Le cadre légal de la lutte contre la cybercriminalité
L’ubiquité caractéristique des réseaux informatiques mondialisés incite les autorités étatiques à davantage de coopération internationale. La lutte contre la cybercriminalité se joue au niveaux international, communautaire et interne.
I – Le cadre international : la convention internationale sur la cybercriminalité
La Convention sur la cybercriminalité, adoptée à l’issue de la Conférence de Budapest du 23 novembre 2001, constitue le premier traité international en la matière [1]. Les États signataires ont souligné la "nécessité de mener, en priorité, une politique pénale commune destinée à protéger la société de la criminalité dans le cyberespace, notamment par l'adoption d'une législation appropriée et par l'amélioration de la coopération internationale" (Préambule de la Convention sur la cybercriminalité).
Seul un instrument international pouvait parvenir de façon utile et efficace, d’une part, à faciliter l’harmonisation des infractions et, d’autre part, à améliorer les procédures inter-étatiques.
En effet, la qualification de certains faits en infractions peut se heurter à des difficultés. L’épisode du virus "I love you" est un exemple évocateur de ces difficultés. En mai 2000, ce virus s’était rapidement propagé à travers le monde. Des experts étaient parvenus à remonter la trace du virus jusqu’à son auteur, aux Philippines. La coopération entre le FBI et les agents locaux se déroula à merveille mais le travail réalisé fut limité car, à l’époque, la droit pénal philippin ne comportait aucune disposition pour ce type d’infraction, ce qui a été corrigé depuis [2].
Sur le fond, la Convention sur la cybercriminalité englobe un grand nombre d’infractions allant de celles portant atteinte à l’intégrité des données ou à l’intégrité des systèmes, la fraude informatique, les infractions se rapportant à la pornographie enfantine ou encore celles liées aux atteintes à la propriété intellectuelle. La convention prévoit la complicité, la tentative et même la responsabilité pénale des personnes morales.
Quant aux aspects procéduraux, la Convention sur la cybercriminalité envisage la préservation de la preuve, c’est-à-dire des sources de traçabilité incontournable à l’identification des délinquants informatiques. Ainsi la Convention prévoit-elle la conservation des données personnelles par les opérateurs. Ces derniers peuvent également être enjoints de communiquer des données. Les autorités se voient également donner la possibilité de réaliser des perquisitions et des saisies de données informatiques. L’objectif, en quelque sorte, est de fluidifier le travail des services de police, dont Interpol, de façon à oublier la lourdeur et la lenteur du système des commissions rogatoires si inefficace à l’ère informatique.
Enfin, ces mesures demeureraient inutiles si elles n’étaient pas accompagnées d’une coopération internationale améliorée par des dispositions relatives à l’extradition et à la divulgation spontanée d’informations utiles au déroulement efficace d’une enquête.
La Convention sur la cybercriminalité, entrée en vigueur le 1er juillet 2004, fut adoptée sous l’impulsion du Conseil de l’Europe mais son rayonnement territorial dépasse largement les frontières de l’Europe puisqu’elle a été ratifiée par les États-Unis et signée notamment par le Canada et le Japon. Bien que membre du Conseil de l'Europe, la Russie n'a pas signé la Convention [3].
II – Le cadre européen
Parallèlement au Conseil de l’Europe, l’Union européenne a fait preuve de réactivité en matière de cybercriminalité.
Dès 2001, les experts européens planchaient sur la naissance de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) qui fut instituée par le Règlement n° 460/2004 du Parlement européen et du Conseil, du 10 mars 2004 [4]. L’ENISA travaille en étroite coopération avec la Commission européenne et les États membres de l’Union en vue "d'assurer un niveau élevé et efficace de sécurité des réseaux et de l'information au sein de la Communauté et en vue de favoriser l'émergence d'une culture de la sécurité des réseaux et de l'information dans l'intérêt des citoyens, des consommateurs, des entreprises et des organismes du secteur public de l'Union européenne, contribuant ainsi au bon fonctionnement du marché intérieur" [5].
III – Le cadre légal français
En France, la Convention sur la cybercriminalité est entrée en vigueur par la loi n° 2005-493 autorisant l'approbation de la Convention sur la cybercriminalité [6], et complétée par la loi n° 2006-64, 23 janv. 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles transfrontaliers en matière de technologies de l'information : Journal Officiel 24 Janvier 2006 [7].
Pour le Gouvernement français, "la guerre informatique est devenue une réalité. Les acteurs en sont les hackers, les groupes terroristes ou mafieux ainsi que les États" [8]. La sécurité des réseaux est désormais un enjeu primordial. Le 17 juin 2008, le Président français annonçait la création d’une agence française de la sécurité des systèmes d’information, à l’instar de l’ENISA. L’agence française comptera parmi ses principales missions notamment [9] :
- la défense informatique ;
- le développement de produits de très haute sécurité et de réseaux de confiance ; et
- le soutien et le conseil aux administrations et au secteur privé.
Aux espaces terrestre, maritime et aérien s’ajoute désormais l’espace informatique. Ce dernier a pris une telle importance stratégique et économique que l’on est tenté de se demander s’il ne serait pas utile de l’inclure dans les traités de non agression.
Pour aller plus loin :
[1] V. notamment Ph. Boure, Internet et la lutte contre la cybercriminalité, Gaz. Pal. 23 janvier 2003, n° 23, p. 19.
[2] S. W. Brenner & J. J. Schwerha, Introduction – Cybercrime, A Note on International Issues, Information Systems Frontiers June 2004 ; 6, 2, p. 111.
• Sur le fond : la Convention sur la cybercriminalité englobe un grand nombre d’infractions allant de celles portant atteinte à l’intégrité des données ou à l’intégrité des systèmes, la fraude informatique, les infractions se rapportant à la pornographie infantile ou encore celles liées aux atteintes à la propriété intellectuelle. • Sur les aspects procéduraux : La Convention sur la cybercriminalité envisage la préservation de la preuve, c’est-à-dire des sources de traçabilité incontournable pour l’identification des délinquants informatiques. Ainsi la Convention prévoit-elle la conservation des données personnelles par les opérateurs. Ces derniers peuvent également être enjoints de communiquer ces données.
Lettre gratuite
Sur votre site
RSS
.JPG){kind=small}
Imprimer la chronique
Envoyer la chronique
= requiert un