybercriminalité
Si la lutte contre la cybercriminalité est réalisée à l’échelle nationale (Section 1), il

faut encourager les mesures internationales et européennes pour plus d’efficacité
sur un réseau mondial (Section 2).
Section 1
La lutte nationale contre la cybercriminalité
Pour lutter efficacement contre la cybercriminalité, il est nécessaire de mettre en

place des services spécialisés (S 1) et de créer des infractions et règles procédurales
spécifiques (S 2).
S 1 : Les services de lutte contre la cybercriminalité en France
La pluralité des services spécialisés. La lutte contre la cybercriminalité ne peut être

efficace que grâce à la mise en œuvre d’unités spécialisées, telles :
- Le département informatique et électronique de l’Institut de recherches
10
. COM(2010) 245 final.
24
criminelles (IRCGN) ;
- La Brigade d’enquêtes sur les fraudes aux technologies de l’information

(BEFTI) ;
- La Brigade centrale de répression de la cybercriminalité informatique (BCRCI) ;
- L’office central de la lutte contre la cybercriminalité liée aux technologies de

l’information et de la communication (OCLCTIC).
Cette pluralité des services n’est pas nécessairement un gage de qualité et

d’efficacité. Il apparaît en effet qu’il puisse y avoir de la concurrence entre les
services, notamment entre les services de police et de gendarmerie.
Le département informatique et électronique de l’Institut de recherches

criminelles (IRCGN). L’institut est une structure de la gendarmerie nationale
française, chargée des aspects scientifiques des investigations. Il est destiné à
contribuer à la « preuve scientifique », et est devenu un élément incontournable de
l’enquête criminelle. L’Institut s’appuie sur des techniciens d’identification
criminelle chargés de prélever des indices sur le terrain.
La vocation principale de l’IRCGN consiste en l’analyse de ces prélèvements.
L’IRCGN relève de la direction générale de la gendarmerie nationale et plus

particulièrement de la sous-direction de la police judiciaire, en ce qui concerne
son emploi.
Il assure les missions suivantes :
- Réaliser, à la demande des officiers de police judiciaire (OPJ) et des

magistrats, des examens techniques ou scientifiques ainsi que des expertises
à la demande des officiers de police judiciaire (OPJ) et des magistrats, des
examens techniques ou scientifiques ainsi que des expertises à la demande
exclusive des magistrats. Ces différents travaux, exécutés conformément aux
règles de la procédure pénale, donnent lieu à l’établissement de rapports ;
- Apporter en cas de besoin (crimes graves ou catastrophes) aux directeurs

d’enquêtes, le soutien nécessaire au bon déroulement des opérations de
police technique ou d’aide à l’identification des victimes ;
25
- Concourir directement à la formation des techniciens en identification
criminelle et à l’information des enquêteurs de tous les niveaux ;
- Poursuivre, dans tous les domaines de la criminalistique, les recherches

rendues nécessaires par le développement des techniques d’investigation
criminelle.
L’IRCGN comprend :
- Une division service-organisation,
- Trois divisions criminalistiques, elles-mêmes divisées en départements :
Division criminalistique physique et chimie (environnement incendies

explosifs, toxicologie, balistique, microanalyse) ;
Division criminalistique ingénierie et numérique (informatique électronique,

signal image parole, véhicules, documents) ;
Division criminalistique identification humaine (biologie, empreintes digitales,

anthropologie thanatologie-odontologie, entomologie).
La Brigade d’enquêtes sur les fraudes aux technologies de l’information

(BEFTI)
La Brigade est une unité spécialisée de la préfecture de police de Paris. Les

deux-tiers des effectifs appartiennent à trois groupes d’enquêtes, qui
travaillent sur instructions du Parquet, commissions rogatoires ou d’initiative
(pour presque un tiers de l’activité). Les enquêtes consistent à élucider les
crimes et délits informatiques :
- Intrusion dans un ordinateur ou un réseau ;
- Contrefaçon de logiciels ou de bases de données ;
- Piratage de réseau téléphonique ;
- Défiguration de sites ;
- Modification ou suppression de données ;
26
- Défaut de sécurisation des données personnelles, etc.
L’autre tiers des effectifs appartient au Centre d’Assistance du service, qui

fournit une assistance technique et matérielle aux autres services enquêteurs
de la Police judiciaire (perquisitions informatiques, lectures de données, etc.),
utile à l’élucidation des crimes et délits commis sur le ressort de la Préfecture
de Police.
Enfin, la BEFTI mène également des actions de sensibilisation à la

cybercriminalité via des conférences, des formations ou des stages
d’immersion.
L’office central de lutte contre la criminalité liée aux technologies de l’information et

de la communication (OCLCTIC). Au niveau national, l’Office central de lutte contre la
criminalité liée aux technologies de l’information et de la communication (OCLCTIC)
permet de répondre au problème de la criminalité informatique. L’Office a été créé,
par le décret n° 2000-405 du 15 mai 2000 au sein de la Sous-direction des Affaires
Economiques et Financières de la Direction Centrale de la Police judiciaire. L’Office
est un service spécial de la Sous-direction de la lutte contre la criminalité organisée
et la délinquance financière (SDLCODF) de la Direction centrale de la police judiciaire.
L’Office est créé en remplacement de la BCRCI (Brigade Centrale de la Répression de
la Criminalité Informatique), elle-même créé en 1994.
Ses compétences, opérationnelles et techniques, s’exercent dans le domaine de la

cybercriminalité, ce qui recouvre le traitement judiciaire des infractions spécifiques à
la criminalité liée aux nouvelles technologies et à celles dont la commission est
facilitée ou liée à l’usage de ces mêmes technologies.
Ses missions recouvrent l’animation et la coordination, opérationnelle et technique,

au niveau national. Il lui appartient, également, de procéder à tous actes d’enquêtes
et travaux techniques d’investigations, en assistance des services de police, de
gendarmerie et de la direction générale de la concurrence, de la consommation et de
la répression des fraudes dans le cadre de leur activité judiciaire.
L’OCLCTIC est le point de contact international dans le domaine de la

cybercriminalité. Il participe aux travaux opérationnels et stratégiques des enceintes
internationales (G8-Europol- Interpol- Commission Européennes, etc.).
27
Pour satisfaire à ces missions, le service comprend trois structures, l’une
opérationnelle, l’autre technique, la dernière étant la cellule d’analyse et de
documentation opérationnelle.
La structure opérationnelle est composée de quatre groupes, dont un spécialisé dans

les fraudes aux moyens de paiement. Les trois autres groupes traitent des
infractions spécifiques liées aux réseaux, à l’internet ou à la téléphonie.
La plateforme d’assistance technique, spécialement équipée de matériels et de

logiciels d’investigations de haut niveau technologique assurant l’assistance aux
services d’enquêtes, la formation des enquêteurs spécialisés en criminalité
informatique, la veille technologique, les interceptions judiciaires de l’internet et la
gestion des signalements des sites à caractère pédopornographique.
La cellule d’analyse et de documentation traite les informations issues de l’activité

judiciaire de l’ensemble des services dans le domaine de compétence de l’Office
ainsi que des échanges internationaux. Cette entité procède à l’analyse générale des
informations qui lui sont communiquées et met en œuvre une analyse criminelle, sur
la base d’un mode opératoire spécifique ou de l’activité d’un groupe criminel identifié.
L’Office voit son activité judiciaire et les demandes d’assistance se multiplier et se

diversifier. L’emploi de l’informatique déborde, désormais, largement le cadre des
piratages individuels ou autres hacking par des internautes passionnés. Ainsi, peut-
on citer, pour illustration, les relations entre terroristes sur le réseau mondial, le
développement de la pédopornographie sur l’internet ou encore la multiplication des
intrusions dans les systèmes de traitement automatisés de données.
La nécessité de former, au sein de tous les services de police, des spécialistes

maitrisant les techniques d’enquête exigeant des investigations sur des supports
informatiques a entrainé la mise en place d’un plan national de formation. Des
enquêteurs spécialisés en criminalité informatique ont, ainsi, été formés dans tous
les Services territoriaux de la Direction Centrale de la Police Judiciaire, dotés d’un
matériel d’investigation de haut niveau.
Le développement des nouvelles technologies et leur utilisation frauduleuse, plus

rentable et moins risquée que la criminalité « traditionnelle » par des groupes
criminels reconvertis, ont amené le rattachement à l’OCLCTIC de la Brigade centrale
28
pour la Répression des contrefaçons des cartes de paiement (BCRCCP). Cette
dernière a, par exemple, en charge la lutte contre les réseaux nationaux contrefaisant
les cartes bancaires (Yescards), ou internationaux de piratage des distributeurs
automatiques de carburant et de billets.
Les infrastructures de l’Union Européenne. L’action de l’Union Européenne est menée

avec l’aide de l’Agence européenne chargée de la sécurité des réseaux et de
l’information (ENISA), créée en 2004 par un règlement (CE) n°460/2004 du Parlement
européen et du Conseil du 10 mars 2004 instituant l’Agence européenne chargée de
la sécurité des réseaux et de l’information. Sa mission est d’assurer un niveau élevé
et efficace de la sécurité des réseaux et de l’information au sein de l’UE et en vue de
favoriser l’émergence d’une culture de la sécurité des réseaux et de l’information. Elle
est chargée de la sécurité des réseaux et de l’information (ENISA) qui a une fonction
de conseil et de coordination des mesures prises par la commission et les pays de
l’UE, et vise également à sécuriser leurs réseaux et systèmes d’information. Elle vise
à renforcer la capacité de l’Union Européenne (UE), des pays de l’UE et du secteur des
entreprises, en matière de prévention, de réaction et de gestion des problèmes liés à
la sécurité des réseaux et de l’information. L’ENSIA prête également assistance et
fournit des conseils à la Commission et aux pays de l’UE. L’Agence peut également
être appelée à aider la Commission à mener les travaux techniques préparatoires
pour la mise à jour et le développement de la législation de l’UE. Enfin, l’ENISA doit
faciliter et encourager la coopération entre les acteurs des secteurs public et privé et,
ainsi, permettre de parvenir à un niveau de sécurité suffisamment élevé dans les
pays de l’UE.
Les infractions et procédures propres à la cybercriminalité
Des comportements illicites adaptés au contexte numérique doivent être

sanctionnés (A), par soucis d’efficacité. La collecte des preuves est également
problématique sur l’internet, aussi des nouvelles formes d’enquête sont-elles mises
en œuvre (B).
A- Les infractions spécifiques
La lutte contre la cybercriminalité dans la loi Perben II. La loi n° 2004-204 du 9 mars
2004 portant adaptation de la justice aux évolutions de la criminalité, dite Perben II,
prévoit plusieurs dispositions portant sur des infractions commises à l’aide des
29
nouvelles technologies de l’information et de la communication.
Tout d’abord, la loi Perben II renforce la lutte contre la pornographie infantile.

Cherchant à lutter contre la criminalité organisée, le texte modifie l’article 227-23 du
code pénal : est criminalisé le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de
transmettre l’image ou la représentation d’un mineur qui présente un caractère
pornographique. Le texte punit de trois ans d’emprisonnement et de 45 000 euros
ces agissements, peines pouvant être portées à cinq ans et à 75 000 euros d’amende
lorsque l’image est diffusée notamment sur l’internet. En outre, il prohibe également
la détention de telles images.
La loi renforce ce dispositif en prévoyant que ces infractions seront passibles de dix
ans d’emprisonnement et de 500 000 euros d’amende lorsqu’elles seront commises
en bande organisée.
La loi Perben II renforce ensuite la lutte contre les propos racistes et xénophobes. La
répression des discriminations et des atteintes aux personnes ou aux biens
présentant un caractère raciste est aggravée. Le délai de prescription de la
répression des messages à caractère raciste ou xénophobe est augmenté de trois
mois à un an pour les délits prévus par la loi du 29 juillet 1881 sur la liberté de la
presse. Sont visées : les infractions de provocation à la haine, à la discrimination et à
la violence raciale (art. 24), de contestation de crime contre l’humanité (art. 24 bis),
de diffamation de nature raciale (art, 32, al. 2) ou d’injures de nature raciale (art. 33, al.
3).
La loi prévoit un nouveau délit qui réprime d’un an d’emprisonnement et de 15 000

euros d’amende « le fait de diffuser par tout moyen, sauf à destination des
professionnels, des procédés permettant la fabrication d’engins de destruction
élaborés à partir de poudre ou de substances explosives, de matières nucléaires,
biologiques ou chimiques, ou à partir de tout autre produit destiné à l’usage
domestique, industriel ou agricole » (art. 322-6-1 C. pén.). Ces dispositions
permettent donc de poursuivre les sites dangereux. Ce délit prévoit aussi que les
peines sont portées à trois mois d’emprisonnement et à 45 000 euros d’amende
lorsqu’un réseau de télécommunications à destination d’un public non déterminé a
été utilisé, pour la diffusion de tels procédés.
La loi modifie enfin le régime juridique applicable aux interceptions de
30
correspondance émises par la voie des télécommunications, opérées en matière de
poursuites de certaines infractions commises en bandes organisé et énumérées à
l’article 706-73 du Code de procédure pénale. Aux termes du nouvel article 706-95 de
ce code, « le juge des libertés peut, à la requête du procureur de la république,
autoriser l’interception, l’enregistrement et la transcription de correspondances
émises par la voie des télécommunications (…) pour une durée maximum de quinze
jours, renouvelable une fois ». Ces opérations sont faites sous le contrôle du juge des
libertés et de la détention.
La lutte contre la cybercriminalité dans la loi relative à la prévention de la délinquance.

La loi n° 2007-297 du 5 mars 2007 relative à la prévention de la délinquance instaure
également de nouvelles infractions.
La première infraction nouvelle vise la pratique du « happy slapping », punissable

d’une peine de cinq ans de prison et d’une amende de 75 000 euros. Le « happy
slapping » est une pratique consistant à filmer une personne victime de violences
assénées à dessein par des complices du cameraman. Les images sont ensuite
diffusées via l’internet. La loi utilise les mots d’ « enregistrement » et de « diffusion »
d’images de violence, englobant ainsi toutes les formes de violence diffusées, allant
donc au-delà du « simple happy slapping » (ou joyeuse farce). Néanmoins, si le
preneur d’images est un professionnel ou que le tournage des images est réalisé afin
de servir de preuve en justice, aucune infraction ne pourra pas être retenue.
Les propositions sexuelles à un mineur. La deuxième infraction concerne le fait de

formuler des propositions sexuelles à un mineur de plus de quinze ans au travers
d’un moyen de communication électronique. Cette infraction est punissable d’une
peine de deux ans de prison et d’une amende de 30 000 euros.
La publicité des jeux. Enfin, l’article 38 de la loi punit d’une amende de 30 000 euros
le fait de produire sur internet de la publicité pour les cercles de jeux de hasard non
autorisés, les paris sportifs sur les courses de chevaux et les casinos. La loi en ses
articles 36 et 37 autorise le ministre des finances et le ministre de l’intérieur à faire
interdire pour une durée de six mois renouvelable tout transfert de fonds de
personnes qui organisent des jeux et paris en ligne tels que décrits précédemment.
L’amende prévue alors par l’article 3 de loi du 21 mai 1836 passe de 30 000 euros à
60 000 euros.
31
Les nouveaux comportements illicites sur l’internet : l’usurpation d’identité. Les
principales infractions réalisent une usurpation d’identité. Il peut s’agir d’usurper les
droits d’autrui, en utilisant son nom de domaine, à l’instar du cybersquatting ou
typosquatting11, ce qui entraine une usurpation d’identité puisque le nom domaine est
un signe distinctif qui permet de différencier les sites sur l’internet, notamment les
sites marchands. Dans ce cas, l’usurpation est l’infraction elle-même.
Mais il va s’agir aussi d’utiliser sciemment les informations personnelles d’une autre
personne dans un but illicite12. Les méthodes d’usurpation d’identité sont alors plus
agressives et vont permettre de réaliser l’infraction. Les méthodes les plus connues
sont le phishing, le vishing, le smishing, le pharming et le spoofing.
Le phishing13 consiste à envoyer un courriel, en vue de se faire passer pour une

institution ou une entreprise, en particulier une banque. Le mail a une présentation
trompeuse, conforme à celle utilisée par l’institution ou l’entreprise, notamment par la
reproduction des logos. Cette présentation constitue d’ailleurs une contrefaçon et le
phishing a pu être condamné sur ce fondement14. Le mail comporte un hyperlien qui
renvoie sur le site de l’usurpateur qui ressemble au site officiel de l’institution ou
entreprise usurpée. Des informations personnelles sont alors demandées et
conservées, en vue d’être réutilisées, notamment des coordonnées bancaires. Ce
procédé est le moins difficile à déjouer car il faut conseiller de ne pas jamais
répondre aux sollicitations par courriels qui peuvent facilement être une usurpation
d’identité.
Une forme particulière de phishing a également vu le jour : le vishing (néologisme

issu de la contraction de VoIP et de phishing). Il consiste à mettre en place un
système de serveurs qui compose de façon aléatoire des numéros fixes
commençant par des indicatifs de régions. Lorsqu’une personne décroche, elle
entend un message, laissé par une prétendue boite vocale d’établissement financier,
l’informant d’opérations débitrices inhabituelles sur sa carte bancaire. Elle est priée
d’appeler au plus vite un serveur vocal, dont le numéro est fourni et qui lui demande,
11
. Voir supra les noms de domaine dans la partie 3 sur « L’internet et la propriété intellectuelle ».
12
. Voir O. ITEANU, L’identité numérique en question, Eyrolles, 2008, spéc. P. 139 et s.
13
.Voir E.A. CAPRIOLI, « Le phishing saisi par le droit », Comm. Com. Electr., n°2, févr. 2006, comm. 37.
14
. TGI Paris, 21 sept. 2005, Robin B. c/ sté Microsoft corporation, JurisData n° 2005-288744,
legalis.net ; E. A. CAPRIOLI, « Le phishing saisi par le droit », Comm. Com. Electr., n° 2, févr. 2006,
comm. 37 : le TGI de Paris condamne l’auteur d’une page d’enregistrement imitant celle du site MSN
Hotmail sur la base de la contrefaçon.
32
à des fins d’identification, de composer la série des seize chiffres figurant sur sa
carte bancaire.
Le pirate dispose alors de toutes les données pour utiliser la carte bleue. Le serveur
vocal peut également été paramétré pour demander le code secret, la date
d’expiration, date de naissance, références bancaires… Il faut donc être prudent à
l’égard des messages qui seraient laissés sur le téléphone, le courriel…
De même, le phishing s’étend au téléphone mobile et prend alors la forme du

smishing arnaque par SMS.
Plus difficile à déceler est le pharming qui constitue une technique de piratage du
système de nommage de l’internet. L’usurpateur pirate le nom de domaine d’une
institution ou d’une entreprise et crée un site semblable à cette dernière. Les victimes
de l’usurpation de nom de domaine dont souvent les banques, les usurpateurs
cherchant à récupérer les coordonnées bancaires, directement renseignées sur leur
site.
Enfin, le IP spoofing consiste à usurper l’adresse IP d’un ordinateur pour se

l’approprier. D’autres systèmes subtils peuvent être utilisés, à l’aide de logiciels
espions ou logiciels de type « cheval de Troie », ou encore logiciels malveillants,
destinés à répandre des virus pour endommager les données. Les logiciels espions
servent surtout à informer sur les actions menées par l’utilisateur de l’ordinateur
mais aussi à recueillir des données personnelles que l’usurpateur pourra utiliser. Les
logiciels de type « cheval de Troie » permettent d’exécuter des actions à l’insu de
l’utilisateur. Ils s’approprient des droits pour détourner, diffuser ou détruire des
informations, ou encore pour ouvrir une porte dérobée afin de permettre à un
attaquant de prendre à distance le contrôle d’un ordinateur.
Le délit d’usurpation d’identité. La loi n° 2011-267 d’orientation et de programmation

pour la performance de la sécurité intérieure dite LOPPSI 2 du 14 mars 2011 vient de
consacrer une nouvelle infraction pénale d’usurpation d’identité15 (art. 2). Codifiée à
l’article 226-4-1 du Code pénal, cet article prévoit que : « Le fait d’usurper l’identité
d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant
de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à
15
. C. CASTETS-RENARD, « Personnalité juridique et identité numérique » in La personnalité juridique :
traditions et révolutions, dir. X. BIOY, LGDJ, collection de l’IFR, à paraitre, 2012.
33
son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000
euros d’amende ». L’alinéa 2 ajoute que « cette infraction est punie des mêmes
peines lorsqu’elle est commise sur un réseau de communication au public en ligne »,
de même que la tentative (C. pén., art. 226-5). La rédaction redondante de l’alinéa 2
surprend mais se justifie par l’historique de cette disposition qui visait d’abord
l’internet, avant d’être étendue au monde physique. L’usurpation d’identité n’est pas
l’apanage de l’internet et en décider autrement aurait pu constituer une rupture
d’égalité devant la loi pénale. On aurait toutefois pu faire l’économie de ce deuxième
alinéa16.
Le délit d’usurpation d’identité et les autres infractions. Le champ d’application de

cette infraction peut décevoir mais doit s’envisager à la lumière des infractions déjà
existantes, lesquelles ne laissaient qu’une partie lacune, ici comblée17. Ainsi, un délit
d’usurpation d’identité18 est déjà prévu à l’article 434-23 al. 1er du Code pénal et
concerne « Le fait de prendre le nom d’un tiers, dans des circonstances qui ont
déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales ». Cet
acte est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende. L’alinéa 3
punit des mêmes peines « la fausse déclaration relative à l’état civil d’une personne,
qui a déterminé ou aurait pu déterminer des poursuites pénales contre un tiers ».
N’est ici visé qu’un certain usage de l’usurpation d’identité, consistant à commettre
des actes délictueux, susceptibles d’être imputés à la victime de l’usurpation.
Par ailleurs, l’usurpation d’identité peut avoir une autre finalité, susceptible d’être
sanctionnée par plusieurs infractions pénales. L’usurpation est fréquemment
destinée à dérober de l’argent, par l’accès aux comptes bancaires de la personne
dont l’identité a été détournée. La pratique du phishing ou « hameçonnage » consiste
en des manœuvres frauduleuses, de nature à tromper une personne physique ou
morale, afin de la déterminer à son préjudice ou au préjudice d’un tiers, à remettre
des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un
acte opérant obligation ou décharge. L’escroquerie au sens de l’article 313-1 du Code
16
. V. A. LEPAGE, op. cit.
17
. D. CHILSTEIN, « Les nouveaux défis du droit pénal : incriminations générales et spéciales à
l’épreuve de l’économie numérique », in Les nouveaux défis du commerce électronique, dir. J.
ROCHFELD, LGDJ, Montchrestien, 2010.
18
. Notons que si les travaux parlementaires et le juge retiennent l’expression « délit d’usurpation
d’identité » (Cass. Crim. 16 févr. 1999, n° 98-80.535), le législateur, pour sa part, n’a finalement pas
retenu la notion « d’identité ».
34
19
pénal est bien caractérisée ici . Il pourrait également s’agir d’un abus de confiance,
lorsqu’une personne détourne, au préjudice d’autrui, des fonds, des valeurs ou un
bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de
les représenter ou d’en faire un usage déterminé (C. pén., art. 314-1). Le faux site
reproduisant les logos de la banque ou toute autre institution, de même que la
présentation et la charte graphique du site, peut enfin être sanctionné sur le
fondement de la contrefaçon20.
Au final, le seul usage d’usurpation d’identité non visé par le droit pénal avant le vote
de la loi LOPPSI 2 portait sur les atteintes à l’honneur et à la réputation. Encore faut-il,
là aussi, nuancer l’apport de la loi, en notant que le juge a pu sanctionner la création
d’un faux profil Facebook de l’humoriste Omar, du duo Omar et Fred, sur le
fondement de l’atteinte à la vie privée et au droit à l’image (Conv. EDH, art. 8 et C. civ.,
art. 9)21. La loi nouvelle a donc surtout pour effet de renforcer la nature des sanctions
applicables, désormais pénales.
B. Les nouvelles formes d’enquête
Pour être efficaces, les enquêtes sur l’internet doivent faire appel à de nouveaux
procédés de recherche de preuve (1) et de signalement (2).
1°/ L a recherche de preuve
Les réquisitions. Les articles 99-3 et 99-4 du code de procédure pénale permettent
aux personnes opérant dans le cadre de l’instruction d’accéder à tous documents
utiles, y compris aux données informatisées, sous réserve des personnes soumises
au secret professionnel22. Les articles 99-3 et 99-4 du code de procédure pénale ont
pour but de parfaire le système de collecte des éléments de preuve. En effet, il est
possible, désormais, de collecter des éléments de preuve par copie des informations
contenues sur le disque dur d’un système informatique. Il n’est donc plus nécessaire
de saisir systématiquement le matériel (art. 56 et 97 C. proc. Pén.).
Ces articles 99-3 et 99-4 du code de procédure pénale sont une application de la
19
. Pour une illustration : T corr. De Strasbourg, 2 septembre 2004. Cette affaire concernait un étudiant
ayant imité le site du Crédit. Lyonais.
20
. TGI Pari, 21 sept. 2005, Microsoft Corporation c/ Robin B ; legalis.net.
21
. C. CASTETS-RENARD, «’’Faux profil’’ Facebook : de l’atteinte à l’image et à la vie privée et à
l’usurpation d’identité », note sous TGI Paris, 24 nov. 2010, Légipresse n° 280, févr. 2011.
22
. CI. GHICA-LEMARCHAND, « Réquisitions judiciaires au cours de l’instruction », Jcl. Proc. Pén., Fasc.
20.
35
convention sur la cybercriminalité du 23 novembre 2001. En effet, les réquisitions ont
été précisément évoquées lors de la discussion du projet de loi autorisant
l’approbation de la convention. Le législateur a intégré ces dispositions de la
Convention dans les lois du 18 mars 2003 et 9 mars 2004, avant même le vote de la
ratification de la convention par la loi du 19 mai 200523.
Les spécificités de l’enquête policière en cas d’infractions sexuelles commises par

ou grâce à l’internet24.l’utilisation du réseau internet permet non seulement la
commission de nombreuses infractions telles que la diffusion, l’importation et la
détention d’images de pornographie infantile (art. 222-23 C. pén.), mais aussi la
dissimulation de leurs auteurs en raison de l’anonymat.
L’infiltration des enquêteurs. L’article 35 II, 3° de la loi n° 2007-297 du 5 mars 2007

relative à la prévention de la délinquance25, codifié à l’article 706-47-3 du Code de
procédure pénale, prévoit que les officiers ou agents de police judiciaire qui agissent
au cours au cours d’une enquête ou sur commission rogatoire du juge d’instruction26,
peuvent « participer sous un pseudonyme aux échanges électroniques », entrer « en
contact par ce moyen avec les personnes susceptibles d’être les auteurs de ces
infractions » et « extraire, transmettre en réponse à une demande expresse, acquérir
ou conserver des contenus illicites », sans en être responsables pénalement. Cette
possibilité d’infiltration est reconnue à l’article 9 de la convention du 23 novembre
2001 du conseil de l’Europe sur la cybercriminalité qui condamne les « actes de
pornographie infantile ». La police judiciaire a la possibilité de « s’infiltrer » dans les
réseaux de cyber criminalité afin de rassembler les preuves des infractions liées à la
pédopornographie et d’en rechercher les auteurs.
Cette « infiltration » ne peut être pratiquée que par les officiers et agents de la police
judiciaire « affectés dans un service spécialisé, et spécialement habilités à cette fin »
(art. 706-47-3 C. proc. Pén.). Ces policiers peuvent alors, sans avoir recours à
l’incitation à commettre ces infractions, procéder à certains actes, comme
l’extraction, l’acquisition ou la conservation de contenus illicites obtenus dans le
23
. L. n°2005-493, 19 mai 2005, JO 20mai 2005.
24
. E. FOHRER-DEDEURWAERDER, « Procédure applicable aux infractions de nature sexuelle :
protection des mineurs victimes », JCL Proc. Pén., Fasc. 20.
25
. JO 7 mars 2007, p. 4297.
26
. En matière de traite des etres humains (C. pén., 225-4-1 à 225-4-9), proxénétisme (C. pén., art. 225-
5 à 225-12), recours à la prostitution de mineurs (C. pén., art. 225-12-1 à 225-12-4), mise en péril de
mineurs (C. pén., art. 227-18 à 227-24).
36
cadre de ces enquêtes, lorsque les infractions ont lieu par un moyen de
communication électronique. La limite du dispositif est que les policiers ne doivent
pas inciter à commettre l’infraction.
Le principe de loyauté de la preuve. Le législateur s’oppose à ce que les actes des

officiers et agents, accomplis par voie de l’internet, puissent « constituer une
incitation à commettre les infractions » et ce, « à peine de nullité » (art. 706-47-3 C.
proc. Pén.). Le principe de loyauté de la preuve s’oppose à l’usage de tels procédés,
en particulier au recours à des provocations policières, c’est-à-dire à des manœuvres
de nature à déterminer mes agissements délictueux »27. Il faut parvenir à démontrer
la préexistence de l’activité délictueuse.
L’interdiction de créer des sites de pornographie infantile. Concrètement, sur

l’internet, les agents et officiers de police judiciaire peuvent participer à des
échanges électroniques et acquérir des images pédophiles.
En revanche, ils ne peuvent créer de tels sites internet en vue de piéger la personne
poursuivie, dans le but de la prendre en flagrant délit. La création d’un site piège
risque d’être considérée par les juges comme un acte à l’origine des agissements
délictueux de la victime du stratagème, alors que la police judiciaire n’a pour mission
que de les constater et non de les provoquer. A l’inverse, si l’infraction est provoquée
par un particulier, la Chambre criminelle28 considère que la preuve est loyale et admet
la régularité de la procédure.
Aux Etats-Unis, l’unité criminalité informatique des forces de police est au contraire
autorisée à créer et exploiter des sites de pédopornographie afin d’identifier leurs
utilisateurs et rassembler des preuves à leur encontre29.
Le dispositif complémentaire. L’arrêt du 30 mars 2009 relatif à la répression de

certaines formes de criminalité informatique et à la lutte contre la pédopornographie
précise que des officiers et agents de police judiciaire devront être affectés à
certains services ou unités que le texte liste (art. 1er), et ne pourront être habiletés par
le procureur général près la cour d’appel de Paris après agrément que s’ils ont été
jugés après à procéder à de tels actes, après une formation spécifique (art. 2).
27
. Cass. Crim., 5 mai 1999, Bull. crim. 1999, n° 87.
28
. Cass. Crim., 1er Oct. 2003, Bull. crim . 2003, n° 176.
29
. E. FOHRER-DEDEURWAERDER, « Procédure applicable aux infractions de nature sexuelle (…) », op.
cit.
37
Le texte institue également un Centre national d’analyse des images de
pédopornographie composé de militaires de la gendarmerie nationale et de
fonctionnaires actifs de la police nationale. Ce Centre est notamment chargé de
centraliser et de conserver les contenus illicites obtenus par les policiers (CPP, art. D.
47-8), de communiquer ces documents à ces mêmes enquêteurs (CPP, art. D. 47-9)
et d’exploiter ces contenus, pour identification par analyse et rapprochement des
personnes ou des lieux représentés (art. 3)
2°/ Les dispositifs de signalement
La création d’une plateforme de signalement des contenus illicites. Un plan de lutte

contre la cybercriminalité, visant notamment à prévenir l’escroquerie, les contenus
pédopornographiques, racistes ou antisémites de certains sites, les atteintes à la vie
privée, les faux mails ou les vols de numéros de cartes bancaires, a été présenté en
2008. La volonté est d’améliorer les dispositifs de signalement des sites illicites, en
mettant en place une nouvelle plateforme, permettant de recueillir les signalements
en temps réel. Les signalements seront directement transmis par la police à la
justice lorsque les faits seront caractérisés.
Le 6 janvier 2009, un nouveau site www.internet.signalement.gouv.fr, portail officiel

de signalement des contenus illicites de l’Internet » permet aux internautes d’alerter
les pouvoirs publics en cas d’escroquerie en ligne ou de comportement répréhensible.
Cette plateforme est désormais destinée à regrouper les signalements. L’objectif du
site est de permettre facilement à tout citoyen de dénoncer tout contenu
contrevenant à la loi française, qu’il s’agisse d’escroquerie, de diffamation,
d’incitation à la haine raciale, etc. Sont toutefois exclus les contenus simplement
« immoraux » ou jugés « nuisibles ».
Ce site s’inscrit dans le plan « anti-arnaque » du ministère de l’Intérieur qui comprend

aussi une campagne de sensibilisation du public à l’escroquerie sur l’internet ainsi
que la mise en place d’un service téléphonique pour répondre aux interrogations des
internautes souhaitant éviter de se faire « arnaquer » ou déjà victime d’escroquerie.
La plate-forme de signalement de l’Union européenne. Le système de signalement

national sera couplé d’un dispositif européen dont le principe a été adopté par le
conseil de l’union européenne (justice et affaires intérieures) les 27 et 28 novembre
2008 sur une stratégie de travail concertée et à des mesures concrètes de lutte
38
contre la cybercriminalité. Cette plate-forme de signalement des faits de nature
délictuelle et criminelle commis sur internet est commune aux 27 Etats membres,
financée par la Commission Européenne et placée sous la tutelle d’Europol. Des
accords de coopération sont également en cours de négociation avec les Etats-Unis,
la Russie, ainsi que certains pays d’Afrique et des Balkans.
Le conseil de l’Union européenne (affaires générales) s’est réuni à nouveau le 26 Avril

2010 en vue de décider un plan d’action visant à mettre en œuvre la stratégie
concertée de lutte contre la cybercriminalité. Chaque Etat membre est invité à mettre
en place un système national de notification en matière de cybercriminalité ou à
adapter les dispositifs existants en vue de permettre les notifications à la plate-
forme européenne de lutte contre la cybercriminalité.
L’obligation de conservation des données. En outre, l’obligation de conservation des

données de connexion doit améliorer la mise en œuvre de la responsabilité des
auteurs d’infractions. Notamment, cette obligation de conservation s’applique aux
cybercafés, suivant des modalités pratiques d’application précisées le 24 mars 2006
par un décret pris en conseil d’état, codifié aux articles R. 10-12 I et suivants du CPCE.
Ce décret s’applique aux « personnes qui, au titre d’une activité professionnelle
principale ou accessoire, offrent au public une connexion » à l’internet, c’est-à-dire les
FAI et les opérateurs de téléphonie. Les hébergeurs ne sont pas concernés. Il ressort
de ces dispositions et des débats parlementaires que ces obligations de
conservation de données incombent aux opérateurs, sur la seule base de leur activité,
dès lors qu’ils offrent au public un accès au réseau permettant une communication
en ligne. Le critère retenu est donc la notion d’activité professionnelle « principale »
ou « accessoire », laissée à l’appréciation du juge30.
Le signalement par les fournisseurs d’hébergement et d’accès à l’internet. L’article 6,

I, 7 alinéas 3 de la loi n° 2004 575 pour la confiance dans l’économie numérique dite
LCEN précise que, compte tenu de l’intérêt général attaché à la répression de
l’apologie des crimes contre l’humanité, de l’incitation à la haine raciale ainsi que de
la pédopornographie enfantine, les fournisseurs d’accès et les hébergeurs doivent
concourir à la lutte contre la diffusion des infractions visées au cinquième alinéa
(apologie des crimes de guerre et des crimes contre l’humanité) et au huitième
30
. Pour plus de détails, voir infra la partie 4 sur « La responsabilité des acteurs de l’internet ».
39
alinéas (provocation à la discrimination, à la haine ou à la violence raciale) de l’article
24 de la loi du 29 juillet 1881 sur la liberté de la presse et à l’article 227-23 du Code
pénal. L’article 227-23 du code pénal punit de sept ans d’emprisonnement et de
100 000 euros d’amende « le fait, en vue de sa diffusion de fixer, d’enregistrer ou de
transmettre l’image d’un mineur lorsque cette image présente un caractère
pornographique ». A ce titre, les fournisseurs d’hébergement et d’accès à l’internet
doivent mettre en place un dispositif facilement accessible et visible, permettant à
toute personne de porter à leur connaissance ce type de données. Ils assument donc
une obligation de mise en place d’un dispositif de signalement des contenus odieux,
en premier lieu de la pornographie enfantine.
Les fournisseurs d’accès et d’hébergement ont également l’obligation, d’une part,

d’informer promptement les autorités publiques compétentes de toutes activités
illicites mentionnées à l’alinéa précédent, qui leur seraient signalées et qu’exerçaient
les destinataires de leurs services, et, d’autre part, de rendre publics les moyens qu’ils
consacrent à la lutte contre ces activités illicites.
L’analyse des signalements. Un arrêté du 16 juin crée un système dénommé

« PHAROS » (plate-forme d’harmonisation, d’analyse, de recoupement et d’orientation
des signalements)31. Le directeur général de la police nationale (direction centrale de
la police judiciaire) est autorisé à mettre en œuvre ce système composé :
- D’un site internet permettant aux utilisateurs et acteurs de l’internet, et

notamment aux internautes, fournisseurs d’accès et services de veille
étatiques, de signaler, sans préjudice du respect dû aux correspondances
privées, à l’Office central de lutte contre la criminalité liée aux technologies de
l’information et de la communication (OCLCTIC) des sites ou des contenus
contraires aux lois et règlements diffusés sur l’internet ;
- D’un traitement automatisé de données à caractère personnel mis en œuvre

par l’OCLCTIC destiné à traiter les signalements transmis par les utilisateurs
et acteurs de l’internet.
Le traitement a pour finalité de recueillir, de manière centralisée, l’ensemble des

signalements, d’effectuer des rapprochements entre eux et de les orienter vers
31
. JO, 20 juin 2009, p. 10068.
40
les services enquêteurs compétents en vue de leur exploitation. Les données à
caractère personnel enregistrées sont : les coordonnées de l’auteur du
signalement, l’adresse IP de l’auteur du signalement, les informations relatives au
signalement (site internet et/ou contenu illicite) ainsi que la date, l’heure et le
motif du signalement. De telles données sont conservées pendant deux ans.
Les agents de l’OCLCTIC ont accès au signalement. Conformément aux articles

39 et 40 de la loi du 6 janvier 1978, le droit d’accès aux données s’exerce de
manière directe auprès de l’Office central de lutte contre la criminalité. Le droit
d’opposition prévu à l’article 38 de la même loi ne s’applique pas.
Mais pour être le plus efficace possible, la lutte contre la cybercriminalité doit se
faire à une large échelle, dans la mesure où l’infraction a lieu sur un réseau
mondial.
SECTION 2
La lutte européenne et internationale contre la cybercriminalité
La lutte européenne et internationale contre la cybercriminalité est principalement

menée par le Conseil de l’Europe et par l’Union européenne qui invitent à une
coopération internationale et européenne des États membres. Les sources (S 1) et
instruments de coopération (S 2) émanant donc essentiellement de ces deux
organisations.
S 1 : Les sources
La principale source en matière de lutte contre la cybercriminalité est la convention

du même nom, adoptée en novembre 2001 par le conseil de l’Europe (A). Le droit
européen met aussi en place des instruments de lutte contre la cybercriminalité,
dans le cadre de la construction de l’espace judiciaire pénal (B).
A. La convention sur la cybercriminalité du conseil de l’Europe
La présentation de la convention du conseil de l’Europe sur la cybercriminalité. La

convention de lutte contre la cybercriminalité a été signée le 23 novembre 2001 et
est entrée en vigueur le 24 mars 2004. En France, l’entrée en vigueur résulte du
vote de la loi n° 2005-493 du 19 mai 2005 autorisant l’approbation de la
41
convention. Elle a été complétée par la loi n° 2006-64 du 23 janvier 2006 relative à
la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité
32
et aux contrôles transfrontaliers en matière de technologies de l’information .
Cette convention est le premier traité international sur les infractions pénales
commises via l’internet et les autres réseaux informatiques, traitant en particulier
des infractions portant atteinte aux droits d’auteurs, de la fraude liée à
l’informatique, de la pornographie enfantine, ainsi que des infractions liées à la
sécurité des réseaux. Elle est le fruit de quatre années de travaux d’experts des
quarante-cinq pays membres du conseil de l’Europe et de pays non membres,
comme les États-Unis, le Canada et le Japon. En juillet 2012, le 36 pays avaient
définitivement adopté la convention, le dernier en date à l’avoir ratifié étant le
Japon. Les États-Unis l’ont ratifiée en 2006, alors que le Canada ne l’a toujours
pas ratifiée.
Cette convention contient une série de pouvoirs en matière procédurale, tels que
la perquisition de réseaux informatiques et l’interception.
Les objectifs de la convention. La convention met l’accent plus particulièrement

sur la pornographie enfantine, la fraude informatique et les violations de la
sécurité du réseau. Son objectif est de mettre en place une politique pénale
commune sur la cybercriminalité en encourageant la coopération internationale et
l’adoption de législations adaptées. La Convention oblige les États parties à
adapter le droit pénal et la procédure pénale à l’évolution des technologies de
l’information et aménager les processus de coopération internationale en
conséquence. Ainsi, il s’agit d’harmoniser les législations des États, les compléter
et d’améliorer la coopération internationale.
Les législations nationales à harmoniser. L’objectif d’harmonisation des

législations des États signataires en matière de cybercriminalité passe par un
rapprochement des législations des États signataires en matière d’incriminations
dans le domaine du cyberspace. A cette fin, la convention établit des définitions
communes de certaines infractions pénales commises par le biais des réseaux
informatiques. Ces infractions sont notamment relatives aux contenus, ainsi qu’à
toute atteinte à la propriété intellectuelle commise sur la toile.
32
. JO, 24 janvier. 2006.
42
La matière procédure des législations nationales. Les législations nationales
doivent être complétées, notamment en matière procédurale. La convention tend
à compléter l’arsenal juridique des Etats en matière procédurale, afin d’améliorer
la capacité des services de police à mener en temps réels leurs investigations et
à collecter des preuves sur le territoire national avant qu’elles ne disparaissent. Le
texte établit des règles de base communes aux États signataires en matière,
notamment, de conservation des données, de perquisition et de saisie
informatique et d’interception des communications.
La coopération internationale à améliorer en matière d’extradition et d’entraide

répressive. La convention adapte les règles classiques de la coopération
internationale pénale, soit l’extradition et l’entraide répressive, aux contraintes
spécifiques posées par la cybercriminalité.
L’entraide judiciaire internationale sera facilitée par l’adoption entre les États
signataires de normes pénales minimales en matière d’incriminations et de règles
de procédure pénales communes. Les autorités judiciaires pourront ainsi
répondre aux nouveaux enjeux posés par ces réseaux.
Le protocole additionnel contre le racisme et la xénophobie. Ouvert à la signature

en janvier 2003 à la demande de la France, le Protocole additionnel à la
convention sur la cybercriminalité demande aux États de criminaliser la diffusion
de matériel raciste et xénophobe par le biais de systèmes informatiques.
Ce protocole a été conçu comme instrument pour la lutte à l’échelon international

contre les actes de nature raciste et xénophobe commis par le biais des
systèmes informatiques. Il oblige les États parties à ériger en infraction pénale les
actes obéissant à des motivations racistes, qui sont commis au moyen de
systèmes informatiques, notamment la diffusion de matériel raciste, les insultes
à caractère raciste et la négation ou la minimisation du crime de génocide. En
outre, il facilite l’extradition et l’entraide judiciaire pour la répression de ces
agissements.
L’entrée en vigueur de ce protocole permettra de lutter de façon plus complète

contre l’expression publique de propos ou de thèses négationnistes ou
révisionnistes, ainsi que l’approbation ou la justification publique des faits de
génocide ou de crime contre l’humanité.
43
Le contenu de la Convention. Le premier chapitre de la Convention apporte des
précisions terminologiques, tout à fait nécessaires en matière pénale, en raison
du principe de la légalité des délits et des peines.
La convention contient des mesures internes, de droit pénal matériel et de droit

procédural, destinées à faciliter la coopération et des mesures de coopération
interétatique.
Les mesures internes de droit pénal. La convention invite les États signataires à
incriminer un certain nombre d’agissements, classés en quatre catégories (quatre
titres) :
- Les infractions contre la confidentialité, l’intégrité et la disponibilité des

données et systèmes informatiques (titre 1 : art 2 à 6). Ces infractions visent :
l’accès illégal, l’interception illégale, l’atteinte à l’intégrité des données,
l’atteinte à l’intégrité du système, l’abus de dispositifs ;
- Les infractions informatiques qui concernent la falsification informatique et la

fraude informatique (art. 7 et 8) ;
- Les infractions se rapportant à la pornographie enfantine (art. 9) ;
- Les infractions liées aux atteintes à la propriété intellectuelle et aux droits

connexes (art. 10).
Le titre 5 prévoit aussi de mettre en œuvre une responsabilité en cas de tentative ou

complicité (art. 11). En outre, les personnes morales engagent leur responsabilité (art.
12). Enfin, les sanctions doivent être effectives, proportionnées et dissuasives,
comprenant des peines privatives de liberté (art. 13).
Le droit procédural. Les articles 14 à 22 de la convention énumèrent des dispositions

« qui se révèlent nécessaires pour instaurer les pouvoirs et procédures… aux fins
d’enquêtes ou de procédures pénales spécifiques ».
Les mesures procédurales sont d’abord des mesures conservatoires. L’article 16

prévoit que les parties doivent adopter des dispositions permettant d’assurer la
conservation rapide de données informatiques stockées, ainsi que la conservation et
la divulgation partielle rapides de données relatives au trafic (art. 17). En outre, la
convention oblige le législateur à inscrire dans les textes des mesures d’injonction de
44
produire, en particulier l’injonction faite à une personne de produire des données en
sa possession (art. 18). Sont également prévues la perquisition et la saisie de
données informatiques stockées (art 19), ainsi que la collecte en temps réel de
données relatives au trafic (art. 20) et l’interception de données relatives au contenu
(art. 21).
Concernant la compétence, l’article 22 prévoit que « Chaque partie adopte les

mesures législatives et autres qui se révèlent nécessaires pour établir sa
compétence à l’égard de toute infraction pénale établie conformément aux articles 2
à 11 de la présente convention, lorsque l’infraction est commise ;
A) Sur son territoire ; ou
B) A bord d’un navire battant pavillon de cette Partie ; ou
C) A bord d’un aéronef immatriculé selon les lois de cette Partie ; ou
D) Par un de ses ressortissants, si l’infraction est punissable pénalement là où

elle a été commise ou si l’infraction ne relève de la compétence territoriale
d’aucun Etat ».
La coopération interétatique. Le chapitre III concerne la coopération internationale et

distingue les principes généraux relatifs à la coopération internationale, dont
l’extradition, des principes généraux relatifs à l’entraide.
L’extradition. L’article 24 s’applique à l’extradition entre les parties pour les

infractions pénales définies conformément aux articles 2 à 11 de la convention, à
condition qu’elles soient punissables dans la législation de deux parties concernées
par une peine privative de liberté pour une période maximale d’au moins un an, ou par
une peine plus sévère (art. 24.1).
L’entraide :
Les conditions de l’entraide sont définies largement à l’article 25 : les parties

s’accordent l’entraide la plus large possible aux fins d’investigations ou de
procédures concernant les infractions pénales liées à des systèmes et à des
données informatiques, ou afin de recueillir les preuves sous forme électronique
d’une infraction pénale.
Chaque partie peut, en cas d’urgence, formuler une demande d’entraide ou les
45
communications s’y rapportant par des moyens rapides de communication, tels que
la télécopie ou le courrier électronique, pour autant que ces moyens offrent des
conditions suffisantes de sécurité et d’authentification.
L’entraide est soumise aux conditions fixées par le droit interne de la partie requise.
Si la partie requise est autorisée à subordonner l’entraide à l’existence d’une double

incrimination (réciprocité d’incrimination), cette condition sera considérée comme
satisfaite si le comportement constituant l’infraction, pour laquelle l’entraide est
requise, est qualifié d’infraction pénale par son droit interne, que le droit interne
classe ou non l’infraction dans la même catégorie d’infractions ou qu’il la désigne ou
non par la même terminologie que le droit de la Partie requérante. L’entraide est
donc largement prévue.
La divulgation spontanément d’informations. L’article 26 prévoit la possibilité de

dévoiler spontanément des informations : « une partie peut, dans les limites de son
droit interne et en l’absence de demande préalable, communiquer à une autre Partie
des informations obtenues dans le cadre de ses propres enquêtes lorsqu’elle estime
que cela pourrait aider la Partie destinataire à engager ou à mener à bien des
enquêtes ou des procédures au sujet d’infractions pénales établies conformément à
la présente convention, ou lorsque ces informations pourraient aboutir à une
demande de coopération formulée par cette Partie au titre du présent chapitre ».
L’entraide en matière de mesures provisoires. L’article 29 organise la conservation

rapide de données informatiques stockées : une partie peut demander à une autre
Partie de conserver des données stockées au moyen d’un système informatique se
trouvant sur le territoire de cette autre partie.
En complément, l’article 30 prévoit la divulgation rapide des données

conservées « lorsque, en exécutant une demande de conservation de données
relatives au trafic concernant une communication spécifique formulée en application
de l’article 29, la Partie requise découvre qu’un fournisseur de services dans un autre
Etat a participé à la transmission de cette communication ». Dans ce cas, « la Partie
requise divulgue rapidement à la Partie requérante une quantité suffisante de
données concernant le trafic, aux fins d’identifier ce fournisseur de services et la voie
par laquelle la communication a été transmise ».
46
L’entraide concernant les pouvoirs d’investigation. Ce type d’entraide est prévu aux
articles 31 à 34.
L’article 31 prévoit l’entraide concernant l’accès aux données stockées : une partie
peut demander à une autre partie de perquisitionner ou d’accéder de façon similaire,
de saisir ou d’obtenir de façon similaire des données stockées au moyen d’un
système informatique se trouvant sur le territoire de cette autre partie.
L’article 32 prévoit l’accès transfrontière à des données stockées, avec

consentement, ou sans consentement lorsqu’elles sont accessibles au public. Les
pouvoirs d’investigation ne sont pas arrêtés par la frontière, ce qui est logique
puisque l’enquêteur d’une partie ne fait pas physiquement intrusion sur le territoire
d’une autre partie33.
L’article 33 concerne l’entraide dans la collecte en temps réel de données relatives au

trafic. L’article 34 relatif à l’entraide en matière d’interception de données relatives au
contenu de communications spécifiques transmises au moyen d’un système
informatique.
Le réseau 24/7. L’article 35 prévoit à création d’un réseau dit 24/7 constitué des
points de contact désigné par les Parties et joignables vingt-quatre heures sur vingt-
quatre, sept jours sur sept afin d’assurer une assistance immédiate pour les
investigations concernant les infractions pénales liées à des systèmes et à des
données informatiques, ou pour recueillir les preuves sous forme électronique d’une
infraction pénale.
Le point de contact d’une partie aura les moyens de correspondre avec le point de
contact d’une autre Partie selon une procédure accélérée.
Chaque Partie fera en sorte de disposer d’un personnel formé et équipé en vue de
faciliter le fonctionnement du réseau.
En France l’Office central de lutte contre la criminalité liée aux technologies de

l’information et de la communication (OCLCTIC) est le point de contact international
(art. 7 du décret n° 2000-405 du 15 mai 2000 portant création d’un office central de
lutte contre la criminalité liée aux technologies de l’information et de la
33
. J. PRADEL, G. CORSTENS, G. VERMEULEN, Droit pénal européen, Dalloz., précis, 2009, 3e éd., spéc.
P. 212.
47
communication).
La mise en œuvre de la Convention en France. Un an après la promulgation de la loi

n° 2005-493 autorisant l’approbation de la convention sur la cybercriminalité, cette loi
est désormais entrée en vigueur avec l’adoption de deux décrets le 23 mai 2006
(décret n° 2006-580 portant publication de la convention et décret n° 2006-597
portant publication du protocole additionnel à la convention sur la cybercriminalité,
relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de
systèmes informatiques).
La France a néanmoins émis quatre déclarations et deux réserves pour l’entrée en

vigueur de la loi. Ainsi en matière de pornographie enfantine, la France précise que
l’infraction prévue par la convention n’est applicable que s’il est établi que la
personne était âgée de moins de dix-huit ans du jour de la fixation ou de
l’enregistrement de son image (première réserve). De même, l’infraction
d’interception de données relatives au contenu ne sera punie que si la peine
encourue est supérieure ou égale à deux ans d’emprisonnement (deuxième réserve).
B- L’espace judiciaire européen
Le Traité de Lisbonne sur le fonctionnement de l’Union européenne est entré en

vigueur en décembre 2009. Il entend renforcer la réalisation d’un espace européen
commun dans lequel les personnes circulent librement et bénéficient d’une
protection judiciaire efficace. La réalisation d’un tel espace de liberté, sécurité et
justice (ELSJ), a une incidence sur les domaines dans lesquelles les attentes des
citoyens européens sont fortes, telles que la lutte contre la criminalité organisée et la
cybercriminalité. Ces problématiques possèdent une forte dimension transfrontalière
et nécessitent une coopération efficace au niveau européen, en particulier une
coopération judiciaire en matière pénale (1) et une coopération policière (2).
1°/ La coopération judiciaire pénale
La définition de la coopération judiciaire pénale. La coopération judiciaire dans le

secteur pénal était définie classiquement comme « un ensemble d’actes qu’une
autorité judiciaire compétente (autorité requise) relevant d’un Etat (Etat requis)
accomplit pour le compte d’une autorité judiciaire requérante relevant d’un autre Etat
48
34
(Etat requérant) » . Elle reposait donc sur une coopération interétatique.
Une typologie des mécanismes de coopération se fonde sur le niveau de coopération

réalisée ou degré d’intégration juridique. On distingue trois types de mécanismes
entre les Etats membres de l’Union européenne ; ceux relevant d’une coopération de
nature classique, ceux ressortissant à une coopération améliorée (ex. Convention de
Schengen) et ceux qui mettent en œuvre le principe de la reconnaissance mutuelle
des décisions judiciaires en matière pénale (ex. mandat d’arrêt européen).
Ces derniers illustrent de plus en plus poussée entre les États membres de l’Union
européenne. La coopération judiciaire pénale entre les États de l’union européenne a
progressivement évolué vers d’avantage d’intégration35. Le Traité de Lisbonne a
modifié l’organisation de l’Union européenne en supprimant les piliers. La
coopération judiciaire pénale relevait du 3e pilier de l’UE régi par la coopération
intergouvernementale. Dans le cadre du 3e pilier de l’UE, les institutions européennes
ne possédaient pas de compétence et ne pouvaient donc pas adopter de règlements
et de directives. Le Traité de Lisbonne a mis fin à cette distinction et permet
désormais l’intervention de l’UE dans l’ensemble des matières relevant de l’espace de
libertés, de sécurité et de justice (ELSJ)36. Concrètement, les institutions
européennes peuvent désormais établir des règles minimales quant à la définition et
la sanction des infractions pénales plus graves. De plus, l’Union européenne peut
également intervenir dans la définition de règles communes quant au déroulement
de la procédure pénale, par exemple en ce qui concerne l’admissibilité des preuves
ou le droit des personnes.
L’article 83 du TFUE donne désormais une base de compétence explicite à l’Union

européenne en matière pénale. Le paragraphe 1er donne une liste de dix infractions
(« eurocrimes ») pour lesquelles des mesures peuvent être adoptées. La criminalité
informatique fait partie de ces infractions. Le deuxième paragraphe permet au
parlement européen et au conseil, sur proposition de la commission, d’établir des
règles minimales relatives à la définition des infractions pénales et des sanctions
lorsque le rapprochement des dispositions législatives et réglementaires des Etats
34
. G. DEMANET, « Considérations sur l’entraide judiciaire en matière pénale », RD pén. Crim. 1997, p.
811.
35
. A. WEYEMBERGH, « Coopération judiciaire pénale », Jcl Europe Traité, Fasc. 2700.
36
. Pour des études, de spécialistes français de ce domaine, voir les travaux de rechercher du Groupe
de recherche CNRS ELSJ : http://www.gdr-elsj.eu.
49
membres en matière pénale s’avère indispensable pour assurer la mise en œuvre
efficace d’une politique de l’union dans un domaine ayant fait l’objet de mesures
d’harmonisation. La communication de la commission du 20 septembre 2011
intitulée « vers une politique de l’UE en matière pénale : assurer une mise en œuvre
efficace des politiques de l’UE au moyen de droit pénal »37 vient préciser le cadre
pour le développement futur de la politique pénale de l’UE.
Notons que le Royaume-Uni, l’Irlande et le Danemark bénéficient d’un régime

dérogatoire englobant l’ensemble des mesures adoptées dans le cadre de l’espace
de liberté, de sécurité et de justice. En effet, ces trois pays ont la possibilité de ne pas
participer aux procédures législatives dans ce domaine. Elles bénéficient ainsi : d’une
clause opt in, leur permettant de participer au cas par cas à la procédure d’adoption
d’une mesure ou à l’application d’une mesure déjà adoptée ; d’une clause d’opt out,
leur permettant à tout moment de ne pas appliquer une mesure.
Rappelons enfin que pour accompagner la mise en œuvre de la politique pénale de

l’UE, la proposition de directive du 25 janvier 2012 relative à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel par
les autorités compétentes à des fins de prévention et de détection des infractions
pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions
38
pénales, et à la libre circulation de ces données pose le principe de la libre
circulation des données auquel des droits fondamentaux ne pourront faire échec.
Cette proposition est basée sur l’article 16 S 2 du TFUE qui a donné un fondement
spécifique à la protection des données personnelles39.
La coopération judiciaire pénale et la cybercriminalité. Le rapprochement des

législations s’avère nécessaire à une lutte efficace contre la criminalité. La diversité
des droits pénaux substantiels mais aussi procéduraux est en effet de nature à
affecter l’efficacité de la lutte contre la criminalité. Les criminels utilisant une
criminalité informatique exploitent les faiblesses des systèmes judiciaires nationaux
et choisissent à distance les lieux de commission de certains types d’infractions les
plus « accueillants », ainsi que des lieux de blanchiment des produits de leur
criminalité. En outre, la complexité du traitement de la criminalité transfrontalière est
37
. COM(2011) 573 final.
38
. COM(2012) 10 final.
39
. Voir chapitre 1.
50
de nature à freiner la procédure pénale : enquêtes, poursuites…
Le 22 mai 2007, la commission européenne a fait une communication intitulée « vers

40
une politique générale en matière de lutte contre la cybercriminalité » . La
commission s’attache tout d’abord à définir la cybercriminalité. Elle rappelle que le
terme « cybercriminalité » englobe trois catégories d’activités criminelles.
La première comprend les formes traditionnelles de criminalité, telles que la fraude

ou la falsification, même si, dans le contexte de la criminalité dans le cyberespace,
elle concerne en particulier les infractions commises par l’intermédiaire de réseaux
de communications électroniques et de systèmes d’information (ci-après : « réseaux
électroniques »).
La deuxième concerne la publication de contenus illicites par voie électronique (par

exemple, ceux ayant trait à la violence sexuelle exercée contre des enfants ou à
l’incitation à la haine raciale).
La troisième vise les infractions propres aux réseaux électroniques, c’est-à-dire les
attaques visant les systèmes d’information, le déni de service et le piratage. Ces
atteintes peuvent aussi être portées contre des infrastructures critiques
fondamentales en Europe et toucher des dispositifs d’alerte rapide dans de
nombreux domaines, ce qui pourrait avoir des conséquences désastreuses pour
l’ensemble de la société. Le point commun de ces catégories d’infractions est que
celles-ci peuvent être commises à grande échelle et que la distance géographique
entre le lieu de commission de l’acte délictueux et ses effets peut être considérable.
Cela explique que les aspects techniques des méthodes d’investigation appliquées
sont souvent identiques. Par conséquent, la présente communication sera axée sur
ces points communs.
L’objectif de la Commission est de renforcer la lutte contre ce phénomène aux

niveaux national, européen et international. Les Etats membres et la Commission
estiment depuis longtemps que la poursuite de l’élaboration d’une politique de l’UE à
part entière constitue une priorité. L’initiative est axée sur deux dimensions de cette
lutte : la répression et le droit pénal.
Les instruments de la coopération judiciaire pénale en matière de cybercriminalité. La
40
. COM(2007) 267 final.
51
compétence de l’Union européenne en matière de cybercriminalité est nécessaire
pour assurer un minimum d’efficacité. L’alinéa 1er de l’article 83 du TFUE classe la
cybercriminalité parmi les eurocrimes.
A l’heure actuelle, l’Union européenne procède à la substitution des instruments de la

reconnaissance mutuelle aux mécanismes de coopération préexistants matérialisée
le plus souvent par des décisions-cadres qui nécessitent des mesures de
transposition interne. Tel est par exemple le cas de la décision-cadre 2005/222/JAI
du conseil41 du 24 février 2005 relative aux attaques visant les systèmes
d’information qu’une proposition de directive du parlement européen et du Conseil en
date du 30 septembre 201042 a vocation à abroger. De même, la décision cadre
2004/68/JAI relative à la lutte contre l’exploitation sexuelle des enfants et la
pédopornographie43 a été adopté et remplacée par la directive de 2011 relative à la
lutte contre les abus sexuels et l’exploitation sexuelle des enfants. Même si cette
réglementation ne se limite pas à l’internet, le constat est fait que l’exploitation
sexuelle des enfants se propage par le biais de l’utilisation des technologies et de
l’internet. La directive est fondée sur l’article 83 S 1 du TFUE qui érige en
« eurocrime » l’exploitation sexuelle des enfants.
Également, la communication de la commission européenne du 22 novembre 2010

sur « La stratégie de sécurité intérieure de l’UE en action : cinq étapes vers une
Europe plus sure »44 fait de l’accroissement du « niveau de sécurité des citoyens et
des entreprises dans le cyberespace » un des cinq objectifs prioritaires.
Enfin, pour parachever la lutte contre la cybercriminalité et combattre la criminalité à

l’ère numérique, rappelons que la Commission a proposé l’établissement d’un Centre
européen de lutte contre la cybercriminalité (EC3) dans une Communication du 28
mars 201245 qui devrait être mis en place en 2013.
La directive relative à l’indemnisation des victimes de la criminalité. L’objectif de la

directive n° 2004/80/CE du conseil du 29 avril 2004 relative à l’indemnisation des
victimes de la criminalité est d’assurer une indemnisation appropriée partout dans
l’union. Des dispositions sont mises en œuvre pour faciliter l’indemnisation des
41
. COM(2010) 517 final.
42
. COM(2010) 517 final.
43
. JO L 13 du 20.1.2004, p.44.
44
. COM(2010) 673 final.
45
. COM(2012) 140 final.
52
victimes dans des situations transfrontalières et renforcer la coopération entre les
États.
Les magistrats de liaison. Les acteurs principaux de la coopération judiciaire

demeurent les autorités judiciaires nationales des États membres.
Néanmoins, dans le cadre du 3e pilier issu du traité de Maastricht, une action

commune du 22 avril 1996 fixe un cadre d’échange de magistrats de liaison46. Mais,
cet instrument est très peu contraignant et ne prévoit pas d’échange systématique.
Le mécanisme consiste à envoyer un magistrat de liaison dans un autre Etat membre
ou dans un Etat tiers, afin de faire face aux difficultés particulières de la coopération
judiciaire pénale bilatérale dans différents domaines47. Le magistrat de liaison doit
faciliter l’entraide judiciaire. Il joue aussi un rôle essentiel dans la compréhension des
systèmes judiciaires et légaux. Le magistrat de liaison est essentiel dans les
relations bilatérales, à l’instar du Réseau judiciaire européen (RJE) et contrairement
au système Eurojust qui a vocation à s’appliquer aux relations bilatérales.
Le réseau judiciaire européen. Le réseau de points de contact judiciaires a été établi

par une action commune du 29 juin 199848. Son existence a été consacrée par
l’article 31, paragraphe 2, du traité sur l’Union européenne, introduit par le traité de
Nice à propos de la collaboration entre Eurojust et le RJE.
Les points de contact du réseau sont des « intermédiaires actifs », à la disposition

des autorités judiciaires locales et autres autorités compétentes de leur propre pays,
des points de contact et des autorités judiciaires compétentes des autres pays, pour
leur permettre d’établir les contacts directs les plus appropriés.
2°/ La coopération policière
Les accords de Schengen. Les accords de Schengen de 1985, et plus spécifiquement

leur mise en œuvre par la convention Schengen du 19 juin 1990, créent un cadre légal
pour la coopération policière « européenne ». La convention Schengen donne une
base juridique générale pour l’ensemble de la coopération policière. Elle crée un
système d’information Schengen et l’autorisation, selon certaines conditions,
46
. Cons. UE, action commune n° 96/277/JAI : JOCE, 27 avr. 1996.
47
. A. WEYEMBERGH, « Coopération judiciaire pénale », op. cit., spéc. N°49.
48
. Cons. UE., n°98/428/JAI : JOCE, 7 juillet 1998.
53
49
d’observations et poursuites transfrontalières .
La création d’Europol. La coopération policière dans l’Union se poursuit avec

l’adoption de la convention Europol du 26 juillet 1995. Avec Europol, il ne s’agit plus
seulement de favoriser une coopération bilatérale entre les Etats concernés mais de
permettre une réaction groupée de tous les États membres contre la menace posée
par la criminalité organisée grâce à la mise en commun, une circulation plus fluide et
l’analyse de l’information collectée.
Le traité de Lisbonne sur le fonctionnement de l’Union européenne prévoit le

renforcement progressif de l’Europol. En effet, le Conseil et le Parlement européen
sont autorisés à développer les missions et les pouvoirs d’Europol dans le cadre de
la procédure législative ordinaire, c’est-à-dire la codécision. En outre, le Traité de
Lisbonne précise que de nouvelles taches pourraient lui être accordées et
comprendre la coordination, l’organisation et la réalisation d’actions opérationnelles,
et non plus seulement la coopération entre les autorités des États membres.
La notion de coopération « policière ». Elle concerne la police au sens strict, la

gendarmerie, les autorités douanières, les autorités nationales, régionales ou locales
suivant leurs activités. La définition est donc fonctionnelle et non pas institutionnelle.
Sont visées des activités de police administrative (ou de maintien de l’ordre public) et
des activités de police criminelle (ou de police judiciaire).
Le traité de Lisbonne a supprimé les piliers de l’UE et, comme pour la coopération
judiciaire en matière pénale, la coopération policière bénéficie de cette suppression.
Désormais, les institutions européennes seront en mesure d’adopter des règlements
et directives dans ce domaine.
L’objet de la coopération : l’échange d’information. Les premiers efforts ont porté,

d’une part, sur les moyens d’acheminer l’information de manière sure vers son
correspondant et, d’autre part, sur l’information comme instrument opérationnel de
contrôle. C’est le cas de l’Interpol et pour le système Schengen, qui proposent à la
fois des systèmes sécurisées de transmission de l’information d’un Etat à un autre et
des systèmes de « contrôle » ou de « signalement ». Les officiers de liaison ont
également un rôle dans l’échange de d’information.
49
. S. DE BIOLLEY, « Coopération policière dans l’union européenne », Jcl Europe Traité, fasc. 2680.
54
Le système d’information Schengen (SIS) permet à une autorité policière d’un Etat
membre de « signaler »une personne ou un objet afin que, si ces derniers font l’objet
d’un contrôle dans l’espace Schengen, une mesure les concernant puisse être prise.
Le « système d’information Schengen » comporte une partie nationale auprès de
chacune des parties contractantes (le SIRENE ) et une unité centrale, le tout ayant
pour but de mettre à la disposition des services habilités par les partenaires, grâce à
une procédure d’interrogation automatisée, les « signalements » des personnes et
des objets intéressant la recherche judiciaire ou l’ordre public dans l’espace
Schengen.
Ces différentes sources ont permis de mettre en place une coopération

internationale et européenne effective.
S 2 : La coopération internationale et européenne
La coopération est relativement efficace grâce aux acteurs (A) et procédures,

essentiellement la procédure du mandat d’arrêt européen (B).
A. Les acteurs
Les principaux acteurs de la coopération sont : Interpol (1), Europol (2) et Eurojust (3).
1°/ Interpol
Une coopération policière internationale. L’entraide policière internationale n’est pas

une extension de compétence territoriale des enquêteurs. La législation pénale est
en effet un attribut de la souveraineté nationale, aussi le respect du principe de la
territorialité s’impose-t-il. Néanmoins, une coopération policière internationale se
développe pour lutter contre la criminalité internationale et la mobilité croissante des
délinquants, facilitée par la suppression des frontières européennes
Le principal organe de la coopération internationale policière est l’Organisation

internationale de la police criminelle (OIPC-INTERPOL). L’OIPC, organisation
intergouvernementale, rassemble aujourd’hui 187 pays membres. INTERPOL est la
plus grande organisation policière. Elle est destinée à contribuer à la création d’un
monde sur en aidant les agences nationales du maintien de l’ordre à combattre le
crime dans le monde entier.
Les missions. Interpol assume d’importantes missions afin d’ « assurer et développer
55
l’assistance la plus large de toutes les autorités de police criminelle, dans le cadre
des lois existant dans les différents pays et dans l’esprit de la Déclaration universelle
des droits de l’homme ». Ces missions consistent essentiellement à centraliser,
analyser et exploiter des informations « criminelles » à l’aide des techniques
contemporaines.
Concrètement, Interpol a quatre fonctions principales qui consistent à fournir :
- Des communications globales sures entre les polices ;
- Des services de données et des bases de données pour la police ;
- Un support pour les services de police ;
- Une formation et aide au développement de la police.
Des communications policières globales sûres. La capacité de la police à échanger

les données cruciales rapidement et de façon sure est la pierre angulaire d’un
maintien de l’ordre international effectif. C’est pourquoi Interpol a développé le
système 24/7 des communications policières globales.
Le système connecte le secrétariat général d’Interpol à Lyon (France) au Bureaux

nationaux centraux des États membres et des bureaux régionaux, afin de créer un
réseau global pour l’échange des informations policières et fournir les autorités du
maintien de l’ordre des Etats membres avec un accès instantané aux bases de
données et autres services de l’organisation.
Des services de données et des bases de données pour la police. Pour résoudre les
crimes internationaux, la police a besoin d’accéder à des informations qui peuvent
aider pour des investigations ou pour prévenir le crime. Interpol gère plusieurs bases
de données, accessibles aux Bureaux d’ Interpol depuis tous les États membre grâce
au système de communications 24/7 qui contient des informations sur les criminels
et la criminalité. Ces données concernent notamment : les terroristes suspectés, les
données nominatives des criminels (noms, photos…), les documents de voyage
perdus ou volés, les images de pédopornographie, les œuvres d’art volées, les
véhicules à moteur volés.
Les services de support policiers. Interpol fournit un support opérationnel aux

Bureaux centraux nationaux et aux bureaux régionaux avec pour objectif de les
56
encourager à travailler avec le plus d’efficacité possible. Ce support est centré sur les
domaines de criminalité prioritaires de l’organisation : fugitifs, sécurité publique et
terrorismes, drogues et organisations criminelles, trafic et traites des êtres humains
et crime financier et technologique.
La formation et le développement de la police. Interpol organise des initiatives de

formation avec pour but de donner aux États membres la capacité de combattre
effectivement le crime international et le terrorisme. Cela inclut le partage des
connaissances, des compétences et meilleures pratiques.
Interpol continue de développer de nouveaux services et des programmes de

formation pour s’assurer que leurs utilisateurs sont capables de faire un plein usage
du système 24/7.
La cybercriminalité est par définition une criminalité internationale, de surcroît

difficile à déjouer en raison de la haute technicité qu’elle requiert. Interpol est
particulièrement compétent pour lutter contre ce fléau. Cette organisation a inspiré le
modèle européen.
2°/Europol
Interpol et la dimension européenne. L’existence préalable d’Interpol est essentielle

dans la création et le développement d’Europol50. Interpol est une organisation
mondiale mais qui trouve son origine dans une initiative européenne. Elle a
longtemps principalement concerné les pays européens. S’est faite rapidement jour,
l’idée de créer un organe séparé d’Interpol mais échappant aussi au cadre
institutionnel de la Communauté européenne.
La proposition allemande de créer Europol est pour la première fois développée au

niveau de la communauté européenne lors du conseil européen de 1988 mais ce
n’est qu’en 1991 que le débat sur Europol devient une priorité, en raison de l’évolution
de la coopération policière européenne dans le cadre Schengen, d’une part, et de
l’effondrement du bloc de l’Est, d’autre part.
Le conseil européen de 1991 sur le principe de créer Europol. Europol procède à des
dispositions « sur la coopération dans les domaines de la justice et des affaires
50
. J. MONTREUIL, « Police judiciaire-Dispositions générales-Direction, surveillance et contrôle de
l’autorité judiciaire-Officiers de police judiciaire », JCL. Pén., Fasc. 20.
57
intérieures » (art. K, 1 à K. 9 du traité de l’Union européenne signé à Maastricht le 7
février 1992). Est décidée, afin d’accompagner la libre circulation des personnes
prévues par l’Acte unique de la convention de Schengen, une coopération judiciaire et
policière internationale plus étroite, ayant pour but d’assurer la sécurité et la
protection des personnes dans le nouvel espace ainsi créé par les partenaires. La loi
n° 97-1089 du 27 novembre 1997 autorise la ratification de la convention
d’application établie sur la base de l’article K. 3 du Traité portant création d’un office
européen de police dit Europol51.
Les signataires s’engagent :
- A gérer en commun une banque de données (Système d’information Europol),
- A échanger des officiers de liaison et de renseignement Europol,
- A collaborer avec les autres organismes d’entraide internationale (Interpol),
- Et à s’assister dans les enquêtes judiciaires.
Le traité d’Amsterdam signé le 2 octobre 1997 intègre le système Schengen dans le

traité de l’Union, confirme les objectifs assignés à l’Office européen de police, dit
Europol et appelle à une coopération judiciaire et policière internationale accrue.
Le traité de Lisbonne consacre un article entier à Europol (art. 88 TFUE).
La convention Europol, principal instrument. La convention Europol, finalisée en 1995,

constitue le cadre juridique principal d’Europol. Elle a été modifiée à trois reprises
afin d’envisager le blanchiment d’argent, la participation aux équipes communes
d’enquête et pour demander aux autorités nationales d’engager des enquêtes ou de
les coordonner.
Le champ d’action matériel d’Europol. Le champ d’action matériel est déterminé par
le respect de deux conditions cumulatives : l’existence d’une organisation criminelle
et des activités relevant de secteurs particuliers de criminalité. La liste des secteurs
d’activité s’est considérablement élargie avec le temps. A l’entrée en vigueur de la
convention, Europol était compétent pour le trafic illicite de stupéfiants, de matières
nucléaires et radioactives, les filières d’immigration clandestine, la traite des êtres
humains et le trafic de véhicules volés (art. 2, S 2). Ce champ de compétence a été
51
. S. DE BIOLLEY, « Europol » ; jcl Europe Traité, Fasc. 2690.
58
étendu à plusieurs reprises : terrorisme (1998) et à la criminalité grave, c’est-à-dire
aux atteintes à la vie, à l’intégrité physique et à la liberté, atteintes au patrimoine, aux
biens publics et fraude, commerce illégal et atteinte à l’environnement. Depuis 2000,
Europol a une compétence autonome en matière de blanchiment. Certaines de ces
infractions pouvant être réalisées par le biais du réseau internet, Europol est
indirectement compétent en matière de cybercriminalité.
Europol est aussi compétent pour connaître des infractions dites « connexes », c’est-
à-dire : les infractions commises pour se procurer les moyens de perpétrer les actes
se trouvant dans le champ de compétence d’Europol ; les infractions commises pour
faciliter ou consommer l’exécution des actes se trouvant dans le champ de
compétence d’Europol ; les infractions commises pour assurer l’impunité des actes
se trouvant dans le champ de compétence d’Europol.
Le champ d’action « temporel ». La compétence d’Europol couvre la dimension

répressive (après l’infraction) mais aussi préventive (avant la commission de
l’infraction). Europol intervient donc en matière de répression et de prévention.
Le champ d’action « territorial ». Pour que Europol soit compétent, il faut que « deux
Etats membres ou plus (soient) affectés par ces formes de criminalité d’une manière
telle que, au vu de l’ampleur, de la gravité et des conséquences des infractions, une
action commune des Etats membres s’impose ». Cela exclut donc la criminalité
purement nationale. Europol n’est compétent que pour certains actes criminels.
L’usage d’outils informatiques. L’informatique fait l’objet d’un traitement. Quatre

outils informatiques sont utilisés par Europol pour gérer et analyser l’information. Un
système d’information Europol (SIE) a ainsi été mis en place, alimenté par les
autorités nationales et par Europol.
Les missions d’Europol. Plusieurs taches sont confiées à Europol : la gestion, le

traitement, l’analyse et l’échange d’information ; la participation à des équipes
communes d’enquêtes et d’un pouvoir d’impulsion des enquêtes ; le travail d’analyse
stratégique et de rapportage des travaux d’Europol ; il inclut aussi
l’approfondissement des connaissances sur les méthodes d’enquête ; la formation,
l’organisation et l’équipement des services, les méthodes de prévention et enfin les
méthodes de police techniques et scientifiques et les méthodes d’enquête.
59
La priorité est donnée au traitement de l’information et on note une timide évolution
vers une implication dans la phase opérationnelle52.
Le CEPOL. Par ailleurs, un collège européen de police (CEPOL) a été créé par une
Décision du conseil le 22 décembre 2000. Le collège est un réseau de coopération
composé des instituts nationaux de formation des hauts responsables des services
de police. Il vise à développer une approche commune des principaux problèmes en
matière de prévention et de lutte contre la criminalité, par le biais de cours et
séminaires destinés aux agents de police qualifiés.
La stratégie de lutte contre la cybercriminalité.
Le conseil des ministres européens des télécoms s’est réuni à Bruxelles, le 27

novembre 2008, avec au cœur des discussions la réforme du « Paquet Télécom ». A
cette occasion, la stratégie du Conseil contre la cybercriminalité (pédophilie, vols
d’identité entre autres) a été adoptée. La stratégie propose d’intégrer une série de
mesures opérationnelles, comme les cyberpatrouilles sous la responsabilité
d’Europol qui traquera les « cybercriminels » et permettra une vraie collaboration
entre les acteurs privés de l’internet et les forces publiques. Il est également prévu de
mettre en place des équipes d’enquêtes communes et de mener des recherches à
distance dans les cinq prochaines années. Elle prévoit également des mesures
concrètes renforçant la coopération et l’échange d’informations entre les autorités
répressives et le secteur privé reposant sur un meilleur partage des connaissances
en matière de méthodes d’investigation et d’évolution de la cybercriminalité.
La stratégie appelle également la création à court terme d’une plate-forme d’alerte,

destinée à centraliser les procès-verbaux de cyberinfractions dressés dans les Etats
membres, par exemple pour affichage de contenus illégaux, afin de permettre des
recoupements par Europol. La commission a affecté un crédit budgétaire de 300 000
euros à Europol, pour la mise en œuvre de cette plate-forme.
Le centre européen de lutte contre la cybercriminalité. Par ailleurs, une

communication de la commission européenne du 28 mars 2012 propose de créer un
52
. Ibid.
60
53
centre européen de lutte contre la cybercriminalité . Ce centre devrait être créé en
2013 et fut l’une des priorités de « La stratégie de sécurité intérieure de l’UE en
54
action : cinq étapes vers une Europe plus sûre » , proposée par la commission dans
sa communication du 22 novembre 2010. Ce centre européen de lutte contre la
cybercriminalité (EC3) fera partie d’Europol et servira de point focal dans la lutte
contre la cybercriminalité au sein de l’UE. Les fonctions essentielles de ce Centre
devraient être de : servir de point de convergence européen des informations
relatives à la cybercriminalité ; mettre en commun l’expertise européenne en matière
de cybercriminalité pour soutenir les Etats membres dans le renforcement de leurs
capacités ; apporter un soutien aux enquêtes des Etats membres sur la
cybercriminalité, se faire le porte-voix des enquêteurs européens sur la
cybercriminalité. Les agences compétentes, notamment EUROJUST, le CEPOL, et
l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information),
ainsi que la CERT-EU (« Computer Emergency Response pre-configuration Team » ou
équipe d’intervention d’urgence ou de préconfiguration pour une réponse aux
attaques informatiques) seront directement impliquées dans les activités de l’EC3.
3°/ Eurojust
Eurojust et le renforcement de la coopération judiciaire européenne.
L’ambition de réaliser « l’espace de liberté, de sécurité et de justice » posée par le

Traité d’Amsterdam a conduit le conseil européen réuni à Tampere (Finlande) en
octobre 1999 à créer un organe permanent et centralisé. La création d’Eurojust en
2002 par une décision du Conseil55 s’inscrit dans le cadre plus vaste des mesures
prises par l’Union européenne pour renforcer la coopération judiciaire en matière
pénale56. Celle-ci se démarque du régime intergouvernemental habituel notamment
en reposant sur les contacts directs entre autorités judiciaires localement
compétentes. Deux autres décisions en 200357 et 200858 sont venues renforcer la
place d’Eurojust.
53
. Ibid.
54
. COM(2012) 140 final.
55
. COM(2010) 673 final.
56
. Décision du conseil du 28 février 2002 instituant Eurojust afin de renforcer la lutte contre les
formes graves de criminalité (2002/187/JAI).
57
. S. DE BIOLLEY, « Eurojust », jcl Europe Traité,,Fasc. 2710.
58
. Décision 2003/659/JAI du conseil du 18 juin 2003 modifiant la décision 2002/187/JAI instituant
Eurojust afin de renforcer la lutte contre les formes graves de criminalité.
61
Par ailleurs, le principe de reconnaissance mutuelle des décisions judiciaires pénales,
mis en œuvre progressivement, apporte des changements substantiels
supplémentaires comme l’abandon partiel de l’exigence de double incrimination,
l’exclusion du pouvoir exécutif des procédures individuelles et des causes de refus
strictement définies. Le mandat d’arrêt européen, qui remplace depuis 2004 la
procédure d’extradition constitue la première mise en œuvre de ce principe.
La création d’Eurojust. Cette évolution s’accompagne de la volonté d’assurer la

cohérence de l’action judiciaire dans cet espace unique par la création d’acteurs
judiciaires spécifiques chargés d’assister les autorités nationales. La création
d’Eurojust découle également de la volonté de créer un organe équivalent à Europol
intervenant au niveau de la coopération policière. La fin des années 1990 est en effet
marquée par le souci croissant de combler le fossé qui existe entre les deux formes
de coopération : l’absence de contrôle sur la coopération policière cadre mal avec les
principes démocratiques, d’une part, et la prise de décision risque d’être plus rapide
et plus efficace au niveau policier, d’autre part.
L’expérience acquise dans l’exercice législatif lors de l’élaboration de la convention

Europol a fortement influencé et facilité la rédaction de la décision créant Eurojust59.
Les acteurs judiciaires préexistants. Les magistrats de liaison, détachés dans un

autre Etat membre pour faciliter les contacts et la connaissance réciproque, ont
procédé Eurojust.
Egalement, la création du réseau judiciaire européen (RJE) par l’action commune

98/428/JAI60 a constitué une étape supplémentaire. Le RJE est composé de points
de contact désignés par les Etats membres et s’appuie sur un petit secrétariat
permanent. A la création d’Eurojust, le RJE était devenu un canal privilégié
d’information pratique, un lieu de rencontre et de discussion sur les difficultés
rencontrées dans la coopération, et un moyen d’agir dans des affaires en cours. Le
RJE est décentralisé et il n’a pas de compétence pour formuler des
recommandations dans des affaires en cours puisque les membres du réseau
59
. Décision 2009/426/JAI du conseil du 16 décembre 2008 sur le renforcement d’Eurojust et
modifiant la décision 2002/187/JAI instituant Eurojust afin de renforcer la lutte contre les formes
graves de criminalité.
60
. Ibid.
62
restent d’abord des autorités judiciaires nationales. Enfin, la disparité des membres
du réseau dans les différents Etats membres réduit l’efficacité de ce système qu’il a
donc fallu dépasser.
La mise en œuvre d’Eurojust en droit français. En droit français, la principale mesure

de mise en œuvre de la décision Eurojust consiste dans l’insertion des articles 695-4
à 695-9 dans le code de procédure pénale, réalisée par la loi n° 2004-204 du 9 mars
2004 portant adaptation de la justice aux évolutions de la criminalité et relatifs aux
requêtes adressées par Eurojust au procureur général ou au juge d’instruction
compétents ainsi que le statut du membre national d’Eurojust.
Les missions d’Eurojust. Eurojust agit en soutien aux autorités nationales. L’objectif
poursuivi par la création d’Eurojust réside dans le soutien à la coordination des
enquêtes et à la coopération entre les autorités des États membres dans des affaires
à dimension européenne61. L’objectif de soutien montre qu’Eurojust n’a pas, au
moins pour le moment, vocation à se substituer aux priorités nationales pour mener
les enquêtes ni même à jouer un rôle directeur dans la coordination. Eurojust n’a pas
non plus vocation à agir dans toute affaire qui dépasse les frontières d’un Etat
membre, mais seulement dans celles ou son intervention peut amener un apport, lié
à son caractère permanent et aux relations étroites entre ses membres nationaux,
dans la coordination ou la coopération.
Eurojust a pour mission de contribuer à la coordination des enquêtes et des

poursuites entre les autorités compétentes des États membres. Il ne détenait qu’un
pouvoir de proposition pour demander aux autorités nationales de déclencher des
enquêtes ou des poursuites. Depuis le Traité de Lisbonne, son rôle a été renforcé
dans l’UE. Désormais, le traité de Lisbonne offre la possibilité aux institutions
européennes d’étendre les missions et les pouvoirs d’Eurojust par la procédure
législative ordinaire.
Le champ d’action matériel. Trois catégories d’infractions sont visées. D’abord,

Eurojust est compétente pour les in fractions pour lesquelles Europol est compétente
« à tout moment »62.
Eurojust dispose en outre de compétences spécifiques pour certains types de
61
. JOCE, 7 juil. 1998.
62
. Déc. n° 2002/187/JAI, art. 3.
63
63
criminalité : criminalité informatique, fraude et corruption, blanchiment des produits
du crime, criminalité environnementale et participation à une organisation criminelle.
Enfin, Eurojust est compétente pour les infractions connexes, « commises en

liaison » avec les infractions et types de criminalité tombant dans les deux autres
catégories64.
Le champ d’action « territorial ». En principe, l’affaire doit concerner au moins deux

États membres. Mais Eurojust peut également intervenir lorsqu’un seul Etat est
concerné dans deux situations ou existe néanmoins un intérêt pour la coopération
européenne : lorsque l’affaire en question concerne un Etat tiers qui occupe une
place particulière dans la coopération avec l’Union européenne et avec lequel un
accord a été conclu par Eurojust ; lorsque l’affaire concerne un Etat membre et la
Communauté.
B. Les procédures : le mandat d’arrêt européen
Les sources. Parmi les procédures de coopération internationale et européenne, le

mandat d’arrêt européen est sans doute l’une des plus efficaces, si ce n’est la plus
efficace. Il est de toute évidence un symbole fort de coopération.
Le mandat d’arrêt européen a été mis en œuvre au travers de sept décisions-cadres

distinctes, dont la première est la plus connue puisqu’il s’agit de la décision-cadre du
13 juin 2002 relative au mandat d’arrêt européen et aux procédures de remise entre
États membres65.
Le mandat d’arrêt européen : Outil de la reconnaissance mutuelle. La reconnaissance

mutuelle est un changement de perspective par rapport à la coopération classique
améliorée, méthodes traditionnelles d’intégration européenne. Le changement tient
au fait que la reconnaissance mutuelle soit fondée sur la confiance mutuelle et
concrétise la mise en place d’un « espace pénal européen »66. L’idée est de permettre
la reconnaissance et l’exécution des décisions judiciaires rendues dans les autres
États membres aussi rapidement et souplement que possible et avec le moins de
formalités possible, lors même que les systèmes judiciaires internes et droits pénaux
63
. Déc. n° 2002/187/JAI, art.4, S 1 (a).
64
. Déc. n° 2002/187/JAI, art. 4, S 1 (b).
65
. Déc. n° 2002/187/JAI, art. 4, S 1 (c).
66
. Cons. UE, décision-cadre n° 2002/584/JAI : JOCE, 18 juill. 2002.
64
ou procédures pénales nationales continuent de diverger d’un Etat à l’autre.
La reconnaissance mutuelle a vocation à se substituer aux autres mécanismes de

coopération, avec lesquels elle coexiste pour l’instant.
Les améliorations. Le principe de la reconnaissance mutuelle entraîne une nette

simplification et accélération des procédures. Cinq éléments sont essentiels à cet
égard : la fluidification des canaux de transmission de demandes et la judiciarisation
de la coopération, l’allègement des formalités, l’élargissement des faits pouvant
donner lieu à coopération, la réduction des autres motifs de refus classiques de la
coopération, et enfin l’imposition ou l’indication de délais67.
La double incrimination. Le principe de double incrimination, selon lequel le fait

reproché doit être incriminé dans le pays requis et dans l’Etat requérant, est une règle
de la base de l’extradition. Mais cette réciprocité d’incrimination pose des difficultés,
notamment quand la qualification juridique des faits varie dans les deux États
concernés ou lorsque la complicité et la tentative sont définies différemment dans
les deux droits.
Sa suppression partielle, pour les infractions les plus graves, constitue l’une des
innovations majeures du mandat d’arrêt européen68.
L’absence de contrôle de la double incrimination pour un certain nombre d’infractions.

La nouveauté essentielle du mandat d’arrêt européen réside dans le paragraphe 2 de
l’article 2 de la décision-cadre du 13 juin 2002 : s’agissant des infractions énumérées,
il suffit dorénavant que les infractions en cause soient réprimées dans l’Etat
d’émission d’une peine d’un maximum d’au moins trois ans. Ces infractions donnent
lieu à remise sans qu’il y ait à faire un contrôle de la double incrimination.
Les infractions graves énumérées. L’article 2 paragraphe 2 de la décision-cadre du 13

juin 2002 abolit le contrôle de la double incrimination pour trente-deux infractions (ou
catégories d’infractions) dont elle dresse la liste, dès lors qu’elle est passible dans
l’Etat d’émission d’une peine ou d’une mesure de sûreté privatives de liberté d’au
moins trois ans. Ce principe est repris à l’article 695-23 du Code de procédure pénale,
qui distingue deux catégories d’infractions : une première catégorie pour lesquelles il
67
. A. WEYEMBERGH, « Coopération judiciaire pénale », op. cit.
68
. M.-A. CHAPELLE, « Entraide judiciaire internationale.- Mandat d’arrêt européen », jcl. Proc. Pén.,
Fasc. 20.
65
doit être vérifié d’une part qu’elles constituent bien une infraction au regard de la loi
de l’Etat d’exécution et une seconde catégorie pour lesquelles il est simplement
vérifié la condition de montant de la peine encourue dans le droit de l’Etat d’émission
(au moins trois ans). Les infractions de la seconde catégorie sont les plus graves et
incluent la cybercriminalité. Pour les autres infractions, le contrôle de la double
incrimination est maintenu.
L’application spatiale et temporelle du mandat d’arrêt européen. Le mandat d’arrêt

européen s’applique entre les vingt-sept États membres de l’Union européenne.
L’article 32 de la décision-cadre laisse aux États membres le choix de la date de

commission des faits à partir de laquelle ils souhaitent voir s’appliquer le mandat
d’arrêt européen, sous réserve que cette date ne soit pas postérieure au 7 août 2002.
La France a retenu la date du 1er novembre 1993 : aucun mandat d’arrêt européen ne
peut donc être exécuté si les faits sont antérieurs au 1er novembre 1993, selon
l’article 215 de la loi n° 2004-204 du 9 mars 2004.
Grâce à la simplification procédurale réalisée par le mandat d’arrêt européen, les

infractions commises sur le réseau internet sont susceptibles d’être plus rapidement
et plus facilement poursuivies, dès lors que les deux États concernés par le mandat
sont deux États membres, sans qu’il soit nécessaire de satisfaire aux règles de la
double incrimination. La volonté politique est clairement d’incriminer et de poursuivre
plus facilement les infractions de la cybercriminalité.
L’INTERNET ET L’INTERNATIONAL
La difficulté majeure sur l’internet tient à son caractère international. Le droit est par
essence territorial, de source nationale voire régionale, aussi son efficacité est-elle
nécessairement réduite dans un contexte numérique international. Il est alors aisé
aux criminels d’agir depuis un Etat à la législation peu regardante et d’inonder la
planète de leurs pratiques illicites en tous genres. Le niveau national de l’intervention
normative est peu satisfaisant et appelle une approche européenne et même
66
69
internationale . Pour échapper à ce risque, la conclusion de Conventions
internationales en vue de réguler l’activité de l’internet, est nécessaire. Mais le droit
international matériel applicable à l’internet est peu abondant ou peu normatif
(chapitre 1). Il faut recourir aussi aux règles classiques du droit international privé, en
vue de désigner la loi nationale applicable et le tribunal compétent, ce qui implique
des adaptations à l’internet (chapitre 2)
CHAPITRE 1 LE DROIT MATERIEL INTERNATIONAL DE L’INTERNET
Le droit matériel international concernant l’internet porte sur certains aspects de

l’internet : le droit du commerce et de la signature électronique (Section 1) et le droit
pénal (Section 2).
SECTION 1
Le droit du commerce électronique et de la signature électronique.
Les lois types de la CNUDCI. La commission des Nations unies pour le droit du
commerce international (CNUDCI) a émis une recommandation le 11 novembre 1985
dont l’objectif est de favoriser la prise en compte dans les transactions
internationales des nouveaux documents informatisés.
Plus encore, elle a élaboré le 23 novembre 2005 deux lois-types susceptibles de

concerner les activités commerciales de l’internet, de même qu’une convention sur
l’utilisation de communications électroniques dans les contrats internationaux.
La loi type sur le commerce électronique. La loi-type de la CNUDCI sur le commerce

électronique a été adoptée le 12 juin 1996. Elle est destinée à faciliter l’utilisation des
moyens modernes de communication et de stockage de l’information. Elle est
fondée sur l’établissement d’une équivalence fonctionnelle pour les concepts liés au
papier, tels que « l’écrit », « la signature » ou « l’original » dans les moyens
électroniques. La loi-type con tient des règles relatives au commerce électronique et
concerne surtout la formation et la validité des contrats. Elle précise le moment et le
lieu de l’expédition et de la réception des messages ainsi qu’une réglementation sur
les transports de marchandises.
69
. En ce sens, V.-L BENABOU, « Le web 2.0, et alors ? Variations sur les phénomènes de
centralisation », in Actes du colloque de juriscom.net, RLDI, nov. 2008, n° 43, p. 92.
67
er
Les règles posées par la loi –type. L’article 1 précise le champ d’application : « La
présente loi s’applique à toute information, de quelque nature qu’elle soit, prenant la
forme d’un message de données utilisé dans le contexte d’activités commerciales ».
Ce champ d’application est large.
Des définitions ont dû être données, en raison du caractère technique de l’objet de la

convention (art. 2).
Les règles d’interprétation sont également précisées. Elles reposent sur l’origine
internationale de l’instrument et sur la nécessité de promouvoir l’uniformité de son
application dans un tel contexte. Est également posé le principe de l’interprétation de
bonne foi. Par ailleurs, les questions concernant les matières qui ne sont pas
expressément réglées par la loi-type sont tranchées selon les principes généraux
dont elle s’inspire.
Le principe de la reconnaissance juridique des messages de données est posé à

l’article 5. L’obligation de fournir une information sous forme écrite est satisfaite par
l’usage d’un message de données, si l’information qu’il contient est accessible pour
être consultée ultérieurement (art. 6).
L’exigence d’une signature est satisfaite dans le cas d’un message de données : a) si
une méthode est utilisée pour identifier la personne en question et pour indiquer
qu’elle approuve l’information contenue dans le message de données ; et b) si la
fiabilité de cette méthode est suffisante au regard de l’objet pour lequel le message
de données a été créé ou communiqué, compte tenu de toutes les circonstances, y
compris de tout accord en la matière (art. 7).
Quant à l’admissibilité et la force probante d’un message de données, il est prévu

qu’aucune règle d’administration de la preuve ne peut être invoquée dans une
procédure légale contre l’admissibilité d’un message de données produit comme
preuve au motif qu’il s’agit d’un message de données ou au motif que le message
n’est pas sous sa forme originale (art. 9). L’information prenant la forme d’un
message de données se voit dûment accorder force probante. Cette force probante
s’apprécie eu égard à la fiabilité du mode de création, de conservation ou de
communication du message, la fiabilité du mode de préservation de l’intégrité de
l’information, à la manière dont l’expéditeur a été identifié et à tout autre
considération pertinente (art. 9).
68
La conservation des messages de données est organisée à l’article 10.
Les règles relatives à la formation du contrat de commerce électronique. Les règles

concernant la formation et la validité des contrats de commerce électronique sont
posées aux articles 11 et suivants. L’article 11 prévoit que « dans le contexte de la
formation des contrats, sauf convention contraire entre les parties, une offre et
l’acceptation d’une offre peuvent être exprimées par un message de données.
Lorsqu’un message de données est utilisé pour la formation d’un contrat, la validité
ou la force exécutoire de celui-ci ne sont pas déniées pour le seul motif qu’un
message de données a été utilisé ».
L’article 12 ajoute que « en ce qui concerne la relation entre l’expéditeur et le

destinataire d’un message de données, l’effet juridique, la validité ou la force
exécutoire d’une manifestation de volonté ou autre déclaration ne sont pas déniés
pour le seul motif que cette manifestation de volonté ou autre déclaration prend la
forme d’un message de données ».
L’article 13 prévoit les règles relatives à l’attribution des messages de données. Le

principe est qu’un message de données émane de l’expéditeur s’il a été envoyé par
l’expéditeur lui-même. L’article 14 concerne l’accusé de réception.
Quant au moment et au lieu de l’expédition et de la réception d’un message de

données, sauf convention contraire entre l’expéditeur et le destinataire d’un message
de données, l’expédition d’un message de données intervient lorsque celui-ci entre
dans un système d’information ne dépendant pas de l’expéditeur (art.15).
L’influence de la loi-type. Bien qu’elle n’ait aucune valeur contraignante, la loi-type

exerce une forte influence. Elle a largement inspiré la directive communautaire n°
2000/31/CE du 8 juin 2000 sur le commerce électronique, laquelle est transposée par
la loi LCEN. La législation française se situe donc dans le sillage de cette loi type.
La loi-type sur les signatures électroniques. La loi-type sur le commerce électronique

est complétée par la loi-type sur les signatures électroniques.
Elle a été adoptée seulement le 5 juillet 2001, soit après les directives du 13
décembre 1999, du 8 mai 2000 et la loi du 13 mars 2000 sur la signature électronique.
Elle est donc moins innovante. A l’inverse, le texte communautaire a influencé la loi-
type. On voit donc que le dialogue des législateurs est réciproque.
69
er
Les règles posées par la loi-type sur les signatures électroniques. L’article 1 précise
le champ d’application de la loi type. Elle s’applique lorsque les signatures
électroniques sont utilisées dans le contexte d’activités commerciales. Elle ne se
substitue à aucune règle de droit visant à protéger le consommateur.
L’article 2 donne quelques définitions.
Est ensuite posé un principe d’égalité de traitement des techniques de signature.

Aucune disposition de la loi-type, à l’exception de l’article 5, n’est appliquée de
manière à exclure, restreindre ou priver d’effets juridiques une quelconque méthode
de création de signature électronique satisfaisant aux exigences mentionnées au
paragraphe 1 de l’article 6 ou autrement satisfaisant aux exigences de la loi
applicable (art. 3).
L’article 4 pose des règles d’interprétation identiques à celles de la loi-type sur le

commerce électronique.
Il est également précisé que l’exigence de signature est satisfaite « dans le cas d’un
message de données s’il est fait usage d’une signature électronique dont la fiabilité
est suffisante au regard de l’objet pour lequel le message de données a été créé ou
communiqué, compte tenu de toutes les circonstances, y compris toute convention
en la matière » (art. 6). Ce même article pose les conditions de fiabilité de la
signature électronique.
Le prestataire de services de certification. L’article 9 précise en outre les normes de

conduite à respecter par le prestataire de services de certification. Sont également
indiquées les conditions de fiabilité des systèmes, procédures et ressources
humaines utilisés par le prestataire de services de certification (art. 10).
Des normes de conduite doivent aussi être suivies par la personne qui se fie à la
signature ou au certificat électronique (art. 11).
Enfin, l’article 12 pose les conditions de reconnaissance des certificats et signatures

électroniques étrangers.
Ces règles ont été prises après l’entrée en vigueur de la loi française du 13 mars
2000 sur la signature électronique. On ne peut donc considérer qu’elles aient pu
influencer le droit français ou le droit communautaire dont le droit français est issu
(directive du 13 décembre 1999). Néanmoins, la norme communautaire ayant à
70
l’inverse influencé la loi-type, on constate une convergence normative quant aux
règles de fond en matière de commerce et signature électronique.
La convention des Nations Unies sur l’utilisation de communications électroniques

dans les contrats internationaux. Cette convention a été adoptée le 23 novembre
2005 en Assemblée générale. Elle vise à renforcer la sécurité juridique et la
prévisibilité commerciale des communications électroniques sont utilisées en
rapport avec des contrats internationaux. Elle traite de la détermination du lieu de
situation des parties dans un environnement électronique ; du moment et du lieu de
l’expédition et de la réception de communications électroniques ; de l’utilisation de
systèmes de messagerie automatisés pour la formation des contrats ; et des critères
à utiliser pour établir l’équivalence fonctionnelle entre les communications
électroniques et les documents papier y compris les documents papier « originaux » -
ainsi qu’entre les techniques d’authentification électronique et les signatures
manuscrites.
La convergence normative se retrouve aussi en matière de cybercriminalité.
SECTION 2 : Le droit pénal international de l’internet
La convention du Conseil de l’Europe sur la cybercriminalité du 23 novembre 2001. La

convention du conseil de l’Europe sur la cybercriminalité, adoptée le 23 novembre
2001, prévoit au chapitre II les mesures à prendre au niveau national : les États
signataires sont invités à prendre des dispositions relatives au droit pénal matériel et
au droit procédural.
Dès lors, la convention crée du droit matériel car elle a vocation à donner directement
des solutions au fond du litige et ne se contente pas de renvoyer aux lois nationales
des États.
Le droit pénal matériel. Le droit pénal matériel porte sur les infractions que les États
doivent ériger en infractions pénales. Sont visées : les infractions portant atteinte à la
confidentialité, à l’intégrité et à la disponibilité de données ou du système, les abus
de dispositifs.
Plus encore, la convention invite les États à prendre des mesures pénales contre les
infractions informatiques proprement dites : falsifications informatiques et fraude
71
informatique. En outre, la Convention oblige chaque partie à adopter des mesures
législatives et autres qui se révèlent nécessaires pour ériger en infraction pénale,
conformément à son droit interne, les infractions se rapportant à la pornographie
enfantine.
De même, les États doivent ériger en infractions pénales, les infractions liées aux
atteintes à la propriété intellectuelle et aux droits connexes.
La complicité et la tentative doivent également être érigées en infraction pénale. Les

personnes morales doivent aussi être rendues responsables. Les États sont invités à
prendre des mesures pénales qui doivent être affectives, proportionnées et
dissuasives, comprenant des peines privatives de liberté (art. 13).
Le droit procédural. Chaque partie doit adopter les mesures législatives et autres qui
se révèlent nécessaires pour instaurer les pouvoirs et procédures aux fins d’enquêtes
ou de procédures pénales spécifiques (art. 14).
De plus, les parties doivent adopter les mesures nécessaires pour permettre aux
autorités compétentes d’ordonner ou d’imposer la conservation rapide de données
électroniques, y compris des données relatives au trafic, stockées au moyen d’un
système informatique (art. 16).
Doivent en outre être adoptées des mesures législatives et autres pour habiliter les
autorités compétentes pour ordonner de produire des informations comme des
données informatiques spécifiées. Les États doivent donc mettre en place une
procédure d’injonction de produire (art. 18).
Les États doivent aussi permettre les perquisitions et saisies de données

informatiques stockées (art. 19).
Enfin, un système de collecte en temps réel des données informatiques doit

également être créé. Cette collecte doit porter sur les données relatives au trafic (art.
20), sur l’interception de données relatives au contenu (art.21).
L’article 22 prévoit des règles de compétence classiques en droit international.

D’autres règles sont destinées à améliorer la coopération internationale70.
L’harmonisation du droit matériel et procédural. Les parties à la convention
70
. Pour une analyse détaillé, voir la partie 6 sur « L’internet et la sécurité ».
72
s’engagent à respecter des règles du droit matériel. Sont ainsi harmonisés les
éléments des infractions du droit pénal matériel national et des dispositions
connexes en matière de cybercriminalité. Les pouvoirs nécessaires à l’instruction et à
la poursuite des infractions de cybercriminalité sont également organisés.
Est ainsi fixée une norme minimale commune par l’obligation des parties d’ériger
certains actes en infractions pénales. Sont également élaborées des règles de
procédure susceptibles d’être efficaces sur le réseau. Une harmonisation est ainsi
réalisée sur les solutions de droit pénal à apporter aux litiges de cybercriminalité.
Dans les autres matières, aucune convention internationale ne donne directement les
solutions au litige, aussi force est de s’en remettre aux règles classiques du droit
international privé. Ces règles doivent néanmoins être adaptées aux spécificités de
l’internet, notamment en raison de difficultés de rattachement.
CHAPITRE 2 : Le droit international privé appliqué à l’internet.
Les règles de droit international privé sont destinées à régler des problèmes de choix
de la loi applicable ou de la juridiction compétente. Or, l’internet étant un réseau
mondial, les conflits de lois et de juridictions sont fréquents. En particulier, les délits
sont souvent des délits complexes qui invitent à distinguer le lieu constitutif du fait
dommageable et le lieu où le dommage est effectivement subi.
L’internet se caractérise alors par un trop-plein de lois, plutôt que par un vide
juridique. On doit alors faire face à un conflit positif de compétence, surtout en
matière pénale71. Le choix de la loi et de la juridiction va pourtant devoir être fait,
grâce aux règles d’attribution de compétence (Section 1) et de détermination de la loi
applicable (Section 2). Mais les situations internationales posent aussi la question de
la reconnaissance et de l’exécution des décisions rendues à l’étranger (Section 3).
SECTION 1
L’attribution de compétence
Quant à la régularité de l’instance, lorsqu’un défendeur est domicilié dans un autre

71
. Sur ce point, voir : A. HUET, « Le droit pénal international et Internet », LPA, 10 nov. 1999, p. 39.
73
Etat membre de l’union européenne (sauf s’il s’agit du Danemark), la signification de
l’acte introductif d’une instance en France doit répondre aux mécanismes du
règlement (CE) 1348/2000 qui vise à faciliter la transmission des actes judiciaires et
extrajudiciaires directement d’un Etat membre à un autre72 . L’application du
règlement au contentieux de l’internet ne présente pas de particularités. Simplement,
les actions en référé sont particulièrement nombreuses.
Quant aux règles d’attribution de compétence, elles varient selon que le litige
concerne la matière pénale (S 1) ou civile et commerciale (S 2).
S 1 : En matière pénale
La compétence des juges français. La matière pénale ne fait pas l’objet de règles de
conflits de lois ni de conflits de juridictions73. Seuls les juges français ont vocation à
appliquer les règles de droit pénal français suivant son champ d’application. Sous
réserve de rares de conventions internationales, le juge répressif français n’applique
que la loi du fort. Dès lors, le champ d’application de la loi pénale détermine la
compétence des juges répressifs français74.
L’application dans l’espace de la loi pénale française. Il est donc nécessaire de se

reporter aux règles sur la loi applicable pour déduire la compétence des juges
français. Le livre 1er, titre 1er, chapitre III du code pénal relatif à l’application de la loi
pénale dans l’espace distingue les infractions commises ou réputées commises hors
du territoire de la République (art. 113-2 à 113-5 C. pén.), de celles commises hors du
territoire de la République (art. 113-6 et 113-7 C. pén). La loi pénale s’applique suivant
un critère de territorialité, principe intimement lié à la souveraineté nationale.
S’ajoute cependant une nuance : le tribunal : le tribunal français pour s’estimer

compétent sur le fondement d’un rattachement personnel, lorsqu’un citoyen français
est soit l’auteur, soit la victime d’une infraction commise hors du territoire de la
République.
Les infractions commises ou réputées commises sur le territoire de la République.
72
. Règl. (CE) 1348/2000, 29 mai 2000 : JOCE, n° L 160, 30 juin 2000, p. 37.
73
. Pour une étude d’ensemble, voir L. PECH, « Conflit de lois et compétence internationale des
juridictions françaises », jcl Communication, fasc. 3000.
74
. Pour une vision critique du principe de la solidarité des compétences législative et juridictionnelle,
A. HUET, R. KOENING-JOULIN, Droit pénal international, PUF, 2e éd., 2001, n° 117 ; A. HUET, R.
KOENING-JOULIN, « Compétence des tribunaux répressifs français et de la loi pénale française », jcl
Droit international, Fasc. 403-10 et 403-20.
74
L’article 113-2 du code pénal dispose que « la loi pénale française est applicable aux
infractions commises sur le territoire de la République. L’infraction est réputée
commise sur le territoire de la République dès lors qu’un de ses faits constitutifs a eu
lieu sur ce territoire ».
Les juridictions répressives françaises sont compétentes pour juger des infractions
commises sur le territoire de la République.
La loi pénale française est aussi applicable à quiconque s’est rendu coupable sur le
territoire de la République, comme complice, d’un crime ou d’un délit commis à
l’étranger si le crime ou le délit est puni à la fois par la loi française et par la loi
étrangère et s’il a été constaté par une décision définitive de la juridiction étrangère
(règle de la double incrimination) (art. 113-5 C. pén).
La détermination de la compétence territoriale d’une juridiction revient à appliquer

l’un des liens de rattachement prévus par la loi. Pour les infractions commises par
des personnes physiques, les liens de rattachement sont au nombre de trois dans les
matières criminelle et délictuelle : le lieu de commission de l’infraction, le lieu
d’arrestation de la personne impliquée et le lieu de résidence de cette personne. Pour
les infractions commises par des personnes morales, ces liens de rattachement sont
au nombre de deux : le lieu de commission de l’infraction et le lieu du siège de la
personne morale.
Les infractions commises hors du territoire de la République. Pour les infractions

commises hors du territoire de la République, la loi pénale française est susceptible
de s’appliquer lorsque l’auteur de l’infraction ou la victime est français.
Ainsi, « la loi pénale française est applicable à tout crime commis par un français.
Elle est applicable aux délits commis par des Français hors du territoire de la
République si les faits sont punis par la législation du pays où ils ont été commis »
(art. 113-6 C. pén.).
« La loi pénale française est applicable à tout crime, ainsi qu’à tout délit puni
d’emprisonnement, commis par un Français ou par un étranger hors du territoire de
la République lorsque la victime est de nationalité française au moment de
l’infraction » (art. 113-7 C. pén.).
Une telle disposition permet d’atteindre la plupart des délits sans condition de
75
réciprocité.
Enfin, la loi pénale française s’applique aux crimes et délits qualifiés d’atteintes aux
er
intérêts fondamentaux de la nation et réprimés par le titre 1 du livre IV, à la
falsification et à la contrefaçon du sceau de l’Etat, de pièces de monnaie, de billets de
banque ou d’effets publics réprimées par les articles 442-1, 442-2, 442-5, 442-15, 443
-1 et 444-1 et à tout crime ou délit contre les agents ou les locaux diplomatiques ou
consulaires français, commis hors du territoire de la République (art. 113-10 C. pén.).
Les juridictions françaises sont compétentes pour connaître des infractions

commises sur le territoire de la République et celles commises en dehors, si la loi
française est applicable ou si une convention internationale leur donne compétence
(art. 689 et 689-1 C. proc. Pén.).
L’application de la loi pénale française aux infractions de l’internet. Le droit pénal

français a naturellement vocation à s’appliquer à l’internet75. L’article 113-2 du Code
pénal pose le principe d’une compétence élargie des juridictions pénales françaises,
selon lequel « la loi pénale est applicable aux infractions commises sur le territoire de
la République ». Or, « l’infraction est réputée commise sur le territoire de la
République, dès lors qu’un de ses faits constitutifs a lieu sur ce territoire ». La
question se pose de savoir, à propos des infractions commises à travers l’internet, si
l’accès à partir de la France à un site présentant une infraction au droit pénal français
permet d réputer que l’infraction a été commise sur le territoire national. On note une
évolution jurisprudentielle sur cette question. La jurisprudence s’est d’abord montrée
souplesse pour l’application du droit pénal français entraînant la compétence des
juridictions françaises, pour se montrer de plus en plus exigeante. A l’heure actuelle,
la tendance est à la réduction de la compétence de loi pénale française.
Le critère d’accessibilité au site. Dans un premier temps, la jurisprudence a reconnu

qu’un texte diffusé par l’internet depuis un site étranger, parce qu’il est reçu et vu, et
est donc accessible sur le territoire français, ressort de la compétence du tribunal
français.
La simple accessibilité au site depuis la France suffisait à fonder la compétence du

juge français, en matière pénale. En comparaison, en matière civile et commerciale,
les conditions de compétence sont plus strictes, puisqu’il est exigé la preuve d’un
75
. M. VIVANT, « Cybermonde : Droit et droits des réseaux », JCP 1996, I, 3969.
76
« lien suffisant, substantiel et significatif ».
La jurisprudence sur la compétence des juges français pour les infractions de

l’internet. Le critère de la simple accessibilité au site depuis la France a été mis en
œuvre dès 1998. Dans une affaire de textes à caractère révisionniste diffusés sur
l’internet, le Tribunal de grande instance de Paris a rejeté l’exception d’incompétence
soulevée par le prévenu, en décidant que « selon l’article 113-2, alinéa 2, du Code
pénal, une infraction est réputée commise sur le territoire de la République dès lors
qu’un de ses faits constitutifs a eu lieu sur ce territoire. En matière de presse, il est
constant que le délit est réputé commis partout où l’écrit a été diffusé, l’émission
entendue ou vue. En l’espèce, dès lors que le texte incriminé, diffusé depuis un site
étranger, a été reçu et vu dans le ressort territorial du tribunal de Paris, ainsi qu’il
ressort de l’enquête, celui-ci est compétent pour connaître de la poursuite »76. Sur le
fondement de l’article 113-2 aliéna 2 du code pénal, la seule possibilité d’accéder en
France aux textes litigieux suffit à fonder la compétence du juge français et à
appliquer la législation française en matière de contestation de crimes contre
l’humanité. Le prévenu a toutefois été relaxé dans cette affaire, en l’absence de
preuve de sa participation personnelle aux faits incriminés.
Dans la célèbre affaire Yahoo Inc., le Tribunal correctionnel de Paris s’est déclaré
compétent en matière d’apologie de crime de guerre et de crime contre l’humanité77,
bien que la cour américaine ait nié toute autorité à l’ordonnance de référé rendue au
civil dans cette même affaire.
Le juge français estime que sur le fondement de l’article 113-2, aliéna 2 du Code
pénal, le juge français demeure libre d’adopter les principes de compétence pénale
internationale qui sont les siens, pour sanctionner certaines infractions commises
tout ou pour partie à l’étranger et qui sont susceptibles de porter atteinte aux intérêts
nationaux, dans la mesure ou, comme en l’espèce, les messages ou le contenu du
site sont rendus accessibles, par l’internet, sur le territoire français. Il y a donc lieu de
rechercher, conformément à ces dispositions, le ou les éléments de l’infraction
principale poursuivie pour déterminer sa localisation. En matière de presse, la
publicité est un des éléments constitutifs, et même la caractéristique essentielle des
76
. TGI Paris, 13 nov. 1998, UNADIF c/ Faurisson.
77
. Trib. Correc. Paris, 26 février 2002, jurisData n° 2002-169041, Comm. Com. Electr. 2002, comm. 77,
note LEPAGE.
77
infractions prévues et réprimées par la loi du 29 juillet 1881. Au cas présent, la mise à
disposition du public d’un site de vente aux enchères d’objets nazis, qui peut être vu
et reçu sur le territoire national et auquel l’internaute peut accéder, du fait de la
simple existence d’un lien informatique « search » qui l’y invite, caractérise l’élément
de publicité nécessaire à la constitution du délit d’apologie de crime de guerre, et ce,
sans qu’il soit besoin que l’internaute soit spécialement démarché par le propriétaire
du site. Cet élément de publicité suffit donc à emporter la compétence des tribunaux
français et l’application de la loi pénale française, même si l’infraction poursuivie
n’est pas réprimée dans la législation pénale de l’Etat d’origine de l’auteur présumé
des faits ou du pays où se situe géographiquement l’hébergeur du site litigieux (pas
de double incrimination). La cour d’appel de Paris, dans un arrêt en date du 17 mars
2004, a confirmé le jugement de première instance rejetant l’exception
d’incompétence, en soulignant que « la seule loi applicable ne saurait être celle du
pays sur lequel le site est physiquement localisé, pas plus d’ailleurs que celle du pays
où est implanté le fournisseur d’hébergement ou celle dont la société qui l’exploite a
la nationalité » et qu’en tout état de cause, « la société émettrice dispose de la
capacité technique de limiter la diffusion des messages en tenant compte de la
nationalité de l’internaute »78.
En matière de droit d’auteur, les juridictions pénales se sont estimées compétentes79,

dans un arrêt rendu le 25 septembre 2007, sans avoir à rechercher un « lien suffisant,
substantiel et significatif » entre le site litigieux et le public français, à l’instar de ce
qui est exigé en matière civile pour admettre la compétence du juge français80. La
cour admet au contraire sa compétence à l’égard d’un Italien ayant contrefait un
article du journal Le monde sur le site internet de son journal, au motif que la loi
pénale française, déjà applicable en l’espèce en raison de la nationalité française de
la victime (art. L. 113-7 C. pén.), s’applique « à toute infraction dès lors qu’un de ses
éléments constitutifs a eu lieu sur le territoire français » (art. L. 113-2 C. pén.), ce qui
78
. CA Paris, 17 mars 2004, T. K., Yahoo Inc. C/ Asoc. Amicale ses déportés d’Auschwitz et des Camps
de Haute Silésie, MRAP, JurisData n° 2004-252592, Com. Com.électr. 2005, comm. 72, note LEPAGE.
Dans un arrêt en date du 6 Avril 2005, la Cour d’appel de Paris a confirmé la relaxe de l’ancien PDG de
Yahoo Inc. alors qu’il était poursuivi pour apologie de crimes de guerre et de crimes contre l’humanité
suite à la mise en vente d’objets nazis sur son site d’enchères (CA Paris, 6 avr. 2005, K., jurisData n°
2005-277527).
79
. CA Paris, 13e ch, 25 sept. 2007, Ferrara et Min. pub. c/ Tabucchi, JurisDat n° 2007-344936, Comm.
Com électr. 2008, comm. 6, obs. CH. CARON.
80
. Voir infra le § 2 de cette section. Par ex. : CA Paris, 4e ch. B, 9 nov. 2007, Casse c/ Sté Ebay,
JurisData n° 2007-350066, Comm. Com. Electr. 2008, comm. 38, obs. Ch. CARON.
78
était le cas du site italien, dont les pages étaient « consultables en France ». Or, « en
matière de contrefaçon sur le réseau Internet, conclut la cour, est compétente la
juridiction dans le ressort de laquelle il est possible d’avoir accès au site litigieux ».
Ainsi, la simple accessibilité dans le ressort de laquelle il est possible d’avoir accès
au site litigieux ». Ainsi, la simple accessibilité depuis la France au site internet suffit
à admettre la compétence du juge pénal.
La critique du critère d’accessibilité au site : l’omnipotence du juge pénal81. Le critère

de l’accessibilité du site depuis la France évoque le problème de la compétence
universelle et systématique des juridictions françaises. Le droit pénal français
pourrait prétendre régenter tous les contenus diffusés sur l’internet, dès lors que par
définition ils sont toujours accessibles depuis la France82. Toute mise en ligne dans
le monde d’un contenu illicite au regard du droit français peut dès lors emporter
compétence des juridictions françaises, sans démonstration d’un lien de
rattachement suffisant avec la France, même si l’auteur ou l’éditeur d’un site n’entend
aucunement viser le territoire de la République. On n’échappe donc pas à la tentation
de l’omnipotence.
En outre, un seul et même acte va potentiellement être réputé commis sur tous les
territoires nationaux et être justiciable de tous les droits nationaux existants.
L’accessibilité étant universelle, toutes les juridictions auraient vocation à être
compétentes. Le problème d’ubiquité sur l’internet n’est alors pas du tout résolu, ce
qui est naturellement source d’une trop grande insécurité juridique.
En réalité, il n’y a là aucune démonstration d’un lien de rattachement « suffisant »

avec le territoire de la République. La doctrine souligne aussi qu’il n’y a pas non plus
de démonstration de l’élément intentionnel nécessaire à la caractérisation de tous
les délits. La mise en ligne d’un contenu sur l’internet ne permet en effet pas de
caractériser à elle seule l’intention explicite de son auteur ou de l’éditeur du site, s’ils
sont étrangers, contrairement à la diffusion d’un contenu rédactionnel en France par
les voies classiques. La démonstration d’une telle intention pourrait être cependant
une voie de réflexion intéressante comme lien de rattachement manifeste avec
81
. Ch. De HAAS, « L’omnipotence du juge français de la propriété intellectuelle face à l’internet ou
l’histoire d’une incompétence largement ignorée », LPA, 13 nov. 2001.
82
. L. PECH, op. cit., n° 71.
79
83
l’ordre juridictionnel français .
Enfin, une compétence trop large du juge pénal français pose la question de son
84
efficacité et du problème de l’exéquatur .
L’évolution jurisprudentielle. Dans un second temps, des affaires plus récentes

semblent vouloir justifier d’avantage la compétence du juge français par la recherche
de critères objectifs d’un lien suffisant avec l’ordre juridictionnel français. Le niveau
d’exigence requis pour l’application de la loi pénale française semble plus élevé, dans
la mesure où il convient de prouver un élément de rattachement avec le territoire
français.
En matière de droit d’auteur, le Tribunal de grande instance de Paris statuant au

pénal début novembre 2008, s’est estimé compétent pour connaître des activités sur
l’internet de trois sociétés étrangères éditrices de logiciels de peer-to-peer : Limewire,
Vuze (nouveau nom d’Azureus) et SourceForge de Shareaza. Les trois sociétés, qui
éditent ou exploitent ces fameux logiciels de peer-to-peer, sont poursuivies en justice
depuis 2007 par la SPPF (Société des producteurs de phonogrammes français) qui
les accuse de faciliter le piratage d’œuvres protégées. Les juges français ont
considéré qu’ils étaient pleinement compétents dans la mesure où la SPPF avait
démontré un lien substantiel entre les faits dommageables allégués et le dommage
subi en France par ses membres, souligne la SPPF. L’association a réussi à faire
constater des échanges de fichiers illégaux entre internautes situés en France, via
ces logiciels peer to peer. L’affaire va pouvoir être jugée sur le fond par le TGI de
paris. Les éditeurs encourent trois ans d’emprisonnement et une amende de 300 000
euros s’ils étaient reconnus coupables « d’éditer, de mettre à la disposition du public
ou de (lui) communiquer, sciemment et sous quelle que forme que ce soit, un logiciel
manifestement destiné à la mise à disposition du public non autorisée d’œuvres ou
d’objets protégés », sans parler des éventuels dommages et intérêts.
Dans cette affaire, les juges ont recherché un lieu substantiel avec la France, en
exigeant la preuve que des ressortissants français sont impliqués dans l’usage des
logiciels de peer-to-peer, afin d’établir une causalité entre les faits dommageables et
le dommage subi en France, témoignant d’une plus grande rigueur en présence de
83
. L. PECH, op. cit. Voir S. POURDIEU, « De la compétence des tribunaux français dans le cadre des
contentieux sur internet », RLDI, nov. 2008, n° 43, act. P. 31.
84
. Voir la section II sur « La reconnaissance et l’exécution des décisions ».
80
délits complexes.
Une autre affaire de diffamation a également donné l’occasion aux juges français de
préciser les conditions de leur compétence. Il s’agissait d’une société de laboratoires,
dont le siège est à Clermont- Ferrand. Suite à la diffusion sur le réseau internet d’un
rapport d’expertise dénigrant le produit ophtalmique qu’elle a conçu et fabriqué, la
société a porté plainte et s’est constitué partie civile auprès du juge d’instruction de
cette ville des chefs, notamment, de faux et usage, usurpation d’identité et
dénonciation calomnieuse. La chambre de l’instruction de la cour d’appel de Riom a
rejeté, dans un arrêt du 17 juillet 2007, la requête en annulation du réquisitoire
introductif et de la procédure subséquente présentée par le mis en examen, qui
invoquait l’incompétence territoriale du procureur de la République et du juge
d’instruction. Elle énonce, notamment, que la saisine du juge d’instruction de
Clermont-Ferrand porte pour l’essentiel sur la confection et l’utilisation, en un lieu
restant à déterminer, du rapport litigieux qui a été communiqué par la voie
électronique, et ajoute qu’il appartient à la juridiction d’instruction de déterminer plus
exactement les conditions dans lesquelles ce rapport a été diffusé. La Cour de
cassation l’approuve d’avoir ainsi statué, dès lors que « seuls peuvent être annulés
les actes accomplis par un juge manifestement incompétent »85.
En l’espèce, l’incompétence du juge n’est pas manifeste, aussi est-il exclu d’annuler
les actes pris. Néanmoins, on peut considérer que les juges français deviennent plus
prudents en n’admettant plus leur compétence de principe. Ils raisonnent par la
négative en précisant que si leur compétence n’est pas établie, leur incompétence ne
l’est pas non plus. En outre, il semble qu’ils tentent de mettre en place un critère de
rattachement, au-delà de la simple accessibilité au site, en précisant que la
détermination du lieu de confection du rapport, à laquelle doit procéder le juge
d’instruction, devrait permettre de préciser la compétence juridictionnelle. Autrement
dit, la chambre d’instruction semble déplacer dans le temps le règlement définitif du
problème de compétence, lorsque le juge d’instruction aura pu déterminer les
conditions de diffusion du rapport litigieux et donc donner un rattachement territorial.
Une chose est sure, un critère de rattachement autre que l’accessibilité au site, est
recherché, ce qui pourrait augurer d’une évolution jurisprudentielle à l’avenir. Les
juridictions pénales pourraient se révéler plus exigeantes pour s’estimer
85
. Cass. Crim., 15 janv. 2008, n°07-86.944 F P+F+I, JurisData n°2008-042506.
81
compétentes.
86
C’est ce que semble confirmer un arrêt rendu par la chambre Criminelle de la cour
de cassation en septembre 2008, par lequel la cour a cassé l’arrêt d’appel qui n’a pas
répondu « aux conclusions du prévenu qui, pour contester la compétence des
juridictions françaises, faisait valoir que le journal, dans lequel l’article avait été publié
en Italie, n’était pas diffusé en France dans sa version papier et que le site internet,
accessible à partir de l’adresse www.ilfoglio.it, était exclusivement rédigé en langue
italienne et n’était pas destiné au public du territoire français, aucune commande du
quotidien ne pouvant être effectué à partir du territoire français ». Il appartenait à la
cour d’appel de vérifier si les faits avaient été commis en France dès lors que la
perpétration de la contrefaçon sur le territoire français est un élément constitutif de
cette infraction. La cour n’a pas justifié sa décision.
Une autre décision de la cour d’appel de Versailles, rendue en 200987, précise que
plusieurs personnes se sont vues poursuivies pour avoir participé à « la tenue d’une
maison de jeux de hasard ou le public est librement admis ». La loi pénale française a
vocation à s’appliquer, dans la mesure où le cybercasino est « dédié aux internautes
français » et constitue « un site illégal intentionnellement dirigé vers la France ».
La simple accessibilité au site incriminé ne suffit plus pour admettre l’application de

la loi pénale française et, partant, la compétence des juridictions françaises. Le juge
pénal français exige désormais la démonstration in concreto que la commission de
l’un des faits constitutifs du délit a bien été réalisé sur le territoire français. Il devrait
établir que le prévenu a démontré par son comportement ou un fait quelconque, qu’il
vise effectivement le public français88. Les juridictions imposent déjà une telle preuve
en matière civile et commerciale et on constate donc un rapprochement des critères
entre les différentes matières.
La convention du conseil de l’Europe sur la cybercriminalité. Si la convention sur la

cybercriminalité du Conseil de l’Europe contient principalement des règles
matérielles, elle comporte aussi des règles de compétence et de désignation de la loi
86
. Cass. Crim, 9 sept. 2008, n° 07-870281, GIULIANO F. c/Minkistère public, legalis.net ; M.-E. ANCEL,
« Un an de droit international privé du commerce », Comm. Com. Electr., n° 1, janv. 2010, chr. 1.
87
. CA Versailles, 4 mars 2099, Jurisdata n° 2009-002147, M.-E. ANCEL, op. cit.
88
. L. PECH, op.cit. ;Ch. DE HAAS, « L’omnipotence du juge français de la propriété intellectuelle face à
l’internet », op. cit. ; j.-PH. HUGOT, « La compétence universelle des juridictions françaises en matière
délictuelle : vers des ‘’enfers numériques’’ ? », Légipresse 2001, n° 185, II, p. 12.
82
applicable.
L’article 22 précise les règles de rattachement et reprend le critère classique de la

territorialité (art. 22 1. a). Le critère de la nationalité de la victime joue également.
La plupart de solutions sont identiques à celles du code pénal français, aussi ne sont-
elles pas davantage aptes à donner des solutions adaptées aux spécificités de
l’internet. Les difficultés de compétence juridictionnelle ne seront pas d’avantage
résolues. En revanche, la convention aura une réelle utilité en matière d’entraide et
coopération internationale en cas d’infraction sur l’internet. La compétence
juridictionnelle en matière civile et commerciale semble mieux structurée.
S 2 : En matière civile et commerciale
Les règles posées pour désigner la juridiction compétente en matière civile et

commerciale varient selon s’il s’agit d’obligations contractuelles (I) ou délictuelles (II).
En outre, la désignation de la juridiction compétente en matière civile et commerciale
a fait l’objet de conventions internationales et de règlements communautaires qui
imposent aussi des règles de rattachement.
I. Les obligations contractuelles
Les règles de compétence juridictionnelle en droit français des contrats dans les
relations hors UE. Les critères qui servent à déterminer la compétence territoriale
interne fondent la compétence internationale : « dès lors que le litige présente avec la
France l’un des liens qui permettent, dans la matière en cause, d’attribuer
compétence à une juridiction française déterminée, l’ordre juridictionnel français est
suffisamment compétent pour en connaître »89.
Le code civil prévoit des règles de compétence fondées sur la nationalité applicables
à toutes les matières90. Selon l’article 14 du code civil : « L’étranger même non
résidant en France pourra être cité devant les tribunaux français, pour l’exécution des
obligations par lui contractées en France avec un français ; il pourra être traduit
devant ; les tribunaux de France, pour les obligations par lui contractées en pays
étranger envers des français ». Quant au défendeur français, selon l’article 15 du
même code, il « pourra être traduit devant un tribunal de France, pour des obligations
89
. L. Pech, jcl Comm., fasc. n° 3000.
90
. I faut exclure les actions réelles immobilières ou les actions en partage se référant à des
immeubles situés à l’étranger et celles liées à des voies d’exécution pratiquées en pays étranger.
83
par lui contractées en pays étranger, même avec un étranger ». Ces articles instituent
un privilège de juridiction. Néanmoins, on admet aujourd’hui que la nationalité
française des parties constitue seulement un critère supplémentaire de compétence
à la condition cependant qu’une convention internationale ne l’exclut pas. Or, c’est le
cas pour la convention de Bruxelles et du règlement Bruxelles I qui constituent les
Conventions internationales applicables aujourd’hui en France.
Les articles 14 et 15 vont donc très rarement s’appliquer à l’internet.
Le principe en matière contractuelle est l’autonomie de la volonté. Les parties

peuvent prévoir des clauses d’attribution de compétence. A défaut de choix des
parties, la juridiction compétente est celle du lieu d’exécution de la prestation
caractéristique.
Le règlement communautaire n° 44/2001 dit règlement « Bruxelles I » concernant les

relations dans l’UE. En matière de compétence juridictionnelle, la convention de
Bruxelles du 27 septembre 1968 a été remplacée par un Règlement n° 44/2001 du
Conseil adopté le 22 décembre 2000 concernant la compétence judiciaire, la
reconnaissance et l’exécution des décisions en matière civile et commerciale.
La convention de Bruxelles de 1968 couvre tous les domaines du droit civil et

commercial, sauf ceux qui sont expressément exclus de son application et qui sont
limitativement énumérés par ce texte : état et capacités de personnes physiques,
régimes matrimoniaux, testaments et successions, faillites, sécurité sociale,
arbitrage. Le règlement remplace la convention de 1968 mais ne modifie pas son
champ d’application. Il prévoit des dispositions concernant les compétences
générales, des compétences spéciales, des compétences en matière d’assurance, en
matière de contrats conclus par les consommateurs, en matière de contrats
individuels de travail et certaines compétences exclusives. Il comporte en outre des
règles relatives à la prorogation, la vérification, la recevabilité, la litispendance et la
connexité, ainsi que des mesures provisoires et conservatoires.
Ce règlement, directement applicable, et dont l’une des finalités est de tenir compte
des spécificités du commerce électronique, est entré en vigueur le 1er mars 2002
pour tous les États membres de l’Union européenne (à l’exception du Danemark qui a
décidé de ne pas souscrire à, cette réglementation).
84
Selon l’article 2 du règlement de Bruxelles, le critère de compétence générale est
déterminé par le territoire du domicile du défendeur : les personnes domiciliées sur le
territoire d’un Etat contractant sont attraites, quelle que soit leur nationalité, devant
les juridictions de cet Etat.
L’autonomie de la volonté. En matière contractuelle, les parties peuvent déroger à

ces principes en convenant d’une clause attributive de compétence (sous réserve de
la protection spéciale institué au profit des consommateurs).
Des conditions de forme sont toutefois requises. Pour être valable, la convention
attributive de juridiction doit être conclue par écrit ou verbalement avec confirmation
écrite. Le Règlement précise à cet égard que « toute transmission par voie
électronique qui permet de consigner durablement la convention est considérée
comme revêtant une forme écrite ».
La conclusion de conditions en ligne contenant une clause attributive de juridiction

sera indubitablement valable si les conditions sont confirmées par l’envoi d’un
courrier électronique et sous réserve de respecter les règles protectrices des
consommateurs, s’il s’agit d’un contrat de consommation.
Le critère de rattachement à défaut de manifestation de volonté. L’article 5 aliéna 1

donne compétence « au tribunal du lieu où l’obligation qui sert de base à l’action a été
ou doit être exécutée ».
Le règlement communautaire distingue la vente de marchandises de la fourniture de

services. Lorsqu’il s’agit d’une vente de marchandises, le lieu d’exécution sera celui
ou, en vertu du contrat, les marchandises ont été ou auraient du être livrées. En ce qui
concerne la fourniture de services, ce lieu sera celui ou les services ont été où
auraient du être fournis, en vertu du contrat.
Le lieu de l’exécution de l’obligation litigieuse sur l’internet. Le lieu d’exécution

s’avérera difficile à déterminer lorsque l’exécution a lieu en ligne, par exemple en cas
de téléchargement d’un logiciel. S’agira-t-il du lieu où est situé, au moment de
l’exécution, le serveur du vendeur ou de son hébergeur depuis lequel le
téléchargement est opéré, ou s’agira-t-il du lieu où est situé l’ordinateur (voire le
téléphone portable) de l’acheteur ?
Dans l’hypothèse d’une exécution en ligne, sera compétent le juge du lieu où ont été
85
reçues les données téléchargés et non le juge du lieu depuis lequel elles ont été
envoyées.
Les contrats de consommation. Les contrats conclus avec un consommateur font

l’objet de règles de compétences spécifiques, destinés à protéger ce dernier.
L’article 16 distingue selon quelle partie intente l’action. Lorsque l’action est intentée
par un consommateur contre l’autre partie au contrat, elle peut être portée soit
devant les tribunaux de l’Etat membre sur le territoire duquel est domiciliée cette
partie, soit devant le tribunal du lieu où le consommateur est domicilié, par
dérogation au principe général de compétence du domicile du défendeur (art. 16.1).
Le consommateur demandeur dispose donc d’une option de compétence.
En revanche, lorsque l’action est intentée contre le consommateur par le

professionnel, elle ne peut être portée que devant les tribunaux de l’Etat membre
sur le territoire duquel est domicilié le consommateur (art. 16.2). Ainsi, si le
consommateur est défendeur, il ne peut être attrait que devant une juridiction de son
Etat de domiciliation.
L’objectif recherché est la protection effective du client sollicité, notamment via

l’internet.
Le champ d’application des contrats de consommation bénéficiant de la protection.

L’article 15.1 du Règlement précise qu’ « en matière de contrat conclu par une
personne, le consommateur, pour un usage pouvant être considéré comme étranger
à son activité professionnelle, la compétence est déterminée par la présente section,
sans préjudice des dispositions de l’article 4 et de l’article 5, point 5 :
a) Lorsqu’il s’agit d’une vente à tempérament d’objets mobiliers corporels ;
b) Lorsqu’il s’agit d’un prêt à tempérament ou d’une autre opération de crédit liés
au financement d’une vente de tels objets ;
c) Lorsque, dans tous les autres cas, le contrat a été conclu avec une personne
qui exercent des activités commerciales ou professionnelles dans l’Etat
membre sur le territoire duquel le consommateur a son domicile ou qui, par
tout moyen, dirige ses activités vers cet Etat membre ou vers plusieurs États,
dont cet Etat membre, et que le contrat entre dans le cadre de ces activités ».
86
L’article 15.2 ajoute que « lorsque le cocontractant du consommateur n’est
pas domicilié sur le territoire d’un Etat membre, mais qui possède une
succursale, une agence ou tout autre établissement dans un Etat membre, il
est considéré pour les contestations relatives à leur exploitation comme ayant
son domicile sur le territoire de cet Etat ».
L’article 15 exclut de son champ d’application les contrats de transport, sauf

ceux qui, pour un prix forfaitaire, combinent voyage et hébergement.
Les règles applicables au contrat de l’internet. Si un contrat est conclu via

l’internet entre des personnes établies dans des Etats différents, et qu’un litige
survient entre elles (défaut de livraison par le cyber-vendeur, défaut de
paiement dans le chef de l’acheteur…), la partie qui entend engager des
poursuites judiciaires devra en premier identifier le tribunal compétent pour
connaître de m’affaire, et ensuite la loi qui régira le litige.
L’activité dirigée. L’article 15.1 c) précise que « le contrat a été conclu avec
une personne qui exerce des activités commerciales ou professionnelles dans
l’Etat membre sur le territoire duquel le consommateur a son domicile ou qui,
par tout moyen, dirige ces activités vers cet Etat membre ou vers plusieurs
Etats, dont cet Etat membre, et que le contrat entre dans le cadre de ces
activités ».
Le règlement communautaire substitue au critère du démarchage préalable

par le fournisseur consacré par la convention de Bruxelles celui « d’activités
dirigés » vers l’Etat membre du consommateur ou « vers plusieurs pays dont
cet Etat membre ». Cette substitution de critères vise précisément à prendre
en compte l’internet et la vente en ligne91. Ainsi, lorsqu’un consommateur de
l’Union européenne achètera un bien sur un site étranger, il pourra toujours
saisir ses tribunaux nationaux, et ce, même si les conditions générales du site
prévoient la compétence exclusive des tribunaux du domicile du cyber-vendeur
dès lors que le site « dirige » ses activités vers le pays de l’acheteur ou
plusieurs pays dont le sien.
Le critère de « l’activité dirigée » trouve son origine dans les pays de common
law et semble pertinent pour permettre un rattachement des juridictions. Il
91
. H. GAUDEMET-TALLON, compétence et exécution des jugements en Europe, LGDJ, 3e éd., 2002.
87
repose sur l’intention des opérateurs d’orienter leur activité vers un ou
plusieurs pays déterminés92.
Les critères de l’activité dirigée. Une déclaration du conseil en date de 30

novembre 2000 précise à cet égard : « que le simple fait qu’un site internet soit
accessible ne suffit pas à rendre applicable l’article 15, encore faut-il que ce
site internet invite à la conclusion de contrats à distance et qu’un contrat ait
effectivement été conclu à distance, par tout moyen. A cet égard, la langue ou
la monnaie utilisée par un site Internet ne constitue pas un élément pertinent ».
Il ne suffit donc pas que le consommateur ait « découvert » le produit ou le
service via le site web du fournisseur.
Le Parlement européen avait, quant à lui, adopté le 21 septembre 2000 une

résolution plus tranchée : « la commercialisation de biens ou de services par
un moyen électronique accessible dans un Etat membre constitue une activité
dirigée vers cet Etat lorsque le site commercial en ligne est un site actif en ce
sens que l’opérateur dirige intentionnellement son activité, de façon
substantielle, vers cet autre Etat ».
En pratique, les entrepreneurs prudents veilleront à exclure les clients situés

dans des pays dont ils refusent la juridiction, par une mention de type « offre
réservée aux consommateurs de…. ».
La notion d’activité dans la jurisprudence de la CJUE. Dans deux affaires de

vente en ligne, la CJUE a précisé en décembre 201093 que « pour une
« direction » de l’activité au sens de l’article 15, paragraphe 1, sous c), du
règlement n° 44/2001, il ne suffit pas que le site internet de la personne qui
exerce une activité commerciale ou professionnelle soit accessible dans l’Etat
membre ou le consommateur est domicilié. Le juge national doit, sur la base
de l’ensemble des circonstances de l’affaire, juger si la personne qui exerce
une activité commerciale et professionnelle dirige son activité vers l’Etat
membre ou le consommateur est domicilié. Les facteurs importants
d’appréciation sont, notamment, le contenu du site internet, l’activité passée
92
. Sur la méthode de la focalisation, voir O. CACHARD, La régulation internationale du marché
électronique, LGDJ, Bibl. de dr. Privé, Paris, 2002, n° 655 et s.
93
. CJUE, 7 déc. 2010, aff. C-585/08 aff. P. Pammer C/ Reederei Schlüter GmbH Co KG et aff. C-
144/09, Hotel Alpenhof GesmbH c/ o. M.-E.Ancel, « Un an de droit international privé du commerce »,
comm. Com. Electr., n° 1, janv. 2011, chr. 1
88
de la personne qui exerce l’activité commerciale ou professionnelle, le type de
domaine internet utilisé et le recours possibilités offertes par la publicité sur
l’internet et dans les autres médias ». Ces décisions majeures viennent donc
préciser les critères permettant d’identifier une « activité dirigée ». Il faut
désormais rechercher l’intention subjective du professionnel, établie par un
faisceau d’indices.
Un arrêt rendu le 6 septembre 2012 par la cour de justice en donne une autre
illustration94. Elle décide que « l’article 15, paragraphe 1, sous), du règlement
(CE) n° 44/2001 du conseil, du 22 décembre 2000, concernant la compétence
judiciaire, la reconnaissance et l’exécution des décisions en matière civile et
commerciale, doit être interprété en ce sens qu’il n’exige pas que le contrat
entre le consommateur et le professionnel ait été conclu à distance ». « A cet
égard, tant la prise de contact à distance, telle que celle en cause au principal,
que la réservation d’un bien ou d’un service à distance ou, a fortiori, la
conclusion d’un contrat de consommation à distance sont des indices de
rattachement du contrat à une telle activité » (pt 44).
Ces arrêts sont essentiels et devraient influencer l’interprétation de l’article 6

du règlement Rome 1 sur la loi applicable aux obligations contractuelles qui
utilise ce critère appliqué aux contrats de consommation en ligne, ce que la
CJUE admet explicitement au point 10 de sa décision.
La notion d’activité dirigée à l’étranger. Le critère de l’activité dirigée semble

être repris également à l’étranger. L’American Law Institute (ALI) a adopté un
texte le 14 mai 2007relatif au droit international privé de la propriété
intellectuelle95. On constate une convergence des règles de fond, ce à quoi les
accords ADPIC adoptés en 1994 dans le cadre de l’OMC n’y sont pas
étrangers.
Certains principes énoncés visent plus spécifiquement la contrefaçon par

l’internet. En matière de compétence juridictionnelle, un défendeur peut être
assigné en contrefaçon, hors de l’Etat de son domicile, dans tout autre Etat
94
. CJUE, 6 sept. 2012, aff. C-190/11, Daniela Muhlleeitner c/ Ahmad Yusufi, Wadat Yusufi.
95
. The American Law Institute, Intellectual property : principles governing jurisdiction, choice of law,
and judgements in transnational disputes, Proposed final draft, 30 mars 2007 : ali.org/doc/2007-
intellectualproperty.pdf. Sur ce texte, voir M.-E. Ancel, « Un an de droit international privé du commerce
électronique », Comm. Com.électr., chron. n° 1, janv. 2008.
89
vers lequel il a dirigé ses activités ; la compétence du tribunal saisi se limite
alors aux dommages se réalisant dans l’Etat du for (ALI, Proposed final draft,
préc., S 204(2) ). En revanche, la compétence intégrale, ou universelle, si le
demandeur saisit les tribunaux de l’Etat du fait générateur ou même de l’Etat
des actes préparatoires essentiels (ALI, Proposed final draft, préc., S 204 (1) ).
La compétence sera également intégrale, quand le défendeur est domicilié
hors d’un Etat membre de l’OMC suspect alors de protéger insuffisamment la
propriété intellectuelle, d’être un « paradis numérique ». La compétence sera
aussi intégrale, si le demandeur saisit un Etat vers lequel il est raisonnable de
considérer que le défendeur a dirigé ses activités et ou, en plus, ce défendeur
recherche ou maintien de manière régulière des contacts, un flux d’affaires ou
un public, même sans relation avec son activité prétendument contrefaisante.
Le fait de « diriger ses activités « vers un pays suppose une intentionnalité qui
découlera d’indices, tels : le lieu de livraison de marchandises, la monnaie
utilisée, la mise en place de publicités visant une population, la langue
employée…. A contrario, le défendeur pourra prévenir la compétence de
certains Etats en prenant des mesures appropriés : refus de paiement par
cartes émises par des banques établies dans tel Etat, recours à une page
d’accueil qui oblige l’internaute à indiquer l’Etat à partir duquel il accède au
site…
La révision du règlement de Bruxelles I. Le 21 avril 2009, la Commission

européenne a adopté un rapport et un Livre Vert sur l’application du règlement
(CE) n° 44/2001 du 22 décembre 2000 concernant la compétence judiciaire, la
reconnaissance et l’exécution des décisions en matière civile et commerciale
(généralement connu sous le nom de « règlement Bruxelles I »). La
commission en conclut qu’il est temps d’assurer la libre circulation des
décisions en matière civile et commerciale dans l’Union européenne, sur la
base d’une meilleure reconnaissance mutuelle dans l’ensemble des Etats
membres. Le Livre vert lance une large consultation dans la perspective de
l’adoption, avant la fin de l’année, d’une proposition portant révision du
règlement de Bruxelles I.
90
II. Les obligations non contractuelles
La compétence territoriale délictuelle en droit français dans les relations hors UE.
Selon l’article 46 du code de procédure civile, le demandeur peut saisir, en matière
délictuelle :
- Outre la juridiction du lieu ou demeure le défendeur,

96
- La juridiction du lieu du fait dommageable ,
- Ou la juridiction dans le ressort de laquelle le dommage a été subi.
La compétence territoriale dans le règlement Bruxelles I concernant les relations au

sein de l’UE. En vertu de l’article 5 alinéa 3 du règlement de Bruxelles, en matière
délictuelle ou quasi-délictuelle, le défendeur peut être attrait devant le tribunal du
« lieu ou le fait dommageable s’est produit ou risque de se produire ».
Selon la jurisprudence constante de la cour de justice, cela vise à la fois le lieu de

l’évènement causal, c’est-à-dire le fait générateur, et le lieu où le dommage est
survenu97, ouvrant une option de compétence.
La compétence territoriale en matière d’atteinte aux droits de la personnalité. En cas

de diffamation, le lieu du fait générateur est le lieu d’établissement de l’éditeur alors
que le lieu du dommage est celui de la diffusion98. La CJCE a précisé dans son
fameux arrêt Fiona shevill que si la juridiction du domicile du défendeur est saisie,
elle est compétente pour réparer l’intégralité du préjudice subi. En revanche, si le juge
de l’Etat dans lequel le fait dommageable s’est produit ou risque de se produire est
saisi, il n’est compétent que pour accorder la réparation du préjudice causé dans cet
Etat.
Cependant l’arrêt Fiona shevill a été adopté à l’internet, par un arrêt eDate
Advertissing rendu en 2011 par la cour de justice dans une affaire de diffamation et
96
. Sur l’internet, n’importe quel tribunal frabcais peut etre territorialement compétent, meme si le
constat a été dressé par un hussier établi hors de son ressort (CA Paris (2e ch.), 30 sept. 2009, My
little Paris c/ Violette 2008 ; legalis. net). En effet, sur l’internet, le fait dommageable se produit en tous
lieux ou les informations ont été mises à la disposition des internautes.
97
. CJCE, 30 nov. 1976, Bier, dit « Mines de potasse d’Alsace », aff. C-21/76, Rec. P. 1735.
98
. CJUE, gr. Ch., 25 oct. 2011, aff. Jtes C-509/09, eDate Advertising c/ Martinez et aff. C-161/10. M.-E.
ANCEL, « UN an de deoit international privé du commerce », Comm. Com. Electr. n°1, janv. 2012, chr.
1 ; S. Franck, JCP G, 9 janv. 2012, p. 28. Voir aussi : E. TREPPOZ, RTD eur., « Territorialité et propriété
intellectuelle », 2011, p. 849.
91
99
atteinte à la vie privée . Constatant que la notion de diffusion sur l’internet n’est plus
pertinente (pts 46 et 47) et que les victimes sont particulièrement vulnérables dans
ce contexte (pt 48), car cette diffusion est nécessairement universelle, la cour adapte
son interprétation de l’article 5,3) à deux points de vue. En premier lieu, la Cour ajoute
un critère de rattachement, en autorisant le demandeur à agir au lieu où se situe le
« centre de ses intérêts », indépendamment de la diffusion de l’information, soit la
plupart du temps le lieu de sa résidence habituelle (pt 49)100. Il faut en outre que
l’information diffusée soit particulièrement pertinente en ce lieu. En second lieu, la
Cour donne des précisions sur la portée de l’action et autorise la victime à réclamer
l’intégralité du dommage subi au lieu du centre de ses intérêts.
En conséquence, désormais la victime d’une atteinte à ses droits de la personnalité

dispose de trois possibilités d’action (pt 67). Elle peut réclamer l’intégralité du
dommage subi, soit au lieu d’établissement de l’éditeur, soit au lieu du centre de ses
intérêts. Elle peut enfin fractionner son action, pour agir en chacun des lieux ou
l’information est diffusée et où elle a subi une atteinte, pour la portion du dommage
subi à cet endroit. Il faut saluer cette solution qui facilite amplement l’action de la
victime en consacrant une unité d’action et de réparation. On peut simplement
regretter, avec la doctrine101, que la solution soit limitée à l’internet et non pas à
toutes les diffamations et atteintes à la vie privée par voie de presse,
indépendamment du support car les situations sont en réalité identiques.
L’ubiquité sur l’internet. La limite de cette solution est qu’elle crée une compétence
universelle sur l’internet. Le délit est réputé commis partout où il a été diffusé et le
tribunal compétent sera celui dans le ressort duquel il a été reçu. Or, sur l’internet, les
messages diffusés sont visibles partout dans le monde. Les tribunaux seront
potentiellement tous compétents, ce qui crée un problème d’ubiquité en présence de
délits complexes. Dès lors, la simple accessibilité au site depuis la France entraîne la
compétence des juridictions françaises102. Les juges ont en outre tendance à
99
. En faveur de cette solution, voir notamment : H. GAUDEMET-TALLON, Compétence et exécution
des jugements en Europe, LGDJ, 2010, n° 218.
100
. M.-E. ANCEL et E. TREPPOZ, op. cit.
101
. Pour une illustration en droit des marques : Cass. 1er civ., 9 déc. 2003, Castellblanch c/
Champagne Louis Roederer, O. CACHARD, Rev. Crit. DIP 2004, p. 632 et s. ; Ch. CARON, Comm. Com.
Electr., comm. N° 40, p.26 ; C. CHABERT, Jcp 2004, II, 10055 ; C. MANARA, D. 2004 AJ, p. 276.
102
. Bull. civ. I, n° 245. Voir notamment : O. CACHARD, Rev. Crit. DIP 2004, p. 632 et s. ; Ch. CARON,
com. Electr., comm. N° 40, p.26 ; C. CHABERT, JCP 2004,II, 10055 ; C. MANARA, D. 2004, Aj, p. 276.
Pour une étude d’ensemble, voir M.-E. ANCEL, « Contrefaçon de marque sur un site web : quelle
92
appliquer leur loi nationale. La compétence universelle peut avoir pour effet de rendre
applicable potentiellement toutes les lois. Cette conséquence est particulièrement
préoccupante pour les fournisseurs de contenus sur l’internet, contraints de
respecter toutes les lois nationales, ou plus exactement, de s’aligner sur la plus
sévère d’entre elles.
Le critère de l’accessibilité au site en de contrefaçon de marque : l’omnipotence du

juge civil. Dans un premier temps, les juges français n’ont pas su déjouer le risque
d’universalisme et se sont montrés généreux dans l’appréciation de leur compétence
en matière de contrefaçon dans un litige intracommunautaire. Dans le fameux arrêt
Cristal rendu par la première chambre civile le 9 décembre 2003, opposant la société
française Champagne Louis Roederer à la société espagnole Castellblanch103, les
juges français se sont estimés compétents du seul fait de l’accessibilité du site
litigieux depuis la France.
Dans cette affaire, la société espagnole Castellblanch détenait des droits sur le signe
Cristal enregistré comme marque en Espagne. Une autre marque sur le même signe
a été enregistrée en France pour des produits Français par la société Roederer, ce qui
est tout à fait licite en raison du principe de territorialité de la marque. Mais la société
espagnole a créé un site internet pour vendre ses produits en utilisant le signe Cristal.
La société Française l’attrait devant une juridiction française pour obtenir sa
condamnation sur le fondement de la contrefaçon. Le site était accessible en France
et le Tribunal de grande instance de Reims s’est estimé compétent. Les juges ont
estimé que le simple fait que le site internet soit accessible en France, fut-il passif,
constitue un préjudice qui n’est ni virtuel ni éventuel. La convention de Saint-
Sébastien104, applicable en l’espèce, accorde à la victime une option de compétence
pour saisir la juridiction du lieu où le dommage a été subi conformément à l’article
5.3 de la convention de Bruxelles : « est compétent le tribunal du lieu où le lieu où le
fait dommageable s’est produit ». Cette compétence alternative au for du défendeur
est également reconnue par le règlement Bruxelles I qui prévoit à l’article 5.3 qu’ « est
compétent le tribunal du lieu où le dommage s’est produit ou risque de se produire ».
compétence extracommunautaire pour les tribunaux français ? », in Etudes à la mémoire de Linant de

Bellfonds, Litec, 2007, p. 1 et s.
103
. Convention modificative pour étendre à l’Espagne et au Portugal la convention de Bruxelles du 28
septembre 1968 devenue règlement communautaire n° 1347/2000 CE.
104
. Site actif proposant la vente ou site passif présentant simplement les produits.
93
En réalité, l’existence d’un préjudice était difficile à caractériser au regard de l’activité
du site. En effet, le public français n’était pas particulièrement visé et les produits
vendus n’étaient pas disponibles pour la France. Mais la Cour de cassation refusa de
considérer l’activité du site105 en précisant que la contrefaçon est caractérisée, le site
« fut-il passif ». La distinction entre le site actif et le site passif106 s’applique surtout
au fond du droit107. Par ailleurs, la Cour estime que les juges français peuvent
connaître de la prévention du préjudice et non pas seulement de sa réparation. Cet
argument n’emporte pas d’avantage la conviction car encore faut-il que le préjudice
« risque de se produire ». Le risque doit être caractérisé, ce qui ne saurait être le cas
si l’activité de la société espagnole n’est pas réalisée en France. Cette décision a été
diversement appréciée108. Si d’aucun se réjouissent que la marque française soit bien
protégée et l’exercice de l’action en contrefaçon garantit, il n’est difficile de
comprendre qu’une telle compétence universelle du juge français n’est pas
raisonnable. Le juge espagnol pourrait en effet aboutir à une même solution pour
protéger la marque de la société castellblanch.
Les incidences sur la loi applicable en matière de contrefaçon. La cour d’appel de

Reims s’est prononcée sur le fond de l’affaire Cristal dans un arrêt rendu le 12
septembre 2005109. Elle décide que l’action en contrefaçon d’une marque française
relève nécessairement de la loi française. La solution est conforme au principe de la
lex loci protectionis, et est confortée au niveau communautaire par le règlement (CE)
n° 864/2007 du parlement européen et du Conseil du 11 juillet 2007 sur la loi
applicable aux obligations non contractuelles (dit Rome II). L’article 8.1 dispose en
effet que « La loi applicable à une obligation non contractuelle résultant d’une
atteinte à un droit de propriété intellectuelle est celle du pays pour lequel la
protection est revendiquée »110.
105
. C. CHABERT, note sous CA Paris, 4e ch . B, 9 nov. 2007, M. X c/ Ebay Inc., JCP 2008, II, 10016.
106
. O. CACHARD, La régulation internationale du marché électronique, op. cit., spéc. N° 86 et s., p. 54
et s.
107
. Si d’aucuns se réjouissent que le critère flou du site actif ou passif ne soit pas retenu pour
reconnaitre la compétence du juge français (ch. CARON, op. cit.), d’autres regrettent notamment que
le préjudice n’ait pas été réel pour le titulaire de la marque française (O. CACHARD, op. cit.).
108
. CA Reims, ch. Civ., 1ere sect., 12 sept. 2005, castellblanch c/ champagne Louis Roederer,
JurisData N° 2005-295570, M.-E.ANCEL, « un an de droit international privé du commerce
électronique », Comm. Com. électr., chron. n° 1, janv. 2007.
109
. Voir infra la section II sur la loi applicable.
110
. Cass. Com., 11 janv. 2005, n° 02-18.381, sté Hugo Boss c/ sté Reemtsmacigarettenfabriken
GMBH, JurisData n° 2005-026462, JCP G 2005, II, 10055, note C. CHABERT, JCP E 2005, II, 571, note
C.CASTETS-RENARD.
94
Si la loi française est applicable, cela ne suppose pas nécessairement qu’il y ait
contrefaçon. Encore faut-il la caractériser. Or, le juge français estime dans cette
affaire qu’il y a contrefaçon par reproduction de la marque détenue par la maison de
Champagne, ainsi qu’une « dilution » et une « vulgarisation » de sa marque de grande
renommée, « qui ne peuvent qu’affaiblir son caractère attractif ». Elle ne tient en
revanche pas compte de l’argument selon lequel le concurrent espagnol ne
commercialise pas ses vins mousseux en France (via son site ou autrement) et lui
impute pourtant le fait que des sociétés distinctes, anglais ou autrichiennes, mettent
ses produits en vente sur l’internet, et les rendent ainsi accessibles aux
consommateurs français.
La recherche de critères de rattachement de la contrefaçon. Par ailleurs, en principe,

une fois déterminée la loi applicable, il faut examiner au fond concrètement le
contenu du site pour vérifier s’il permet au consommateur français l’accès au produit
dont la diffusion est interdite en France sous la marque considérée, comme l’a jugé
la chambre commerciale de la cour de cassation dans l’arrêt Hugo Boss rendu le 11
janvier 2005111. Elle constate que « les produits en cause ne sont pas disponibles en
France », aussi « la cour d’appel en a exactement conclu que ce site ne saurait être
considéré comme visant le public de France ». Dès lors « l’usage des marques ‘’Boss’’
dans ces conditions ne constitue pas une infraction à l’interdiction prononcée par le
jugement du 23 juin 2000 ». Autrement dit, l’usage des marques Boss ne constitue
pas une contrefaçon. La loi française, lex loci protectionis, est applicable à une
marque française, mais la contrefaçon n’est pas caractérisée pour autant. En ne
suivant pas ce raisonnement, l’arrêt de la Cour d’appel de Reims est critiquable au
fond.
La compétence territoriale en matière de contrefaçon. Dans un arrêt du 5 avril 2012,

la première chambre civile de la Cour de cassation112 a été confrontée à un problème
de contrefaçon. Le demandeur, domicilié à Toulouse prétendait être l’auteur,
compositeur et interprète de douze chansons, enregistrées sur un disque vinyle et
indiquant avoir découvert que ces chansons avaient été reproduites sans son
autorisation sur un CD pressé en Autriche et commercialisé par des sociétés
britanniques sur différents sites internet accessibles depuis son domicile toulousain.
111
.Cass. 1re civ., 5 avr. 2012, n° 10-15.890.
112
. M-E. ANCEL, op. cit.
95
Il a fait assigner la société autrichienne devant le TGI de Toulouse aux fins d’obtenir
réparation du préjudice subi du fait de la contrefaçon des droits d’auteurs. La société
défenderesse a soulevé l’incompétence des juridictions françaises. Le TGI de
Toulouse s’est estimé compétent et a statué. La société autrichienne a fait
appel pour contester la compétence du juge français et a obtenu gain de cause en
appel : la Cour d’appel de Toulouse a estimé que le TGI de Toulouse était compétent
pour connaître des demandes, l’auteur s’est pourvu en cassation. La première
chambre civile considère que le litige pose de questions d’interprétation du
règlement n° 44/2001 du 22 décembre 2000 concernant la compétence judiciaire, la
reconnaissance et l’exécution de décisions en matière civile et commerciale qui
exige la saisine de la CJUE aux fins de poser plusieurs questions préjudicielles :
1° L’article 5.3 du règlement n° 44/2001 doit-il être interprété en ce sens qu’en cas
d’atteinte alléguée aux droits patrimoniaux d’auteur commise au moyen de contenus
mis en ligne sur un site internet :
- La juridiction qui s’estime lésée a la faculté d’introduire une action en

responsabilité devant les juridictions de chaque Etat membre sur le territoire
duquel un contenu mis en ligne est accessible ou l’a été, à l’effet d’obtenir
réparation du seul dommage causé sur le territoire de l’Etat membre de la
juridiction saisie, ou
- Faut-il, en outre, que ces contenus soient ou aient été destinés au public situé
sur le territoire de cet Etat membre ?
- Ou bien qu’un autre lien de rattachement soit caractérisé ?
2° La question posée au 1° doit-elle recevoir la même réponse lorsque l’atteinte

alléguée aux droits patrimoniaux d’auteur résulte non pas de la mise en ligne d’un
contenu dématérialisé, mais, comme en l’espèce, de l’offre en ligne d’un support
matériel reproduisant ce contenu ?
La décision de la Cour de justice sera attendue avec grand intérêt. Notons que la
référence à « un autre lien de rattachement » est une référence à l’arrêt eDate
Avertising et à l’éventualité de de recourir au même critère. La possibilité a été
envisagée mais écartée par la doctrine113 dans la mesure où l’arrêt eDate doit
113
. Cass. Com., 20 mars 2007, jurisdata n° 2007-038233, Bull. civ. IV, 2007, n° 91 ; JCP G 2007, II,
96
s’interpréter strictement en raison de la référence systématique à la nature de
l’atteinte, soit les seuls droits de la personnalité. Mais rien n’empêche la cour
d’étendre la solution dans cette nouvelle affaire qui est donc à suivre…
La compétence du juge en matière de de concurrence déloyale. En matière de

concurrence déloyale, la Cour de Cassation a admis à nouveau facilement sa
compétence, dans un arrêt du 20 mars 2007 rendu par la Chambre Commerciale114.
La cour de cassation s’estime compétente mais la motivation retenue est quelque
peu différente de celle adoptée en matière de contrefaçon. Elle décide que « les faits
allégués de commercialisation (des produits litigieux) sur le territoire seraient
susceptibles de causer un préjudice » au demandeur. La recherche d’un préjudice se
justifie par la nécessité en matière de responsabilité délictuelle de prouver l’existence
d’un préjudice pour pouvoir saisir le forum delicti. Il faut donc prouver que le
demandeur détient un intérêt en France, potentiellement lésé par le défendeur. Faute
de droit privatif directement lésé, comme en cas d’atteinte à un droit de propriété
intellectuelle, la preuve sera difficile à rapporter. Mais la Cour de cassation s’avère
finalement accueillante et admet aisément sa compétence. Néanmoins, cela ne
préjuge pas du fond du droit, pour l’appréciation duquel la Cour de cassation se
montre plus rigoureuse dans cette affaire. Un auteur115 a toutefois remarqué que le
forum delicti ainsi compris n’est sans doute pas compatible avec les principes de la
compétence intra-communautaire, voire de la compétence juridictionnelle en général.
Les justifications de la position de la cour de cassation. Le rapport annuel de la cour

de cassation pour l’année 2005, donne un éclairage sur sa position dans l’arrêt
Cristal116. Trois arguments sont avancés. En premier lieu, un soucis de simplicité
technique, afin de couper court à toute expertise du site au stade de la recevabilité de
la demande, lors meme que l’internet exige une intervention rapide. En second lieu,
l’article 5-3 du règlement dit de Bruxelles I prévoit, en matière délictuelle, la
compétence du tribunal du lieu ou non seulement le fait dommageable « s’est
10088, note M.-E. Ancel ; Propr. Intell. 2007, n° 24, n° 349, obs. J. Passa ; C. CARON, Comm. Com.
Electr. 2007, répère 8et comm. 119.
114
. M.-E. ANCEL, « Contrefaçon de marque sur un site web : quelle compétence intracommunautaire
pour les tribunaux français ? », in Etudes à la mémoire du Professeur X. Linant de Bellfonds, Litec,
2007, p. 1 et s.
115
. Cass. Rapp. Activité 2005, La Documentation française, 2006.
116
. CA Paris, 4e ch. A, 26 avril 2006, Scherrer et Normalia SA c/ SARL Acet, JurisData n° 2006-302856,
Comm. Com. Electr. 2006, comm. 106, obs. C. Caron ; RLDI 2006/18, n° 523, obs. L. Pech ; M.-E.
ANCEL, Comm. Com. Electr. 2007, chron. 1, n°8.
97
produit », mais également « risque de se produire ». Les interventions préventives
sont donc encouragées. Et troisième lieu, la reconnaissance d’une compétence du
juge ne préjuge pas de la décision de fond qui sera rendue. En cas de dérives
éventuelles, les magistrats ont toujours la faculté de prononcer des dommages-
intérêts pour procédure abusive par application de l’article 32-1 du Code de
procédure civile.
Le critère du « lien suffisant, substantiel ou significatif » sur le fondement de l’article

46 du CPC, hors de l’UE. Conscients de l’universalisme provoqué par l’usage du
simple critère de l’accessibilité au site depuis la France, pour fonder la compétence
du juge civil français en matière délictuelle, les juges du fond ont cherché à
caractériser davantage leur compétence. Le lien de rattachement avec la France doit
désormais être suffisant, pour appliquer l’article 46 du Code de procédure civile.
Dans un arrêt Normalu, du 26 avril 2006117, la cour d’appel de Paris a décidé que
« sauf à vouloir conférer systématiquement, dès lors que les faits ou actes
incriminés ont eu pour support technique le réseau internet, une compétence
territoriale aux juridictions françaises, il convient de rechercher et de caractériser,
dans chaque cas particulier, un lien suffisant, substantiel ou significatif, entre ces
faits ou actes de dommage allégué ». A contrario, un site qui « n’est pas destiné au
public français » entraine l’incompétence des tribunaux français. En l’espèce « force
est de constater que le site www.barrilux.com exploité par la société Acet qui est
rédigé en langue anglaise, n’offre aux consommateurs français aucun produit à la
vente, circonstance, au demeurant non contesté par les appelants qui, par ailleurs,
n’allèguent pas que les produits ou services proposés sur ce site aient été
effectivement vendus ou exploités en France. Et considérant que la seule
reproduction partielle de la marque litigieuse ne saurait caractériser, de ce seul fait,
un lien suffisant, substantiel ou significatif, avec le préjudice allégué de nature à
permettre au tribunal de grande instance de Paris de retenir sa compétence
territoriale ».
Si la cour d’appel de Paris a réitéré sa position en exigeant la recherche d’un « lien

suffisant, significatif ou substantiel », repris par d’autres juridictions, il ne semble pas
que ce lien soit toujours entendu de la même façon. Plusieurs interprétations ont été
117
. CA Paris, 4e ch . A, 6 juin 2007, sté Google Inc, et Gogle France c/ SA Axa, SA Avanssur, SA Direct
Assurances Iard, jurisData n° 2007-338708.
98
proposées. Certains juges estiment qu’il suffit que le fait générateur ait eu un impact
économique en France118, alors que d’autres exigent la preuve d’un ciblage du public
119
français . Le niveau d’exigence sera plus élevé dans ce second cas.
Le lien de causalité, ciblage du public français, hors de l’UE. Dans un arrêt 9

novembre 2007120, la Cour d’appel de Paris confirme ses exigences pour s’estimer
compétente. La cour de Paris s’oppose une nouvelle fois à la jurisprudence Cristal de
la Cour de cassation et refuse sa compétence, faute d’un « lien suffisant, substantiel
et significatif entre les faits délictueux (en l’occurrence la contrefaçon) et le
dommage allégué sur le territoire français ». Dans cette affaire, un artiste peintre
avait constaté, puis fait constater en France, la mise en vente de deux reproductions
de ses œuvres sur l’interface canadienne du site eBay (ebay.ca). Il saisit le tribunal de
grande instance de Paris pour agir en contrefaçon. La défenderesse soulève une
exception d’incompétence devant le juge de la mise en état et précise que ses offres
sont destinées au seul public canadien. Mais le demandeur rétorque que les faits
contrefaisants résultaient de la simple mise en ligne d’une reproduction de deux
œuvres, même si le public français ne formule aucune enchère. D’autre part, si me
site était effectivement rédigé en langue anglaise avec une monnaie de paiement
anglo-saxonne ($ et £), il ne restreignait pas le champ de de ses livraisons au public,
permettant par exemple de livrer des acheteurs britanniques par le truchement
desquels les reproductions entreraient sur le territoire de la communauté.
La cour relève finalement que « la clientèle visée par la reproduction et la

représentation ainsi que par l’offre aux enchères, est une clientèle canadienne ou
anglo-saxonne, et non une clientèle française, le prix étant libellé en dollars ou en
livres sterling, les mentions portées en langue anglaise, les unités de mesures, anglo-
saxonnes et les moyens de paiements étrangers ; que même si les moyens de
paiement internationaux peuvent être utilisés par des personnes d’autres pays (ce
qui n’exclut pas des Français), ce lien de rattachement est très occasionnel et ne
suffit pas à caractériser le lien suffisant, substantiel ou significatif avec le territoire
français ». La cour recherche un lien significatif entre la cause et le territoire français
118
. CA, Paris 4e ch. B, 9 nov. 2007, M. X c/ ebay Inc., JurisData n° 2007-350066, Comm. Com.électr.
2008, comm. 38, obs. ch. Caron.
119
. CA Paris, 4e ch. B, 9nov. 2007 M. X c/ ebay Inc., JurisData n° 2007-350066, Comm. Com.électr.
2008, comm. 38, obs. ch. Caron ; dalloz.fr, obs. C. MANARA ; JCP 2008, II, 10016, obs. C. CHABERT.
120
. TGI Paris, réf., 11 juillet. 2007, Hamon c/ Abel quality Products, inédit.
99
plutôt que la mesure d’une activité (site actif/passif) à l’égard de la France. Les
différences d’approches sont claires.
Le Tribunal de grande instance de Paris a suivi le même raisonnement, en exigeant

un « lien significatif entre le site et le territoire français »121 à propos d’un site
américain de matériel de pêche rédigé en anglais affichant le cliché d’un photographe
français, sans son autorisation. Le Tribunal estime que le lien est établi, en dépit de
l’usage de l’anglais, car les produits vendus par l’entreprise éditrice du site
intéressent une clientèle française, le site expose les moyens d’entrer en contact
avec l’entreprise et présente des photographies transmises par des clients dont on
croit comprendre qu(ils seraient français. Dès lors, le public français s’adresse en
réalité au public français.
De même, la première décision française relative au site Second life relève le « lien
suffisamment substantiel de rattachement à l’ordre juridictionnel français,
permettant de retenir que le contenu de la communication au public en ligne
s’adresse au public français »122. Les juges relèvent que la Fondation Linden
Research « entend viser en page d’accueil de son site un public international ». En
outre, un « guide officiel en langue française » a été rédigé avec la contribution de
certains de ses employés et une préface par son fondateur.
Le juge recherche la volonté des exploitants en examinant in concreto des critères

relatifs au contenu du site ou à son environnement. Sont recherchés : la langue de
diffusion, les exigences d’abonnement, la désignation des pays visés, la monnaie de
règlement de la transaction ou encore la livraison sur un territoire. S’agissant des
critères relatifs au référencement du site, entrent en ligne de compte la diffusion de
l’adresse du site sur un moteur de recherche usuel du pays d’accès, un
référencement payant, la présence d’un maillage de liens hypertextes ou encore
l’extension géographique du nom de domaine.
Le lien de causalité, simple impact économique. Il n’est pas nécessaire que le lien de
causalité soit intentionnel. S’il l’est, la compétence du juge français n’est pas
121
. TGI Paris., réf., 2 juill. 2007, Association Union departementale des associations familiales de
l’Ardèche et al. c/ Linden Research Inc. et al., Comm. Com. Electr. 2007, comm. 111, note A. LEPAGE.
122
. CA Paris, 4e ch. A, 6 juin 2007, Sté Google Inc. et Google France c/ SA AXA, SA A vanssur, SA Direct
Assurances Iard, juris-Data n° 2007-338708 ; M.-E. ANCEL, JCP G 2007, II, 10151 et comm. Com.
Electr. 2007, étude 23 ; C. CARON, Comm. Com. Electr. 2007, coimm. 119 ; LPA, 8 nov. 2007, p. 6 note
A. MENDOZA-CAMINADE ; RLDI 2007/29, n° 964, obs. J.-B. AUROUX.
100
douteuse. Mais s’il ne l’est pas, la compétence des juges français n’est pas exclue
pour autant. Les tribunaux français doivent pouvoir être saisi quand le site litigieux a
123
« de manière délibérée ou non, un impact économique sur le public français » . La
non-exigence du caractère intentionnel est justifiée puisqu’au stade de la recherche
de compétence, il ne peut être exigé des investigations de fond trop poussées.
Dans le contentieux très particulier des liens sponsorisés, cette approche rend les
tribunaux français compétents par le simple fait que les liens commercialisés par
Google Inc. S’affichent sur les écrans d’ordinateur en France. Pour ce contentieux, le
critère de l’accessibilité a une raison d’être124.
La cour d’appel de Versailles a adopté la même conception également pour un

contentieux relatif aux liens sponsorisés125. Elle justifie ainsi la compétence
française à l’égard de la société américaine Ouverture Services Inc. : cette société
« ne se contente pas de fournir la technologie mais propose sur son site
www.overture.com aux annonceurs d’enchérir sur des mots-clés leur permettant, par
des liens sponsorisés, de proposer au public des services d’hôtellerie en France ; que
dans la mesure où ces mots-clés reproduiraient les marques dont Accor est titulaire,
ces actes sont susceptibles de causer sur le territoire national un préjudice à Accor,
(…) ; qu’il existe donc un lien suffisant et significatif entre les actes incriminés et le
préjudice allégué de nature à permettre aux juridictions françaises de retenir leur
compétence ». Cela revient donc à rechercher un lien de causalité entre un fait
générateur situé à l’étranger et un préjudice qui doit s’être réalisé sur le territoire
français. Un impact économique suffit, sans qu’il soit nécessaire de vérifier que le
public français ait été spécialement visé.
Cette conception souple du lien a été réitérée au-delà du contentieux des liens
sponsorisés. Les tribunaux français s’estiment compétents, dès lors que des faits
sont « susceptibles d’avoir un impact économique sur le public français ». Dans deux
ordonnances rendues le 16 mai 2008, le TGI de Paris (ordonnance du juge de la mise
en état)126 a tranché en faveur de la compétence du juge français en matière de
123
. Ibid , M.-E. ANCEL.
124
. CA Versailles, 2 nov. 2006, ouverture Services Inc. et Ouverture France c/ Accor, cité et commenté
par B. Fay, « utilisation de mots-clés protégés par le droit des marques », Prop. Ind. 2007, n° 4, étude
11.
125
. TGI Paris, ord. Mise en état,16 mai 2008, L’Oréal et autres c/ eBay France et autre, legalis.net ; TGI,
ord. Mise en Etat, 16 mai 2008, Rueducommerce c/ Carrefour Belgium, legalis.net.
126
. CA Paris (1re ch.), 9 sept. 2009, Rép. Du chili c/ Florence et Clara G. ; legalis.net.
101
contrefaçon de marque sur internet. Dans la première affaire qui oppose des
sociétés de parfums à eBay, le site de ventes aux enchères avait invoqué
l’incompétence du tribunal Français pour statuer sur des liens commerciaux qui ne
visaient pas le public français. La 2e section de la 3e chambre du tribunal n’a pas
retenu cet argument en estimant que « les sites eBay sont accessibles aux
internautes depuis le territoire national ». Et dès lors que des faits sont « susceptibles
d’avoir un impact économique sur le public français », les défenderesses peuvent
introduire une action devant le TGI de Paris.
Cette section du Tribunal suit le même raisonnement dans l’affaire opposant le site
Rueducommerce à carrefour Belgium. Il est notamment reproché à cette dernière
d’avoir utilisé la marque Rueducommerce sur son site hypercarrefour.be et d’avoir
diffusé des publicités sur Google renvoyant aux sites de l’enseigne belge. En plus de
reprendre l’argument portant sur les conséquences économiques, cette seconde
ordonnance du juge de la mise en état précise « qu’il importe peu à ce stade de
savoir si un internaute peut procéder à l’achat, depuis la France, de produits proposés
à la vente par l’intermédiaire des dénominations litigieuses ». Autrement dit, il s’agit
simplement de s’interroger sur la compétence des juges français, ce qui ne préjuge
pas du fond de l’affaire. Contrairement à ce qui était précédemment admis dans
l’arrêt Normalu, il n’est pas nécessaire de rechercher concrètement si la vente est
possible en France et donc si le public français est expressément visé.
Le lien de causalité, simple réception d’un site informatif international par le public
français. L’assouplissement de l’interprétation à donner du « lien suffisant,
substantiel et significatif entre les faits illicites et le dommage allégué sur le territoire
français » est encore plus remarquable dans un arrêt rendu par la cour d’appel de
Paris le 9 septembre 2009127. La cour de Paris considère que « le site incriminé
constitue, selon les propres écritures de la partie défenderesse, une source
d’information sur les artistes chiliens depuis l’époque coloniale jusqu’à nos jours,
qu’à ce titre, fut-il rédigé en langue espagnole et édité au chili, il vise nécessairement
tant le public des amateurs d’art ou des historiens d’art qui est, par essence, un
public international, ouvert sur le monde et recherchant sa documentation au-delà
des frontières, que quiconque étant intéressé soit par l’art pictural chilien en général
127
. Cass. Com., 13 juill. 2010, n° 06-20.230. V. C. CASTETS-RENARD, « La cour de cassation suit sans
surprise la CJUE », RLDI 2010/63 N° 2063.
102
soit par l’œuvre de Hernan G. En particulier, sera amené peu important à cet égard sa
nationalité ou son lieu de résidence, à consulter un site informatif hébergé au chili ».
De ces éléments de fait, la cour d’appel déduit que le site étant accessible depuis la
France, « le public français pertinent se trouve à même de réceptionner les contenus
argués de contrefaçon, circonstance qui justifie de l’existence d’un lien de
rattachement suffisant, substantiel ou significatif entre les faits illicites et le
dommage allégué sur le territoire français et qui commande de retenir la compétence
du tribunal de grande instance de Paris pour connaître de la contrefaçon ». Ainsi, la
Cour d’appel fonde la compétence du juge français sur l’existence d’un « lien de
rattachement suffisant, substantiel ou significatif entre les faits illicites et le
dommage allégué sur le territoire français », déduit de la simple réception en France
d’un site informatif à vocation internationale, et ce en dépit de l’usage de l’espagnol.
Il faut en déduire que les sites d’information ont par définition vocation à intéresser
un public indifférencié international et ne présentent pas de ciblage territorial. Aussi
n’est-il pas nécessaire de rechercher la nationalité ou un quelconque rattachement
territorial. Autrement dit, il n’existe aucune restriction territoriale dans l’hypothèse
d’une information, puisqu’un site informatif ne vise pas un public déterminé. Dans
ces circonstances, la recherche d’un lien de causalité entre les faits illicites et le
dommage sera facile à établir à partir des sites informatifs.
Il y aurait donc là une spécificité pour les sites informatifs, que l’on ne retrouve pas
pour les sites commerciaux. Le site commercial cherche à l’inverse à trouver des
clients et doit donc s’adresser à des internautes dont le rattachement territorial doit
être connu, afin de respecter les législations nationales protectrices du
consommateur. Ces dernières s’appliquent en principe en considération du lieu de
résidence habituelle du consommateur. Le ciblage d’un territoire se déduira alors
d’une pluralité d’indices.
On peut donc déduire de cette décision que le « lien de rattachement suffisant,

substantiel ou significatif entre les faits illicites et le dommage allégué sur le
territoire français » s’apprécie de plus en plus souplement, d’avantage encore pour
les sites informatifs. Au point même que l’on puisse se demander s’il ne s’agit pas
d’une formule de style vidéo de son sens. En réalité, ne retombe-t-on pas sur le
simple critère de l’accessibilité ? La cour précise que le public français étant en
mesure de réceptionner le contenu contrefaisant, elle en déduit l’existence du lien de
103
causalité et partant, la compétence des juges français. On ne voit guère la différence
avec le raisonnement suivi dans la jurisprudence appliquant le critère de
l’accessibilité.
La confirmation des solutions appliquées aux sites commerciaux par la cour de

cassation, dans les relations hors UE. Dans les arrêts Google rendus par la Cour de
cassation le 13 juillet 2010 par la cour de justice128, l’une des affaires a fait l’objet
d’une cassation par la chambre commerciale, en ce que la Cour d’appel de Paris129
avait retenu la compétence des tribunaux français du seul fait que les marques
étaient reproduites sur le moteur de recherche, accessibles et visualisables en
France, d’autant plus que les fonctionnalités de traduction étaient mises à la
disposition des internautes. La cour de cassation estime, au contraire, que la cour
d’appel aurait dû rechercher si les annonces litigieuses étaient destinées au public de
France. Depuis lors, la Cour de cassation a confirmé nettement sa position en
novembre 201, décembre 2010 et mars 2011. Dans une affaire concernant eBay,
rendue en mars 2011, la cour de cassation confirme tout aussi nettement sa position
et décide que le critère de l’accessibilité au site n’est plus suffisant pour fonder la
compétence du juge français par application de l’article 46 du code de procédure
civile. Elle décide que : « sans rechercher si les annonces litigieuses étaient destinées
au public de France, la cour d’appel a privé sa décision de base légale »130. Le critère
de la destination du site est ici confirmé, voire entériné aussi par la Cour de justice
dans son arrêt eBay du 12 juillet 2011131.
Quant à la preuve du critère de destination, la charge incombe logiquement au

demandeur. L’internaute qui saisit le juge français doit donc montrer que le site vise
le public français.
Conformément au règlement Bruxelles I (considérant 12), il est permis au demandeur

de saisir un autre for que celui du domicile du défendeur, à condition qu’il présente
un « lien étroit entre la juridiction et le litige ». Ce critère de proximité ne saurait être
128
. CJUE, 23 mars 2010, aff. Jtes C-236/08, Google France SARL., Google Inc. c/ LVM SA, aff. C-
237/08, Google France Sarl c/ Viaticum SA, Luteciel Sarl et aff. C-238/08 Google France SARL C/
CNRRH SARL.
129
. CA Paris, 28 juin 2006, n° 05/06968.
130
. Cass. Com, 29 mars 2011, SARL Ebay Europe, SA Ebay France, Sté Ebay Inc. C/ Sarl Maceo, n° de
pourvoi : 10-12.272. V. M.-E. ANCEL, « Un an de droit international privé du commerce », Comm. Com.
Electr. n° 1, janv. 2012, chr. 1.
131
. CJUE ? 12 juill. 2011, aff. C-324/09. V. VIVANT, « Propriété intellectuelle, lex protectionis, et loi
réelle », Recueil Dalloz, 2011, p. 2351.
104
satisfait par le simple constat de l’accessibilité mondiale du site. La preuve que le
site vise le public français doit donc être clairement reportée par l’internaute. Ce
132
critère de destination s’apprécie du point de vue de « tout internaute » ou « d’un
internaute français de compétence moyenne »133. Après le consommateur moyen,
voici l’internaute moyen ! L’appréciation s’effectue en considération d’un faisceau
d’indices qui se confirment au fil des décisions : usage d’un nom de domaine en
« .fr », utilisation de la langue française, euro, livraison en France.
Dans l’arrêt eBay rendu en décembre 2010 , la cour de cassation134 relève que « lors
de la saisie de divers mots-clés reprenant certaines des marques de la société LVM,
avec ou sans faute d’orthographe, l’internaute est orienté sur une plate-forme ebay
puis sur les sites ebay.fr, fr.ebay.com ou ebay.com sur lesquels sont présentées des
annonces d’enchères rédigées en français pour des produits de maroquinerie avec
un prix en euros ou dans une conversion du prix en euros ; que l’arrêt relève encore
que les annonces émanent de divers vendeurs s’engageant à livrer les produits en
France et que ces sites de ventes aux enchères sont gérés par les sociétés eBay en
cause ; qu’il en déduit que l’internaute français est sollicité par des mots-clés litigieux
conduisant à proposer des produits de maroquinerie sur les divers sites de vente aux
enchères d’eBay gérés par les sociétés eBay en cause ; qu’en l’état de ces
constations et appréciations la cour d’appel, qui a constaté que la saisie de mots-
clés en liaison avec les marques de la société LVM dirigeait les utilisateurs vers les
sites relevant des sociétés eBay, que ceux-ci visaient les internautes français et que
les produits qui y étaient proposés étaient livrables en France, a justifié sa décision
de retenir la compétence des juridictions françaises ». Autrement dit, le fait d’être
redirigé sur un autre site dont l’extension géographique du nom de domaine change
pour permettre la livraison en France est un critère déterminant. Logiquement, a
contrario, lorsque les sites sont rédigés en anglais ou en allemand, sans conduire à
des livraisons ou des prestations en France, les Tribunaux français ne sauraient se
considérer compétents135, sauf à se reconnaître une compétence universelle, ce que
l’on cherche plutôt à éviter aujourd’hui. Au final, le contentieux semble s’être
amplement clarifié en 2010 et 2011 par les décisions de la Cour de cassation. La
132
. Cass. Com. 23 nov. 2010, n° 07-19.543 ; Comm. Com. Electr. obs. C. CARON, comm. 11.
133
. Cass. Com., 7 déc. 2010, n° 09-16.811 ; Gaz. Pal., 2011, n° 54-55, p. 21, obs, L. MARINO.
134
. Ibid.
135
. Cass. Com., 23 nov. 2010, op. cit.
105
jurisprudence Cristal semble définitivement enterrée.
La convergence des jurisprudences dans les relations hors UE et dans l’UE. Pour se
considérer compétent, les juges français doivent donc vérifier si les sites litigieux
sont destinés au public français. Sans doute faut-il considérer que le critère de la
focalisation ou de la destination (règlement n° 44/2001, art. 5.3) ou encore la
recherche d’un « lien suffisant, substantiel ou significatif » (art. 46 CPC) devraient
coïncider136. Ils doivent, en tout état de cause conduire à rechercher si l’opérateur a
bien voulu rencontrer un internaute situé dans un pays donné. A n’en point douter, la
simple accessibilité ne suffit plus, qu’il s’agisse des relations au sein de l’Union
européenne sur le fondement du règlement Bruxelles I ou hors de l’Union européenne
sur le fondement de l’article 46 du CPC.
Les dispositions relatives à la loi applicable aux conflits nés de l’internet peuvent
s’avérer également spécifiques.
Section 2
La loi applicable
Les règles sur la loi applicable en matière pénale (S 1) et en matière civile et

commerciale (S 2) doivent être confrontées aux spécificités de l’internet (S 3).
S 1 : En matière pénale
L’application dans l’espace de la loi pénale française. Le livre 1er, titre 1er, chapitre III
du code pénal relatif à l’application de la loi pénale dans l’espace distingue les
infractions commises ou réputées commises sur le territoire de la République (art.
113-2 à 113-5 C. pén.) de celles commises hors du territoire de la République (art.
113-6 et 113-7 C. pén.).
Les infractions commises ou réputées commises sur le territoire de la République.

L’article 113-2 du code pénal dispose que « la loi pénale française est applicable aux
infractions commises sur le territoire de la République. L’infraction est réputée
commise sur le territoire de la République dès lors qu’un de ses faits constitutifs a eu
lieu sur ce territoire ».
136
. M.-E, ANCEL, « Un an de droit international privé du commerce électronique », janv. 2011, chr. N° 1.
106
Sont également incluses des infractions commises à bord des navires battant un
pavillon français, ou à l’encontre de tels navires en quelque lieu qu’ils se trouvent ‘art.
113-3 C. pén.), de même que celles commises à bord des aéronefs immatriculés en
France, ou à l’encontre de tels aéronefs, en quelque lieu qu’ils se trouvent (art 113-4 C.
pén.). La loi pénale française est aussi applicable à quiconque s’est rendu coupable
sur le territoire de la République, comme complice, d’un crime ou d’un délit commis à
l’étranger si le crime ou le délit est puni à la fois par la loi française et par la loi
étrangère et s’il a été constaté par une décision définitive de la juridiction étrangère
(règle de la double incrimination) (art. 113-5 C. pén.).
Les infractions commises hors du territoire de la République. Pour les infractions

commises hors du territoire de la République, la loi pénale française est susceptible
de s’appliquer lorsque l’auteur de l’infraction ou la victime est française.
Ainsi, « la loi pénale française est applicable à tout crime commis par un Français.
Elle est applicable aux délits commis par des Français hors du territoire de la
République si les faits sont punis par la législation du pays où ils ont été commis »
(art. 113-6 C. pén.).
« La loi pénale française est applicable à tout crime, ainsi qu’à tout délit puni
d’emprisonnement, commis pas un français ou par un étranger hors du territoire de
la République lorsque la victime est de nationalité française au moment de
l’infraction » (art. 113-7 C. pén).
Néanmoins, dans les deux hypothèses envisagées par les articles 113-6 et 113-7 du
Code pénal, la poursuite des délits ne peut être exercée qu’à la requête du ministère
public, précédée d’une plainte de la victime ou de ses ayants droit ou d’une
dénonciation officielle par l’autorité du pays ou le fait a été commis (art. 113-8 C.
pén). Également, aucune poursuite ne peut être exercée contre une personne
justifiant qu’elle a été jugée définitivement à l’étranger pour les mêmes faits et, en
cas de condamnation, que la peine ait été subie ou prescrite (art. 113-9 C. pén.).
La loi pénale française est également applicable en cas de refus d’extradition de

l’Etat français. Plus précisément, la loi pénale française s’applique « à tout crime ou à
tout délit puni d’au moins cinq ans d’emprisonnement commis hors du territoire de la
République par un étranger dont l’extradition a été refusée à l’Etat requérant par les
autorités françaises aux motifs, soit que le fait à raison duquel l’extradition avait été
107
demandée est puni d’une peine ou d’une mesure de sûreté contraire à l’ordre public
français, soit que le personne réclamée aurait été jugée dans ledit Etat par un tribunal
n’assurant pas les garanties fondamentales de procédure et de protection des droits
de la défense, soit que le fait considéré revêt le caractère d’infraction politique » (art.
113-8-1 C. pén.). La poursuite des infractions mentionnées au premier alinéa ne peut
être exercée qu’à la requête du ministère public. Elle doit être précédée d’une
dénonciation officielle, transmise par le ministre de la justice, de l’autorité du pays ou
le fait a été commis et qui avait requis l’extradition.
Enfin, la loi pénale française s’applique aux crimes et délits qualifiés d’atteinte aux
intérêts fondamentaux de la nation et réprimés par le titre 1er du IV, à la falsification
et à la contrefaçon du sceau de l’Etat, de pièces de monnaie, de billets de banque ou
d’effets publics réprimées par les articles 442-1, 442-2, 442-5, 442-15, 443-1 et 444-1
et à tout crime ou délit contre les agents ou les locaux diplomatiques ou consulaires
français, commis hors du territoire de la République (art. 113-10 C. pén.).
Les articles 113-11 et 113-12 du Code pénal concernent les infractions commises en
mer et ne sont donc pas susceptibles de s’appliquer à l’internet.
L’application de la loi pénale française aux infractions de l’internet. Se reporter aux

développements de la section précédente sur la compétence des juridictions, cette
dernière étant liée à l’application de la loi française.
La détermination de la loi applicable en matière civile et commerciale fait l’objet de

règlements communautaires récents tenant compte des exigences de l’internet.
S 2 : En matière civile et commerciale
Les règles applicables aux obligations contractuelles (I) et aux obligations non
contractuelles (II) diffèrent, aussi convient-il de les distinguer.
I. Les obligations contractuelles
Le droit international privé français des contrats. Le droit international privé français
était régi par la Convention de Rome du 19 juin 1980 sur la loi applicable aux
obligations contractuelles, entrée en vigueur en France le 1er avril 1991 et
s’appliquant « dans les situations comportant un conflit de lois, aux obligations
contractuelles ».
108
Cette convention prévoit à titre principal la compétence de la loi d’autonomie (art. 3),
c’est-à-dire la loi librement choisie par les parties. Les parties peuvent choisir une loi
qui n’a aucun lien avec le contrat. Elles peuvent même décider de « dépecer » le
contrat et soumettre certains aspects à telle loi et d’autres à telles autres lois.
Les questions essentielles liées au contrat sont soumises à la loi d’autonomie. Par
exception, les questions d’état et de capacité des parties sont soumises à la loi
nationale du contractant. De même, les questions de formes dépendent de la loi de
conclusion du contrat, (locus regit actum).
A défaut de choix des parties sur la loi applicable à leur contrat, la Convention de
Rome désigne la loi « du pays avec lequel le contrat présente les liens les plus
étroits » (art. 4 al. 1er).
La convention prévoit des indices de rattachement qui constituent des présomptions

pour déterminer la loi de proximité. L’article 4 alinéa 2 présume que « le contrat
présente les liens les plus étroits avec le pays ou la partie qui doit fournir la
prestation caractéristique a, au moment de la conclusion du contrat, sa résidence
habituelle ou s’il s’agit d’une société, association ou personne morale, son
administration centrale. Toutefois, si le contrat est conclu dans l’exercice de l’activité
professionnelle de cette partie, ce pays est celui où est situé son principal
établissement ou, si, selon le contrat, la prestation doit être fournie par un
établissement autre que l’établissement principal, celui où est situé cet autre
établissement ». La prestation caractéristique est celle qui permet de qualifier le
contrat.
Pour les contrats de consommation, la loi d’autonomie ne peut avoir pour effet de
priver le consommateur de la protection que lui assurent les dispositions impératives
de la loi du pays dans lequel il a sa résidence habituelle.
Le règlement n° 593/2008 du 17 juin 2008 dit règlement Rome I. Les États membres
de la Communauté économique européenne ont adopté le règlement dit Rome I sur
la loi applicable aux obligations contractuelles qui supplante dans les relations
intracommunautaires la convention de Rome du 19 juin 1980 sur la loi applicable aux
obligations contractuelles, afin d’instaurer des règles communes.
La convention de Rome n’était plus adaptée à l’évolution de la société at aux
109
mutations technologiques. En particulier, les règles classiques relatives à la loi
applicable et à la juridiction compétente se sont avérées inefficaces sur l’internet. Le
considérant 24 précise les objectifs recherchés par la règle de conflit de lois,
s’agissant plus particulièrement des contrats de consommation : « la règle de conflit
de loi devrait permettre de réduire les coûts engendrés par la résolution de ces litiges,
qui sont souvent de faible valeur, et prendre en compte l’évolution des techniques de
commercialisation à distance. La cohérence avec le règlement (CE) n°44/2001 exige,
d’une part, qu’il soit fait référence à la notion d’activité dirigée’’ comme condition
d’application de la règle de protection du consommateur et, d’autre part, que cette
notion fasse l’objet d’une interprétation harmonieuse dans le règlement (CE) n°
44/2001 et le présent règlement ». Il s’agit donc de prendre en compte la spécificité
de l’internet dans les contrats de consommation et d’harmoniser les solutions avec le
Règlement Bruxelles I.
Le principe de la loi d’autonomie. La convention de Rome consacre le principe

fondamental de le « loi d’autonomie » : les parties sont en principe libres de choisir la
loi qui régira leurs relations contractuelles, et ce même si la loi qu’elles désignent n’a
aucun lien avec le contrat (sous réserve d’une fraude à la loi, et de l’application par le
juge saisi de ses lois de police ou d’ordre public). Le règlement Rome I reprend le
principe de l’autonomie de la volonté à l’article 3.
La loi applicable à défaut de choix. L’application des dispositions de la convention de

Rome ayant entraîné des difficultés pratiques, en particulier la mise en œuvre des
présomptions pour désigner la loi ayant les liens les plus étroits avec le contrat, le
législateur communautaire a voulu poser des règles fixes, plus précises137. Le
règlement Rome I ne reprend pas les règles de la convention de Rome à défaut de
choix des parties. L’article 401 précise qu’à défaut de choix des parties :
a) Le contrat de vente de biens est régi par la loi du pays dans lequel le vendeur a
sa résidence habituelle ;
b) Le contrat de prestation de services est régi par la loi du pays dans lequel le
prestataire de services à sa résidence habituelle.
137
. C. CASTETS-RENARD, « La proposition de règlement du Parlement et du conseil sur la loi
applicable aux obligations contractuelles du 15 décembre 2005 (dite Rome I) », D. 2006, Point de vue,
p. 1522.
110
Les contrats de consommation. L’article 6 du règlement de Rome I définit le
consommateur comme la personne physique qui contracte pour un usage étranger à
son activité professionnelle, avec une autre personne, le professionnel, agissant dans
l’exercice de son activité professionnelle.
Dans ce cas, le principe est que la loi applicable au contrat est la loi du pays ou le
consommateur a sa résidence habituelle. Pour que cette règle s’applique, des
conditions doivent être respectées. Il faut que le professionnel :
a) Exerce son activité professionnelle dans le pays dans lequel le consommateur

a sa résidence habituelle ou
b) Par tout moyen, dirige cette activité vers ce pays ou vers plusieurs pays, dont
celui-ci, et que le contrat rentre dans le cadre de cette activité.
En principe, la loi applicable est celle de la résidence habituelle du

consommateur. Néanmoins, le point c)de l’article 6 donne la possibilité aux
parties de choisir la loi applicable à un contrat de consommation. Ce choix ne
peut cependant avoir pour résultat de priver le consommateur de la protection
que lui assurent les dispositions auxquelles il ne peut être dérogé par accord
en vertu de la loi qui aurait été applicable, en l’absence de choix, sur la base du
paragraphe 1, c’est-à-dire la loi de sa résidence habituelle. En matière de
consommation, beaucoup de dispositions sont d’ordre public, aussi le
consommateur bénéficiera-t-il de cette protection, même dans l’hypothèse fort
probable sur l’internet, ou le professionnel aurait imposé sa loi.
Ainsi, même si les parties ont dérogé à la règle de résidence habituelle du

consommateur, en choisissant une autre loi au contrat au contrat, la
dérogation est limitée par l’obligation de respecter les dispositions
obligatoires de la loi de résidence habituelle du consommateur.
L’ « activité dirigée », critère de résolution des conflits de la loi en matière

contractuelle. L’article 5.2 de la convention de Rome du 19 juin 1980 relative à
la loi applicable aux obligations contractuelles prévoit que le principe de
l’autonomie de la volonté ne peut priver le consommateur de la protection des
lois impératives de son pays de résidence habituelle, dès lors notamment que
« la conclusion du contrat a été précédée dans le pays du consommateur
111
d’une proposition spécialement faite ou d’une publicité ». Mais sur l’internet,
toute publicité susceptible d’être reçue dans l’Etat du consommateur ne
saurait mettre en œuvre la protection instituée par l’article 5.2.
Le critère de la « proposition spécialement faite » ou « publicité » a été

remplacé dans le règlement Rome I de l’ « activité dirigée », repris138, dans une
volonté d’harmoniser les règles avec le règlement de Bruxelles I. Le
considérant 24 du règlement Rome I fait référence à la déclaration conjointe
du conseil de la commission relative à l’article 15 du règlement (CE) n°
44/2001 et précise que « pour que l’article 15, paragraphe 1, point c), soit
applicable, il ne suffit pas qu’une entreprise dirige ses activités vers l’Etat
membre du domicile du consommateur, ou vers plusieurs États dont cet Etat
membre, il faut également qu’un contrat ait été conclu dans le cadre de ces
activités ». La déclaration rappelle également que « le simple fait qu’un site
internet soit accessible ne suffit pas pour rendre applicable l’article 15, encore
faut-il que ce site internet invite à la conclusion de contrats à distance et qu’un
contrat ait effectivement été conclu à distance, par tout moyen. A cet égard, la
langue ou la monnaie utilisée par un site internet ne constitue pas un élément
pertinent ». Il convient donc d’adopter la même conception pour interpréter
l’article 6 du règlement Rome I.
Les règles sont moins claires pour la détermination de la loi applicable aux
obligations non contractuelles. Néanmoins, les arrêts Pammer et Hotel
Alpenhoff139 rendus en décembre 2010 et ayant précisé la notion « d’activité
dirigée » au sens de l’article 15, paragraphe 1, sous c), du règlement n°
44/2001, devrait influencer l’interprétation de l’article 6 du règlement Rome 1
sur la loi applicable aux obligations contractuelles qui utilise aussi ce critère
appliqué aux contrats de consommation en ligne. La CJUE l’indique même
explicitement au point 10 de sa décision.
138
. Voir le commentaire de H. KENFACK, « Le règlement (CE) n° 593/2008 du 17 juin 2008 sur la loi
applicable aux obligations contractuelles (‘’Rome I’’), navire stable aux instruments efficaces de
navigation ? », Journal du droit international (Clunet) n° 1, janv. 2009, 1, spéc. n° 45.
139
. CJUE, 7 déc. 2010, aff. C-(585/08 aff. P.Pammer c/ Reederei schluter GmbH co KG et aff. C -
144/09, Hotel Alpenhof GesmbH c/ o. Heller. M.-E. ANCEL, « Un an de droit international privé du
commerce », Comm. Com. Electr., n° 1, janv. 2011, chr. 1.
112
II. Les obligations non contractuelles
Le droit international privé français des délits. En principe, la loi applicable en

matière de délits est la loi du lieu où les délits ont été commis (lex loci delicti),
depuis l’arrêt Lautour140.
Le règlement Rome II n° 864-2007 du 17 juillet. Le règlement n° 864-2007 du 17

juillet 2007 vise à harmoniser les règles concernant la loi applicable aux
obligations non contractuelles (dit règlement « Rome II »).
La proposition prévoit d’instaurer une règle générale de rattachement et des

règles spéciales, notamment en matière de concurrence déloyale, diffamation,
propriété intellectuelle.
Le critère général est posé à l’article 4.1 : « la loi applicable à l’obligation non
contractuelle est celle du pays ou le dommage survient, quel que soit le pays ou le
fait générateur du dommage se produit et quels que soient le ou les pays dans
lesquels des conséquences indirectes de ce fait surviennent ».
La loi applicable à la responsabilité extra-contractuelle est la loi du pays « où le

dommage survient », ou est « susceptible de survenir » directement (règl. Rome II,
art. 4.1 ; art. 2.3, b).
La détermination de la loi applicable aux délits de l’internet. L’absence de règle

particulière régissant les délits commis sur l’internet conduit à l’application de la
règle générale de l’article 4 : est applicable la loi du lieu de survenance du
dommage. Cette règle peut se révéler inopportune sur l’internet pour plusieurs
raisons.
La pluralité des lieux de survenance des dommages de l’internet. D’abord, sur

l’internet, le dommage se diffuse dans une multitude d’Etats. Dès lors, il y aura
autant de lois applicables que de pays dans lesquels le dommage survient, ce qui
cause des difficultés de réparation141. L’éclatement de la loi applicable remet en
cause l’unité que l’on a cherché à mettre en place. Il s’agit là d’un point faible du
140
. Cass., 25 mai 1948, lautour c/ VveGuiraut, Rev. Crit. DIP 1949, p. 89.
141
. Voir N. JOUBERT, « Les règles de conflit spéciales en matière de délits dans le règlement du 11
juillet 2007 (Rome II) », in Le règlement communautaire « Rome II » sur la loi applicable aux obligations
non contractuelles, Actes du colloque du 20 septembre 2007, Dijon, (organisé par la) CREDIMI-CNRS
UMR 5598, université de Bourgogne, dir. S. CORNELOUP et N. JOUBERT, Litec, 2008.
113
142 143
système . D’aucuns considèrent même que le règlement Rome II, examiné
sous l’angle du commerce électronique, dans l’impression d’une insuffisante
réflexion sur l’ubiquité inhérente à l’internet. Le règlement a préféré faire le choix
d’une sévérité à l’égard des acteurs de l’internet : en matière délictuelle, ils sont
exposés à une multitude de lois.
Le règlement permet toutefois d’écarter la loi du dommage mais dans certaines

circonstances seulement. D’abord, au profit de la loi du pays ou le responsable
prétendu et la personne lésée avaient tous deux, au moment de la survenance du
dommage, leur résidence habituelle (art. 4.2 du règlement Rome II). De plus, il est
possible d’écarter la loi du lieu de survenance du dommage au profit de la loi du
pays avec lequel « le fait dommageable présente des liens manifestement plus
étroits », en comparaison avec le pays du dommage ou celui dans lequel le
parties ont leur résidence habituelle (art. 4.2 règlements Rome II). Il est donc
possible dans ce dernier cas de faire jouer la clause d’exception au profit de la loi
du lieu du fait dommageable.
Ces difficultés pourront enfin être évitées si les parties se mettent d’accord pour
choisir la loi applicable, comme elles y sont autorisées (art. 14 règlements Rome
II), sans toutefois pouvoir échapper aux lois de police (art. 16).
Par ailleurs, la jurisprudence de la cour de justice donne aussi des éléments de

réponse. L’arrêt Fiona shevill144 rendu le 7 mars 1995 distingue le tribunal du fait
générateur, qui possède une compétence générale pour traiter de l’ensemble du
dommage, et les tribunaux des lieux de réalisation des différents dommages qui
n’ont qu’une compétence spéciale, limitée à la part du dommage réalisé sur leur
territoire.
La localisation du dommage sur l’internet. Une autre difficulté apparait-pour les

délits de l’internet quant à la localisation du dommage. Plusieurs méthodes
peuvent être utilisées mais le règlement Rome II ne précise pas celle à mettre en
142
. Voir E. LOQUIN, « discussions », in Le règlement communautaire « Rome II » sur la loi applicable
aux obligations non contractuelles, op. cit., p. 107.
143
. M.-E. ANCEL, « Un an de droit international privé du commerce électronique », Comm. Com. électr.,
janv. 2008, chron. 1.
144
. CJCE, 7 mars 1995, aff. C-68/93, Fiona Shevill, Rec. I, p.415. Pour une analyse de la comptabilité de
l’arrêt Cristal avec l’arrêt Fiona Shevill, voir M.-E.ANCEL, « Contrefaçon de marque sur un site web :
quelle compétence intracommunautaire pour les tribunaux français ? », in Etude à la mémoire de
Linant de Bellfonds, Litec, 2007, p. 1 et s.
114
œuvre, ce qui est regrettable. Sur l’internet, le lieu du dommage peut être : celui de
la connexion effective au réseau, celui à partir duquel il est possible d’accéder au
réseau (simple accessibilité), ou encore spécialement visé comme destinataire
par application de la théorie de la focalisation145. Une règle spécifique ou pour le
moins la précision de la méthode à faire valoir aurait permis d’éviter des
difficultés d’interprétation en jurisprudence.
Les règles spéciales applicables aux délits de l’internet. En outre, le règlement

Rome II prévoit des règles de rattachement spécifiques à certains types de délits,
susceptibles d’être commis sur l’internet. La question de la loi applicable aux
atteintes à la vie privée et aux droits de la personnalité (y compris la diffamation)
a finalement été exclue du champ du règlement. Cette question reste donc
soumise aux règles nationales de droit international privé de chaque Etat membre.
En revanche, la concurrence déloyale et la propriété intellectuelle font l’objet de
règles spéciales.
L’article 6, qui précise plus qu’il n’écarte le rattachement général, concerne la loi
applicable à la concurrence déloyale et aux actes restreignant la libre
concurrence146. Par principe, il faudra appliquer la loi du pays « sur le territoire
duquel les relations de concurrence ou les intérêts collectifs des consommateurs
sont affectés ou susceptibles de l’être » (art. 6.1 règlement Rome II, pour la
concurrence déloyale) ou du pays « dans lequel le marché est affecté ou
susceptible de l’être » (art. 6.3, a règlement Rome II, pour les restrictions à la libre
concurrence). En d’autres termes, sera compétente la loi du marché affecté, ou
des marchés affectés (et l’on retrouve donc, sous-jacente, la compétence de la loi
du pays ou le dommage direct est subi). « A nouveau, la responsabilité cyber-
délictuelle se trouve exposée à l’application de différentes lois si plusieurs
marchés sont affectés »147.
145
. O. CACHARD, op. cit. ; V. PIRONON, Dits et non-dits sur la méthode de la focalisation dans le
contentieux-contractuel et délictuel- du commerce électronique », JDI 2011, p. 915 ; V. PIRONON, « Les
nouveaux défis du droit international privé : site actif, site passif, activité dirigée ? », in Les nouveaux
défis du commerce électronique, dir. J. ROCHFELD, LGDJ Lextenso éditions, 2010, p. 93.
146
. Voir V. PIRONON, « l’entrée du droit de la concurrence dans le règlement « Rome II » : bonne
mauvaise idée ? », Europe, n° 2, févr. 2008, étude 2 : A.-M. LUCIANI, « Regards critiques sur l’article 6
du règlement ‘’Rome II’’ relatif à la loi applicable à la concurrence déloyale et aux actes restreignant la
libre concurrence », JCP E n° 48, 27 nov. 2008, 2428.
147
. M.-E. ANCEL, « Un an de droit international privé du commerce électronique », Comm. Com. électr.,
janv. 2008, chron. 1.
115
La loi applicable à la contrefaçon. S’agissant de la contrefaçon, le règlement
reprend principe « universellement reconnu » de la lex loci protectionis, qu’il
formule en ces termes : la loi applicable est « celle du pays pour lequel la
protection est revendiquée » (art. 8.1 Règlement Rome II). Cette règle échappe à
l’influence de l’article 4, ce qui est logique puisqu’il s’agit d’une règle spéciale qui
déroge à la règle générale. Il est en revanche plus surprenant que la règle de
l’article 8 ne puisse pas subir le jeu de l’article 14 qui donne la possibilité aux
parties de choisir leur loi, alors que, en ce qui concerne la contrefaçon, les parties
disposent librement de leurs droits. Dès lors, il ne pourra en aucun cas être
dérogé à la règle de l’article 8.
La loi applicable à la contrefaçon sur l’internet : lex loci protectionis. Pour les
litiges de l’internet, est applicable la loi du pays ou le titulaire des droits subit
l’exploitation de sa marque ou de son œuvre par autrui. N’est donc pas applicable
la loi du pays pour lequel la protection est demandée. La solution est déjà
conforme à ce qui se pratique en France.
S’agissant du droit d’auteur, l’article 8.1 du règlement Rome II risque toutefois de

rester le plus souvent lettre morte. En effet, le règlement laisse s’appliquer les
conventions internationales antérieures qui lient des Etats membres et des Etats
tiers et qui contiennent des règles conflit de lois (art. 28.1 règlement Rome II). Tel
est précisément le cas de la convention de Berne, qui lie, directement, plus de
cent soixante Etats et, indirectement, tous ceux qui ont ratifié l’accord ADPIC
élaboré en 19994 dans le cadre de l’OMC, afin de protéger les œuvres ayant pour
« pays d’origine » un de ces Etats. Toutefois, la convention de Berne pour la
protection des œuvres littéraires et artistiques du 9 septembre 1886 consacre la
même solution (art. 5.2) que le règlement Rome II : « (2) La jouissance et
l’exercice de ces droits ne sont subordonnés à aucune formalité ; cette jouissance
et cet exercice sont indépendants de l’existence de la protection dans le pays
d’origine de l’œuvre. Par suite, en dehors des stipulations de la présente
Convention, l’étendue de la protection ainsi que les moyens de recours garantis à
l’auteur pour sauvegarder ses droits se règlent exclusivement d’après la
législation du pays ou la protection est réclamée ».
En 2012, la première chambre civile a eu à se prononcer sur la violation du droit
116
148
d’auteur portant sur des photographies par le service Google Images . La cour
décide que conformément à l’article 5.2 de la convention de Berne qui postule
l’application de la loi de l’Etat ou la protection est réclamée (lex protectionis), la loi
française doit s’appliquer. En l’espèce, l’auteur réclame en France, la protection de
son droit d’auteur, à la suite de la constatation de la violation de son droit en
France, par un hébergeur français (Aufeminin.com), d’une photographie
contrefaisante mise en ligne pour le public français sur le site de Google Images
par le service des sociétés Google Inc. et Google France et accessible par les
adresses URL en « .fr ». La loi française est alors applicable dans la mesure où les
lieux de destination et de réception des services Google Images et de connexion à
ceux-ci caractérisent un « lien de rattachement substantiel avec la France ». La
première chambre civile confirme ici l’application de l’article 5.2 de la convention
de Berne, interprétée en France comme une règle de conflit de lois, lors même
que ne soit pas absolument sure de sa nature. Mais en retenant « la loi dont la
protection est réclamée », la cour devait encore préciser ce qu’il faut entendre par
la lex protectionis. Confirmant la décision d’appel149, elle décide qu’il s’agit du
« lieu de destination et de réception des services Google Images et de connexion
à ceux-ci ». En l’espèce, les lieux de destination et de réception étant situés en
France, ils caractérisent un lien de rattachement substantiel avec ce pays,
justifiant l’application du droit français.
Ce faisant, la première chambre civile remet en cause sa décision rendue dans

l’arrêt Waterworld150 lors d’une contrefaçon hors ligne. Elle avait alors décidé que
la lex protectionis est la loi du lieu des agissements délictueux, ce qui, appliqué à
une cybercontrefaçon et en l’espèce, aurait conduit à retenir la loi américaine151.
Dans cette affaire Google Images, en première instance, le Tribunal de grande
instance de Paris152 avait trouvé une autre parade pour contourner cette solution
en décidant que « le pays sur le territoire duquel se sont produits les agissements
délictueux, tel que le revendiquent les sociétés Google, et qui en l’espèce se
148
. Cass. 1re civ., 12 juill. 2012 pourvois n°11-15.165 et 11-15.188.
149
. CA Paris, 4 février.2011, André R c/ Google ; Propr. Intell. 2011, n° 39, p.201, obs. A. Lucas ; M.-E.
ANCEL, Un an de droit international privé du commerce électronique », Comm. Com. électr., n° 1, janv.
2012, chr. 1.
150
. Cass. 1re civ. ; 30 janv.2007, pourvoi n° 03-12.354 ; Comm. Com. électr. 2008, chr. 1, n° 4).
151
. Pour une mise en œuvre de cette solution, voir : TGI Paris, 3e ch., 1ere sect., 20 mai 2008, SAIF c.
SARL Google, Sté Google Inc, Comm. Com. électr. 2009, chr. 1.
152
. TGI Paris, 3e ch., 2e sect., 9 oct. 2009, André R. c/ Google ; M.-E. ANCEL, « Un an de droit
international privé du commerce », Comm. Com. électr., n° 1, janv. 2010, chr. 1.
117
confond avec le lieu du fait dommageable, est la France ». Les juges ont alors
confondu les agissements délictueux et le dommage subi. Ainsi, les termes de
l’arrêt Waterworld étaient repris mais en caractérisant différemment les
agissements délictueux », se manifestent par l’affichage sur un site destiné au
public français de l’œuvre litigieuse, soit le dommage subi. On constate donc
alors un glissement des notions pour ne pas dire des solutions. Les cours d’appel
et de cassation retiennent finalement le « lieu de destination et de réception », ce
qui correspond au lieu où le dommage est subi et évite de soumettre le litige au
lieu où les agissements délictuels sont organisés. On peut dès lors considérer
que la première chambre civile a entendu les critiques de la doctrine153 sur les
risques de la solution Waterworld transposée à la contrefaçon en ligne, ce dont
on peut se réjouir.
Mais pour autant, sans doute ne faut-il pas non plus que la loi française soit trop
extensive. Remarquons d’abord que, en matière pénale, alors que la compétence
des juridictions françaises est couplée avec celle de la loi applicable, la chambre
criminelle a limité l’application de la loi française en cas d’atteinte aux droits
d’auteur sur l’internet154. En particulier, elle refuse une application trop large de la
compétence passive personnelle fondée sur l’article 113-7 du code pénal, selon
lequel la loi pénal française est applicable lorsque l’infraction a été commise à
l’étranger mais que la victime est française. Elle décide ainsi que la lex
protectionis (Conv. Berne, art. 5 S 2) désigne la loi du pays de l’Etat sur le territoire
duquel se sont produits les agissements délictueux et non celle du pays ou le
dommage a été subi. La solution parait alors contraire à celle rendue en l’espèce
par la première chambre civile, et reprendre la décision Waterworld, mais il faut se
souvenir qu’elle a été rendue en matière pénale, en présence d’une compétence
passive universelle, donc sur un fondement différent. En outre, il s’agit de la
contrefaçon d’un article d’un journaliste ayant été traduit en italien. La cour de
cassation souligne clairement que « l’atteinte portée aux droits d’auteur a eu lieu
hors du territoire national ». Et de ce point de vue, si on rapproche la solution du
droit pénal de celle rendue en droit civil, on peut se dire que la première chambre
153
. V.M.-E. ANCEL, op. cit.
154
. CAass. Crim., 29 nov. 2011, pourvoi n° 09-88.250 ; E. DREYER, « La multiplication des infractions
sur internet conduit la cour de cassation à réduire la compétence de la loi pénale française », JCP G 27
févr. 2012, note n° 248.
118
aurait pu rendre une décision identique au fond, si elle avait eu à juger des mêmes
faits. Aussi, ne faut-il sans doute pas s’arrêter seulement aux critères de
rattachement retenus par la cour de cassation (lieu des agissements délictueux ;
lieu du dommage subi ; lieu de destination et de réception) pour considérer aussi
leur interprétation et mis en œuvre.
L’application au fond de la loi désignée en cas de contrefaçon sur l’internet. Pour

un droit de propriété industrielle français, la loi française est applicable : la
territorialité du titre emporte la compétence du droit local, même quand la
contrefaçon sera réalisée via l’internet155. Aussi n’y a-t-il pas de conflit de lois.
En revanche, au stade de l’application de la loi française et de la caractérisation

(ou non) de la contrefaçon sur le territoire français, la jurisprudence requiert que
la représentation du droit protégé « vise le public de France ».
Le juge français a ainsi pu s’estimer compétent et désigner la loi française

comme étant applicable, au titre de la loi du lieu où la protection de la marque
diffusée sur l’internet est réclamée. Pour autant, les juges ont fait application du
critère de l’activité dirigée » pour décider s’il s’agit d’une contrefaçon ou non. Dans
un arrêt Hugo Boss, la chambre commerciale de la cour de cassation156 constate
que « les produits en cause ne sont pas disponibles en France », aussi « la cour
d’appel en a exactement conclu que ce site ne saurait être considéré comme
visant le public de France ». Dès lors, « l’usage des marques ‘’Boss’’ dans ces
conditions ne constitue pas une infraction à l’interdiction prononcée par jugement
du 23 juin 2000 ».
Autrement dit, l’usage des marques Boss ne constitue pas une contrefaçon. La loi
française, lex loci protectionis, est applicable à une marque française, mais la
contrefaçon doit ensuite être vérifiée au fond.
De même, dans l’arrêt Nutri-Riche, la première chambre civile157 décide que le site
155
. Par ex. : TGI , réf., 11 juill. 2007, Hamon c/ Abel Quality Products, préc. : l’application de la loi
française n’est pas discutée.
156
. Cass. Com., 11 janv. 2005, n°02-18.381, ST2 Hugo Boss c/ Sté Reemtsmacigarettenfabriken
GMBH : jurisdata n° 2005-026462 ; JCP G 2005, II, 10055, note C. CHABERT ; JCP E 2005, II, 571, note
C. CASTETS-RENARD ; C. CARON, Comm. Com. électr. 2005, comm. 37 ; Propr. Intell. 2005, p. 203,
obs. X. BUFFET DELMAS D’AUTANE ; J. LARRIEU, Propr. Industr. 2005, étude 9.
157
. Cass. 1re Civ., 10 juillet, 2007, n° 05-18.571, sté Buttress BV c/ Snc L’Oréal produits de luxe France,
jurisData n° 2007-040140, D. 2007, p. 2112, obs. J. DALEAU ; JCP G 2007, II, 10161 (2e esp.), note C.
CHABERT ; C. CARON, Comm. Com. électr. 2007, comm. 119 ; RLDI 2007 n° 30, n° 997, obs. L. Costes ;
119
de la société Lancôme peut présenter, sans risquer la contrefaçon, une marque
protégée par autrui en France parce que les pages, ou figure cette marque se
trouvent dans la rubrique « autres pays » et parce qu’il ressort que les produits
revêtus de cette marque ne sont ni offerts à la vente, ni disponibles en France. La
cour de cassation approuve les juges d’appel d’avoir jugé que « la mention sur le
site internet, bien qu’accessible par les internautes depuis ce pays, ne saurait être
considérée comme visant le public de France, et constituer un acte d’exploitation
sur le territoire français ». Dans cette affaire, la cour de cassation s’est fondée sur
les règles matérielles du droit français des marques.
La cour d’appel de Paris158 reprend le même raisonnement pour la reproduction

sur un site à suffixe « mc » (pour Monaco) de la marque Ferrari et de modèles
déposés par le constructeur automobile italien, afin de présenter des voitures
miniatures, des blousons et autres produits. Cette reproduction constitue des
actes de contrefaçon en direction de la France, même si le site litigieux ne permet
pas de commander en ligne lesdits produits (site passif). Peu importe qu’il
s’agisse d’un site passif, dès lors que le site était rédigé en langue française, les
prix annoncés en francs français et qu’il n’avertissait pas que les produits
présentés n’étaient pas disponibles en France. La cour d’appel déduit de ces
éléments que le public français était visé, bien que le site ne soit pas marchand
(pas un site actif). Mais a contrario, la cour d’appel ne s’est pas contentée de la
simple accessibilité au site depuis la France pour caractériser la contrefaçon, ni
de l’applicabilité de la loi française pour déduire au fond la contrefaçon. Au
contraire, elle a recherché les éléments de fait concrets pour déduire que le public
français était visé.
En définitive, sur le fond du droit, l’intention de l’éditeur du site de s’adresser au

public français constitue le critère décisif. La caractérisation de cette intention
relève de la technique du « faisceau d’indices » et présente l’intérêt de laisser à
l’éditeur la possibilité d’exclure les clients de France et donc d’éviter une
condamnation sur le fond, tout cela en conformité avec le droit français des
marques. La distinction site actif et site passif n’a plus lieu d’être puisqu’elle n’est
RLDI 2007 n°31, n°1024, obs. E. TARDIEU-GUIGNES ; JCP E 2007, 2269, note j. Passa ; M. MALAURIE-
VIGNAL, Contrats, conc. Consom. 2007, comm. 275.
158
. CA Paris, 4e ch. B., 23 mars 2007, SPA Ferrari c/ A. Brice, JurisData n° 2007-340740, JCP G 2007, II,
10161 (1e esp.), note C. CHABERT ; Propr. Intell. 2007, p. 482, obs. P. DE CANDE.
120
plus déterminante dans l’application du droit désigné par la règle de conflit de lois.
Il serait donc souhaitable d’abandonner définitivement cette distinction, encore
utilisée en jurisprudence, mais de nature à complexifier inutilement l’interprétation.
La recommandation de l’OMPI. Une recommandation commune concernant la

protection des marques et autres droits de propriété industrielle relatifs à des
signes sur l’internet a été prise dans le cadre de l’OMPI le 3 octobre 2001.
L’harmonisation des solutions serait naturellement plus facile à trouver si cette
recommandation était suivie. Notamment, l’article 2 de cette proposition pose en
principe que « l’utilisation d’un signe sur l’internet est assimilée à l’utilisation de ce
signe dans un Etat membre sous réserve que cette utilisation ait des incidences
commerciales dans cet Etat dans les conditions indiquées à l’article 3 ». En outre,
l’article 4 invite à prendre en compte la bonne ou mauvaise foi dans l’utilisation du
signe.
Hormis les règles spécifiques issues du règlement Rome II, propres à certaines
matières, d’autres textes communautaires ont posé des règles spéciales pour
déterminer la loi applicable en certaines circonstances.
La portée des injonctions. Les questions de compétence et de lois applicables

entraînent, une fois résolues, celles de la portée des injonctions qu’un juge
compétent en matière de contrefaçons peut prononcer. Dans un important arrêt
DHL159, la cour de justice a précisé que l’injonction prononcée par un juge peut
avoir des effets extra-territoriaux. La cour de justice s’est livrée à une
interprétation européenne de l’interdiction d’utiliser la marque sous astreinte, sur
le fondement du règlement n° 40/94 sur la marque communautaire. La cour lie la
portée de l’injonction avec celle de la compétence du juge mais aussi de l’étendue
du droit auquel il est porté atteinte (pt 33). Sur la question de la compétence du
juge, par interprétation du règlement n° 40/94, la cour de justice estime que la
compétence du juge national peut s’étendre à l’ensemble du territoire de l’Union
européenne. Il s’agit là d’une portée maximum qui pourra être réduite selon
l’atteinte effectivement portée aux droits du titulaire de la marque (pt 46).
S 3 : Les règles spécifiques de désignation de la loi applicable
Des textes communautaires destinés à régir certaines matières applicables à

159
. CJUE, 12 avr. 2011, aff. C-235/09, aff. DHL c/ Chronopost.
121
l’internet ont posé des règles propres de détermination de la loi applicable aux
traitements de données à caractère personnel (I), ainsi que celle concernant les
services de la société de l’information (II).
I. La désignation de la loi applicable aux traitements de données à caractère

personnel (art. 4 directive 1995/46/CE sur les données personnelles.
L’exclusion du Règlement Rome II. Le règlement (CE) n° 864/2007 du Parlement

européen et du conseil du 11 juillet 2007, applicable aux obligations non
contractuelles (« Rome II »), exclut de son champ d’application les obligations qui
découlent d’atteintes à la vie privée et aux droits de la personnalité art. 1er, 2, g).
Dès lors, seule la directive 95/46/CE sur la protection des données à caractère
personnel peut être invoquée si l’atteinte à la vie privée implique une donnée
personnelle. Cette directive pose une règle de conflit de lois à l’article 4.
L’exclusion de la matière pénale. Le considérant 21 de la directive exclut toutefois

la matière pénale. Il précise que « la présente directive ne préjuge pas des règles
de territorialité applicables en matière de droit pénal ». Or, la violation d’un certain
nombre de règles relatives à la collecte de données sensibles, ainsi que le défaut
de mentions légales d’information des personnes dont les données sont
collectées, est pénalement sanctionnée. Dès lors, la loi française a vocation à
s’appliquer au-delà du territoire national. Des conflits de lois redeviennent
possibles.
L’article 4 de la directive 95/46/CE, règle de conflit. L’article 4 de la directive

95/46/CE sur la protection des données à caractère personnel est relatif au droit
national applicable.
En ce qui concerne les situations au sein de la Communauté, l’objectif de la

directive est double : éviter les lacunes juridiques (ou ne s’applique aucune
législation en matière de protection des données) et éviter l’application double/
multiple des lois nationales. Étant donné que la directive s’emploie à définir le
droit applicable et définit dans cette optique un critère susceptible de résoudre
chaque cas de figure, la directive elle-même remplit le rôle d’une « règle de
conflit » et rend inutile tout recours à d’autres critères de droit international privé.
L’article 4 dispose :
122
« 1. Chaque Etat membre applique les dispositions nationales qu’il arrête en vertu
de la présente directive aux traitements de données à caractère personnel
lorsque :
a) Le traitement est effectué dans le cadre des activités d’un établissement du

responsable du traitement sur le territoire de l’Etat membre ; si un même
responsable du traitement est établi sur le territoire de plusieurs États
membres, il doit prendre les mesures nécessaires pour assurer le respect, par
chacun de ses établissements, des obligations prévues par le droit national
applicable ;
b) Le responsable du traitement n’est pas établi sur le territoire de l’Etat membre

mais en un lieu où sa loi nationale s’applique en vertu du droit international
public ;
c) Le responsable du traitement n’est pas établi sur le territoire de la

communauté et recourt, à des fins de traitement de données à caractère
personnel, à des moyens, automatisés ou non, situés sur le territoire dudit Etat
membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le
territoire de la communauté ».
2. Dans le cas visé au paragraphe 10point c), le responsable de traitement doit

désigner un représentant établi sur le territoire dudit Etat membre, sans préjudice
d’actions qui pourraient être introduites contre le responsable du traitement lui-
même ».
Ainsi, le droit national applicable est celui de l’Etat membre sur le territoire duquel
le responsable, du traitement a son établissement. L’article 5 de la loi du 6 janvier
1978 prévoit, en conséquence, son application aux traitements du responsable
établi en France.
La directive prévoit aussi que « si un même responsable du traitement est établi

sur le territoire de plusieurs États membres, il doit prendre les mesures
nécessaires pour assurer le respect, par chacun de ses établissements, des
obligations prévues par le droit national applicable ». Plusieurs législations
doivent donc être respectées en cas de multiplicité de localisation des
établissements. La loi française étend son application aux traitements utilisant
123
des moyens établis en France.
Le principe du pays d’origine. L’application du principe du pays d’origine est

justifiée dans un marché interne ou les lois nationales en matière de protection
des données offrent des protections équivalentes grâce à leur harmonisation. De
cette manière, le principe du pays d’origine qui constitue en quelque sorte une
restriction du champ d’application des mois des États membres en matière de
protection des données, ne comporte aucun effet contraire sur les droits et les
intérêts des individus. En effet, même si les lois des Etats membres ne sont pas
applicables à tous les processus de traitement impliquant des sujets de données
nationaux ou se déroulant sur le territoire national, le fait que la loi d’un autre Etat
membre soit applicable présente un impact très limité, puisque les deux lois sont
harmonisées par la directive et donc équivalentes. En outre, la coopération entre
les autorités nationales de protection des données garantit la confiance,
l’assurance et l’application effective du droit, quelle que soit la loi applicable.
La notion d’établissement. Le critère retenu est le « lieu d’établissement du

responsable du traitement » ou en d’autres termes, le principe du pays d’origine
habituellement appliqué sur le marché intérieur.
La notion d’établissement détermine donc la loi nationale applicable au sein de

l’union européenne160. Le considérant 19 de la directive précise ce que cette
notion d’établissement recouvre. Elle « suppose l’exercice effectif et réel d’une
activité au moyen d’une installation stable ». En revanche, sa forme juridique, qu’il
s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique,
importe peu.
Cette conception est conforme à la jurisprudence de la cour de justice, retenue

dans d’autres domaines, notamment en droit de la concurrence. Dès lors, la
localisation des équipements n’aura d’influence sur la détermination de la loi
applicable que lorsque l’établissement sera situé hors du territoire de l’Union
européenne161.
Ces dispositions doivent permettre d’exclure en principe, tout conflit entre les lois
160
. P. LECLERCQ, « Loi du 6 aout 2004. Les transferts internationaux de données personnelles »,
Comm. Co. Electr., n° 2, févr. 2005. Etude 8.
161
. Ibid.
124
nationales au sein de l’union. Plus précisément, aucune considération d’un ordre
public purement national ne semble, a priori, pouvoir être opposée par les
juridictions d’un Etat membre de l’Union européenne à l’application de la
législation d’un autre Etat membre.
Les opérations de traitement dans un Etat tiers. La situation est naturellement

différente en ce qui concerne les opérations de traitement impliquant un
responsable du traitement établi dans un pays tiers. Les lois nationales de ces
pays tiers ne sont pas harmonisées et la directive ne leur est pas applicable. Dès
lors, la protection des personnes sur le plan su traitement de leurs données
personnelles peut être absente ou lacunaire. Dans ce contexte, le principe du pays
d’origine n’est plus un critère de rattachement satisfaisant.
Le parlement européen et le conseil ont décidé de reprendre un des facteurs

classiques de lien du droit international, à savoir le lien physique entre l’action et
un système légal. Le législateur européen a choisi le pays sur lequel est situé
l’équipement utilisé. La directive s’applique par conséquent lorsque le
responsable du traitement n’est pas établi sur le territoire de l’union, mais décide
de traiter à des fins spécifiques des données et utilise les moyens, automatisés
ou non, situés sur le territoire d’un Etat membre.
L’application à l’internet. L’article 4 dispose que « 1. Chaque Etat membre

applique les dispositions nationales qu’il arrête en vertu de la présente directive
aux traitements de données à caractère personnel lorsque :
d) Le responsable du traitement n’est pas établi sur le territoire de la

communauté et recourt, à des fins de traitement de données à caractère
personnel, à des moyens automatisés ou non, situés sur le territoire dudit Etat
membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le
territoire de la communauté ».
La difficulté est que la directive ne définit pas « les moyens »mis en œuvre
pour permettre le traitement des données ni le fait de « faire usage de
moyens ». Le Groupe G29 qui est l’organe communautaire indépendant et à
caractère consultatif sur la protection des données et de la vie privée prône
une approche prudente dans son document de travail dit WP 56, en date du 30
mai 2002, sur l’application internationale du droit de l’UE en matière de
125
protection des données à caractère personnel sur l’internet par des sites web
établis en dehors de l’UE.
Le Groupe estime que toutes les interactions entre un utilisateur de l’internet

établi dans l’Union européenne et un site web hors UE n’aboutissent pas
nécessairement à l’application de la loi européenne en matière de protection
des données. Le groupe de travail a estimé que les moyens devraient être à la
disposition du responsable hors du traitement à caractère personnel. En outre,
il n’est pas nécessaire que le responsable du traitement exerce un contrôle
total sur les moyens. Le responsable du traitement dispose de ces moyens
dans une mesure avec laquelle ces moyens fonctionnent, prend les décisions
adéquates concernant la nature des données et leur traitement. En d’autres
termes, le responsable détermine quelles données sont collectées, stockées,
transférées, etc., de quel manière et dans quel but.
Le groupe de travail considère que la notion de « faire usage » présuppose

deux éléments : un certain type d’activité entreprise par le responsable et son
intention de traiter des données à caractère personnel. Ceci n’implique pas
que tout « usage »de « moyens » à l’intérieur de l’UE mène à l’application de la
directive.
L’exemple des données traitées par des moteurs de recherche. Une

ordonnance de référée du Tribunal de grande Instance de Paris en date du 14
avril 2008 apporte des précisions sur la question du traitement des données
personnelles par les moteurs de recherche162. Dans cette affaire, une
internaute se plaint du fait que certaines informations à caractère personnel
aient été stockées par une société prestataire de services de liens
commerciaux, sans respecter les dispositions de la loi française du 6 janvier
1978, notamment sans qu’elle puisse s’opposer à l’usage de ses données.
Cependant la loi française ne s’applique, à défaut d’établissement sur le

territoire français du responsable du traitement des données personnelles,
que dans la mesure où des moyens de traitement ont été mis en œuvre sur le
territoire. Or, les services du prestataire en cause, aussi bien que le moteur de
162
. TGI Paris, ord. Réf., 14 avril 2008, n° 08/52010, Bénédicte S. c/ Google Inc, Jurisdata : 2008-
001913, legalis.net. voir J. LACKER, « Google sage comme une image ? ou l’application du droit
américain à un site à destination du public français », RLDI, oct. 2008, n° 42, p. 19.
126
recherche général, sont administrés par la société basée aux États-Unis, la
société du prestataire en France n’ayant pas pour mission d’administrer les
services proposés en France Américaine.
Le rejet de la qualification de l’article 4 comme loi de police. Le Tribunal

apporte une précision essentielle en refusant de qualifier la loi de police la loi
de 1978. Elle considère que l’application nécessaire qui en découlerait n’est
pas justifiée, en considération du champ d’application restrictif de ce texte. Le
fait que le défaut de respect de certaines dispositions de la loi de 1978 soit
pénalement sanctionné ne permet pas d’évidence de retenir le caractère
impératif de son application à la situation visée.
On peut émettre quelques regrets devant cette affirmation à l’égard d’une loi
destinée à permettre aux citoyens français de maîtriser leurs données à
caractère personnel sur les réseaux, surtout si on se reporte à la définition
d’une loi de police au sens du droit communautaire, telle que donnée par la
Cour de justice. Il s’agit d’une « disposition nationale dont l’observation est
jugée cruciale pour la sauvegarde de l’organisation politique, sociale ou
économique de l’Etat au point d’en imposer le respect à toute personne se
trouvant sur le territoire ou à tout rapport juridique localisé dans celui-ci »163.
Les dispositions protectrices des données personnelles et touchant à la vie
privée des internautes auraient mérité plus d’explications.
Le rejet de l’exception d’ordre public. En outre, les juges décident que la loi
américaine a vocation à s’appliquer en tant que loi du fait générateur du
dommage allégué, soit l’archivage des messages. En outre, les messages
litigieux ont été diffusés par l’auteur en langue anglaise principalement à
destination d’internautes résidant aux États-Unis d’Amérique. La
demanderesse oppose encore l’exception d’ordre public, au sens où l’entend le
droit international privé, qui imposerait l’application de la loi française. Mais la
^protection qu’assure la loi américaine aux personnes dont les données à
caractère personnel sont collectées et satisfaisante. La protection des
données à caractère personnel, dont le principe est inscrit dans la constitution
de l’Etat de Californie, est assurée par un ensemble de règles sectorielles. On
163
. CJCE, 23 nov. 1999, aff. C-369/96, Arblade, Rec. CJCE 1999, I, p. 845 ; Rev. Crit. DIP 2000, p. 710,
note M. FALLON.
127
ne saurait invoquer la contrariété de cette loi à la conception française de
l’ordre public international. Le tribunal souligne en outre « l’adhésion de la
société Google Inc. aux principes de « Safe Harbor »- traduit par « Sphère de
Sécurité » par la CNIL- dispositif résultant d’un accord souscrit dans le cadre
des dispositions des articles 68 et 69 du 6 janvier 1978, correspondant aux
articles 25 et 26 de la directive. Ce procédé révèle que des données
personnelles correspondant à des personnes physiques ressortissantes
d’Etats membres de l’Union européenne lui sont transférées. Rien n’est
toutefois précisé sur la durée de conservation des données collectées ni sur
leurs modalités de suppression.
Sur la compétence du juge des référés, il est décidé que dans le mesure ou la
demanderesse dispose d’un service en ligne lui permettant de supprimer les
messages archivés et de demander à ne pas archiver les messages envoyés,
le trouble qu’elle invoque n’apparaît pas manifestement illicite et le droit
invoqué à indemnisation n’est pas sérieusement contestable. Il n’y a, dès lors,
pas lieu à référé.
L’avis WP 148 du G29 du 4 avril 2008. L’avis 1/2008 du Groupe G29 sur les
aspects de la protection des données liés aux moteurs de recherche (WP 148)
adopté le 4 avril 2008 précise, s’agissant de la prestation de services de
moteur de recherche à partir d’un lieu situé en dehors de l’UE, que des centres
de données situés sur le territoire d’un Etat membre peuvent servir au
stockage et au traitement à distance de données à caractère personnel. En
outre, d’autres types de moyens pourraient être l’utilisation d’ordinateurs
personnels, de terminaux et de serveurs. L’utilisation de « cookies » et de
logiciels similaires par un prestataire de services en ligne peut également être
considérée comme un recours à des moyens situés sur le territoire d’un Etat
membre, entraînant ainsi l’application de son droit de la protection des
données. Dans toutes ces hypothèses, le traitement de données personnelles
pourra être considéré comme réalisé sur le territoire de de l’union européenne.
Plus précisément s’agissant des activités des moteurs de recherche, la notion

d’établissement implique l’exercice effectif et réel d’une activité stable et doit
être établie conformément à la jurisprudence de la Cour de justice des
128
164
communautés européennes . La forme juridique de l’établissement (bureau
local, filiale possédant la personnalité juridique ou une agence tierce) n’est pas
déterminante. L’avis souligne que l’établissement doit jouer un rôle significatif
dans l’opération du traitement : « c’est manifestement le cas si :
-un établissement est chargé des relations avec les utilisateurs du moteurs de
recherche dans une juridiction donnée ;
- un fournisseur de moteur de recherche établit un bureau dans un Etat

membre (EEE) qui joue un rôle dans la vente de publicités ciblées aux
habitants de cet Etat ;
-l’établissement d’un fournisseur de moteur de recherche se conforme aux

décisions des tribunaux et/ou répond aux demandes d’application de la loi des
autorités compétentes d’un Etat membre à l’égard des données d’utilisateur ».
Or, les conditions d’utilisation du service Google Groupes, objet du litige

précédemment évoqué dans l’ordonnance du référé du 14 avril 2008, renvoient
à Google Inc., à une loi californienne et au Digital Millenium Act il n’est en
revanche pas question de Google France, ni du droit français, ni même du droit
communautaire. Or, on peut émettre quelques doutes sur la pertinence de
cette exclusion car même si la société Google France est dénuée de pouvoirs
d’administration des services, elle est un établissement représentant les
intérêts de Google Inc. sur le territoire français et est en relation avec les
utilisateurs des services de Google. Cela ne suffit pas aux yeux du juge pour
constituer un établissement situé sur le territoire de l’union européenne, ce qui
prouve l’efficacité de l’organisation de la société Google. Un tel constat
appelle une modification de la directive de 1995 pour mieux appréhender la
réalité de l’internet aujourd’hui.
La directive sur le commerce électronique contient également une disposition

de nature à préciser la loi applicable aux services de la société de l’information.
II. La désignation de la loi applicable aux services de la société de

l’information (art. 3 directive 2000/31/CE sur le commerce électronique).
164
. CJCE, 25 juill. 1991, aff. C-221/89, Factortame, Rec. CJCE 1991, I, p. 3905.
129
L’article 3 de la directive 200/48/CE. L’article 3.1 de la directive 2000/31/CE du
Parlement européen et du conseil du 8 juin 2000 relative à certains aspects
juridiques des services de la société de l’information, et notamment du commerce
électronique, dans le marché intérieur (« directive sur le commerce électronique »)
dispose que : « chaque Etat membre veille à ce que les services de la société de
l’information fournis par un prestataire établi sur son territoire respectent les
dispositions nationales applicables dans cet Etat membre relevant du domaine
coordonné ». Cette disposition implique le respect de la loi du pays d’origine ou
est établi le prestataire, sans que les autres États membres ne puissent exiger le
respect de conditions supplémentaires, afin de garantir la libre circulation des
services. L’article 302 corrobore cette disposition en ajoutant que « Les Etats
membres ne peuvent, pour des raisons relevant du domaine coordonné,
restreindre la libre circulation des services de la société de l’information en
provenance d’un autre Etat membre.
Les dérogations à l’article 3. La clause dite marché intérieur ne s’applique pas aux
domaines visés à l’annexe (art. 3.3), c’est-à-dire :
- Le droit d’auteur, les droits voisins, les droits visés par la directive
87/54/CEE(1) et par la directive 96/9/CE(2) ainsi que les droits de propriété
industrielle,
- L’émission de monnaie électronique par des institutions pour lesquelles les

Etats membres ont appliqué une des dérogations prévues à l’article 8,
paragraphe 1, de la directive 2000/46/CE(2),
- L’article 44, paragraphe 2, de la directive 85/611/CEE(4),
- L’article 30 et le titre IV de la directive 92/49/CEE(5), le titre IV de la directive

92/96/CEE(6), les article 7 et 8 de la directive 88/357/CEE(7) et l’article 4 de la
directive 90/619/CEE(8),
- La liberté des parties de choisir le droit applicable à leur contrat,
- Les obligations contractuelles concernant les contrats conclus par les

consommateurs,
- La validité formelle des contrats créant ou transférant des droits sur des biens
130
immobiliers, lorsque ces contrats sont soumis à des exigences formelles
impératives selon le droit de l’Etat membre dans lequel le bien immobilier est
situé,
- L’autorisation des communications commerciales non sollicitées par courrier

électronique
L’interprétation de l’article 3.1 : la loi du pays d’origine. La difficulté du mécanisme

vient essentiellement du caractère peu clair de la clause « marché intérieur ».
Parallèlement à l’article 3.1, l’article 1.4 précise que : «La présente directive n’établit
pas de règles additionnelles de droit international privé et ne traite pas de la
compétence des juridictions ». Cette disposition signifie que la directive ne crée pas
de règle nouvelle, ni n’a pour vocation de supprimer les règles existantes. Néanmoins,
la directive peut exercer une influence sur les règles de conflits de lois existantes, ce
que la clause « marché intérieur » peut en effet avoir pour vocation à faire165.
Dès lors, il faut bien comprendre que la clause « marché intérieur » n’est pas une
règle de conflit de lois mais peut s’avérer perturbante, en vue de garantir une liberté
fondamentale de l’Union, la liberté de circulation des services (art. 49 du Traité CE).
La clause « marché intérieur » peut alors être vue comme un mécanisme correcteur,
ce qui se justifie aisément dans le cadre d’une directive dont l’objet est de favoriser la
libre prestation des services de la société de l’information.
La loi du pays d’origine est la loi du pays ou le prestataire de la société de

l’information est établi. Le « prestataire établi » est « le prestataire qui exerce d’une
manière effective une activité économique au moyen d’une installation stable pour
une durée indéterminée. La présence et l’utilisation des moyens techniques et des
technologies requis pour fournir le service ne constituent pas en tant que telles un
établissement du prestataire » (art. 2, c de la directive).
La protection de la libre circulation des services. La règle mis en œuvre par l’article
3.1 est la règle du pays d’origine. La simple éventualité d’une application de la loi du
pays de destination par le jeu normal des règles du droit international privé est de
nature à faire obstacle à la libre prestation des services. Si le prestataire de services
de la société de l’information doit respecter les règles de vingt-cinq législations
165
. J. PASSA, « Le contrat électronique international : conflits de lois et de juridictions », comm, com.
électr., n° 5, mai 2005, étude 17.
131
nationales dans l’exercice de son activité, il se trouve alors confronté à une
contrainte, quasiment impossible à surmonter, donc de nature à entraver la libre
circulation des services.
Les considérants 22et 23 confirment cette volonté du législateur communautaire

d’éviter une telle contrainte : « afin d’assurer efficacement la libre prestation des
services et une sécurité juridique pour les prestataires et leurs destinataires, ces
services de la société de l’information doivent être soumis en principe au régime
juridique de l’Etat membre dans lequel le prestataire est établi » (consid. 22). « Les
dispositions du droit applicable désigné par les règles du droit international privé ne
doivent pas restreindre la libre prestation des services de la société de l’information
telle que prévue par la directive » (consid. 23). Ainsi, la clause « marché intérieur »
garantit une grande sécurité juridique dans la mesure où l’opérateur est censé se
conformer toujours à la loi de l’Etat dans lequel il est établi.
Le domaine coordonné. Le mécanisme correcteur du conflit de lois résultant de la

clause de marché intérieur vaut pour toutes les questions relevant du domaine
coordonné166, plus large que le domaine harmonisé. Il recouvre les questions sur
lesquelles les législations nationales sont tenues pour équivalentes. Il y a donc
application du principe de reconnaissance mutuelle qui témoigne de la confiance
entre États membres. L’article 2 h de la directive définit largement ce domaine et
envisage « les exigences prévues par les systèmes juridiques des Etats membres et
applicables aux prestataires des services de la société de l’information ou aux
services de la société de l’information, qu’elles revêtent un caractère général ou
qu’elles aient été spécifiquement conçues pour eux ». Il s’agit donc de toutes les
obligations, spécifiques ou non, applicables aux prestataires de la société de
l’information eux-mêmes ou à leurs services. Plus exactement, l’article 2 i) ajoute que
« le domaine coordonné a trait à des exigences que le prestataire doit satisfaire et
qui concernent :
- L’accès à l’activité d’un service de la société de l’information, telles que les

exigences en matière de qualification, d’autorisation ou de notification,
- L’exercice de l’activité d’un service de la société de l’information, telles que les
166
. V. O. CACHARD, « Le domaine coordonné par la directive sur le commerce électronique et le droit
international privé », RDAI/IBLJ, n°2, 2004, p. 161 et s.
132
exigences portant sur le comportement du prestataire, la qualité ou le contenu
du service, y compris en matière de publicité et de contrat, ou sur la
responsabilité du prestataire ».
En revanche, l’article 2 ii) exclut du domaine coordonné :
- Les exigences applicables aux biens en tant que tels,
- Les exigences applicables à la livraison de biens,
- Les exigences applicables aux services qui ne sont pas fournis par voie
électronique.
Les dispositions relatives à l’accès et l’exercice de l’activité relèvent du droit

public.
Les ambiguïtés. Néanmoins, une ambiguïtéapparaît, qui n’a pas manqué de diviser la
doctrine, sur le point de savoir si la matière contractuelle est visée par l’article. La
disposition de l’article 2 i), selon laquelle l’exercice de l’activité d’un service de la
société de l’information, vise aussi la publicité et le contrat, ainsi que la
responsabilité du prestataire, des matières du droit privé de nature contractuelle. En
outre, l’annexe déroge à l’article 3 et prévoit notamment deux dérogations : d’une part,
« les obligations contractuelles concernant les contrats conclus par les
consommateurs » et d’autre part « la liberté des parties de choisir le droit applicable
à leur contrat ». D’aucuns ont alors pu affirmer que « le droit international privé en
matière de contrats est donc soumis, sans conteste, aux exigences de la clause de
marché intérieur »167. D’autres auteurs168 estiment au contraire que seule l’activité du
prestataire est soumise à la loi applicable au contrat. Nous rejoignons cette doctrine
et considérons que les dispositions de la clause « marché intérieur » portent
uniquement sur la détermination de la loi applicable de la clause « marché intérieur »
portent uniquement sur la détermination de la loi applicable à l’activité du prestataire.
167
. J. PASSA, op. cit.
168
. J. HUET, « Le droit applicable dans les réseaux numériques », JDI 2002, p. 737. Cet auteur
considère que la clause de marché intérieur ne s’applique qu’à l’ « organisation de l’activité » et non à
son exercice par voie de contrats. M. VIVANT, « Entre ancien et nouveau, une quête désordonnée de
confiance pour l’économie numérique », Lamy dr, de l’informatique et des réseaux, juill. 2004, p. 2,
spéc. n° 19, qui souligne que, « le texte français tout comme le texte européen doivent manifestement
être entendus comme signifiant que le prestataire est, comme tel, soumis à la loi du pays dont il
relève. Cela ne peut avoir une quelconque incidence quant à la détermination de la loi applicable au
contrat », Voir aussi J.-M. JACQUET, Ph. DELEBECQUE et S. CORNELOUP, Droit du commerce
international, Dalloz, 2007.
133
Elle ne permet pas de déterminer la loi applicable au contrat. La doctrine s’accorde
aujourd’hui pour exclure la qualification de règle de conflit de loi169. Cette disposition
ne porte donc que sur le droit public, même si l’annexe vient semer le doute.
En conséquence, le principe de la loi d’autonomie s’applique et l’impérialisme de la loi

du pays d’origine est exclu. Cependant, si l’application de la loi d’autonomie constitue
une entrave injustifiée à la prestation de services électroniques, il faudrait appliquer
la loi du pays d’origine du prestataire (considérant 23).
La mauvaise transposition en droit français par la loi LCEN. L’article 17 alinéa 1er de
la loi pour la confiance dans l’économie numérique dite LCEN définit la loi applicable
dans les termes suivants : « l’activité définie à l’article 14 est soumise à la loi de l’Etat
membre sur le territoire duquel la personne qui l’exerce est établie, sous réserve de la
commune intention de cette personne et de celle à qui sont destinés les biens et les
services ». Le législateur français s’est montré encore plus maladroit que le
législateur communautaire, sans doute gêné par les ambiguïtés du texte à transposer.
La formule de l’article 17 mélange le droit public, le droit privé, la protection de la libre
circulation des services et les règles du droit international privé170.
La première proposition de l’article 17 alinéa 1er affirme l’application de la loi du pays

d’origine à l’activité de commerce électronique. Le législateur a donc transposé la
clause du marché intérieur de l’article 3, 1° de la directive. La transposition est
conforme à la directive sur ce point.
Mais l’introduction d’une réserve, la « réserve de la commune intention de cette

personne et de celle à qui sont destinés les biens ou les services », trahit la volonté
du législateur communautaire. En effet, cette réserve tend à faire croire que la loi du
pays d’origine s’applique en principe aux activités de commerce électronique, sauf
accords de l’opérateur et du destinataire en faveur d’une loi tierce. Le législateur a
transposé très malheureusement une dérogation de l’annexe de la directive. La
liberté des parties au contrat est certes ménagée dans l’annexe, mais cette liberté
vise la détermination de la loi applicable au contrat, alors que la règle du pays
d’origine concerne la loi applicable à l’activité du prestataire. Les règles qui
gouvernent l’activité juridique et les actes juridiques qui en découlent sont mises sur
169
. Notamment : M.-E. ANCEL, Un an de droit international privé », janv. 2011, chr. 1.
170
. Voir O. CACHARD, « LCEN. Définition du commerce électronique et loi applicable », Comm. Com.
électr., n° 9, sept. 2004, Etude 31.
134
le même plan, lors même que le législateur communautaire a voulu appliquer des
règles distinctes pour ces deux questions bien différentes. « la conséquence est que,
er
par l’effet de la dérogation de la seconde partie de la formule de l’article 17 alinéa 1 ,
la disposition se présente finalement comme une règle de conflit de lois transposant
la clause de marché intérieur, alors que la directive qu’il s’agit de transposer énonce
on ne peut plus clairement qu’elle ne crée aucune règle additionnelle de droit
international privé »171. La transposition française n’est donc pas conforme à la
directive, ce que la doctrine a amplement critiqué.
L’article 17 alinéa 2 énumère d’autres exceptions possibles à l’application de la loi du

pays d’origine, conformément à l’annexe de la directive. On est d’autant plus surpris
que le choix de la loi applicable au contrat n’apparaît pas dans cet alinéa 2.
Les contrats électroniques de consommation. L’article 17 alinéa 2 de la LCEN

dispose que « L’application de l’alinéa précédent ne peut avoir pour effet :
1° De priver un consommateur ayant sa résidence habituelle sur le territoire national

de la protection que lui assurent les dispositions impératives de la loi française
relatives aux obligations contractuelles, conformément aux engagements
internationaux souscrits par la France. Au sens du présent article, les dispositions
relatives aux obligations contractuelles comprennent les dispositions applicables
aux éléments du contrat, y compris celles qui définissent les droits du
consommateur, qui ont une influence déterminante sur la décision de contracter ».
Ce texte n’est pas conforme à la directive communautaire qui précise que les
exigences de la clause de marché intérieur sont inapplicables aux « obligations
contractuelles » concernant les contrats conclus par les consommateurs. Le
considérant 56 définit de manière large ses obligations qui doivent être interprétées
comme comprenant les informations sur les éléments essentiels du contenu du
contrat, y compris les droits du consommateur, ayant une influence déterminante sur
la décision de contracter. Il aurait été aussi plus simple de reprendre cette formule.
Ces dispositions spécifiques permettent de de déterminer la loi applicable à l’activité

du prestataire, mais en aucune façon elles ont à concerner la loi applicable au contrat,
pour la désignation de laquelle il faut s’en remettre aux règles classiques du droit
international privé, désormais le règlement Rome I en droit communautaire.
171
. J. PASSA, op. cit.
135
Dans une situation internationale, les décisions rendues par la juridiction d’un Etat
doivent, le plus souvent, être exécutées dans un autre Etat, ce qui pose la question
des conditions de la reconnaissance et de l’exécution des décisions.
Section 3
La reconnaissance et l’exécution des décisions
La reconnaissance et l’exécution des décisions de justice en droit de l’internet.

L’exécution des décisions juridictionnelles à l’étranger se heurte à d’importantes
difficultés. Les décisions mettant en cause l’internet y sont particulièrement sujettes,
en raison de la plurilocalisation qui suppose une multiplicité de pays dans lesquels il
peut être nécessaire de poursuivre l’exécution pour en assurer l’efficacité.
Les conditions de l’exequatur. En droit français et en dehors de l’Espace économique

européen, les jugements étrangers font l’objet d’un, exequatur qui confère force
exécutoire au jugement, dès lors que :
- Le juge étranger qui a rendu la décision est compétent ;
- La loi appliquée par le juge étranger était bien applicable ;
- Le jugement étranger est conforme à l’ordre public ;
- Le jugement étranger n’a pas été obtenu par une fraude à la loi.
Mais l’union européenne va au-delà de ces règles classiques et construit un espace

judiciaire civil européen, susceptible de s’appliquer aux décisions judiciaires rendues
sur l’internet (S 1). Il en est de même du dispositif de coopération entre les Etats
membres (S 2).
S 1 : L’espace judiciaire civil européen
La présentation de l’espace judiciaire civil européen. L’objectif principal de la

coopération judiciaire civile est d’établir une collaboration plus étroite entre les
autorités des Etats membres afin d’éliminer tout obstacle dérivant des
incompatibilités entre les différents systèmes judiciaires et administratifs, et en
136
particulier touchant à la reconnaissance mutuelle et à l’exécution des décisions.
Jusqu’au traité d’Amsterdam, la coopération judiciaire civile a essentiellement pris la

forme de conventions internationales. Le traité de Maastricht (TUE) a intégré la
coopération judiciaire civile dans son titre VI dès 1993. Le traité D’Amsterdam a
transféré le domaine de la coopération judiciaire civile dans le titre IV du traité CE
(nouvel article 65). Il a donc communautarisé la coopération judiciaire civile et l’a
incluse dans l’espace de liberté, de sécurité et de justice (ELSJ). Grâce à la
« communautarisation » du domaine, la plupart des conventions ont été modernisées
et transformées en règlements, attribuant ainsi une compétence d’interprétation à la
cour de justice.
Le conseil européen de Tampere (octobre 1999) a élevé le principe de la

reconnaissance mutuelle des décisions judiciaires en véritable « pierre angulaire » de
la coopération judiciaire en matière tant civile que pénale au sein de l’union. Ces
dispositions ont donc pour vocation de faciliter l’exécution des obligations de nature
civile et commerciale, par l’amélioration de la circulation des actes judiciaires et extra
-judiciaires.
Plusieurs dispositifs ont ainsi été mis en œuvre pour permettre la reconnaissance
mutuelle des décisions judiciaires. L’internet est concerné par : la compétence, la
reconnaissance et exécution des décisions en matière civile et commerciale
(Bruxelles I) ; les modes alternatifs de règlement des litiges (la médiation) ; la
procédure européenne de règlement des petits litiges ; le règlement sur la procédure
européenne d’injonction de payer ; le titre exécutoire européen pour les créances
incontestées.
Le règlement 44/2001 dit Bruxelles I. Dans l’Espace économique européen, la

reconnaissance et l’exécution des jugements est en principe automatique. Le
règlement de Bruxelles 44/2001 du 22 décembre 2000 relatif à la compétence, à la
reconnaissance et l’exécution des jugements en matière civile et commerciale a posé
des règles de compétence juridictionnelle unifiées pour obtenir des États membres
qu’ils assouplissent le contrôle des jugements en provenance d’autres États
membres.
Le règlement stipule que les décisions rendues dans un Etat membre sont reconnues
dans les autres États membres, sans qu’il soit nécessaire de recourir à aucune
137
procédure sauf en cas de contestation. La déclaration relative à la force exécutoire
d’une décision doit être délivrée après un simple contrôle formel des documents
fournis, sans que la juridiction puisse soulever d’office un des motifs de non-
exécution prévus par le règlement. Le règlement ne couvre ni les matières fiscales,
douanières ou administratives ni les matières suivantes :
- L’état et la capacité des personnes physiques, les régimes matrimoniaux, les

testaments, les successions ;
- Les faillites ;
- La sécurité sociale ;
- L’arbitrage.
Les décisions rendues dans un Etat membre sont reconnues dans les autres États
membres, sans qu’il faille recourir à une procédure complémentaire. Le règlement
entend par « décision » toute décision rendue par une juridiction d’un Etat membre,
qu’elle que soit la dénomination donnée : arrêt, jugement, ordonnance ou mandat
d’exécution. La décision étrangère ne peut en aucun cas faire l’objet d’une révision au
fond.
Les articles 34 et 35 du règlement prévoient cependant des exceptions au principe de

la reconnaissance de plein droit, qui tiennent pour l’essentiel, à la conformité de la
décision à l’ordre public de l’Etat requis, au respect des droits de la défense, et à la
contrariété de la décision avec une autre décision rendue entre les mêmes parties
dans l’Etat requis.
Un tribunal peut surseoir à statuer si une décision rendue dans un autre Etat membre
fait l’objet d’un recours ordinaire.
Les décisions sont mises à l’exécution dans un autre Etat membre après y avoir été
déclarées exécutoires sur requête de toute partie intéressée. Les parties peuvent
former un recours contre la décision relative à la demande de déclaration constatant
force exécutoire.
La convention de Lugano du 16 septembre 1988 a étendu la solution à certains pays

de l’association européenne de libre-échange.
Ces dispositions sont naturellement susceptibles de s’appliquer aux décisions

138
rendues dans le cadre d’un litige né sur l’internet.
Les modes alternatifs de règlement des litiges : la médiation. La directive

2008/52/CE du parlement européen et du conseil du 21 mai 2008 ; sur certains
aspects de la médiation en matière civile et commerciale encourage le recours à la
médiation. La mise en œuvre de modes alternatifs de règlement des litiges est
particulièrement utile sur l’internet, comme en témoignent les conflits sur les noms
de domaine172.
Les textes en préparation dans l’UE. Le 29 novembre 2011, deux propositions de

textes ont été soumises par la commission en 2011 : la proposition de directive
relative au règlement extrajudiciaire des litiges de consommation et modifiant le
règlement (CE) n° 2006/2004 et de la directive 2009/22/CE173 et une proposition de
règlement relative au règlement en ligne des litiges de consommation174. Le
règlement en ligne devrait être facilité par la création d’une plateforme européenne
de règlement en ligne des litiges. Ce site web interactif sera un guichet unique,
gratuit et multilingue permettant aux consommateurs et commerçants de régler par
voie extrajudiciaire un litige né d’une transaction commerciale transfrontalière (les
parties étant situées dans deux pays membres différents) électronique. La
plateforme aura pour rôle d’orienter le demandeur vers un organe de règlement des
litiges en ligne (REL), conforme aux exigences de la directive et notifié à la
commission. Parallèlement, le défendeur est averti de l’introduction de la demande.
L’organe a alors trente jours pour traiter le différend par voie électronique. La
procédure a l’avantage de la simplicité, rapidité du règlement du litige, à un faible
coût.
La procédure européenne de règlement des petits litiges. Le règlement n°861/2007

du 11 juillet 2007 consacre une procédure européenne de règlement des litiges
transfrontaliers. Ses dispositions sont applicables depuis le 1er janvier 2009 dans
tous les États membres sauf au Danemark.
Ce règlement a été adopté en vue de simplifier et d’accélérer le règlement des petits

litiges transfrontaliers et d’en réduire le coût. Cette procédure européenne pourra être
utilisée pour des litiges transfrontaliers en matière civile et commerciale lorsque le
172
. Voir la partie 3 sur « L’internet et la propriété intellectuelle ».
173
. COM(2011) 793 final.
174
. COM(2011) 794 final.
139
montant de la demande ne dépasse pas 2000 euros. La décision rendue dans le
cadre de cette procédure est reconnue et exécutée dans les autres États membres,
sans qu’il soit nécessaire de rendre une déclaration constatant sa force exécutoire.
La procédure est facultative et s’ajoute aux possibilités prévues par la législation des
États membres.
Pour bénéficier de cette période, le demandeur devra remplir un formulaire figurant

en annexe du règlement et l’envoyer à la juridiction étrangère compétente.
Seules certaines juridictions nationales sont compétentes pour rendre une décision
dans le cadre de la procédure européenne de règlement des petits litiges. La
juridiction détermine les moyens d’obtention des preuves et l’étendue des preuves
indispensables à sa décision. Elle opte sur le moyen d’obtention des preuves le plus
simple et le moins contraignant.
La représentation par un avocat ou un autre professionnel n’est pas obligatoire lors

de la procédure.
La procédure européenne vise des litiges transfrontaliers, c’est-à-dire des litiges dans
lesquels au moins une des parties à son domicile ou sa résidence habituelle dans un
Etat membre autre que l’Etat membre de la juridiction saisie. Dès lors, les litiges de
l’internet sont aisément susceptibles d’être visés, d’autant que nombreux d’entre eux
portent sur des petits litiges du commerce électronique concernant des
consommateurs. Ces derniers peuvent voir un intérêt certain à pouvoir bénéficier
d’une procédure simple et peu coûteuse, pour des petits litiges ne dépassant pas
2000 euros.
Le règlement sur la procédure européenne d’injonction de payer. Le règlement

1896/2006 du 12 décembre 2006 institue une procédure européenne d’injonction de
payer. Ce règlement vise à simplifier, à accélérer et à réduire les coûts des litiges
transfrontaliers concernant des créances pécuniaires incontestées en instituant une
procédure européenne d’injonction de payer. Il vise à assurer la libre circulation des
injonctions de payer européennes dans tous les États membres en établissant des
normes minimales dont le respect rend inutile toute procédure intermédiaire dans
l’Etat membre d’exécution préalablement à la reconnaissance et à l’exécution.
Son champ d’application couvre les litiges civils et commerciaux transfrontaliers,
140
quelle que soit la nature de la cour ou du tribunal. Il est donc amplement susceptible
de s’appliquer à l’internet, en cas de refus de paiement du débiteur d’un contrat de
l’internet, qu’il s’agisse d’un contrat de vente, de prestation de services, ou encore
des contrats spéciaux de l’internet. Le règlement ne s’appliquera en revanche pas
aux recettes, aux douanes et aux questions d’ordre administratif ou de responsabilité
de l’Etat, pour les actes et les omissions accomplis dans l’exercice de l’autorité de
l’Etat. Sont également exclus : les régimes matrimoniaux ; les faillites, concordats et
autres procédures analogues ; la Sécurité sociale ; les créances découlant
d’obligations non contractuelles.
Le titre exécutoire européen pour les créances incontestées. Le titre exécutoire

européen pour les créances incontestées a été instauré par le règlement n° 805/2004
du parlement européen et du conseil du 21 avril 2004. L’objet du règlement est la
création d’un titre exécutoire européen pour les créances incontestées. Il établit des
normes minimales afin d’assurer que les décisions, transactions judiciaires et actes
authentiques portant sur des créances incontestées peuvent circuler librement. Cela
signifie la suppression de l’exequatur, c’est-à-dire la reconnaissance et l’exécution
automatique, sans procédure intermédiaire ni motif de refus d’exécution, des
décisions rendues dans un autre Etat membre.
Le règlement s’applique en matière civile et commerciale. Il ne recouvre notamment

pas les matières fiscales, douanières ou administratives. Il est applicable dans tous
les Etats membres à l’exception du Danemark. Il est également susceptible de
s’appliquer à l’internet sans difficultés, afin de faciliter l’exécution des décisions
concernant les litiges de l’internet.
Le règlement fixe des dispositions minimales en ce qui concerne les modalités de

signification et de notification des actes (acte introductif d’instance et, le cas
échéant, citation à comparaître), afin de garantir le respect des droits de la défense.
Seuls les modes de signification ou de notification énumérées dans le règlement
sont permis afin que le jugement puisse être certifié comme titre exécutoire
européen.
Le droit national de l’Etat membre d’exécution régit les procédures d’exécution.
Le créancier reste libre de demander la reconnaissance et l’exécution d’une décision

conformément aux dispositions du règlement (CE) n° 44/2001 (Bruxelles I). En outre,
141
le règlement n’empêche pas l’application du règlement (CE) n° 1348/2000 sur la
signification et notification des actes judiciaires et extra-judiciaires.
Les règles relatives à la création d’un espace judiciaire civil européen sont
complétées par la coopération entre les États membres.
S 2 : La coopération entre les États membres.
La présentation de la coopération entre les États membres. Parallèlement aux règles

à régir l’espace européen, les États membres mettent aussi en œuvre des règles
destinées à améliorer les relations judiciaires entre les juridictions nationales des
différents États membres. Est ainsi créé un réseau judiciaire européen (RJE) en
matière civile et commerciale par une décision 2001/470/CE du Conseil du 28 mai
2001, destiné à faciliter la coopération entre les États membres dans ce domaine.
Par l’international, les citoyens peuvent s’informer sur l’ordre juridique dans les États
membres respectifs, la saisine des tribunaux, l’aide judiciaire, etc. le réseau est
constitué de points de contact dans les États membres. L’internet joue alors le rôle
d’outil facilitant la mise en place d’un tel réseau.
Le réseau a deux missions précises :
- Faciliter la coopération judiciaire entre les États membres en matière civile et

commerciale en mettant en place un système d’information pour les membres
du réseau ;
- Etablir un système d’information destiné au public.
En plus, le réseau contribue :
- Au bon déroulement des procédures ayant une incidence transfrontière ;
- A faciliter les demandes de coopération entre États membres, en particulier

lorsque ni un acte communautaire ni un instrument international ne sont
applicables ;
- A l’application des actes communautaires ou des conventions en vigueur

entre les États membres.
A ces fins, le réseau facilite les contacts entre les autorités des États
142
membres, organise des réunions périodiques et établit un système
d’information adressé au public concernant la coopération judiciaire en
matière civile et commerciale et les systèmes juridictionnels des États
membres.
Le réseau judiciaire européen en matière civile et commerciale se compose :
- Des points de contact centraux désignés par les États membres, renforcés
éventuellement par un nombre limité de points de contact additionnels ;
- Des autorités nommées en vertu d’instruments communautaires ou

internationaux à des taches de coopération judiciaire entre les États membres ;
- Des magistrats de liaison et d’autres autorités (ayant des responsabilités dans

le domaine de la coopération judiciaire en matière civile et commerciale) dont
l’appartenance au réseau est considérée utile par les États membres.
Les États membres communiquent les noms et les coordonnées des points de
contact et des autres membres du réseau à la commission, y compris leurs
moyens de communication et leurs connaissances linguistique. Tous les États
sont membres du réseau judiciaire européen, à l’exception du Danemark.
Cette meilleure coopération judiciaire est naturellement susceptible de concerner

les litiges nés de l’internet.
L’obtention des preuves en matière civile et commerciale. Le Règlement (CE) n°

1206/2001 du conseil du 28 mai 2001 relatif à la coopération entre les juridictions
des États membres dans le domaine de l’obtention des preuves en matière civile
ou commerciale. L’objectif de ce règlement est d’améliorer, simplifier et accélérer
la coopération entre les États membres afin d’obtenir des preuves dans le cadre
de procédures judiciaires en matières civile et commerciale.
Le règlement est applicable en matière civile et commerciale lorsqu’une

juridiction d’un Etat membre demande :
- A la juridiction d’un autre Etat membre de procéder à un acte d’instruction ;
- A procéder directement à l’acte d’instruction dans un autre Etat membre.
La demande doit viser à obtenir des preuves destinées à être utilisées dans une
143
procédure judiciaire engagée ou envisagée. Il n’y a donc aucune difficulté à
l’appliquer aux litiges nés de l’internet. Les termes « Etat membre » désignent tout
Etat membre à l’exception du Danemark.
La signification et la notification des actes judiciaires et extrajudiciaires. Le

règlement CE n° 1348/ 2000 du 29 mai 2000 sur la signification des actes judiciaires
et extrajudiciaires en matière civile et commerciale (en vigueur depuis le 31 Mai 2001)
a été remplacé et abrogé le 13 novembre 2007 par le règlement n° 1393/2007 du
Parlement européen et du conseil du 13 novembre 2007 relatif à la signification et à
la notification dans les États membres des actes judiciaires et extrajudiciaires en
matière civile ou commerciale (« signification ou notification des actes »).
Le règlement est applicable en matière civile et commerciale, lorsque des actes

judiciaires ou extrajudiciaires doivent être transmis d’un Etat membre à un autre pour
y être signifiés ou notifiés. Les matières fiscales, douanières, administratives ou les
cas où un Etat est responsable d’actes ou d’omissions commis dans l’exercice de la
puissance publique ne sont pas concernés.
Le règlement ne s’applique pas non plus lorsque l’adresse du destinataire est

inconnue.
L’objectif est d’améliorer la signification et la notification des actes judiciaires et

extrajudiciaires, telles que mises en œuvre auparavant par le règlement 1348/2000.
Ce règlement est là encore, applicable à l’internet puisqu’aucune disposition

expresse n’exclut son application dans ce contexte.
L’internet bénéficie des dispositions européennes d’application générale, de nature à

améliorer l’exécution des décisions de justice, dans un contexte comprenant un
élément d’extranéité, ce qui est souvent le cas sur l’internet. L’internet bénéficie aussi
de quelques dispositions matérielles, absolument essentielles en matière pénale. On
peut toutefois regretter qu’elles soient si peu nombreuses et peu contraignantes en
matière pénale. On peut toutefois regretter qu’elles soient si peu nombreuses et peu
contraignantes en matière civile et commerciale. Enfin, on peut aussi regretter que le
règlement Rome II n’ait pas créé de règles propres à l’internet, en dépit des difficultés
liées à un délit complexe.
144
Troisième partie : L’internet et la responsabilité délictuelle des acteurs.
L’internet est un espace d’expression, susceptible de permettre des abus. Toutes

sortes de contenus illicites vont pouvoir être diffusés par le recours à ce média. Les
atteintes aux droits des tiers ou à l’ordre public sont naturellement sources de
responsabilité des acteurs de l’internet, la difficulté étant de déterminer les
responsables et les conditions de leur responsabilité. La responsabilité pénale et la
responsabilité civile contractuelle étant envisagées ailleurs, il s’agira d’analyser ici
uniquement les hypothèses d’une responsabilité délictuelle.
Il devient de plus en plus difficile d’appréhender globalement la responsabilité des

acteurs de l’internet, en prenant uniquement en compte la qualité du prestataire. Il est
souvent nécessaire de considérer séparément les différentes activités mises en
œuvres et de mettre en place une qualification distributive par activité, suivant une
appréciation in concreto. Il en découle logiquement des règles distributives de
responsabilité. Certaines activités sont ainsi générer un responsabilité, ce qui ne sera
pas le cas de certaines autres. Il convient alors de distinguer le vas d’irresponsabilité
des acteurs de l’internet (chapitre 1), des hypothèses de responsabilité (chapitre 2).
CHAPITRE 1 : Les cas d’irresponsabilité conditionnelle des acteurs de l’internet
Le législateur a prévu dans la loi n° 2004-575 pour la confiance dans l’économie

numérique (dite LCEN) du 21 juin 2004, un régime d’irresponsabilité conditionnelle en
faveur des intermédiaires techniques (Section 1). La loi n° 2009-669 du 12 juin 2009
dite Hadopi 1 a ajouté une deuxième hypothèse d’irresponsabilité en faveurs des
éditeurs de services collaboratifs (Section 2).
Section 1 : L’irresponsabilité conditionnelle des intermédiaires techniques
La présentation des intermédiaires techniques. L’organisation de l’internet exige

l’intervention de personnes assurant des fonctions purement techniques liées au
fonctionnement du réseau. Les intermédiaires techniques se caractérisent par
145
l’accomplissement d’une tache technique entre l’envoi de données et la réception
finale des informations, que ce soit sur des sites publics ou des boites aux lettres
électroniques privés (courriels).
Le trait commun de tous ces intermédiaires est de se contenter d’un rôle purement
technique pour permettre l’accès à l’information. Ils n’exercent pas, en principe, de
droit de regard sur l’information qui transite grâce à leur intervention, aussi leur
régime de responsabilité a-t-il été aménagé en conséquence par le législateur. Ce
régime d’irresponsabilité étant particulièrement favorable, de nombreux acteurs de
l’internet cherchent à en obtenir le bénéfice, provoquant une interprétation extensive
de la catégorie des hébergeurs.
Par ailleurs, les autorités communautaires ont envisagé la responsabilité des

intermédiaires techniques dans la directive 2000/31/CE du 8 juin 2000 sur le
commerce électronique dans un souci d’encourager le développement de leurs
activités. La volonté politique est en effet clairement de développer le commerce
électronique, ce qui suppose, d’une part, de poser des règles protectrices du
consommateur pour lui donner confiance, et, d’autre part, d’aménager un régime
favorable de responsabilité des intermédiaires techniques, sans lesquels aucun
commerce en ligne n’est possible. Le législateur a rapidement compris la nécessité
de mettre hors de cause ces acteurs essentiels dans la société de l’information. Il est
évident que si un hébergeur engage la responsabilité en raison de l’illicéité du
contenu qu’il héberge, il abandonnera rapidement cette activité à risque, au détriment
du développement de l’internet et de l’économie. Plus globalement, le commerce
électronique doit contribuer à renforcer le marché intérieur.
La loi n° 2004-575 pour la confiance dans l’économie numérique (LCEN) du 21 juin

2004 transpose la directive communautaire n° 2000/31/CE du 8 juin 2000sur le
commerce électronique qui prévoit un régime d’irresponsabilité sous conditions en
faveur de trois catégories d’intermédiaires techniques : les opérateurs qui réalisent le
transport des données (fournitures d’accès à l’internet et opérateurs de
transmission), les opérateurs assurant une activité de « caching » et enfin les
hébergeurs. Le choix est fait ici de présenter ensemble le régime des fournisseurs
d’accès à l’internet et des fournisseurs d’hébergement, dans la mesure où ils sont
régis par de nombreuses règles communes. Seront donc envisagés les opérateurs de
télécommunications, regroupant les activités de transmission et de « caching »et les
146
fournisseurs, d’accès et d’hébergement. Le régime spécifique d’irresponsabilité
conditionnelle est donc posé en faveur des opérateurs de communications
électroniques (S 1) et des fournisseurs de services techniques que sont les
fournisseurs d’accès et d’hébergement (S 2).
S 1: L’irresponsabilité conditionnelle des opérateurs de communications

électroniques
La présentation des opérateurs de communications électroniques. L’irresponsabilité

des opérateurs de communications électroniques a toujours été acquise. Leur
responsabilité doit être écartée, en raison de la fonction purement technique qu’ils
assument, tant ils sont dépourvus des moyens d’apprécier le contenu des messages
transférés. Ils ont en
147

Droit de l&#39;internet droit francais et européen.docx 1

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Droit de l&#39;internet droit francais et européen.docx 1

Transféré par

Droits d'auteur :

Formats disponibles

_UNIVERSITE D’ABOMEY-CALAVI

Faculté de droit et de science politiques

Droit des Technologies de l’Informatique et de la

Enseignant: Dr. Malick Oluchegoun FALOLA

Mais la thématique « internet et sécurité » vise aussi et en premier lieu la

LA SECURITE DU RESEAU INTERNET

L’informatique a suscité une législation spécifique (Section 2) qui vise à réprimer :

- La fraude informatique au sens strict, c’est-à-dire l’atteinte aux systèmes

- Et, symétriquement, l’utilisation des moyens informatiques pour commettre

Parallèlement, la sécurité sur l’internet peut être renforcée par le recours à la

La sécurité des échanges : la cryptologie

La définition. La cryptologie est l’ensemble des techniques qui permettent de

L’article 29 de la loi n° 2004-575 pour la confiance dans l’économie numérique du 21

L’aliéna 2 ajoute : « on entend par prestation de cryptologie toute opération visant à

La cryptologie ainsi définie, il convient d’en préciser le régime (S 1) et la

La législation a progressivement libéralisé des moyens de cryptologie (A) et mis en

A. La libéralisation des moyens de cryptologie

Un régime initial strict d’autorisation et de déclaration. Pendant longtemps, l’usage de

La loi n° 90-1170 du 29 décembre 1990 a rendu accessible la cryptologie aux

Surtout, la difficulté principale était que ce système faisait obstacle au

La libéralisation de la cryptologie en faveur du commerce électronique. La loi n° 90-

Le gouvernement a ainsi instauré un nouveau cadre réglementaire pour la cryptologie

La libéralisation de la cryptologie par la loi LCEN. La loi n° 2004-575 sur la confiance

La loi LCEN consacre ainsi :

- une libéralisation de l’utilisation de la cryptologie. Les dispositions instaurent la

- un nouveau régime pour l’importation, la fourniture et l’exportation des moyens de

B. L’allégement des régimes de la cryptologie

L’article 30 fixe le cadre général du contrôle de l’importation, de la fourniture, de

Le régime de liberté des moyens de cryptologie d’authentification. La LCEN a posé

Elle consacre d’abord un principe de liberté d’utilisation des moyens de

Ce principe de liberté vaut aussi pour la fourniture, le transfert au sein de l’Union

Le régime de déclaration. L’article 30, III dispose que : « La fourniture, le transfert

Le régime de déclaration en cas de fourniture, transfert ou importation d’un moyen de

- L’usage de ces moyens pour des fonctions autres que l’authentification ;

- La fourniture, le transfert ou l’importation depuis un Etat membre de la

Le fournisseur ou la personne procédant au transfert ou à l’importation tiennent à la

« Un décret en conseil d’Etat fixe :

a) Les conditions dans lesquelles sont souscrites ces déclarations, les

b) Les catégories de moyens dont les caractéristiques techniques ou les

Ces règles assouplissent amplement les modalités de contrôle des moyens

L’exportation des moyens de cryptologie hors de l’union Européenne. Le

L’obligation de déclaration de la fourniture de prestations de cryptologie.

Une dispense de déclaration est également mise en œuvre par décret

Les fournisseurs de prestations de cryptologie sont assujettis au secret

S2 : La responsabilité des moyens de cryptologie

Le recours aux moyens de cryptologie est de nature à engager la

A- La responsabilité civile des prestataires de services

Le régime de responsabilité civile des prestataires de services de cryptologie.

Ces fournisseurs peuvent s’exonérer de leur responsabilité en prouvant qu’ils

La formulation consacre une présomption de faute et donc une inversion de la

Le régime de responsabilité civile des prestataires de services de certification

La loi énumère aussi les hypothèses de responsabilité. Le prestataire

1° Les informations contenues dans le certificat, à la date de sa délivrance,

3° La délivrance du certificat n’a pas donné lieu à la vérification que le

4° Les prestataires n’ont pas, le cas échéant, fait procéder à l’enregistrement

En revanche, la loi précise les cas d’irresponsabilité : « les prestataires ne sont

Par ailleurs, les prestataires de certification électronique « doivent justifier

Ce régime de responsabilité renforcée des prestataires de service de

B- La responsabilité administrative et pénale

Les sanctions administratives. En cas de violation de l’article 30 de la loi LCEN,

Elle emporte en outre pour le fournisseur l’obligation de procéder au retrait :

1° Auprès des diffuseurs commerciaux, des moyens de cryptologie dont la mise en

2° Des matériels constituant des moyens de cryptologie dont la mise en circulation a

Néanmoins, il est possible de revenir sur cette décision d’interdiction : « le moyen de

Droit de l'internet droit francais et européen.docx 1

Droit de l'internet droit francais et européen.docx 1