Cybercrime - Définition
La liste des auteurs de cet article est disponible ici.
Dispositif législatif et conventionnel de lutte
Le dispositif législatif et réglementaire français
En France, la cybercriminalité est prise juridiquement en compte depuis la loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978.
Ensuite, la Loi Godfrain du 5 janvier 1988 relative à la fraude informatique a introduit les articles 323-1 et suivant dans leCode pénal, concernant notamment la suppression ou modification de données (art 323-1 al 1), ou encore la tentative d’infraction sur un STAD (323-7).
La loi du 15 novembre 2001 relative à la sécurité quotidienne
La loi du 18 mars 2003 pour la sécurité intérieure
La loi du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité
La loi pour la confiance dans l'économie numérique du 21 juin 2004, qui a modifié les articles 323-1 et suivant du Code pénal. Cette loi a, en outre, modifié l’article 94 du Code de procédure pénale relatif à l’inclusion des données informatiques dans la liste des pièces susceptibles d'être saisies lors des perquisitions réalisées en flagrant délit ou au cours d'une instruction. (Ces perquisitions sont aussi régies par les art. 56 et 97 du Code de procédure pénale).
La loi du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle.
La loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers.
La loi du 5 mars 2007 relative à la prévention de la délinquance
Par ailleurs de nombreux textes réglementaires ont être adoptés. On peut citer pour exemple le décret du 24 mars 2006 sur la conservation des données de trafic prévu par la loi relative à la sécurité quotidienne.
La lutte contre la cybercriminalité est en pleine évolution, loin d’être achevée elle fait l’objet de nombreuses réflexions de la part de la France. On peut en prendre pour exemple, le plan de lutte contre la cybercriminalité qui a été présenté au mois de février 2008 qui contient des mesures visant à moderniser les méthodes d’investigation. Par ailleurs, la même année, au mois d’octobre a été présenté le plan du numérique 2012 qui contient des propositions relatives à la lutte contre le cybercrime.
Malgré cette évolution permanente, le dispositif législatif français en matière de cybercriminalité est « éparpillé » dans divers textes. Il est donc peu aisé, autant pour les professionnels que pour les profanes, de connaître avec précision ce qui est aujourd’hui reconnu comme un acte cyber criminel par le droit français. D’ailleurs, Myriam Quéméner et Joël Ferry dans leur ouvrage commun Cybercriminalité Défi Mondial (2ème édition) analyse le dispositif législatif et réglementaire français comme un « ‘maquis’ quelque peu ésotérique ».
La convention sur la cybercriminalité du 23 novembre 2001
Le 23 novembre 2001, les pays membres du Conseil de l’Europe ainsi que les États-Unis, le Canada, le Japon et l’Afrique du Sud, ont adopté la convention sur la cybercriminalité, aboutissement d'un long processus de négociations (vingt-sept versions antérieures et quatre années de négociations officielles). Il s’agit d’une convention pénale à vocation internationale destinée à lutter contre le cybercrime. En 2007, seuls 14 États avaient ratifié la convention sur les 47 signataires.
Par ailleurs en 2003, a été ouvert à la signature le protocole additionnel à la convention sur la cybercriminalité, qui visait à élargir le champ d’application de la convention aux infractions de propagande raciste ou xénophobe commis via les réseaux internet. Ce protocole, non ratifié par les États-Unis, prévoit par ailleurs des mesures facilitant l’extradition et l’entraide judiciaire.
La France a ratifié ces deux textes par la loi n° 2005-493 du 19 mai 2005 autorisant l'approbation de la Convention du Conseil de l'Europe sur la cybercriminalité et du protocole additionnel à cette Convention.
La convention sur la cybercriminalité de 2001 poursuit trois objectifs déterminés :
- L’harmonisation des législations des États signataires
- La modernisation de ces législations, notamment en matière procédurale
- L’amélioration de la coopération internationale en matière d’extradition et d’entraide répressive.
Le premier axe est l’harmonisation des législations nationales en ce qui concerne la définition des infractions répertoriées par la Convention . Il s'agit donc d'incriminer quatre séries d'infractions qui sont :
I. Les infractions informatiques : falsification et fraude informatique.
II. Les infractions de contenu : la pornographie enfantine. Le protocole additionnel inclut la propagation via Internet d’idées racistes et xénophobes.
III. Les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes : le partage non autorisé via Internet des œuvres protégées.
IV. Les infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes : accès illégal, interception illégale, atteinte à l'intégrité des données ou des systèmes.
Ensuite, le deuxième axe, d'ordre procédural, définit les moyens d'enquêtes et de poursuites pénales les mieux adaptés à la mondialisation du réseau Internet. La Convention prévoit des règles pour garantir les droits des individus, mais aussi pour faciliter la conduite d'enquête. En ce sens, on peut citer, entre autres, les règles régissant la conservation des données stockées, la conservation et la divulgation rapide des données relatives au trafic, la perquisition des systèmes informatiques, la saisie de données informatiques, la collecte en temps réel des données relatives au trafic et l'interception de données relatives au contenu.
Enfin, le troisième axe concerne la mise en place d'un système rapide et efficace de coopération internationale. À côté des formes traditionnelles de coopération pénale internationale, prévues notamment par les Conventions européennes d'extradition et d'entraide judiciaire, la Convention sur la cybercriminalité prévoit des formes d'entraide correspondant aux pouvoirs définis préalablement par la Convention. Ces conditions sont exigées afin que les autorités judiciaires et les services de police d'un État membre puissent agir pour le compte d'un autre État dans la recherche de preuves électroniques, sans toutefois mener d’enquêtes ni de perquisitions transfrontalières. En outre, toute donnée obtenue devrait être rapidement communiqué à l'État intéressé.
Sans doute, ce texte international - constitue un complément indispensable aux lois nationales pour contenir le phénomène de cette nouvelle criminalité "caméléon" dont on ne connaît pas encore - du moins avec certitude - toutes "les couleurs" et les menaces.
Par ailleurs, le 17 janvier 2005 le Conseil de l'Union européenne a adopté la décision cadre 2005/222/JAI du Conseil« relative aux attaques visant les systèmes d’information », qui va permettre une harmonisation des règles pénales concernant les principales activités criminelles visant les systèmes d’information, l’atteinte à l’intégrité d’un système et l’atteinte à l’intégrité des données.
