Les perspectives pénales de la LOPPSI 2 en matière de cybercriminalité

La lutte contre la cybercriminalité constitue un enjeu majeur de la politique pénale de ces dernières années.

La cybercriminalité peut être définie comme l’ensemble des infractions pénales commises via le réseau Internet. Plus précisément, la cybercriminalité est constituée par des délinquants qui utilisent les systèmes et les réseaux informatiques, soit pour commettre des infractions spécifiques à ces systèmes et réseaux informatiques, soit pour développer ou faciliter des infractions qui existaient avant l’arrivée de l’Internet.

Cette nouvelle délinquance à conduit le législateur à mener une réflexion sur l’utilisation des nouvelles technologies afin d’adapter la réponse pénale. Dans ce contexte, de nombreux textes furent adoptés ces dernières années avec la volonté de créer un « arsenal de la cybersécurité ».

Sans se vouloir exhaustif, on peut ainsi citer la loi du 5 janvier 1988 relative aux atteintes aux systèmes de traitement automatisés des données (ayant inséré dans le code pénal des incriminations spécifiques aux articles 323-1 à 323-7 du code pénal dont les sanctions ont été par la suite aggravées), la loi pour la sécurité quotidienne (2001), la loi d’orientation et de programmation pour la performance de la sécurité intérieure dite LOPSI 1 (2002), la loi sur la sécurité intérieure (18 mars 2003), la loi pour la confiance dans l’économie numérique (6 juin 2004), la loi relative à la prévention de la délinquance (5 mars 2007) ou plus récemment la loi Création et Internet (2009).

Par ailleurs, les Etats ont pris conscience de la nécessité d’une approche transfrontalière de la cybercriminalité, notamment en raison de la dimension internationale de cette forme de délinquance. En effet, dès 1996, le Conseil de l’Europe créait un comité d’experts chargé de rédiger un instrument juridique contraignant en matière de cybercriminalité. La convention du Conseil de l’Europe sur la cybercriminalité n’a finalement vu le jour que le 25 mai 2001, elle a été signée par la France le 23 novembre 2001 et est entrée en vigueur le 1er juillet 2004. Cette convention s’articule autour de trois objectifs : d’abord, l’harmonisation des législations nationales quant aux incriminations relevant de la Convention ; ensuite, l’adaptation des moyens procéduraux au support spécifique que constitue l’Internet tout en veillant au respect et à la garantie des libertés individuelles ; et enfin, conformément aux conventions européennes d’entraide et d’extradition judiciaire, la mise en place de moyens d’actions rapides et efficaces. Il s’agit donc de parvenir à adapter « le temps procédural au temps numérique » (Frédérique Chopin) dans une perspective d’harmonisation des législations et malgré l’obstacle que peut constituer le principe de compétence territoriale des juridictions nationales.

Cet engouement des pouvoirs publics pour la cybercriminalité n’a pas pour autant endigué le développement des fraudes aux technologies de l’information telles que la diffusion d’informations illégales et le piratage informatique.

Les décisions rendues par la Chambre criminelle de la Cour de cassation, ces dernières années, sur l’utilisation de l’Internet révèlent cinq catégories d’infractions : les infractions au droit de la presse, la pédopornographie, le piratage, l’escroquerie et la contrefaçon. Dans ces domaines, le législateur a apporté, au fil des réformes, des modifications ponctuelles notamment en érigeant en circonstances aggravantes de certaines infractions la communication au public par voie électronique, l’utilisation d’un réseau de télécommunication ou de communications électroniques ou encore la consultation habituelle d’un service de communication au public en ligne.

Par ailleurs, la nécessité d’une nouvelle loi était ressentie par les techniciens depuis deux ans, date à laquelle prenait fin la LOPSI 1, pour adapter la loi aux évolutions rapides de la criminalité et des technologies. De plus, une étude menée par KPMG démontre que 62 % des français considèrent le dispositif de lutte contre la cybercriminalité insuffisant pour enrayer cette délinquance.

C’est dans cette perspective que Madame Michèle Alliot-Marie, alors ministre de l’Intérieur, a présenté, le 27 mai 2009, le projet de Loi d’Orientation et de Programmation pour la Performance de la Sécurité Intérieure (LOPPSI 2). Prenant la suite de la LOPSI 1 (2002-2007), le projet ne contient pas moins de quarante six articles regroupés en neuf chapitres. Il fixe des orientations stratégiques de politique de sécurité intérieure pour les années 2009-2013 et définit des objectifs opérationnels prioritaires pour le moins variés concernant la police urbaine, la sécurité routière, la répression des violences sportives, la protection des agents de renseignement et des policiers infiltrés, l’intelligence économique, mais également et surtout Internet et la surveillance informatique.

A la lecture du projet, il appert que les nouvelles technologies constituent à la fois un nouvel outil à la disposition des délinquants, mais également ouvrent de nouvelles perspectives pour les acteurs de la lutte contre la cybercriminalité et notamment pour l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (O.C.L.C.T.I.C.). L’O.C.L.C.T.I.C. appartient à la Direction Générale de la Police Nationale et dépend de la Direction Centrale de la Police Judiciaire. Crée par décret du 15 mai 2000, il a pour mission de « procéder, à la demande de l’autorité judiciaire, à tous actes d’enquête et de travaux techniques d’investigations en assistance aux services chargés d’enquête de police judiciaire sur les infractions dont la commission est facilitée par ou liée à l’utilisation des technologies de l’information et de la communication ».

Face à ce rapport spécifique entre nouvelles technologies et cybercriminalité, la LOPPSI 2 tend à renforcer la répression en matière de cybercriminalité tout en facilitant la recherche de telles infractions par les enquêteurs en adaptant les techniques d’investigation à l’usage des technologies par les délinquants. Pour ce faire, elle instaure un arsenal répressif plus spécifique à la cybercriminalité (I) et prévoit une utilisation renforcée des nouvelles technologies dans la lutte contre la cybercriminalité (II).

I. Renforcement de la lutte contre la cybercriminalité : vers un arsenal répressif de plus en plus spécifique.

Depuis la loi Informatique et Libertés qui a conduit à l’intégration dans le Code pénal d’incriminations liées à la criminalité informatique (atteintes aux systèmes de traitement informatisés de données, infractions en matière de fichiers ou de traitements informatiques), l’arsenal répressif n’a cessé d’évoluer en vue de s’adapter aux nombreuses possibilités de commission d’infractions offertes par l’Internet. Il est envisagé, dans le cadre du projet de loi d’orientation et de programmation pour la sécurité intérieure, la création de nouvelles formes d’incrimination. Le chapitre II de la LOPPSI 2 comporte les dispositions relatives à la lutte contre la cybercriminalité.

A. Lutte contre l’usurpation d’identité et la contrefaçon sur les réseaux de télécommunication

1) La nouvelle incrimination d’usurpation d’identité sur l’Internet.

L’identité d’une personne est ce qui fonde l’existence de sa personnalité juridique. Dans le “monde réel”, cette dernière est clairement circonscrite à l’état civil et protégée en tant que telle par le droit français.  Aussi étonnant que cela puisse paraître, l’usurpation d’identité n’est pas en elle même une infraction. En effet, l’article 434-23 punit le « fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales (…) ». L’application de cet article est subordonnée à l’existence de poursuites éventuelles que pourrait subir la personne dont l’identité a été usurpée. Cette hypothèse recouvre notamment les cas de vol, d’abus de confiance, d’escroquerie. De ce fait, le fait de s’inscrire sur un site communautaire sous l’identité d’une connaissance n’est pas en lui même constitutif du délit d’usurpation d’identité. Ce n’est que dans l’hypothèse où le comportement de l’usurpateur est tel qu’il commet une infraction pénale que le délit d’usurpation d’identité est constitué. C’est ainsi qu’une personne a été condamnée pour s’être fait passer pour un salarié tenant des propos diffamatoires à l’égard de ses collègues, ce qui faisait courir à l’employé victime le risque d’être condamné pour diffamation (Cass civ, 29 mars 2006). S’agissant de l’objet de l’usurpation le texte ne vise que la prise de  « nom » d’un tiers, ce qui semble être restrictif dans le cadre des réseaux de communications, car ne peuvent tomber sous le coup de l’incrimination ceux qui prennent l’adresse IP (internet protocol) ou l’adresse e-mail d’un tiers.

La difficulté réside principalement dans le fait que l’Internet est un monde virtuel, dans lequel l’identité d’une personne est plus vaste et ses contours moins clairs. Certaines données numériques qui ont trait à l’identité d’un individu, comme un mot de passe d’un compte personnel sur l’internet par exemple, ne sont pas considérées comme des éléments constitutifs de l’identité juridique d’une personne. Cette identité numérique difficile à définir est pourtant composée d’éléments qu’on peut appeler « identifiants ». Ces derniers (mot de passe, nom de compte informatique, pseudonyme virtuel, codes divers donnant accès à des données à caractère privé, etc.) font de plus en plus l’objet d’actes malveillants. Une proposition de loi tendant à la pénalisation de l’usurpation d’identité numérique avait été déposée le 4 juillet 2005 en vue d’insérer dans le code pénal un nouvel article 323-8 aux termes duquel « est puni d’un an d’emprisonnement et de 15 000 euros d’amende, le fait d’usurper sur tout un réseau informatique de communication l’identité d’un particulier, d’une entreprise ou d’une autorité publique ». Cette proposition de loi n’a pas été adoptée notamment en raison de l’absence de précision du terme « identité numérique ».

La LOPPSI prévoit que le fait d’usurper l’identité d’une personne sur Internet, même s’il n’y a pas de préjudice financier sera désormais condamnable.

Comme l’a souligné la ministre de l’intérieur le 25 mars 2009 lors du troisième forum sur la cybercriminalité : « usurper l’identité d’autrui par courrier est interdit par la loi. Ce n’est pas le cas pour l’usurpation d’identité sur Internet. Et pourtant, la diffusion sur Internet est plus large que celle que peut connaître le courrier ».

Face à la recrudescence des délits d’usurpation d’identité sur la toile, les pouvoirs publics ont, dans le cadre de la loi d’orientation et de programmation pour la sécurité intérieure, proposé de nouvelles incriminations relatives à l’usurpation d’identité.

L’article 2 du projet de loi envisage d’introduire un nouveau délit à l’article 222-16-1 du Code pénal : celui d’usurpation d’identité spécifique au domaine des réseaux de communication électronique.  Aux termes de cet article, l’utilisation de l’identité ou des données personnelles d’un tiers sur internet, en vue de troubler sa tranquillité ou de porter atteinte à son honneur ou à sa considération serait désormais sanctionnée par une année d’emprisonnement et 15 000 € d’amende, à l’instar des appels téléphoniques malveillants. Comme il l’a été dit précédemment, il s’agirait de réparer non pas le seul préjudice financier, mais également le préjudice moral (trouble de la tranquillité, atteinte à l’honneur ou à la considération), ce qui élargirait le champ d’application de l’infraction à de nouvelles victimes. Le délit d’usurpation d’identité est constitué, par exemple, par le fait d’utiliser une fausse identité pour écrire sur un forum ou un blog, pour créer une page web, ou un journal en ligne. Un cas de figure s’est déjà présenté dans un jugement du 16 juin 2006 : le Tribunal correctionnel de Carcassonne a jugé que constituait le délit de violence volontaire le fait de fréquenter un site de rencontre en usurpant l’identité d’une autre personne, en communiquant ses coordonnées téléphoniques à tous les utilisateurs du site, de sorte qu’elle reçoive de nombreux appels non sollicités et particulièrement perturbants. L’infraction est constituée dés lors que la victime a subi un traumatisme psychologique entraînant une incapacité de travail.

On peut souligner les cas les plus courants d’usurpation d’identité sur internet ne pouvant être poursuivis sur la base de l’article 434-23 du code pénal : il s’agit du phishing. Le phishing, ou hameçonnage, est un terme désignant l’obtention des identifiants d’une personne, en se faisant passer auprès des victimes pour un individu, une entreprise ou une autorité publique ayant un besoin légitime de solliciter l’information demandée. Une fois que la victime a révélé ses identifiants personnels, le fraudeur peut accéder au compte concerné (bancaire, boîte de réception, achats en ligne) et l’utiliser à des fins malveillantes, comme l’envoi de spam (courriels non sollicités en nombre), le vol d’argent ou tout autre délit. L’usurpation d’identité vient alors aider à la constitution d’une infraction. Dans ces situations, les tribunaux recourent le plus souvent au délit d’accès frauduleux à un système de données informatiques ou de contrefaçon pour poursuivre le délinquant, mais l’usurpation d’identité en tant que telle n’est pas sanctionnée.

Pour beaucoup, cette nouvelle mesure vise en grande partie les pratiques fréquemment observées sur les blogs et les réseaux sociaux, et notamment l’ouverture par des tiers de comptes Facebook ou Twitter sous des noms appartenant à des personnalités de la politique, finance ou de l’art afin de créer une confusion et de porter préjudice aux titulaires des identités ainsi utilisées.

Le délit d’usurpation d’identité sur Internet profiterait à la plateforme PHAROS (plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements) qui permet la dénonciation en ligne, aux forces de l’ordre, des actes de cybercriminalité. En effet, le 6 janvier 2009, dans le cadre du plan d’action du gouvernement contre la criminalité sur Internet, a été dévoilé le site www.Internet-signalement.gouv.fr qui permet aux internautes de signaler tout contenu illicite sur Internet. Jusqu’à présent, ce site n’offrait la possibilité de signaler que des infractions relatives à des contenus pédophiles, il est désormais possible de signaler d’autres comportements et contenus illicites. Ouvert « aux utilisateurs et acteurs d’internet, et notamment aux internautes, fournisseurs d’accès et services de veille étatiques », selon le décret d’application signé le 16 juin dernier, le service permet donc de signaler des contenus illicites « sans préjudice du respect dû aux correspondances privées ». Les alertes seront ensuite traitées au sein de Pharos, avant d’être éventuellement transmises aux services adéquats. L’adresse IP sera toutefois conservée pendant une durée de deux ans. L’ensemble des données recueillies, de l’adresse IP de l’internaute au nom de l’agent ayant traité le signalement en passant par les informations transmises par ce dernier, sera susceptible d’être transmis aux « services compétents de la police ou de la gendarmerie nationale », ainsi qu’aux services d’un autre pays, dès lors que « cet Etat assure à la vie privée, aux libertés publiques et aux droits fondamentaux des personnes à l’égard des traitements de données à caractère personnel un niveau de protection suffisant ».

L’article 3 de la LOPPSI aggrave les sanctions de certains délits de contrefaçon. Les infractions concernant les chèques et les cartes de paiement commises en bande organisée seront punies de 10 ans d’emprisonnement et 1 million d’euro d’amende. Les peines relatives à certains délits prévus par le code de la propriété intellectuelle et commis par la communication au public en ligne, sont alignées sur celles déjà applicables lorsque le délit est commis en bande organisée (cinq ans d’emprisonnement et 500 000 € d’amende). Il s’agit d’un durcissement des dispositions puisque le recours à un réseau de télécommunications n’était jusqu’alors érigé en circonstance aggravante qu’en matière d’infractions commises au préjudice des mineurs.

2) Mise en place d’un régime plus sévère en matière de contrefaçon.

Selon le projet de loi, les peines encourues pour les délits de contrefaçon en matière de dessins, modèles, brevets et de marques, lorsqu’ils sont commis par voie de communication au public en ligne, seront de cinq ans d’emprisonnement et de 500 000 euros d’amende. Il convient ici de relever le durcissement des dispositions puisque le recours à un réseau de télécommunications n’était jusqu’alors érigé en circonstance aggravante qu’en matière d’infractions commises au préjudice des mineurs. Les peines seront désormais alignées sur celles applicables lorsque le délit est commis en bande organisée. Le législateur entend ainsi faire face au développement du phénomène de contrefaçon écoulée via Internet.

B. Lutte contre les sites et contenus à caractère pédopornographique

1) Le dispositif juridique actuel

Le dispositif pénal en matière de pédophilie via Internet a été complété au fil du temps afin que l’ensemble des comportements soit réprimé du producteur d’images pédopornographiques au simple consommateur. En effet, la pédopornographie est une forme particulièrement grave de l’exploitation sexuelle des enfants qui a pris ces dernières années une très grande ampleur en se propageant au niveau mondial par le biais de l’utilisation des nouvelles technologies et de l’Internet. Ainsi, Internet facilite la diffusion de la pédopornographie avec au moins 100000 sites qui lui sont dédiés. On recensait en 2006 plus de 4,2 millions de sites pédopornographiques, chiffre assez alarmant illustrant l’ampleur du phénomène sur la toile. La protection des mineurs victimes est assurée à la fois en matière de cyber pédopornographie et de contenus préjudiciables. La lutte contre ce phénomène suppose à la fois une politique de prévention et de répression mais également une coopération internationale renforcée afin de démanteler les réseaux transfrontaliers qui tirent un profit financier de la pédopornographie. Face à ces enjeux, la police judiciaire signale systématiquement les contenus illicites via Interpol aux pays dans lesquels les données informatiques se trouvent hébergées. Cette réponse nécessaire trouve cependant ses limites dans la nature même de l’Internet : virtuel, mouvant, disséminé. L’hébergement d’un site illicite peut être modifié en quelques minutes, à distance et anonymement, par son concepteur.

Pour protéger l’ensemble des internautes contre la diffusion de telles images, le législateur a mis en place un dispositif de lutte contre les contenus illicites sur internet issu de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

De plus, la loi du 4 avril 2006 sur les violences au sein du couple ou commises contre les mineurs transpose en droit français la décision-cadre du Conseil de l’Union européenne du 23 décembre 2003 relative à la lutte contre l’exploitation sexuelle des enfants et de la pédopornographie et aboutit à la modification de l’article 227-23 du code pénal. Ainsi, l’enregistrement, la fixation d’images d’un mineur ou sa représentation lorsque l’image présente un caractère pédopornographique en vue de sa diffusion sont réprimés de 5 ans d’emprisonnement et de 75000 euros d’amende. L’incrimination vise non seulement le fait d’offrir ou de diffuser une telle image ou représentation, par quelque moyen que ce soit, de l’importer ou de l’exporter, mais aussi de la rendre possible. Les hébergeurs peuvent d’ores et déjà voir leurs responsabilités civile et pénale engagées s’ils n’ont pas réagi avec promptitude pour retirer les données ou en rendre l’accès impossible dés lors qu’ils ont eu la connaissance effective de leur caractère illicite. Il s’agit du principe de subsidiarité. C’est-à-dire qu’on doit d’abord s’adresser à l’éditeur, et enfin à l’opérateur qui doivent « agir promptement » pour supprimer ou rendre impossible l’accès à des données illicites dés lors qu’ils en ont eu la connaissance effective. Si les responsabilités civile et pénale des éditeurs et hébergeurs peuvent être engagées, ça n’est pas le cas pour les fournisseurs d’accès à internet car ils n’ont pas la maitrise des contenus véhiculés sur le réseau. Ces derniers ne sont assujettis qu’à l’obligation « d’informer leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et leur proposer au moins l’un de ces supports ».

Cet article 227-23 est complété par la loi du 5 mars 2007 visant à réprimer certains comportements relatifs à l’usage de l’Internet au préjudice des mineurs faisant suite aux préconisations du rapport relatif à la lutte contre la cybercriminalité du 25 février 2005. La loi introduit une nouvelle infraction de proposition sexuelle à un mineur appelé grooming. L’élément matériel de cette infraction est constitué par « le fait pour un majeur de faire des propositions sexuelles à un mineur de 15 ans en utilisant un moyen de communication électronique », ces agissements sont punis de deux ans d’emprisonnement et de 30000 euros d’amende.

En pratique, la mise en œuvre de l’arsenal pénal en matière de lutte contre la cyberpédopornographie est parfois difficile notamment quand la procédure a été initiée à l’étranger.

Parallèlement à cette activité répressive, l’Office Central pour la répression des Violences aux personnes (OCRVP) assisté de l’Office Central de lutte contre la criminalité liée aux nouvelles Technologies de l’information et de la Communication (OCLCTIC) assure le suivi et la transposition en France du projet préventif de blocage des tentatives d’accès aux sites pédopornographiques. Chaque pays signataire s’est engagé à convaincre les fournisseurs d’accès à internet de mettre en place sur le réseau un logiciel visant à empêcher toute connexion à des sites à caractère pédopornographique répertoriés par les services de police.

Enfin, lors de sa présidence du Conseil de l’Union, la France à été à l’origine de deux projets : l’un visant à la mise en place d’une plateforme européenne de signalement des infractions relevées sur Internet, hébergée par Europol et adossée à des dispositifs nationaux de signalement dans chaque état membre, et l’autre consistant à adopter une stratégie de travail concertée et des mesures concrètes de lutte contre la cybercriminalité.

Dans ce cadre, une charte de bonne conduite est en cours d’élaboration entre le ministère de l’intérieur et les fournisseurs d’accès internet. Par cette charte, l’Etat s’engage à intervenir auprès des FAI afin de leur remettre une liste arrêtée sur décision du ministre de l’Intérieur des adresses électroniques contenant des images de pornographie enfantine.

Il existe donc bien aujourd’hui, en France, un cadre légal qui permet de bloquer des contenus illicites hébergés en France. Mais le gouvernement souhaite pouvoir aller vite et supprimer le principe de subsidiarité, engager la responsabilité civile et pénale des fournisseurs d’accès Internet et évacuer l’autorité judiciaire.

2) Le filtrage, une mesure de prévention prévue par la LOPPSI

La première mesure de la LOPPSI 2 est l’instauration d’un filtrage sur Internet pour bloquer l’accès à des sites diffusant des images ou contenus pédophiles. Elle prévoit la modification de l’article 6 de la loi pour la confiance dans l’économie numérique de 2004 pour y insérer les mentions suivantes : « lorsque les nécessités de la lutte contre la diffusion des images ou des représentations de mineurs relevant des dispositions de l’article 227-23 du code pénal le justifient, l’autorité administrative notifie aux fournisseurs d’accès à internet les adresses internet des services de communication au public en ligne entrant dans les prévisions de cet article et auxquelles ces personnes doivent empêcher l’accès sans délai ». La LOPPSI dans son article 4 met à la charge des fournisseurs d’accès à internet une obligation d’empêcher l’accès des utilisateurs aux contenus illicites. Si la législation française permet actuellement au pouvoir judiciaire d’imposer à l’hébergeur la suppression d’un contenu ou la fermeture d’un site à caractère pédopornographique, l’article 4 de la LOPPSI 2 prévoit plus radicalement un blocage systématique et a priori de l’accès à de tels contenus ou sites. Une sanction de 75 000 € serait prévue à l’encontre des FAI en cas de manquement. Toutefois, chaque fournisseur aurait le libre choix quant aux moyens de blocage.

En pratique, l’OCLCTIC transmettra aux FAI les données utiles par voie dématérialisée. Il est prévu de renvoyer à un décret d’application de la fixation des modalités d’application de ce dispositif, notamment la définition des dispositifs techniques utilisés. Cela étant, le blocage des sites pédopornographiques par les fournisseurs d’accès à Internet repose de manière constante sur la mise à jour d’une « liste noire» d’adresses de sites illicites arrêtée par le ministre de l’intérieur. Implantée sur les serveurs des FAI, cette liste doit empêcher les internautes d’accéder aux sites répertoriés ou du moins, bloquer l’accès à ces sites à partir de leurs adresses courantes.

Cela impliquera une grande intervention des fournisseurs d’accès Internet, qui devront installer sur leurs infrastructures un certain nombre de dispositifs techniques de filtrage et de surveillance.

L’adresse la plus complète est l’URL, qui signifie localisateur uniforme de ressources. Elle est composée d’une part d’un nom de domaine, et d’autre part, de l’emplacement du contenu sur l’ordinateur qui l’héberge. Par exemple : www.interieur.gouv.fr/Voeux2009/index.htm.

Le nom de domaine est un identifiant unique lié à une entité dont les ordinateurs sont reliés au réseau Internet. Le blocage de l’URL par proxy (serveurs par lesquels passent les connexions) permet d’éviter les risques de sur blocage présents dans le système de blocage par DNS. Dans ce dernier, l’abonné saisit une adresse en texte dans la barre d’adresse de son navigateur, celle-ci est envoyée par un serveur appelé DNS qui doit renvoyer l’adresse électronique chiffré (IP) correspondante. Lorsque le nom figure sur la liste noire le serveur ne renvoie pas l’adresse IP. L’abonné ne peut donc pas se connecter au site. Il existe d’autres techniques de blocage mais leurs caractéristiques techniques les apparentent davantage à des interceptions.

Cette mesure de filtrage repose essentiellement sur la rapidité des mises à jour et sur l’amplitude de la source de l’information. Il est prévu de la confier à la Plateforme d’Harmonisation d’Analyse, de Recoupement et d’Orientation des Signalements dite PHAROS et de l’OCLCTIC. La plateforme pourra extraire les adresses à bloquer de la masse des signalements qu’elle reçoit (plus de 1000 par mois), elle est constituée de dix policiers et gendarmes spécialisés, ainsi que d’officier de police judiciaire.

La procédure de blocage auprès des FAI n’est pas une innovation française mais un système déjà implanté dans de nombreux pays voisins.

Ainsi, le Royaume-Uni, la Norvège, le Danemark, la Suède ou les Pays-Bas ont mis en place de façon concertée avec les grands fournisseurs d’accès des dispositifs empêchant l’accès à une liste de sites fournie par la police. D’un pays à l’autre, d’un opérateur à l’autre, les solutions techniques sont différentes, adaptées aux situations locales. La France quant à elle s’oriente donc vers une solution législative.

Cette disposition a fait l’objet de nombreuses critiques émises par les opposants à LOPPSI 2 : la crainte de dérives conséquentes à la mise en œuvre d’un tel filtrage s’appuie dans un premier temps sur la neutralité des réseaux et dans un second temps sur la liberté d’expression et de communication. Il est également reproché au dispositif l’absence de caractère juridictionnel de l’autorité en charge de l’élaboration de la « liste noire ».

S’agissant du principe fondateur de l’Internet, « la neutralité du Net », qui oblige les opérateurs techniques de permettre la circulation de l’information sans la regarder, la choisir, la modifier ou la filtrer, certains craignent que le dispositif de filtrage prévu par la LOPPSI n’instaure un véritable Cheval de Troie qui notera l’ensemble de l’activité de l’ordinateur pour trouver une activité douteuse ou une connexion à un site black-listé par le gouvernement.

De plus, concernant la crainte relative a l’atteinte à la liberté d’expression et de communication, il existe pour certaines personnes un réel risque de bloquer l’accès à des contenus qui ne sont pas illicites du fait, d’une part, de la volatilité des contenus sur internet et, d’autre part, de la technique de blocage utilisée c’est-à-dire lorsque l’on bloque l’accès à la totalité d’un domaine alors qu’un seul contenu est illicite. Pour palier à ces risques, il est prévu que la liste communiquée aux fournisseurs d’accès soit une liste d’URL et qu’elle soit mise à jour selon une périodicité compatible avec la durée de l’existence constatée des contenus considérés. On peut tout de même rappeler que la loi pour la confiance dans l’économie numérique permet déjà dans le 8° du I de ce même article 6 au juge civil d’ordonner que des mesures soient prises par les hébergeurs, puis si cela n’est pas suffisant, par les fournisseurs d’accès pour empêcher un dommage. Les mesures de blocage existent donc en droit. Ces mesures sont d’ailleurs prévues au niveau européen par l’article 14, 3° de la directive 2000/31/CE sur le commerce électronique dont est issue la LCEN.

Concernant la mise en place de l’autorité administrative qui aura la faculté d’obliger les FAI à bloquer des sites aux contenus illicites et cela sans passer par une autorité judicaire, selon Yves Le Mouel, directeur général de la Fédération française des télécoms, un juge doit nécessairement valider la liste noire des sites à bloquer et non une autorité administrative.

D’un point de vue technique, le blocage au niveau des opérateurs n’est pas une action sans conséquence. D’ailleurs, c’est bien ici la compétence des acteurs techniques qui est recherchée par le projet de loi. Ce sont les spécialistes des opérateurs qui la mettront en œuvre, en fonction de leurs infrastructures. Et aucune mesure de prévention ne réussit à 100%… Le tout est de savoir si elle aura une certaine efficacité. Pour l’internaute qui chercherait ce genre de contenus, beaucoup seront bloqués et le marché commercial des promoteurs de ces sites en sera diminué d’autant. Et toutes les occasions de créer la peur du gendarme chez ces délinquants potentiels sont de bonnes mesures préventives.

II. Utilisation renforcée des nouvelles technologies dans la lutte contre la cybercriminalité

Le code de procédure pénale comporte des dispositions spécifiques au contexte informatique et des communications électroniques, qu’il s’agisse des perquisitions, de la saisie des données, des infiltrations policières ou encore des interceptions de correspondances.

Cependant, selon le Ministère de l’Intérieur, de l’Outre-mer et des collectivités territoriales, les délinquants utilisent de plus en plus les technologies modernes pour commettre des crimes et des délits. La LOPPSI vise donc à adapter les techniques d’investigation à l’usage des technologies par les délinquants, l’objectif est de renforcer la lutte contre la criminalité par une meilleure coopération nationale et internationale (A) et par un perfectionnement des techniques d’investigation (B).

A. Une meilleure coopération nationale et internationale en matière de lutte contre la cybercriminalité

Tout d’abord, la LOPPSI entend favoriser les recoupements d’affaires pour mieux lutter contre la délinquance en série. Il est fréquent que les criminels commettent plusieurs crimes selon le même mode opératoire. En comparant ces procédés, les services enquêteurs peuvent relier des affaires entre elles et retrouver les auteurs. Actuellement, il est possible de créer des logiciels de recoupement mais uniquement pour les affaires criminelles. La moyenne délinquance n’est pas traitée par ces recoupements informatiques. La LOPPSI permettrait d’étendre l’utilisation des logiciels de recoupement à la lutte contre la moyenne délinquance. Un magistrat référent sera chargé du contrôle des fichiers d’antécédents et d’analyse sérielle.

De plus, il est de plus en plus avéré que la cybercriminalité entraîne un phénomène d’effacement des frontières et d’internationalisation. La loi d’orientation et de programmation conduirait à développer des actions internationales et une plus forte coopération avec les partenaires étrangers. A ce titre, peuvent être cités :

  • la création et l’hébergement à Europol d’une plate-forme européenne contre la cybercriminalité, centralisant et explicitant les informations fournies par les plates-formes nationales ;
  • une présence accrue dans la gouvernance européenne des questions de sécurité : participation renforcée dans les agences (Europol, Frontex, Cepol), promotion d’instruments juridiques adaptés à la coopération transfrontalière ;
  • une internationalisation des carrières et des systèmes de formation afin d’apporter aux cadres de la police et de la gendarmerie un complément d’expérience professionnelle.

B. Modernisation et perfectionnement des techniques d’investigation

1) Méthodes d’investigation existantes

Actuellement, dans le cadre de l’enquête de flagrance d’abord, l’article 57-1 du code de procédure pénale prévoit que les officiers de police judiciaire ou, sous leur responsabilité, les agents de police judiciaire, peuvent, au cours d’une perquisition effectuée dans les conditions prévues par le code de procédure pénale, accéder par un système informatique implanté sur les lieux où se déroulent la perquisition, à des données intéressant l’enquête en cours et stockées dans ledit système ou dans un autre système informatique, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial. S’il est préalablement avéré que ces données sont stockées dans un autre système informatique situé en dehors du territoire national, elles sont recueillies par l’officier de police judiciaire, sous réserve des conditions d’accès prévues par les engagements internationaux en vigueur. Enfin, les données auxquelles il aura été permis d’accéder dans ces conditions peuvent être stockées sur tout support. Les supports de stockage informatique peuvent être saisis et placés sous scellés. Les perquisitions des systèmes informatiques connaissent les mêmes protections et les mêmes limites matérielles et géographiques que celles pratiquées dans le monde physique. Autrement dit, une perquisition ne peut avoir lieu que pour collecter les éléments de preuve sur l’infraction dont le juge est saisi, tout en respectant les prescriptions particulières afférentes aux locaux des entreprises de presse et de communication (article 56-2 CPP), au domicile d’un avocat (article 56-1), d’un médecin, d’un notaire, d’un avoué ou d’un huissier (article 56-3).

En enquête préliminaire, les perquisitions (article 76-3 CPP) de systèmes informatiques telles que prévues par l’article 57-1 du code de procédure pénale, ne peuvent avoir lieu qu’avec le consentement exprès de la personne chez qui l’opération a lieu (article 76 alinéa 1). Cependant, si l’enquête est relative à un crime ou un délit puni d’une peine d’emprisonnement d’une durée égale ou supérieure à cinq ans, le juge des libertés et de la détention peut, à la requête du procureur de la République, décider que la perquisition et la saisie seront effectuées sans l’assentiment de la personne (article 76, al 4).

Enfin, dans le cadre d’une information judiciaire (article 97-1 CPP), l’officier de police judiciaire peut, pour les nécessités de l’exécution de la commission rogatoire, procéder aux opérations prévues par l’article 57-1 du code de procédure pénale.

Ces dispositions sont toutes conformes à la convention sur la cybercriminalité du 23 novembre 2001 qui invite chaque Etat partie à adopter « les mesures législatives et autres qui se révèlent nécessaires pour veiller à ce que, lorsque ces autorités perquisitionnent ou accèdent d’une façon similaire à un système informatique ou dans une partie de celui-ci situé sur son territoire, et que ces données sont légalement accessibles à partir du système initial ou disponibles pour ce système initial, lesdites autorités soient en mesure d’étendre rapidement la perquisition ou un accès d’une façon similaire à l’autre système. »

De manière plus spécifique, la loi du 5 mars 2007 relative à la prévention de la délinquance a étendu le champ d’application de l’infiltration aux enquêtes portant sur la diffusion de matériels pédopornographiques et les différentes incriminations de mise en péril des mineurs (article 227-18 à 227-24 CP), les infractions en matière de proxénétisme (article 225-5 à 225-12 CP), la prostitution de mineurs (article 225-12-1 à 225-12-4 CP) et la traite des êtres humains (article 225-4-1 à 225-4-9 CP) lorsque ces infractions sont commises « par un moyen de communication électronique » afin d’en rassembler les preuves et d’en rechercher les auteurs (article 706-35-1 et 706-47-3 CPP). Ceci permet notamment aux enquêteurs d’effectuer plusieurs actes tels que participer sous couvert d’un pseudonyme aux communications électroniques ou encore extraire, transmettre, acquérir ou conserver des contenus illicites.

Quant aux interceptions des correspondances émises par la voie de l’Internet, elles obéissent soit au régime de droit commun, soit au régime spécial applicable en matière de criminalité organisée.

2) Nouvelles techniques envisagées

Les procédures de perquisition dans les systèmes informatiques sont appelées à évoluer si l’on en juge par le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure.

En effet, la captation à distance des images et des sons (caméra et sonorisation de lieux) est aujourd’hui possible mais les enquêteurs ne peuvent avoir accès aux données informatiques que lors des perquisitions. Or certains périphériques ne laissent aucune trace des données dans les unités centrales ou les systèmes d’exploitation. Le seul moyen d’y avoir accès est donc de capter ces données à distance lorsque des périphériques sont reliés à un ordinateur.

La LOPPSI donne donc la possibilité aux enquêteurs d’utiliser les moyens techniques permettant de capter en temps réel les données informatiques temporairement « posées » telles qu’elles s’affichent pour l’utilisateur d’un système de traitement automatisé ou telles qu’il les y introduit par saisie de caractères ». Ces captations devraient permettre d’introduire dans les ordinateurs des citoyens « un cheval de Troie » ou « mouchard » un peu comme le système actuel d’interceptions de communications téléphoniques.

L’article 23 de la loi complète donc le dispositif législatif relatif à la criminalité organisée en permettant la captation des données informatiques à distance.

Autrement dit, les enquêteurs pourront voir et enregistrer en temps réel, à distance, les données informatiques telles qu’elles s’affichent sur un ordinateur, même lorsque les données ne sont pas stockées sur le disque dur (lecture d’un CD-Rom, saisie de texte en live sur Internet…). Les logiciels « d’écoute » seront installés à distance ou physiquement, là où se trouve l’ordinateur.

Le recours à cette technique serait encadré. L’usage de ce procédé d’enquête sera réservé à la lutte contre la criminalité la plus grave (terrorisme, pédophilie…) et relevant de la criminalité organisée, sous le contrôle du juge d’instruction chargé d’autoriser la captation par une décision motivée prise après réquisition du procureur de la République. Il ne pourra être utilisé en vue de la surveillance des membres de certaines professions, en particulier les avocats et les parlementaires.

Lorsque l’installation du dispositif technique nécessite que les officiers de police judiciaire pénètrent dans le lieu privé où se trouve l’ordinateur, un juge des libertés et de la détention sera saisi lorsque la mise en place du dispositif se fera en dehors des heures légales (6 heures – 21 heures).

La loi prévoit également la mise en œuvre du dispositif de captation “dans tout type de point d’accès public à Internet (cybercafés ou bornes d’accès publiques)”. Ce « mouchard » serait installé sur place, même en dehors des heures légales ou via un réseau de communication électronique et pourrait être appliqué sur tout système informatique. Le texte prévoit la possibilité d’enregistrer pendant une durée d’au plus huit mois, tous les caractères saisis au clavier et toutes les images affichées sur l’écran de tous les ordinateurs d’un point d’accès public à Internet, et ce à l’insu des utilisateurs.

La CNIL a été saisie aux fins d’avis sur cet article 23, la Commission a relevé dans son avis rendu le 16 avril 2009 que celui-ci instituait une importante exception aux principes de la loi du 6 janvier 1978 concernant la collecte des données qu’il lui revenait d’apprécier au regard du but poursuivi. Devant l’impossibilité de réaliser un tri préalable entre les données utiles et non utiles à la manifestation de la vérité, la CNIL en a appelé au strict respect des principes posés par le Conseil Constitutionnel dans sa décision du 2 mars 2004 relative à la loi Perben 2 : contenu du procès verbal limité aux seuls enregistrements utiles, à l’exclusion absolue des séquences de la vie privée étrangères aux infractions en cause.

S’agissant des données collectées en des lieux tels que cabinets d’avocat, de médecin, de notaire, d’avoué ou d’huissier ou dans les locaux d’une entreprise de presse ou sur des systèmes utilisés par des personnes bénéficiant d’une protection particulière (parlementaires, avocats ou magistrats), la Commission estimait que le texte initial qui visait « les systèmes automatisés de traitement de données se trouvant habituellement dans les lieux visés aux articles 56-1, 56-2 et 56-3 du CPP ou habituellement utilisés par les personnes visées à l’article 100-7 » créait « un aléa et un risque d’insécurité juridique disproportionnés au regard des finalités poursuivies », non conforme à l’article 6 de la loi informatique et libertés. Le gouvernement a finalement décidé de retirer cette disposition, ces professions sont désormais exclues du dispositif.

Concernant la surveillance des points publics d’accès à Internet, elle a estimé nécessaire que la décision d’installation et les modalités d’utilisation des dispositifs de captation, particulièrement intrusifs, fassent l’objet d’une vigilance particulière, afin de garantir la proportionnalité de la mesure de surveillance aux objectifs poursuivis.

Sur l’obligation de sécurité, la CNIL relève que les outils de captation seront « bridés », configurés et certifiés de façon à ne pas porter atteinte à l’intégrité des données ou de la sécurité de la machine visée. Elle proposait en outre que l’article 706-102-1 du code de procédure pénale soit complété pour préciser les modalités suivant lesquelles l’intégrité des données captées sera garantie lors de leur transmission vers les agents habilités chargés de ces opérations. Elle demandait également que le projet renvoie à des dispositions réglementaires définissant les mesures techniques permettant d’assurer la traçabilité des accès et des utilisations des outils de captation des données informatiques.

Il ne semble pas que le Gouvernement ait suivi ces dernières recommandations, en effet, cet avis n’a pas de caractère contraignant pour le Gouvernement. Néanmoins, il a alimenté le débat portant sur ce projet et les nombreuses critiques relatives aux dérives possibles en matière d’atteinte aux données personnelles et à la vie privée.

Selon Myriam Quémener, magistrate au Parquet général de la Cour d’appel de Versailles, « Dénoncer de façon systématique ce projet de loi LOPPSI 2 est le signe d’une ignorance du fait que la cybercriminalité n’est plus aujourd’hui un épiphénomène mais bien une délinquance « industrialisée », s’inscrivant dans des groupes criminels internationaux. Il faut que les Etats se prémunissent contre ces dérives qui peuvent causer des préjudices considérables aux internautes et aux entreprises. » Madame Quémener précise également que de telles méthodes de captation à distance sont déjà pratiquées depuis plus de dix ans par les services de renseignements français et FBI.

Pour d’autres, l’ensemble du régime de la captation des données informatiques serait calqué sur celui de captation des images et voix dans un lieu privé. Le cadre du dispositif serait donc restreint puisqu’il s’agirait d’un cadre judiciaire et non pas administratif afin d’éviter toute tentation gouvernementale de contrôle de la population.

En outre, la captation ne pourrait être conduite à la seule initiative du Parquet ou dans le cadre d’une enquête préliminaire, le déclenchement d’une information judiciaire dans le cadre de la criminalité organisée étant nécessaire. Le présent dispositif ne serait donc qu’une adaptation des règles actuelles à l’outil informatique, rien de plus.

Conclusion : l’avenir de la LOPPSI 2

A titre de propos conclusif, il convient de faire un point sur l’avenir du projet LOPPSI 2.

Il faut tout d’abord relever que la LOPPSI 2, en tant que projet de loi n’ayant toujours pas fait l’objet d’une ratification par les assemblées parlementaires, ne fait pas aujourd’hui partie du droit positif applicable en matière de lutte contre la cybercriminalité. Par ailleurs, son adoption a été à plusieurs reprises retardée. Finalement, le nouveau ministre de l’Intérieur, Monsieur Brice Hortefeux, a annoncé, le 24 novembre 2009, à l’Assemblée Nationale que le projet ne serait finalement discuté au Parlement qu’à compter de la fin janvier 2010. Il souhaite en effet revoir le texte qui suscite d’ores et déjà de nombreuses critiques.

Ces critiques s’articulent autour de trois axes : le principe de neutralité du net, le respect des libertés individuelles ainsi que la question de l’efficacité des dispositions envisagées.

Le principe de neutralité du Net, principe fondateur de l’Internet,  peut être défini comme l’obligation faite aux opérateurs techniques de permettre la circulation de l’information sans la regarder, la choisir, la modifier ou la filtrer. A la lecture de cette définition, l’antinomie entre le principe de neutralité, ou plus généralement la liberté d’expression et de communication, et les dispositions de la LOPPSI 2 et plus précisément le filtrage des contenus de certains sites semble évident. Toutefois, pour les auteurs de l’étude d’impact jointe au projet de loi, le nouveau dispositif de filtrage ne contreviendrait pas au principe de neutralité dans la mesure où l’identification des contenus illicites serait à la charge des services de police et non des fournisseurs. Bien que considérant les objectifs de la loi louable en ce qui concerne la protection des victimes et des internautes, de nombreuses voies s’élèvent et notamment celle de Monsieur Jean-Michel Planche. Selon ce membre de la Commission consultative des réseaux et services de communications électroniques, l’argument « est spécieux ». Il considère en effet qu’il importe peu que l’opérateur ne décide pas ce qui est bloqué ou non pour que le dispositif constitue une atteinte au principe de neutralité des réseaux. De plus, l’absence de caractère juridictionnel de l’autorité en charge de l’élaboration de la « liste noire » est également soulignée. Toutefois, il convient de noter que s’agissant d’un acte administratif, il est pris sous le contrôle du juge administratif devant lequel il est susceptible d’être déféré, y compris selon la procédure de référé.

Par ailleurs, nombreux sont ceux qui s’interrogent sur les garanties accordées à la mesure de captation des données informatiques à distance. En effet, en l’état actuel, le projet de loi prévoit l’intervention nécessaire du juge d’instruction pour autoriser une telle mesure. Cependant, conformément à la volonté du Président de la République, une réflexion autour de la suppression du juge d’instruction a été organisée. De celle-ci est né le rapport de la commission de réflexion sur la justice pénale, présidée par Philippe Leger, rendu à Nicolas Sarkozy le 1er septembre 2009. La commission part du constat selon lequel la procédure pénale actuelle est source de confusion dans la mesure où elle institue deux cadres d’investigation distincts : la phase d’enquête, conduite par les services de police sous la direction du Ministère public, et la phase d’instruction, menée par les mêmes services mais placés sous la direction du juge d’instruction. Par ailleurs, la commission souligne les nombreuses interrogations suscitées par la double fonction du juge d’instruction qui dispose d’une part, de fonctions d’enquêteur, et d’autre part, de fonctions juridictionnelles importantes. Pour y remédier, la commission propose d’instituer un cadre unique d’enquête dans laquelle les investigations seront conduites sous la seule direction du ministère public. Dans ce contexte particulier, cela aurait pour conséquence d’attribuer le pouvoir de décider une mesure de captation des données informatiques à distance, mesure attentatoire aux libertés individuelles, à un magistrat du parquet et non plus du siège tel que le projet LOPPSI 2 le prévoit actuellement. Or, ces propositions se situent à contre-courant de la jurisprudence européenne puisque dans un arrêt du 10 juillet 2008, Medvedyev et autres contre France, la Cour Européenne des Droits de l’Homme a estimé que les magistrats du parquet ne pouvaient être considérés comme une autorité judiciaire au sens de la convention dans la mesure où ils se trouvent dans un rapport de dépendance vis à vis du pouvoir exécutif. La France a fait appel de cette décision devant la grande chambre. Cette dernière n’ayant pas encore à ce jour statué, la question reste en suspens.

Enfin, la question de l’efficacité des mesures de filtrage et de leur coût est également posée. S’inspirant du dispositif mis en place dans différents pays tels que l’Australie ou la Norvège, le coût pour la mise en place d’un blocage par DNS est estimé à 4 000 € pour 100 000 abonnés. Par ailleurs, certains auteurs soulignent un manque d’efficacité en se basant d’une part, sur la possibilité pour certains internautes expérimentés de contourner le dispositif de filtrage, et d’autre part sur l’exemple de pays comme la Thaïlande ou du Danemark, pays pratiquant le filtrage, mais dont « les listes noires ont été révélées», créant ainsi une faille importante dans le dispositif mis en place.

Si les critiques sont nombreuses, tous s’accordent sur l’importance des objectifs poursuivis par le projet de loi LOPPSI 2. Reste à savoir si ces différentes réflexions conduiront à une modification des moyens poursuivis pour lutter contre la cybercriminalité lors de sa présentation et son examen au Parlement dans les prochains jours.

Laurianne Bouzou

Laurianne Bouzou est étudiante de la promotion 2010 du Master 2 Droit des nouvelles technologies de l’Université Paris-X Nanterre. Elle est également élève-avocate au CRFPA-HEDAC de Versailles.

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.