II. UN DISPOSITIF NATIONAL DE LUTTE QUI APPARAÎT INSUFFISAMMENT DOTÉ NOTAMMENT SUR SON VERSANT JUDICIAIRE
A. UN ARSENAL LÉGISLATIF GLOBALEMENT ADAPTÉ
Les personnes entendues par les rapporteurs ont jugé le cadre juridique de la lutte contre la cybercriminalité satisfaisant, qu'il s'agisse du droit matériel ou de la procédure pénale, même si des améliorations restent possibles, notamment en ce qui concerne la sécurisation des éléments de preuve numérique.
1. Le droit matériel
Un grand nombre d'incriminations pénales peuvent être utilisées pour réprimer les faits de cybercriminalité. Certaines sont propres à l'univers cyber, tandis que d'autres sont de portée plus générale, beaucoup de faits pouvant d'ailleurs faire l'objet d'une double qualification.
a) Sur les atteintes aux systèmes informatiques
Beaucoup de faits de cybercriminalité sont poursuivis sur le fondement des articles 323-1 et suivants du code pénal, relatifs aux atteintes aux systèmes de traitement automatisé de données , souvent qualifiés « d'infractions STAD ».
Ces infractions sont anciennes, puisqu'elles sont issues de la loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique, dite loi Godfrain, du nom de l'ancien député Jacques Godfrain qui en est à l'origine.
En dépit des évolutions technologiques considérables observées depuis plus de trente ans, ces incriminations pénales ont été rédigées en des termes suffisamment larges pour pouvoir s'appliquer aux formes contemporaines de la cybercriminalité .
Une actualisation a toutefois été opérée en 2004 afin de sanctionner la vente d'équipements ou de logiciels permettant d'attaquer un système informatique , ce qui est très utile pour réprimer certaines transactions observées sur le dark net .
Les atteintes aux systèmes de traitement automatisé de données
L'article 323-1 du code pénal punit de deux ans d'emprisonnement et de 30 000 euros d'amende le fait d'accéder ou de se maintenir frauduleusement dans tout ou partie d'un système automatisé de traitement de données (STAD).
La peine est portée à trois ans d'emprisonnement et à 45 000 euros d'amende lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système.
L'article 323-2 punit de cinq ans d'emprisonnement et de 75 000 euros d'amende le fait d'entraver ou de fausser le fonctionnement d'un STAD.
L'article 323-3 punit des mêmes peines le fait d'introduire frauduleusement des données dans un STAD ou de supprimer ou modifier frauduleusement les données qu'il contient.
L'article 323-3-1, issu de la loi du 21 juin 2004 pour la confiance dans l'économie numérique, punit le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ; la peine est identique à celle prévue pour ladite infraction.
L'article 323-4 punit la participation à une bande organisée en vue de commettre l'une des infractions visées aux articles précédents.
L'article 323-5 prévoit des peines complémentaires (privation des droits civiques, interdiction d'exercer certaines fonctions, fermeture de l'établissement, exclusion des marchés publics, confiscation de l'objet qui a servi à commettre l'infraction, etc.).
L'article 323-6 dispose que les personnes morales peuvent également être poursuivies.
L'article 323-7 prévoit enfin que la tentative des délits est punie des mêmes peines que les délits eux-mêmes.
Des faits de cyber-espionnage dans le réseau informatique d'une entreprise, l'attaque d'un hacker qui défigure un site Internet institutionnel ou la compromission de données sont autant d'actes de délinquance qui peuvent être poursuivis sur le fondement des infractions STAD.
b) Sur les atteintes aux personnes
Le code pénal a été complété, soit par la création d'infractions spécifiques, soit par la création de circonstances aggravantes, afin de tenir compte de l'utilisation d'Internet pour porter atteinte aux personnes, et notamment aux mineurs.
(1) Des infractions spécifiques
En 2004, 2006 et 2007, l'article 227-23 du code pénal a ainsi été modifié afin de mieux réprimer les faits de pédopornographie . Cet article punit désormais de cinq ans d'emprisonnement et de 75 000 euros d'amende le fait d'enregistrer ou de transmettre la représentation à caractère pornographique d'un mineur en vue de sa diffusion. Les peines sont portées à sept ans d'emprisonnement et à 100 000 euros d'amende lorsque cette diffusion est effectuée via un réseau de communications électroniques.
Le même article punit de deux ans d'emprisonnement et de 30 000 euros d'amende 12 ( * ) le fait de consulter des images pédopornographiques en ligne ou de conserver ces images par quelque moyen que ce soit, sur le disque dur d'un ordinateur par exemple.
Les peines prévues à cet article sont portées à dix ans d'emprisonnement et à 500 000 euros d'amende lorsque les faits sont commis en bande organisée.
En 2011, un nouvel article 226-4-1 a été introduit dans le code pénal afin de réprimer le fait d' usurper l'identité d'un tiers , y compris lorsque l'infraction est commise sur un réseau de communication au public en ligne.
Plus récemment, la loi n° 2018-703 du 3 août 2018 renforçant la lutte contre les violences sexuelles et sexistes a introduit dans le code pénal un nouvel article 226-3-1 afin de réprimer la pratique de l' upskirting qui consiste à filmer ou photographier à son insu les parties intimes d'un individu, souvent dans le but de diffuser ensuite les images sur Internet. Les peines sont de deux ans d'emprisonnement et 30 000 euros d'amende lorsque les images ont été enregistrées ou transmises.
(2) Des circonstances aggravantes
Afin de dissuader les prédateurs sexuels de rechercher leurs victimes sur Internet, des circonstances aggravantes ont été introduites à différents articles du code pénal afin de réprimer plus sévèrement certains faits lorsque l'auteur est entré en contact avec la victime via un réseau de communication électronique :
- à l'article 222-24 concernant le viol ;
- à l'article 222-28 relatif aux agressions sexuelles ;
- à l'article 225-12-2 sur l'achat de prestations sexuelles à une personne mineure ou vulnérable ;
- à l'article 227-22 sur la corruption de mineurs.
Une circonstance aggravante a également été introduite à l'article 227-26 du code pénal relatif au harcèlement moral.
c) Les infractions de portée générale
Beaucoup de faits de cybercriminalité sont poursuivis sur la base d'incriminations pénales générales, parfois associées à des infractions STAD.
Les attaques au rançongiciel peuvent ainsi être poursuivies au titre des atteintes au STAD, mais aussi sur le fondement des articles 312-1 et 312-6-1 du code pénal, qui répriment l'extorsion simple ou en bande organisée.
Les articles 313-1 à 313-3 du code pénal, qui répriment l' escroquerie , simple ou en bande organisée, peuvent être mobilisés pour réprimer les escroqueries à la fausse amitié ou à la romance, les escroqueries à l'investissement en ligne, les escroqueries au faux site de vente en ligne ou encore l'arnaque au faux site administratif. Les escroqueries au faux ordre de virement ou aux images érotiques fictives peuvent aussi être poursuivies au titre des atteintes au STAD.
La publication de contenus illicites en ligne peut être poursuivie en faisant appel à une grande diversité de qualifications pénales, qui vont dépendre de la nature du contenu considéré : un fait de revenge porn pourra être réprimé sur le fondement de l'article 226-2-1 du code pénal sur les atteintes à la vie privée ; d'autres contenus seront réprimés au titre de l'apologie du terrorisme, de la provocation à la haine, à la discrimination ou à la violence, ou encore en tant que diffamation ou injure.
Les cybercriminels qui recrutent des mules sur Internet ou qui proposent sur le dark web du matériel pour réaliser une cyberattaque peuvent être poursuivis sur le fondement des articles 450-1 à 450-5 du code pénal, relatifs à la participation à une association de malfaiteurs. Le blanchiment réalisé grâce à des cryptoactifs peut être poursuivi en tant que blanchiment aggravé (article 324-2 du code pénal), tandis que la vente illicite de données personnelles peut être poursuivie sous la qualification de recel (article 321-1).
Cette présentation des principales qualifications pénales utilisées montre que l'arsenal législatif est étoffé : il n'existe pas de faits de cybercriminalité qui ne pourraient être poursuivis faute d'incrimination adaptée.
Comme le notait Marc Robert dans son rapport de février 2014, Protéger les internautes , la jurisprudence de la Cour de cassation contribue également à faciliter la poursuite des faits de cybercriminalité en allant « dans le sens d'une “dématérialisation” des éléments constitutifs de certains délits, par exemple lorsqu'elle admet que le délit de vol est constitué par le simple fait de s'approprier, à l'insu de son propriétaire, un document, quel qu'en soit le support, pour la seule durée nécessaire pour le copier, ou celui d'abus de confiance par le détournement d'un bien “quelconque” pour d'autres usages que ceux pour lesquels il a été confié, ou encore celui d'escroquerie par l'utilisation d'un code de carte bancaire ».
2. La procédure pénale
Les enquêteurs et magistrats entendus par les rapporteurs se sont également déclarés satisfaits du cadre procédural dans lequel ils opèrent, après qu'il a été réformé par la loi de programmation 2018-2022 et de réforme pour la justice du 23 mars 2019. Deux techniques d'investigation sont particulièrement utiles en matière de lutte contre la cybercriminalité.
a) L'enquête sous pseudonyme
Créée en 2007 , la technique des enquêtes sous pseudonyme, ou « cyberpatrouilles » se conçoit comme une infiltration numérique : dès lors que diverses infractions sont commises au moyen d'Internet, il convient de permettre à des officiers de police judiciaire d'enquêter en ligne, sous pseudonyme, afin de recueillir des preuves.
Les enquêteurs, spécialement habilités à cette fin, peuvent notamment :
- participer sous pseudonyme aux échanges électroniques ;
- extraire, acquérir ou conserver par ce moyen les éléments de preuve et les données sur les personnes susceptibles d'être les auteurs des infractions ;
- extraire, transmettre en réponse à une demande expresse, acquérir ou conserver des contenus illicites (sauf pour certaines infractions).
À peine de nullité, ces actes ne peuvent constituer une incitation à la commission d'une infraction, ce qui signifie que l'enquêteur ne doit pas inciter autrui à commettre une infraction sous peine que l'acte soit annulé et ne puisse plus figurer dans la procédure.
Le champ d'application de cette technique, d'abord limité aux infractions de nature sexuelle ou en matière de traite des êtres humains, a été progressivement étendu à l'apologie du terrorisme , à l'ensemble des infractions de la délinquance et de la criminalité organisées, mentionnées aux articles 706-73 et 706-73-1 du code de procédure pénale, mais également aux délits d'atteintes aux systèmes de traitement automatisé de données à caractère personnel mis en oeuvre par l'État, commis en bande organisée, ainsi qu'à certaines infractions du code de la santé publique ou du code de la consommation.
La loi du 23 mars 2019 a unifié le régime de l'enquête sous pseudonyme , désormais défini dans un nouvel article 230-46 du code de procédure pénale, alors qu'il était auparavant dispersé entre plusieurs articles dudit code. Surtout, elle a élargi le champ d'application de cette technique en l'autorisant pour toute infraction punie d'une peine d'emprisonnement commise par un moyen de communication électronique . L'acquisition de tout contenu, produit, substance, prélèvement ou service, y compris illicite, est mieux encadrée puisque soumise à l'autorisation du procureur de la République ou du juge d'instruction, l'autorisation étant mentionnée au dossier de la procédure.
b) L'interception des communications électroniques
Au cours des investigations, il est possible de recourir aux interceptions de correspondances émises par la voie des communications électroniques 13 ( * ) , communément appelées « écoutes judiciaires ».
Légalisées en 1991 , les interceptions judicaires relevaient initialement du seul juge d'instruction qui peut les prescrire « lorsque les nécessités de l'instruction l'exigent », en matière criminelle et correctionnelle si la peine encourue est égale ou supérieure à deux ans d'emprisonnement. Depuis 2004 , le juge des libertés et de la détention (JLD) peut également autoriser des interceptions de correspondances pendant une enquête de flagrance ou préliminaire relative à la délinquance ou à la criminalité organisée , ces interceptions étant ordonnées pour une durée maximale d'un mois, renouvelable une fois.
Le projet de loi de programmation 2018-2022 et de réforme pour la justice avait pour ambition d'étendre le champ d'application des interceptions de correspondances émises par la voie des communications électroniques, durant l'enquête de flagrance et l'enquête préliminaire, à tous les crimes et à tous les délits punis d'au moins trois ans d'emprisonnement, sans exiger qu'ils relèvent de la délinquance ou de la criminalité organisée. La commission des lois du Sénat s'était opposée à cette extension qui lui avait semblé porter une atteinte disproportionnée aux libertés individuelles, notamment au regard des capacités de contrôle du JLD.
Le Conseil constitutionnel a partagé cette analyse puisqu'il a censuré cette disposition 14 ( * ) . Il a considéré que les infractions visées n'étaient pas d'une particulière complexité et que l'autorisation du JLD, qui ne dispose pas de tout le dossier de la procédure, n'était pas une garantie suffisante.
Les professionnels entendus par les rapporteurs n'ont pas souhaité que le débat soit rouvert sur ce point, ce qui conduit à penser que l'extension considérable envisagée par le Gouvernement n'était sans doute pas indispensable.
3. Des améliorations possibles
a) La preuve numérique
Le principal obstacle rencontré par les magistrats et par les enquêteurs réside dans la difficulté à accéder à la preuve numérique .
Le recueil de la preuve numérique dépend de la durée de conservation des données par chaque hébergeur, qui n'obéit à aucune norme commune, mais aussi de la garantie que pourront apporter les enquêteurs que la preuve n'a pas été falsifiée. Comme l'a souligné Myriam Quémener 15 ( * ) , avocate générale près la cour d'appel de Paris, « la matière pénale renforce les exigences sur les enquêteurs qui devront pouvoir démontrer son origine et son authenticité aux avocats et aux magistrats. Le respect de la procédure d'accès à la preuve numérique est d'une importance fondamentale car elle permet de démontrer l'intégrité des données électroniques et d'expliquer la manière dont elles ont été obtenues en conformité avec les droits des parties ».
Des négociations sont actuellement en cours au niveau de l'Union européenne, dans le cadre du paquet « e-evidence », afin d'harmoniser les règles applicables à l'échelle européenne ( cf . infra ).
La question de l'accès à la preuve numérique dépasse d'ailleurs le cadre de la lutte contre la cybercriminalité : dans les affaires d'une certaine complexité, quelle qu'en soit la nature, les enquêteurs ont souvent comme premier réflexe d'exploiter des données de téléphonie mobile, de vidéosurveillance ou de solliciter des expertises informatiques, ce qui témoigne de la nécessité de sécuriser ces données.
b) La question de la responsabilité des hébergeurs
Les rapporteurs ont concentré leurs investigations sur la lutte contre la cybercriminalité par l'autorité judiciaire et par les services enquêteurs. Ils n'ont pas étudié la question de la responsabilité des hébergeurs, qui reste aujourd'hui en débat. Deux développements récents soulignent la complexité de ce sujet.
D'abord, la censure par le Conseil constitutionnel de la proposition de loi présentée par la députée Laetitia Avia, sur laquelle le Sénat avait multiplié les mises en garde.
Ce texte avait pour ambition d'imposer le retrait dans des délais extrêmement brefs de certains contenus illicites. Il aurait obligé certains opérateurs de plateforme en ligne, sous peine de sanction pénale, à retirer ou à rendre inaccessibles, dans un délai de vingt-quatre heures, des contenus illicites en raison de leur caractère haineux ou sexuel, sur la base d'un simple signalement par un utilisateur. Il aurait également imposé aux hébergeurs ou aux éditeurs d'un service de communication en ligne de retirer, dans un délai d'une heure, les contenus à caractère terroriste ou pédopornographique notifiés par l'autorité administrative. Le non-respect de ces obligations aurait été passible d'une lourde sanction pénale.
Saisi par plus de soixante sénateurs, dont le rapporteur Sophie Joissains, le Conseil constitutionnel a estimé, par sa décision n° 2020-801 DC du 18 juin 2020, que ces dispositions portaient une atteinte disproportionnée à la liberté d'expression et de communication et qu'elles devaient donc être déclarées contraires à la Constitution. Elles auraient accordé un pouvoir considérable à l'administration pour décider des contenus à retirer et fait peser une forte contrainte sur les opérateurs qui auraient été tentés de retirer tous les contenus signalés pour se mettre à l'abri de poursuites pénales, compte tenu de la difficulté de procéder à un véritable examen des contenus litigieux dans le délai court qui leur était imparti.
Par ailleurs, la Cour des comptes a publié, en février 2020, un rapport sur la lutte contre les contrefaçons dans lequel elle suggère de renforcer les obligations juridiques des plateformes du commerce en ligne afin de mieux lutter contre le commerce de contrefaçons.
La Cour des comptes estime que « les plateformes numériques sont relativement passives dans la lutte contre la contrefaçon au motif qu'elles ne sont que des intermédiaires sans obligation de vigilance particulière. Ce régime de responsabilité limitée résulte de la directive commerce électronique 2000/31/CE qui dispense les plateformes du contrôle général des contenus qu'elles hébergent. C'est seulement en cas d'inaction à la suite d'une notification que l'intermédiaire peut, le cas échéant, voir sa responsabilité engagée ».
Sans aller jusqu'à imposer aux plateformes (moteurs de recherche, réseaux sociaux, places de marché) un devoir de surveillance générale a priori de la totalité des contenus, produits et services qu'ils référencent, la Cour suggère de définir de nouvelles obligations de vigilance renforcée, qui les obligeraient notamment à vérifier l'identité des vendeurs et à communiquer cette information aux consommateurs, à suivre les flux permettant d'identifier les étapes de la chaîne de distribution et à mettre en place une procédure de notification des contenus contrefaisants, avec un délai de retrait homogène et rapide.
Compte tenu du grand nombre d'infractions constatées dans l'univers cyber, il est vraisemblable qu'une meilleure régulation d'Internet par ses principaux acteurs, dans un cadre défini par les États ou, mieux, par l'Union européenne, se révèlera nécessaire pour compléter les efforts de la police et de la justice.
c) Les interrogations soulevées par certaines interventions à distance
En 2019, le centre de lutte contre la criminalité numérique (C3N) de la gendarmerie nationale a réalisé, en partenariat avec l'entreprise de sécurité informatique Avast, une opération spectaculaire tendant à mettre fin à l'activité d'un vaste botnet 16 ( * ) dans le cadre de l'affaire dite Retadup.
Retadup est le nom d'un logiciel malveillant (ou malware ) qui a principalement contaminé des ordinateurs basés aux États-Unis et en Amérique latine. Les ordinateurs contaminés ont formé un botnet , soit un réseau de centaines de milliers d'ordinateurs piratés pour générer de la cryptomonnaie à l'insu de leurs propriétaires.
À cette fin, les ordinateurs contaminés se connectent régulièrement à un serveur « command and control » qui leur donne des instructions. L'entreprise Avast a repéré que ces connections les reliaient à un serveur basé en région parisienne. Elle a pris contact avec le C3N, et le parquet de Paris a ouvert une enquête. Le serveur a été localisé chez un hébergeur qui a fait l'objet d'une perquisition.
Avast et le C3N ont repéré une faille dans le protocole utilisé par les pirates informatiques. Cette faille a été exploitée pour nettoyer à distance les ordinateurs infectés .
Ce serveur a été remplacé par un serveur de la gendarmerie auquel les ordinateurs contaminés se sont connectés : le nouveau serveur leur a donné l'ordre d'exécuter une commande vide ayant pour effet de désactiver le logiciel malveillant.
Cette affaire illustre l'excellence technique du C3N. Elle pose aussi des questions nouvelles sur le plan juridique : est-il permis d'apporter une modification, sans l'accord de leur propriétaire ni des États concernés, à des ordinateurs situés à l'étranger ? En l'espèce, le C3N n'a pas porté atteinte à un STAD puisque ce sont les ordinateurs contaminés qui se connectaient au serveur présent sur le territoire national, sans qu'il leur soit ordonné de réaliser de codes supplémentaires. Mais serait-il envisageable que des données plus intrusives soient envoyées vers les ordinateurs de particuliers ou d'entreprises à l'étranger, sans les en informer, dans le but de « nettoyer » ces machines, voire dans le but de neutraliser un botnet à distance ?
Une réflexion européenne et internationale mériterait d'être conduite dans les prochaines années afin de définir les pratiques qui sont juridiquement acceptables et de prévoir des règles de bonne conduite dans les relations entre États.
* 12 Ces peines devraient être prochainement portées à cinq ans d'emprisonnement et à 75 000 euros d'amende comme le prévoit la proposition de loi visant à protéger les victimes de violences conjugales en cours de navette.
* 13 Selon l'article 32 du code des postes et communications électroniques (CPCE), les communications électroniques correspondent à « toute transmission, émission ou réception de signes, signaux, d'écrits, d'images, de sons ou de renseignements de toute nature par fil, optique, radioélectricité ou autres systèmes électromagnétiques ». Est donc concernée l'interception des correspondances émises ou reçues sur des différents supports tels que les téléphones fixes ou mobiles, les tablettes ou les ordinateurs.
* 14 Décision n° 2019-778 DC du 21 mars 2019.
* 15 Cette citation est extraite de la contribution écrite que Mme Quémener a adressée aux rapporteurs.
* 16 Un botnet est un réseau de robots composé d'un grand nombre d'ordinateurs dont un logiciel malveillant a pris possession.