Allez au contenu, Allez à la navigation

Cybercriminalité : un défi à relever aux niveaux national et européen

9 juillet 2020 : Cybercriminalité : un défi à relever aux niveaux national et européen ( rapport d'information )

C. DONNER SA PLEINE MESURE À LA COOPÉRATION EUROPÉENNE

La mise en place progressive d'un espace judiciaire européen a pour objectif de pallier les difficultés inhérentes à la coopération interétatique, qui constitue encore un obstacle à une politique commune de lutte contre la cybercriminalité.

La coopération européenne en la matière a été jugée par tous les interlocuteurs des rapporteurs comme de bonne qualité. Elle ne pourra que s'approfondir si l'ensemble des États membres y participent effectivement.

1. Des marges de progression persistantes dans certains États membres

Les États membres sont engagés dans la lutte contre la cybercriminalité. Tous sont liés par la réglementation européenne, bénéficient du soutien des agences européennes compétentes et, à l'exception de la Suède et de l'Irlande, sont parties à la convention de Budapest.

Néanmoins, ils allouent à cette lutte des moyens inégaux. Par ailleurs, si la cybercriminalité les affecte tous, force est de constater que tous ne sont pas impliqués de la même façon dans la coopération européenne. Ainsi, les responsables compétents du parquet de Paris entendus par les rapporteurs ont indiqué que l'Allemagne, les Pays-Bas ou le Royaume-Uni comptaient parmi les pays européens les plus actifs en matière de coopération judiciaire, mais qu'ils n'avaient personnellement jamais été en contact avec des magistrats espagnols, italiens ou roumains. Ils se sont même demandé si l'Espagne, par exemple, avait des magistrats spécialisés dans le cybercrime. En revanche, les magistrats français reçoivent beaucoup de demandes de coopération de leurs homologues européens car la France héberge de grandes entreprises informatiques dotées de nombreux et puissants serveurs - OVH par exemple -, ce qui n'est pas forcément le cas de tous les États européens.

Des marges de progrès ont d'ailleurs été identifiées au cours du 7e cycle d'évaluation mutuelle sur la mise en oeuvre pratique et opérationnelle des politiques européennes en matière de prévention et de lutte contre la cybercriminalité. La principale difficulté tient au coût élevé des investissements à réaliser dans ce domaine pour acquérir l'expertise technique et humaine et pour rester à niveau. De même, les actions de formation sont parfois conduites de manière cloisonnée et les services judiciaires n'y sont pas suffisamment impliqués. On l'a dit, certains États membres ne vont pas non plus assez loin dans la coopération de leurs services ou institutions en charge de la lutte contre la cybercriminalité avec leurs homologues des autres États membres. La mesure de la cybercriminalité est d'ailleurs rendue délicate non seulement par l'absence de définition harmonisée du phénomène, tant entre les États qu'au niveau international, mais aussi par la qualité variable des statistiques, qui constitue un obstacle à leur agrégation et leur collecte. Enfin, des efforts restent nécessaires, dans plusieurs États membres, pour développer les actions de prévention et de sensibilisation du public, en particulier pour ce qui concerne les abus sexuels sur mineurs en ligne.

2. Un axe de la stratégie de sécurité intérieure de l'Union européenne

Prévenir et combattre la cybercriminalité, de même que renforcer la cybersécurité, constituent des priorités d'action de la stratégie de sécurité intérieure renouvelée pour l'Union européenne 2015-2020, adoptée en juin 2015.

Cet axe est abordé dans cette stratégie sous deux angles : d'une part, l'attention particulière portée à la promotion de technologies de l'information et de communication sûres et sécurisées afin de renforcer la cybersécurité25(*) au sein de l'Union, et, d'autre part, sur un plan opérationnel, le rappel du rôle de premier plan que doit jouer le cycle politique de l'Union européenne26(*) pour lutter contre la criminalité organisée.

L'actuel cycle politique de lutte contre la criminalité organisée, qui couvre les années 2018 à 2021, comporte ainsi une priorité « cybercriminalité », subdivisée en trois thèmes correspondant à autant de plans d'action opérationnels : les attaques contre les systèmes informatiques, ou CAIS (Combating Against Information Systems), la lutte contre la fraude et la contrefaçon concernant les moyens de paiement autres que les espèces, ou NCPay (Non Cash Means of Payment Fraud), et la sécurité des enfants sur Internet, notamment via la lutte contre la production et la diffusion de contenus à caractère pédopornographique, ou CSA/CSE (Combating Child Sexual Abuse & Exploitation).

La France est très engagée dans la mise en oeuvre de la priorité « cybercriminalité ». Ainsi, en 2019, elle a participé à 194 actions du cycle politique, soit près de 80 % du total, dont 37 actions cyber. Elle est leader d'une action CAIS, co-leader de cinq actions (une autre action CAIS, deux actions NCPay et deux actions CSA/CSE) et participe à d'autres actions (treize actions CAIS, neuf actions NCPay et neuf actions CSA/CSE).

La stratégie de sécurité intérieure s'achevant à la fin de cette année, la Commission européenne a inscrit dans son programme de travail l'élaboration d'une nouvelle stratégie de l'Union européenne en matière de sécurité, qui devrait logiquement porter aussi sur le terrorisme et la criminalité organisée, y compris dans le cyberespace, et sur la cybersécurité.

3. Une réglementation européenne qui s'enrichit progressivement
a) Le dispositif réglementaire en vigueur

De manière à pouvoir réprimer la cybercriminalité, l'Union européenne s'est dotée progressivement d'une réglementation que les États membres doivent transposer ou appliquer directement - on notera que cette réglementation ne donne pas de définition de la cybercriminalité. La Commission européenne élabore régulièrement des rapports de suivi et d'évaluation de manière à apprécier la mise en oeuvre de cette réglementation au sein des États membres.

Cette réglementation européenne comporte actuellement plusieurs textes, dont les principaux sont les suivants :

- la directive 2011/93/UE du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI : ce texte permet de mieux réprimer ces infractions en prenant en compte leur commission en ligne, par exemple le grooming (cfsupra) ;

- la directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d'information et remplaçant la décision cadre 2005/222/JAI : ce texte vise à lutter contre les cyberattaques à grande échelle en invitant les États membres à renforcer leur arsenal législatif en matière de cybersécurité et à introduire des sanctions pénales plus sévères ;

- la directive (UE) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, dite « directive NIS » : ce texte, qui s'inscrit dans la stratégie numérique lancée par l'Union européenne en 2010, vise à renforcer le niveau de sécurité des réseaux et de l'information dans un contexte où l'interpénétration des réseaux et des systèmes informatiques fait peser un risque collectif sur les États membres. Sa révision, annoncée pour 2020, a été maintenue dans le programme de travail révisé que la Commission a présenté dans le contexte de la pandémie de Covid-19 ;

- la directive (UE) 2019/713 du 17 avril 2019 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces et remplaçant la décision-cadre 2001/413/JAI : ce texte actualise le cadre juridique, supprime les obstacles à la coopération opérationnelle et renforce la prévention et l'assistance aux victimes, pour rendre plus efficaces les mesures répressives contre la fraude et la contrefaçon des moyens de paiement virtuels ;

- le règlement (UE) 2019/881 du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité), dit Cybersecurity Act : ce règlement définit la cybersécurité (« les actions nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces ») et la cybermenace (« toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d'information, aux utilisateurs de tels systèmes et à d'autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes »), réforme le mandat de l'ENISA, crée un cadre européen de certification de sécurité pour les produits et services et instaure un cadre européen de réponse aux crises cyber de grande ampleur (Blueprint) ;

- la décision (PESC) 2019/797 du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques qui menacent l'Union ou ses États membres : les cyberattaques relevant de ce régime de sanctions ont leur origine ou sont menées à l'extérieur de l'Union européenne, ou utilisent des infrastructures situées à l'extérieur de l'Union, ou sont menées par des personnes ou entités établies ou agissant à l'extérieur de l'Union, ou sont menées avec l'appui de personnes ou entités agissant à l'extérieur de l'Union ; les tentatives de cyberattaques ayant des effets potentiels importants sont également couverts par ce régime de sanctions.

b) Les négociations en cours sur le retrait des contenus terroristes

Au niveau européen, la lutte contre la cybercriminalité donne actuellement lieu à des négociations sur la façon d'éviter la dissémination des contenus illicites en ligne, terroristes en l'espèce.

Le 12 septembre 2018, la Commission avait présenté une proposition de règlement27(*) relative à la prévention de la diffusion en ligne des contenus à caractère terroriste, dont l'objectif est de dépasser le cadre coopératif actuel, aux résultats jugés insuffisants28(*). Ce texte impose le retrait, dans l'heure, par tout fournisseur de service d'hébergement d'un contenu terroriste, à la demande d'un État membre. En cas contraire, celui-ci pourrait prononcer une sanction représentant jusqu'à 4 % du chiffre d'affaires annuel de la société. Le retrait sur une base volontaire demeure toutefois une option possible.

Ces éléments demeurent dans l'orientation générale adoptée par le Conseil JAI du 6 décembre 2018. Le Parlement européen a arrêté sa position en première lecture le 17 avril 2019, c'est-à-dire sous la précédente législature. La position du Parlement européen s'écarte significativement de celle du Conseil : les signalements (hors autorité nationale compétente) sont supprimés, les mesures proactives ne sont plus obligatoires, l'autorité compétente doit être soit judiciaire, soit administrative indépendante, ce qui remettrait en cause la plateforme française Pharos qui donne de bons résultats. Le principe du retrait dans l'heure, central dans la proposition de la Commission, est maintenu, mais seul l'État membre hébergeant le fournisseur de service d'hébergement aurait la faculté d'émettre une injonction dans ce sens, les autres États membres pouvant procéder à un géoblocage au niveau de leur seul territoire.

Les négociations interinstitutionnelles ont débuté à la mi-octobre 2019.

c) Les négociations en cours sur la preuve électronique

Un autre dossier important fait l'objet de négociations en cours : la preuve électronique (e-evidence).

Le Conseil JAI du 9 juin 201629(*) avait adopté des conclusions sur l'amélioration de la justice pénale dans le cyberespace, aux termes desquelles la Commission était appelée à présenter une initiative législative visant à accélérer et simplifier l'accès des magistrats aux éléments de preuve électronique, ce qu'elle fit, le 17 avril 2018, avec des projets de règlement30(*) et de directive31(*) sur l'accès transfrontière aux preuves électroniques. Cette approche transfrontalière présente un intérêt opérationnel majeur compte tenu de l'importance prise par l'accès aux éléments de preuve électronique dans le cadre des enquêtes transnationales auxquelles donnent lieu de très nombreuses affaires de cybercriminalité. Comme l'a indiqué la direction des affaires criminelles et des grâces du ministère de la justice, dans trois quarts de ce type d'affaires, les preuves ne se trouvent pas en France.

La conservation unifiée des données,

enjeu majeur dans la lutte contre la cybercriminalité

En juillet 2019, les agences Eurojust et Europol ont publié un rapport conjoint qui recense les principaux défis dans la lutte contre la cybercriminalité transfrontière, dont il ressort que, dans le domaine des cyberattaques, de l'exploitation sexuelle des enfants en ligne ou encore de la fraude aux paiements transfrontières, l'absence de conservation unifiée des données reste un défi majeur pour les autorités répressives.

Selon ce rapport, les arrêts de la Cour de justice de l'Union européenne (CJUE) invalidant à plusieurs reprises les dispositifs nationaux et européens ont laissé les services répressifs et les procureurs des États membres dans l'incertitude quant aux possibilités d'obtenir des données des acteurs privés.

Dans son arrêt Digital Rights Ireland, rendu le 8 avril 2014, la CJUE a invalidé les dispositions d'une directive de 2006 permettant aux opérateurs de télécommunications de stocker pour 6 à 24 mois maximum les données de téléphonie de leurs clients, afin que les forces de police puissent s'en servir à des fins de prévention ou d'enquête sur des faits de terrorisme et de criminalité grave, au motif qu'elles violaient gravement les droits fondamentaux. Dans leur rapport, Eurojust et Europol estiment que l'arrêt Télé2Sverige, rendu le 21 décembre 2016, aggrave encore ce problème. Dans certains États membres, la législation nationale est toujours en place pour garantir que les fournisseurs de services Internet conservent des données à des fins répressives, tandis que, dans d'autres, la législation nationale a été abrogée pour prendre en compte l'arrêt de la CJUE. Le rapport note ainsi que « de telles divergences entravent le travail des autorités compétentes et peuvent entraîner la perte de pistes d'enquête et, en fin de compte, nuire à la capacité de poursuivre efficacement les activités criminelles en ligne ». Selon les deux agences, la majorité des autorités répressives et judiciaires des États membres serait favorable à un cadre législatif au niveau européen.

Un mois avant la publication de ce rapport, le Conseil avait adopté des conclusions demandant à la Commission de préparer une étude approfondie sur de possibles solutions en matière de rétention des données de télécommunications à des fins répressives, y compris l'examen d'une future initiative législative. La Commission avait répondu favorablement à cette demande et assuré que l'étude serait disponible avant la fin de l'année 2019. Néanmoins, cette étude, confiée à un consultant privé, n'a pas encore été publiée et pourrait l'être à la fin juillet 2020.

Le projet de règlement introduit une injonction de production ou de conservation de données, adressée par l'autorité judiciaire d'un État membre pour les fins de la procédure pénale, directement aux fournisseurs de service Internet (FSI) actifs sur le territoire de l'Union, quel que soit leur localisation ou le lieu de stockage des données. Il cherche ainsi à dépasser le critère du lieu de stockage des données ou du siège social du FSI et retient le critère de la fourniture de services sur le territoire de l'Union. Cet accès s'effectuerait par des décisions européennes de production ou de préservation directement adressées aux opérateurs qui auront des délais courts pour répondre, à savoir 10 jours, et 6 heures en cas d'urgence. Quant au projet de directive, il instaure l'obligation pour les FSI de désigner un représentant légal dans l'Union chargé de recevoir et exécuter les décisions aux fins de la collecte de preuves par les autorités nationales dans les procédures pénales.

Ces textes ambitieux, dont la France soutient les principes, donnent lieu à des négociations serrées, en particulier avec l'Allemagne, sur la question de l'opportunité d'introduire un mécanisme de notification ex ante à l'autorité compétente d'un État membre, ainsi que sur une possibilité d'injonction sur cette base. Les négociations ont permis de s'orienter vers un mécanisme de notification à l'État d'exécution avec un effet contraignant pour les données de contenu et un mécanisme de consultation de ce même État pour les données de transaction. Cette solution ne donnerait pas de droit d'opposition à l'État membre d'exécution, mais obligerait l'État membre d'émission à tenir compte des informations reçues pour s'abstenir d'émettre l'injonction, la retirer ou l'adapter. Ainsi, le dispositif ne s'appliquerait que dans les cas où la procédure comporte un aspect transnational - c'est-à-dire une personne visée résidant hors de l'État membre d'émission - limité aux données les plus sensibles (données de contenu et de transaction), au sein d'un système comportant plusieurs niveaux de vigilance et garanties.

Il conviendrait d'achever rapidement les négociations sur ces textes, qui se trouvent actuellement en phase de trilogues, même s'ils ne produiront pleinement leurs effets qu'en complémentarité avec le deuxième protocole additionnel à la convention de Budapest du Conseil de l'Europe, également en cours de négociation (cfsupra).

d) Les projets de la Commission von der Leyen

La Commission entrée en fonction à l'automne 2019 a inscrit plusieurs projets relatifs à la lutte contre la cybercriminalité dans son programme de travail 2020, intitulé «  Une Union plus ambitieuse », qui relèvent de l'axe « numérique » et de l'axe « mode de vie européen ».

La Commission envisage d'explorer plusieurs pistes : les opportunités offertes par l'intelligence artificielle, y compris pour mettre cette technologie au service de la sécurité de l'Union et pour lutter contre les cybermenaces ; des initiatives visant à rendre la finance numérique plus résistante aux cyberattaques, par exemple une proposition sur les actifs cryptographiques32(*) ; l'élaboration d'une stratégie de lutte contre les abus sexuels sur mineurs, qui devrait nécessairement comporter une dimension numérique ; une consultation visant à apprécier l'opportunité d'une initiative législative en matière de lutte contre les vols d'identité, phénomène cybercriminel ayant pris une ampleur préoccupante ces dernières années ; l'élaboration d'une nouvelle stratégie de l'Union européenne en matière de sécurité (cf. supra) ; une révision du mandat d'Europol devant permettre à cette agence de se doter des outils nécessaires pour mieux lutter contre la cybercriminalité.

Par ailleurs, en janvier 2020, la Commission a présenté une «  boîte à outils 5G » visant à garantir la sécurité des réseaux 5G en renforçant les exigences de sécurité, évaluant les profils de risque des fournisseurs, appliquant des restrictions utiles aux fournisseurs considérés à haut risque et mettant en place des stratégies de diversification des fournisseurs. Un rapport sur le suivi de la mise en oeuvre de cette « boîte à outils » est prévu à l'été 2020.

Sur la cybersécurité proprement-dite, la Commission a fait de la défense de la souveraineté technologique de l'Union européenne l'un des axes forts de son programme de travail. La stratégie numérique qu'elle a présentée le 19 février 2020 tend à déployer une stratégie européenne en matière de cybersécurité, avec la mise en place d'une unité conjointe de cybersécurité, une révision de la directive NIS et une impulsion donnée au marché unique de la cybersécurité.

Enfin, il conviendra de progresser dans la négociation de la proposition de règlement établissant le Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination, qui avait été présentée par la Commission Juncker33(*).

Ce texte, dont l'objectif est de contribuer à structurer la filière européenne de cybersécurité, vise à instituer un tel Centre européen pour une durée de sept ans et à lui confier l'attribution de subventions et la passation de marchés en matière de recherche et développement, de déploiement de technologies européennes, de soutien à l'industrie et de création de synergies avec le secteur de la cyberdéfense, dans le cadre des programmes pour une Europe numérique et Horizon Europe. Le Centre européen prendrait la forme d'un partenariat associant l'Union européenne, les États membres et l'industrie. Il s'appuierait sur un Réseau de centres nationaux de coordination chargés de recenser et de soutenir les projets les plus pertinents dans les États membres et de favoriser la participation de l'industrie à des projets transfrontaliers. Enfin, une communauté de compétences réunissant laboratoires de recherche et industriels serait instaurée pour favoriser la diffusion de l'expertise et des capacités et l'amélioration de la coopération et des synergies.

Après une interruption des négociations en mars 2019, à la suite du rejet du mandat de trilogue, les discussions ont repris, mais de nombreuses interrogations demeurent sur la nature juridique du Centre, sa gouvernance et sa capacité à mettre en oeuvre les programmes-cadres.

4. Des agences européennes à vocation opérationnelle

L'Union européenne, dès 1996, a créé un comité d'experts chargés de la cybercriminalité. Puis elle s'est progressivement dotée de plusieurs agences qui, dans leur domaine de compétences, contribuent à lutter contre ce phénomène.

Par ailleurs, elle a cherché à assurer la sécurité informatique de ses propres institutions. Une décision de la Commission du 11 septembre 2012 a ainsi créé une équipe d'intervention d'urgence informatique, le CERT34(*)-EU, dont la mission est de protéger les institutions européennes contre les cyberattaques. Dotée d'une trentaine d'agents issus de différentes institutions de l'Union, cette structure doit répondre à des incidents de sécurité et à des cybermenaces, 24 heures sur 24 et 7 jours sur 7. Ses missions relèvent à la fois de la prévention, de la détection, de la réponse et de la réparation des incidents informatiques ; il met également les structures nationales similaires en réseau et promeut ainsi une culture commune.

a) Europol et son Centre européen de lutte contre la cybercriminalité (EC3)

La lutte contre la cybercriminalité constitue l'une des missions de l'Agence de l'Union européenne pour la coopération des services répressifs, plus connue sous le nom d' Europol, et dont le mandat a été profondément révisé par le règlement (UE) 2016/794 du 11 mai 2016.

Dénuée de compétence propre d'investigation, Europol n'est pas un « FBI européen », mais a pour mission de soutenir les services de police des États membres dans la lutte contre la criminalité organisée sous toutes ses formes et contre le terrorisme, dès lors que plus d'un État membre est concerné. Le traitement de certaines affaires de cybercriminalité peut aussi conduire Europol à travailler avec des entreprises privées qui mettent à profit leur expertise, comme l'a expliqué l'un des dirigeants de FireEye, entreprise américaine spécialisée en cybersécurité, que les rapporteurs ont auditionné. L'agence conduit également des actions opérationnelles en matière de cybercrimes dans le cadre, plus large, de son cycle politique de lutte contre la criminalité organisée.

Europol a adopté, fin 2019, sa stratégie dite « 2020+ », centrée sur la lutte contre la criminalité organisée et comprend plusieurs axes relatifs à la cybercriminalité : renforcement de la capacité d'analyse de l'agence, gestion de l'information, définition d'une stratégie d'innovation, création d'un laboratoire d'innovation et des technologies émergentes, qui permettra de mettre en contact des experts des services répressifs, du milieu universitaire et du secteur privé (cf. supra). La mise en place de ce laboratoire est confiée à l'équipe interne dédiée à la définition de la stratégie d'innovation, dirigée par un Français, Grégory Mounier.

Pour renforcer la réponse des autorités répressives à la cybercriminalité, Europol a créé en sein, en 2013, le Centre européen de lutte contre la cybercriminalité (EC3), qui constitue le point focal permettant de mettre en commun l'expertise européenne en la matière et de soutenir les enquêtes sur la cybercriminalité dans les États membres. Depuis sa création, EC3 a été impliqué dans des dizaines d'opérations policières et des centaines de mesures de soutien opérationnel à des services nationaux, à l'origine de plusieurs centaines d'arrestations. Son activité est en croissance régulière : EC3 a fourni un support opérationnel dans 57 affaires de cybercriminalité en 2013, 257 en 2018 et 397 en 2019.

EC3 dispose d'un effectif de 92 personnes, sur les 636 agents d'Europol affectés aux opérations (14,5 %) et d'un budget annuel de près de 13 millions d'euros (8 % du budget d'Europol consacré aux opérations). Le Centre est organisé en trois secteurs : la criminalistique, qui comprend deux équipes, numérique et documentaire ; la stratégie, avec deux équipes, la première chargée de nouer des partenariats et de coordonner les mesures de prévention et de sensibilisation, et la seconde responsable de l'analyse stratégique, de la définition de politiques et de mesures normatives et du développement d'une formation standardisée ; les opérations, avec une priorité donnée à la criminalité cyber-dépendante, l'exploitation sexuelle des enfants en ligne et la fraude au paiement.

Chaque année, EC3 publie un rapport stratégique, dit Internet Organized Crime Threat Assessment (IOCTA), qui expose les principales conclusions, menaces et tendances en matière de cybercriminalité. Cette évaluation annuelle met en évidence la persistance de plusieurs menaces majeures. Elle démontre également la complexité de la lutte contre la cybercriminalité et le fait que les cybercriminels n'innovent que lorsque leurs modes opératoires ont échoué. Les nouvelles menaces ne résultent pas seulement de technologies nouvelles ; elles proviennent de vulnérabilités connues des technologies existantes, qui affectent en particulier les données. Ainsi, selon l' IOCTA 2019, le rançongiciel reste la principale menace : même si une diminution du volume global d'attaques est observée, celles-ci sont plus ciblées, plus rentables et causent des dommages plus substantiels. Ce rapport relève également l'importance de la fraude par carte, du faux message électronique d'affaires ou encore de l'attaque par déni de service distribué (DDoS). Le volume de données pédopornographiques détectées en ligne continue d'augmenter. Cette évolution exerce une pression considérable sur les ressources des services répressifs. Ces derniers ont, eux aussi, besoin d'avoir accès aux données pertinentes dans la conduite de leurs enquêtes, en raison de l'utilisation accrue par les cybercriminels du cryptage permettant de masquer leurs traces et des crypto-monnaies pour dissimuler leurs revenus illicites. En outre, les difficultés d'accès aux données pertinentes tiennent aussi au principe de territorialité, qui restreint la compétence et les pouvoirs d'enquête des forces de l'ordre et des tribunaux définis par le droit national.

Au-delà de la capacité répressive d'Europol, EC3 a étendu son champ d'action, notamment en offrant un soutien opérationnel et analytique aux enquêtes des États membres.

Ce soutien est illustré par la création, en septembre 2014, au sein d'EC3, de la Joint Cybercrime Action Taskforce (J-CAT), compétente pour les cybercrimes de dimension internationale les plus importants, car d'aucuns considéraient que l'action d'Europol était trop limitée à la « petite » cybercriminalité. Son objectif est de conduire une action coordonnée, basée sur le renseignement, contre les principales menaces et cibles de la cybercriminalité en facilitant l'identification, la hiérarchisation, la préparation, l'ouverture et la conduite conjointes d'enquêtes et d'opérations transfrontalières.

Son champ de compétences porte sur les crimes cyber-dépendants, la fraude au paiement transnationale, l'exploitation sexuelle des enfants en ligne et les cyber-facilitateurs (services anti-antivirus, utilisation criminelle du darkweb, etc.). Pour chacune de ces catégories, EC3 centralise l'information et le renseignement criminels, fournit diverses analyses relatives à la prévention et à la lutte contre la cybercriminalité, soutient les opérations et les enquêtes nationales en apportant une analyse opérationnelle, une coordination et une expertise, définit une politique de sensibilisation destinée à des acteurs publics et privés, soutient la formation et le renforcement des capacités des autorités nationales compétentes, fournit du soutien technique et numérique pour la conduite des enquêtes, représente la communauté des services répressifs de l'Union européenne dans des domaines d'intérêt commun (recherche-développement, gouvernance d'Internet et élaboration de politiques).

La J-CAT est dirigée par un conseil d'administration qui, conjointement avec EC3, définit l'orientation stratégique. Elle se compose d'une équipe opérationnelle comprenant des officiers de liaison provenant de neuf États membres (Autriche, France, Allemagne, Italie, Pays-Bas, Roumanie, Pologne, Suède et Espagne) et de pays partenaires hors Union européenne (Australie, Canada, Colombie, Norvège, Suisse, Royaume-Uni et États-Unis), complétés par du personnel d'EC3. L'ensemble de ces agents travaillent au siège d'Europol, dans le même bureau pour s'assurer d'une communication fluide entre eux. En outre, un expert national détaché d'Eurojust auprès d'EC3 coopère régulièrement avec la J-CAT pour discuter des cas et des projets d'intérêt mutuel. La J-CAT sélectionne et classe par ordre de priorité les affaires à poursuivre, sur la base des propositions des officiers de liaison.

Par ailleurs, Europol s'est doté, le 1er juillet 2015, d'une unité de référencement Internet (EU IRU), disposant d'une équipe d'une quarantaine de personnes rassemblant des experts informatiques, des policiers et des gestionnaires. Son objet est de détecter des contenus, comptes ou sites Internet présentant un caractère terroriste afin de les signaler aux opérateurs en vue d'un retrait et d'un déréférencement. Cette unité n'a pas de pouvoir de contrainte : elle n'émet pas d'injonctions, mais des signalements, transmis préalablement aux États membres concernés ; les opérateurs sont libres de donner suite ou non à ces signalements. Dans la pratique cependant, cette unité a noué des relations avec environ 400 opérateurs, pour un résultat qu'elle estime globalement efficace.

EU IRU enregistre et sauvegarde les signalements émis dans le système IRMa35(*). Des réflexions sont en cours pour faire évoluer IRMa : en plus des signalements d'EU IRU, cette plateforme recevrait l'ensemble des injonctions de retrait émises par les États membres. EU IRU deviendrait ainsi un organe de coordination au niveau européen, permettant d'éviter des doublons entre les différentes autorités nationales. Cette évolution présenterait plusieurs avantages : avantages d'ordre pratique et opérationnel, pour les États membres et pour les plateformes, plus grande traçabilité européenne des suites effectivement données aux injonctions de retrait (taux de retrait et de déréférencement, rapidité de l'exécution, difficultés rencontrées), élaboration commune de solutions, soutien aux petites plateformes et respect des équilibres s'attachant aux enjeux de souveraineté, les États membres restant seuls compétents pour émettre des injonctions de retrait.

Europol a également commencé à réfléchir à mettre en place en son sein une plateforme d'assistance aux victimes, sur le modèle du GIP Acyma en France, qui permettrait de les orienter rapidement vers les services de police compétents pour le signalement et le traitement de l'infraction, de manière à ne pas les laisser sans réponse.

Les relations qu'entretient la France avec EC3 passent par l'intermédiaire de la direction centrale de la police judiciaire (DCPJ) du ministère de l'intérieur, et plus précisément de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), bureau de la sous-direction de la lutte contre la cybercriminalité au sein de la DCPJ. L'OCLCTIC assure les fonctions de coordonnateur de la lutte contre la cybercriminalité au niveau national et de point de contact unique pour la coopération internationale. Il est donc l'interlocuteur d'EC3, où il représente la France. L'OCLCTIC participe à deux programmes du cycle politique de l'Union européenne : Cyberattacks Against Information System et Non Cash Payment Card Fraud. Le programme Child Sexual Exploitation, en revanche, relève de l'Office central pour la répression des violences aux personnes de la DCPJ.

Les interactions entre EC3 et les services français

de police et de gendarmerie

EC3 est devenu un relais important des actions policières françaises, et cela de différentes manières : les programmes quadriennaux (2018-2021) EMPACT de coopération policière, dont la première priorité porte sur le cybercrime, l'assistance de la J-CAT aux enquêtes françaises, le recours aux bureaux mobiles d'Europol dans le cadre d'opérations d'envergure, la participation aux semaines d'action commune (Joint Action Weeks) ou encore la mise en place d'outils opérationnels innovants. EC3 a ainsi permis la résolution d'enquêtes françaises majeures en mutualisant les moyens ou en facilitant le déplacement d'enquêteurs au-delà des frontières européennes pour procéder à l'arrestation de hackers.

L'utilisation par les services enquêteurs français des bases de données d'Europol, notamment la messagerie sécurisée SIENA, est quotidienne et améliore l'échange d'informations.

En outre, EC3 facilite les contacts des services français avec les autres États membres, permet l'organisation de réunions de coordination et sert de point de contact avec Eurojust, de plus en plus souvent associée aux enquêtes.

Par ailleurs, EC3 met à la disposition des États membres des capacités techniques complémentaires à celles développées à un niveau national, tels que des outils de déchiffrement et d'analyse des flux de crypto-monnaies ou des protocoles de réponse à incidents en cas de crises majeures.

Enfin, EC3 collecte des données pertinentes et les exploite rapidement afin d'améliorer la réponse policière. À ce titre, il joue un rôle stratégique en tant que « diffuseur de connaissances ».

Pour ce qui concerne la gendarmerie française, EC3 entretient également des relations étroites avec le centre de lutte contre la criminalité numérique (C3N). En moins d'un an, trois projets ont été menés dans le cadre des programmes EMPACT en matière de lutte contre le blanchiment au moyen de cryptocartes et contre des trafics de stupéfiants. Fin 2019, le C3N a impliqué Europol dans une affaire majeure permettant d'obtenir des renseignements très importants concernant les activités de plusieurs organisations criminelles. Des échanges réguliers ont lieu entre EC3 et le C3N pour lutter contre les ransomwares, par exemple pour mettre en place des outils permettant de casser des mots de passe. Le C3N participe également à des actions opérationnelles, ou action days, sur le darkweb et les atteintes sur mineurs. Les enquêteurs du Centre national d'analyse des images de pédopornographie (CNAIP), qui gère et exploite au plan national l'ensemble des images et des vidéos pornographiques impliquant des mineurs recueillies au cours des enquêtes judiciaires, interviennent dans la formation de policiers européens à la technique des enquêtes sous pseudonyme. Enfin, le C3N intervient également très régulièrement lors des conférences sur la cybercriminalité organisées par Europol, notamment au profit des groupes d'experts animés par EC3.

b) Eurojust

Créée en 2002, dans le contexte des attentats du 11 septembre 2001 aux États-Unis, par une décision du Conseil36(*), modifiée en 200837(*), l'Agence de l'Union européenne pour la coopération judiciaire en matière pénale, dite Eurojust, est une entité de concertation des parquets nationaux de l'Union européenne. Les compétences d'Eurojust ont été renforcées par le traité de Lisbonne : ainsi, Eurojust, qui pouvait déjà demander aux États membres d'initier une enquête - ceux-ci peuvent refuser, mais doivent motiver leur refus -, peut désormais ouvrir elle-même cette enquête. S'agissant du déclenchement de poursuites, elle ne conserve qu'un pouvoir de proposition.

Eurojust a connu une réforme en 201838(*) qui l'a transformée en une véritable agence européenne de manière à améliorer son efficacité dans la lutte contre le crime transfrontalier et à prendre en compte la création du Parquet européen qui, selon le traité, doit être institué « à partir d'Eurojust ».

Eurojust est compétente pour le même type de criminalité qu'Europol39(*), ainsi que pour la criminalité informatique, la fraude, la corruption, les infractions pénales au détriment des intérêts financiers de l'Union, le blanchiment des produits du crime et la participation à une organisation criminelle.

Les missions d'Eurojust s'articulent autour de trois objectifs majeurs :

- promouvoir et améliorer la coordination des enquêtes et des poursuites entre les autorités compétentes des États membres ;

- améliorer la coopération entre ces autorités, en facilitant notamment la mise en oeuvre de l'entraide judiciaire internationale et l'exécution des demandes d'extradition ;

- soutenir les autorités nationales afin de renforcer l'efficacité de leurs enquêtes et de leurs poursuites, par exemple au moyen d'équipes communes d'enquête, voire de centres de coordination, qui sont des dispositifs d'urgence mis en place en cas d'interpellations réalisées en commun.

Eurojust joue également un rôle déterminant pour encourager la coopération judiciaire entre les États membres et les États tiers, en particulier les pays des Balkans occidentaux et de la région Moyen-Orient et Afrique du Nord, mais aussi les États-Unis - pays particulièrement important en matière de lutte contre la cybercriminalité compte tenu de l'importance de l'industrie numérique américaine et de la présence de très nombreux serveurs sur son territoire. Elle a ainsi établi des points de contact en Algérie, en Égypte, en Irak, en Israël, en Jordanie, au Liban, en Arabie saoudite, en Tunisie et auprès de l'Autorité palestinienne, mais aussi en Colombie et en Libye. Eurojust dispose actuellement de points de contact dans 41 États tiers. Qu'un pays n'ait pas d'officier de liaison à Eurojust complique la tâche de cette dernière : ainsi, Eurojust n'a ouvert aucun dossier de cybercriminalité avec un pays d'Afrique subtropicale, ce qui ne veut pas dire pour autant que ce phénomène ne touche pas ces pays...

Chacun des 27 États membres a détaché un représentant permanent au siège d'Eurojust, situé à La Haye. Ces représentants sont des procureurs, des juges ou des officiers de police. Eurojust peut accomplir ses tâches par l'intermédiaire d'un ou plusieurs membres nationaux ou bien en tant que collège. Les membres nationaux sont secondés par des adjoints, des assistants et des experts nationaux détachés par les États membres - le bureau français comprend quatre magistrats. Ensemble, ils remplissent le mandat d'Eurojust afin de coordonner les autorités nationales à chacune des étapes d'une enquête criminelle ou de poursuites judiciaires, et résolvent également les difficultés et problèmes pratiques engendrés par les divergences entre les systèmes juridiques des différents États membres.

Par exemple, le membre national d'Eurojust pour la France peut être saisi d'une demande liée à une affaire de cybercriminalité par la section J3 du parquet de Paris ; le membre national pour un autre pays peut aussi saisir son homologue français pour être associé à une enquête concernant également son pays. Selon des informations obtenues par les rapporteurs auprès du membre national pour la France, et qui recoupent celles de la section J3 du parquet de Paris, les États membres les plus actifs en matière de cybercriminalité sont l'Allemagne, la France - notre pays compte parmi les pays concernés par les dossiers les plus anciennement ouverts et les plus importants -, les Pays-Bas, la Belgique et la Roumanie, ainsi que les États-Unis et le Canada pour ce qui concerne les pays partenaires. En revanche, certains États membres n'ouvrent jamais ou presque de tels dossiers, par exemple l'Espagne et l'Italie, à tel point qu'ils « sortent des radars » de la coopération européenne dans ce domaine.

Par ailleurs, Eurojust s'appuie sur le Réseau judiciaire européen afin de recueillir des informations sur les mesures d'application nationales de la réglementation communautaire en vigueur, les modalités de saisine des tribunaux, l'assistance juridique ou encore l'organisation et le fonctionnement des professions juridiques dans chaque État membre. Les points de contact de ce réseau sont à la disposition des autorités judiciaires locales de leur État membre.

Lors du Conseil JAI du 9 juin 2016, les ministres européens de la justice ont adopté des conclusions sur la mise en place, « avec l'appui d'Eurojust », du Réseau judiciaire européen en matière de cybercriminalité, qui doit constituer « un centre d'expertise spécialisée » et faciliter et renforcer la coopération entre les autorités judiciaires compétentes intervenant dans le domaine de la cybercriminalité et de la criminalité facilitée par les technologies de l'information et de la communication et chargées d'enquêtes dans le cyberespace, dans le respect de la structure et des compétences au sein d'Eurojust et du Réseau judiciaire européen. Ce réseau permet de :

- faciliter les échanges de savoir-faire, de bonnes pratiques et d'autres connaissances et expériences pertinentes, y compris l'application pratique des cadres juridiques existants et de la jurisprudence pertinente et une coopération judiciaire transfrontière efficace ;

- encourager le dialogue entre les différents acteurs et parties prenantes qui contribuent à garantir le respect de l'État de droit dans le cyberespace, notamment Europol/EC3, Eurojust, l'ENISA, CEPOL, Interpol, le Conseil de l'Europe, le secteur privé, en particulier les prestataires de services, et d'autres organismes et réseaux concernés dans le domaine de la cybersécurité.

La direction des affaires criminelles et des grâces (DACG) du ministère de la justice représente la France au cours des réunions semestrielles de ce Réseau, qui se tiennent dans les locaux d'Eurojust ; ce Réseau n'est toutefois pas doté d'un secrétariat propre.

En 2019, Eurojust a été saisie de 125 nouveaux dossiers de cybercriminalité, soit environ 3 % de la totalité des dossiers dont l'agence est saisie, et de 72 depuis le début de l'année 2020, ce qui laisse présager une augmentation totale du nombre de saisines par rapport à l'année précédente.

Eurojust se mobilise de plus en plus auprès des autres acteurs de la lutte contre la cybercriminalité, Europol en particulier - Eurojust dispose d'ailleurs d'un officier de liaison auprès d'Europol. Elle a conclu un accord de partenariat international incluant Europol et le FBI, qui a abouti au démantèlement d'un vaste réseau de cybercriminalité, prenant la forme d'un botnet. En prenant le contrôle de centaines, voire de milliers d'ordinateurs, les botnets permettent d'envoyer des pourriels ou des virus, voler des données personnelles ou réaliser des attaques DDoS. Ainsi, le botnet surnommé Avalanche, actif depuis 2009, a été démantelé le 30 novembre dernier après quatre ans d'une enquête ayant impliqué des enquêteurs de trente pays différents et permis d'arrêter cinq personnes, de bloquer 800 000 domaines et de saisir 39 serveurs. Le réseau Avalanche a piraté 500 000 ordinateurs et fait des victimes dans 180 pays ; leurs identifiants de comptes bancaires étaient volés puis utilisés pour effectuer des virements ensuite blanchis par des complices.

c) L'ENISA

L'agence européenne chargée de la sécurité des réseaux et de l'information ( ENISA) a été instituée en 2004, pour une période de cinq ans, par le règlement (CE) n° 460/2004 du 10 mars 2004, remplacé par le règlement (UE) n° 526/2013 du 21 mai 2013. La durée du mandat de l'ENISA a été prorogée à plusieurs reprises puis son mandat lui-même a été profondément révisé par le règlement (UE) 2019/881 du 17 avril 2019, dit Cybersecurity Act qui prévoit deux domaines d'action supplémentaires : favoriser le recours à la certification européenne de cybersécurité et promouvoir un niveau élevé de sensibilisation des citoyens et des entreprises aux questions de cybersécurité.

Comme Europol et Eurojust, l'ENISA est une agence facilitatrice, et non un organe supranational de cybersécurité de l'Union européenne.

Dans l'accomplissement de ses tâches, elle agit de façon indépendante tout en évitant la duplication des activités des États membres et en tenant compte des compétences existantes de ces derniers. Sise à Héraklion, en Crète, mais disposant d'une antenne opérationnelle à Athènes, plus accessible, l'agence a vu ses moyens croître sensiblement. Son budget est ainsi passé de 11 millions d'euros en 2016 à 21,2 millions en 2020, et ses effectifs de 84 agents à 111, dont la moitié environ est constituée de contractuels. La mise en oeuvre du Cybersecurity Act va conduire à augmenter encore ces moyens d'ici à 2024, avec un budget de 24 millions d'euros et des effectifs de 121 agents. Si ces moyens paraissent suffisamment calibrés à ce stade, l'agence éprouve parfois des difficultés de recrutement en raison à la fois d'une attractivité salariale insuffisante par rapport au secteur privé et d'un vivier réduit qui compte des ingénieurs très diplômés mais relativement peu nombreux et encore peu expérimentés.

L'ENISA a pour but de parvenir à un niveau commun élevé de cybersécurité dans l'ensemble de l'Union européenne : elle encourage les États membres et les institutions, organes et organismes de l'Union à améliorer la cybersécurité et leur sert de point de référence en matière de conseils et compétences. Ainsi, à la mi-juin dernier, l'ENISA a mis en place, pour un an, un groupe de travail sur l'intelligence artificielle, composé de quinze membres représentant le secteur public, des entreprises privées, le monde associatif et celui de la recherche, ainsi que de sept observateurs issus des institutions européennes, dont la DG CONNECT de la Commission et Europol. Ce groupe de travail a pour objectif d'aider l'agence à identifier les menaces liées à l'intelligence artificielle et à élaborer des lignes directrices.

L'ENISA contribue à rapprocher les dispositions législatives, réglementaires et administratives des États membres relatives à la cybersécurité.

Elle a pour mission d'aider l'Union européenne et ses États membres à être mieux équipés et préparés pour prévenir, détecter et répondre aux problèmes de cybersécurité. Elle favorise le recours à la certification européenne de cybersécurité en vue d'éviter la fragmentation du marché intérieur, la plupart des États membres ayant aujourd'hui leurs propres normes de certification, et contribue à l'établissement et au maintien d'un cadre européen de certification de cybersécurité. La certification devrait sensiblement se développer dans les prochaines années, par exemple pour les objets connectés, le cloud et les systèmes industriels. L'engagement européen en la matière pourrait faire de l'Union européenne un leader et une source d'inspiration pour d'autres régions du monde, d'autant plus que les États-Unis sont plutôt hostiles à la certification, qu'ils considèrent comme contraire à la liberté du commerce.

L'ENISA contribue également à l'élaboration des stratégies nationales de cybersécurité, encourage la coordination entre équipes d'intervention en cas d'urgence et publie des rapports et études sur le sujet. Si elle s'adresse principalement aux gouvernements des États membres et institutions européennes, elle aide également le grand public, les universités et le secteur privé (PME, télécoms, fournisseurs d'accès Internet, etc.).

Par ailleurs, le Cybersecurity Act met en place un réseau d'officiers de liaison nationaux visant à renforcer les échanges entre autorités nationales et l'ENISA et à mieux informer les États membres sur les activités de cette dernière. L'un des défis de l'ENISA sera de mobiliser l'expertise des autorités nationales compétentes en s'appuyant sur ce réseau. L'ENISA pourra également accompagner les États membres dans le développement de capacités nationales de prévention et de réaction aux cyberattaques ciblant leur territoire. Elle pourra ainsi fournir une assistance sur demande pour évaluer l'impact d'un incident et faciliter sa gestion technique, notamment pour les incidents transfrontaliers de grande ampleur. L'ENISA devrait également apporter son expertise au futur centre cyber.

L'ENISA travaille en étroite collaboration avec Europol et son EC3. La coopération entre les équipes de sécurité informatique40(*) et les forces de l'ordre est relativement nouvelle et résulte en partie d'un protocole d'accord conclu entre l'ENISA, C3N, l'Agence européenne de défense et le CERT-EU de la Commission.

De même, l'ENISA entretient de très bonnes relations avec l'ANSSI - le président de son conseil d'administration est d'ailleurs un agent de l'ANSSI - qui est l'opérateur national constituant sa première source d'informations et d'expertise.

d) Les autres structures de coordination et de travail

· La coopération entre les agences

Au niveau stratégique, les agences européennes relevant de l'espace de liberté, de sécurité et de justice se réunissent au sein d'un réseau informel, dit des agences JAI (Justice et affaires intérieures), qui est un lieu de partage d'informations, de bonnes pratiques et d'échanges. Ce réseau rassemble de nombreuses agences, dont Europol, Eurojust, l'Agence de l'Union européenne pour la formation des services répressifs (CEPOL), l'Agence européenne des droits fondamentaux, Frontex ou encore le Bureau européen d'appui en matière d'asile (EASO), mais pas l'ENISA. Néanmoins, la directive 2013/40/UE relative aux attaques contre les systèmes d'information, dont l'objectif est de renforcer la coopération entre les autorités compétentes, mentionne les agences et organes spécialisés compétents de l'Union, tels qu'Eurojust, Europol et l'EC3, ainsi que l'ENISA.

En 2019, parmi les priorités du réseau informel des agences JAI, figurait la lutte contre la cybercriminalité. Celle-ci a notamment pris la forme de formations spécifiques organisées par le CEPOL ou de la rédaction de rapports d'analyse conjoints traitant, par exemple, des abus sexuels sur mineurs en ligne.

Au niveau opérationnel, la mise en oeuvre du cycle politique permet aux agences JAI de coopérer entre elles dans le cadre d'actions spécifiques, y compris en matière de lutte contre la cybercriminalité. Ainsi, des prochaines actions conjointes, auxquelles les agences prendront part, sont prévues sur la surveillance des commerces illicites et des trafics sur Internet et le darkweb.

Enfin, au niveau technique, un laboratoire d'innovation, institué par le Conseil à l'automne 2019, devrait être mis en place au sein d'Europol dans l'objectif d'observer les grandes tendances apparues au titre du mandat de cette agence et de stimuler la recherche et l'innovation, en particulier en matière d'intelligence artificielle. Ce laboratoire réunira l'ensemble des agences JAI souhaitant se coordonner en vue de la mise en oeuvre de projets qui bénéficieront aux États membres et d'abord à ceux dont les moyens sont plus réduits. La lutte contre la cybercriminalité et la mise au point de solutions technologiques communes aux États membres en matière de sécurité intérieure constituent les grandes priorités de ce laboratoire d'innovation, dont le champ d'action et l'organisation sont en cours de négociation.

· Les groupes de travail

La lutte contre la cybercriminalité est également traitée au sein de groupes de travail du Conseil et de la Commission, et de réseaux ad hoc.

Il est ainsi possible de citer :

- le groupe horizontal sur les questions cyber, au sein du Conseil, qui informe les États membres sur les sujets d'actualité et examine les initiatives législatives transversales ;

- le groupe de coopération NIS, institué par la directive éponyme pour accompagner les États membres dans sa transposition en élaborant des méthodologies communes, qui réunit les représentants des États membres - l'ANSSI pour la France -, de la Commission et de l'ENISA, dans le but de soutenir et faciliter la coopération stratégique entre les États membres, de favoriser l'échange d'informations, de renforcer la confiance mutuelle et de rehausser les capacités nationales de cybersécurité, par exemple en matière de formation et d'équipements techniques ;

- le forum Internet de l'UE, créé en 2015, à l'époque pour lutter contre la diffusion de contenus terroristes en ligne, qui réunit, sur une base volontaire, les États membres, des plateformes, des chercheurs et universitaires et des ONG, et dont le champ d'activités devrait être étendu aux contenus pédopornographiques et aux discours politiques extrémistes et violents.

5. La participation de l'Union européenne aux instances internationales compétentes

L'implication de l'Union européenne dans la lutte contre la cybercriminalité comprend également une dimension internationale.

Ainsi a-t-elle le statut d'observateur à l'Office des Nations Unies contre la drogue et le crime, principale enceinte internationale compétente en matière de lutte contre la cybercriminalité, au sein duquel elle coordonne une position commune, en lien avec les États membres, dans le cadre d'un groupe d'experts.

Par ailleurs, l'Union européenne participe au Forum mondial de l'Internet contre le terrorisme, initiative lancée en juillet 2017 par Facebook, Microsoft, Twitter et YouTube, visant à travailler de manière coordonnée au retrait des contenus terroristes en ligne. Ce Forum a créé une base d'empreintes numériques de contenus illicites partagée, de manière à éviter la réapparition de contenus retirés. L' Appel de Christchurch de mai 2019 cherche à faire évoluer ce Forum vers davantage de transparence et d'appui aux plus petites plateformes ; une gouvernance plus formelle a été mise en place et réunit l'Union européenne, des États et des plateformes.

L'Union européenne participe aussi aux travaux menés sur la cybersécurité au sein de diverses autres enceintes internationales telles que l'OSCE, l'OCDE, le G7 et le G20.

Surtout, l'Union européenne joue un rôle actif dans le cadre de la convention du Conseil de l'Europe sur la cybercriminalité, dite convention de Budapest, ouverte au-delà des États membres du Conseil de l'Europe et comptant actuellement 65 États parties (cfsupra). Depuis juin 2019, la Commission participe, au nom des États membres, aux négociations en vue d'un deuxième protocole additionnel à la convention de Budapest, dont l'objectif est de renforcer la coopération entre les États parties, notamment en matière d'accès à la preuve électronique et de mise en oeuvre d'équipes communes d'enquête.

6. Vers un Parquet européen compétent dans la poursuite des cybercrimes ?

Les travaux des rapporteurs les ont convaincus que l'Union européenne devait encore améliorer son organisation pour poursuivre les cybercriminels de façon plus systématique et plus efficace, d'autant plus que la criminalité informatique ne va cesser de progresser dans les années à venir. La menace est donc grandissante. Or, ces criminels mettent précisément à profit les différences des systèmes judiciaires dans l'Union européenne.

Dans cet objectif, le Parquet européen, qui devrait être opérationnel à la fin de cette année, pourrait contribuer à renforcer la lutte contre la cybercriminalité en diligentant des poursuites à l'échelle européenne, en particulier sur les affaires transfrontières les plus importantes telles que NotPetya (cfsupra).

Cela demanderait une extension du champ de compétences du Parquet européen, actuellement limité aux infractions pénales portant atteinte aux intérêts financiers de l'Union européenne. L'article 86 du TFUE prévoit que le Parquet européen puisse voir sa compétence étendue à la criminalité organisée transfrontalière. La cybercriminalité en est une forme. Il s'agit même d'une délinquance complexe et de plus en plus organisée qui nécessite une connaissance de l'écosystème global et des tendances en matière de fraudes.

Des propositions d'élargissement de cette compétence ont d'ailleurs déjà été faites. Le Président de la République, lors de son discours de la Sorbonne de septembre 2017, et Jean-Claude Juncker, lorsqu'il présidait la Commission européenne, ont évoqué une telle extension aux infractions terroristes transfrontières, cette proposition ayant même fait l'objet d'une communication de la Commission en septembre 201841(*), tandis que les conclusions du Conseil européen du 18 octobre suivant invitaient à « examiner l'initiative de la Commission ».

La compétence du Parquet européen en matière d'infractions cybercriminelles permettrait de consolider la coopération judiciaire des États membres en matière pénale et de gagner en efficacité dans le traitement d'affaires touchant plusieurs États, les enquêtes et les poursuites pénales dans l'ensemble des États membres participants étant mieux cordonnées et même impulsées au niveau européen. Par ailleurs, l'Union européenne parlerait d'une seule voix dans ce dossier qui, on l'a vu, fait l'objet d'une coopération internationale croissante. Enfin, cette orientation traduirait une plus grande intégration du fonctionnement de l'Europe de la justice.

Naturellement, les rapporteurs n'ignorent pas qu'une telle extension du champ de compétences du Parquet européen se heurterait à des obstacles. Ils en voient plus particulièrement deux, qui sont liés : d'une part, les réticences de certains États membres à porter atteinte à leur souveraineté nationale sur un sujet régalien comme celui-là - la création du Parquet européen dans sa forme actuelle avait déjà suscité des réserves et n'avait pu se faire que sous la forme d'une coopération renforcée -, et, d'autre part, des difficultés juridiques tenant à ce que l'extension du champ de compétences du Parquet européen requiert l'unanimité du Conseil européen, et donc aussi l'accord des États membres non participants.

C'est pourquoi les rapporteurs proposent une approche prudente et progressive, passant par la conduite d'une réflexion sur les voies et moyens d'une telle extension du champ de compétences du Parquet européen. Ils sont bien conscients qu'il s'agit d'une perspective de long terme, d'autant plus que le Parquet européen tel qu'il est prévu n'a pas encore commencé à fonctionner - il ne le fera pas avant le 20 novembre 2020.

Cette perspective ne peut elle-même s'affranchir d'une réflexion plus large sur la façon de renforcer la souveraineté numérique de l'Union européenne qui est aujourd'hui excessivement dépendante des serveurs des GAFAM et des technologies étrangères - les débats sur la place d'une entreprise comme Huawei dans le déploiement de la 5G en Europe, avec les risques à la fois techniques et politiques qu'il comporte, le montrent bien. L'Union européenne et ses États membres doivent se donner l'ambition de se doter de leurs propres outils en la matière.


* 25 L'Union européenne s'est par ailleurs dotée en 2013 d'une stratégie de cybersécurité ( texte JOIN (2013) 1 final du 7 février 2013), actualisée en 2017 ( texte JOIN (2017) 450 final du 13 septembre 2017).

* 26 Le cycle politique est une méthodologie adoptée en 2010 par l'Union européenne : chaque cycle, qui dure quatre ans, prévoit les modalités d'organisation de la coopération opérationnelle dans plusieurs domaines de criminalité.

* 27 Texte COM (2018) 640 final.

* 28 Cette proposition de règlement avait fait l'objet d'une communication de Jacques Bigot et André Reichardt devant la commission des affaires européennes, le 21 février 2019.

* 29 C'est également lors de cette réunion du Conseil que mandat a été donné à la Commission pour négocier avec le Conseil de l'Europe le deuxième protocole additionnel à la convention de Budapest (cfsupra).

* 30 Texte COM (2018) 225 final.

* 31 Texte COM (2018) 226 final.

* 32 Qui permettent des transactions avec des tiers virtuels de confiance.

* 33 Texte COM (2018) 630 final du 12 septembre 2018.

* 34 Computer Emergency Response Team.

* 35 Internet Referral Management application.

* 36 Décision 2002/187/JAI du Conseil du 28 février 2002 instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité.

* 37 Décision 2009/426/JAI du Conseil du 16 décembre 2008 sur le renforcement d'Eurojust et modifiant la décision 2002/187/JAI instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité.

* 38 Règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l'Agence de l'Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et remplaçant et abrogeant la décision 2002/187/JAI du Conseil.

* 39 Trafic illicite de stupéfiants, filières d'immigration clandestine, trafic de véhicules volés, traite des êtres humains, faux-monnayage et falsification, trafic de matières radioactives et nucléaires, cybercriminalité, terrorisme et criminalité organisée transnationale.

* 40 Plus connues sous l'acronyme anglais de CSIRT (Computer Security Incident Response Team).

* 41 Texte COM (2018) 641 final.