LEXBASE HEBDO n 387 du Mercredi 17 Mars 2010 - Edition PRIVÉE GÉNÉRALE [Pénal] Evénement Actualité du droit pénal et nouvelles technologies N4873BNS Le 8 mars 2010 l'association pour le développement de l'informatique juridique (ADIJ) organisait une table ronde sur le thème "Actualité du droit pénal et nouvelles technologies". Au programme de cette conférence, les intervenants (1) ont abordé les enjeux de la révolution numérique au quotidien pour les pénalistes, le renforcement des pouvoirs des chargés d'enquêtes (réquisitions des données de connexion, déchiffrement...), la valeur probante des preuves numériques, l'expertise comme moyen d'investigation, la dématérialisation des procédures ou encore les enjeux de la future loi d'orientation et de programmation pour la sécurité intérieure. Comme l'a rappelé Christiane Féral-Schuhl, Avocat au Barreau de Paris et présidente de l'adij, la règle en droit pénal est qu'il ne peut y avoir de sanction que si l'infraction est répertoriée dans le Code pénal. Or aujourd'hui, force est de constater que la cyber-délinquance n'est pas intégrée dans le Code pénal. Selon un récent sondage, 73 % des entreprises sondées ont déclaré avoir subi des pertes liées à des cyberattaques : usurpation d'identité numérique, vol de coordonnées bancaires, etc.. En témoigne encore, ces derniers jours, la diffusion de mails censés émaner de la Caisse d'allocations familiales invitant les internautes à se rendre sur un faux site de la CAF et à donner leurs coordonnées bancaires pour recevoir une allocation d'un montant de 161,82 euros. Face à la multiplication de ce type de fraude, deux questions se posent : comment appréhender les coupables? Comment et quels types de preuves collecter? Le constat La révolution numérique est en marche... Pour le pénaliste, qui arpente tout au long de la journée couloirs et salles du Palais, la révolution numérique s'est traduite par la numérisation des dossiers et la correspondance par mail avec les parquetiers et cela au détriment des rapports humains, qui, eux aussi, ont été dématérialisés! Or, selon Philippe Sarda, avocat pénaliste et membre de l'association des avocats pénalistes - ADAP, la numérisation peut conduire à la rupture de l'égalité des armes entre l'accusation et le respect des droits de la défense. L'égalité des armes sous-tend que chaque partie à une procédure doit avoir des chances égales de présenter sa cause. Ce principe englobe la notion selon laquelle chacune des deux parties à une procédure a le droit d'obtenir des informations concernant les faits et les arguments de la partie adverse et doit avoir des chances égales de répondre à l'autre. La lutte contre la cybercriminalité dépassant très souvent le cadre national, l'avocat peut se retrouver dans des conditions de mise en concurrence avec des avocats étrangers, ce qui constitue indéniablement une nouveauté. Un autre concurrent a également fait son apparition : le moteur de recherche... En effet, il peut s'avérer dans certains cas bien plus rapide qu'un greffier pour la communication des jugements! Ainsi, on l'aura compris, internet et les nouvelles technologies obligent l'avocat d'aujourd'hui à modifier sa façon de penser, de gérer et de solutionner ses dossiers.
Les moyens de lutte Pour Myriam Quéméner, Avocat général à la cour d'appel de Versailles et Christian Aghroum, Commissaire divisionnaire, Chef de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication - OCLTIC, la loi du 9 mars 2004 (loi n 2004-204, portant adaptation de la justice aux évolutions de la criminalité N Lexbase : L7102GT9) a été une opportunité que le législateur n'a pas su saisir. Hormis les dispositions relatives au mandat d'arrêt européen, la cybercriminalité n'est pas intégrée dans le Code pénal. Depuis 2000, on constate néanmoins une prise de conscience progressive, certaines dispositions législatives et règlementaires tentant de remédier à cette carence (loi n 2001-1062 du 15 novembre 2001, relative à la sécurité quotidienne N Lexbase : L7960AUD ; loi n 2006-64 du 23 janvier 2006, relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers N Lexbase : L4643HG3). Mais le constat d'une insuffisance des moyens existants face à la rapidité des évolutions technologiques et numériques est vite apparu. En effet, on se retrouve devant une utilisation croissante des réseaux numériques par les délinquants agissant notamment en bande organisée et à des fins terroristes, et les enjeux sont importants : sécurité, protection et respect des libertés individuelles, nécessaire proportionnalité des mesures d'investigation attentatoires aux libertés et mesures ordonnées sous le contrôle d'un magistrat. Il est également nécessaire d'adapter le mode de perquisition. La loi n 2004-575 du 21 juin 2004, pour la confiance dans l'économie numérique (N Lexbase : L2600DZC) a précisé les modalités de la saisie de support informatique : placement sous main de justice soit du support physique des données, soit d'une copie réalisée en présence des personnes qui assistent à la perquisition. A cet égard, l'article 57-1 du Code de procédure pénale (N Lexbase : L4455DG4) autorise les officiers de police judiciaire (OPJ) à accéder, au cours d'une perquisition effectuée dans les conditions prévues par le Code de procédure pénale, par un système informatique implanté sur les lieux où se déroule la perquisition à des données intéressant l'enquête en cours et stockées dans ledit système ou dans un autre système informatique, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial. Les données ainsi recueillies peuvent être copiées sur tout support. C'est ce qu'il convient de qualifier de "saisie informatique" qui n'est pas incompatible avec la saisie physique classique des supports de stockage informatiques réalisée sur le lieu même de la perquisition. Les perquisitions de systèmes informatiques connaissent cependant les mêmes limites matérielles et géographiques que les perquisitions opérées dans le monde physique. Ainsi, une perquisition ne peut s'effectuer que pour collecter des éléments de preuve de l'infraction dont le juge a été saisi. Cet obstacle a une portée relativement minime en la matière dans la mesure où la volatilité des éléments de preuve amenuise les chances de flagrant délit. La seule limite légale au droit de perquisitionner est celle de l'accès à des données stockées dans un système informatique situé en dehors du territoire national. Concernant les interceptions de communications, elles sont applicables à internet et se définissent comme une technique consistant à interposer, au moyen d'une dérivation sur la ligne d'un abonné, un procédé magnétique d'enregistrement et de conversation. L'article 100 du Code de procédure pénale (N Lexbase : L4316AZU) autorise, ainsi, le juge d'instruction à procéder à des interceptions de correspondances émises par voie de télécommunication lorsque les nécessités de l'information l'exigent en matière criminelle et en matière correctionnelle si la peine encourue est égale ou supérieure à deux ans d'emprisonnement. Par ailleurs, l'article 706-95 du Code de procédure pénale (N Lexbase : L5776DYL), modifié par la loi du 9 mars 2004, prévoit que les interceptions peuvent être autorisées par le juge des libertés et de la détention sur requête du procureur de la République pour les infractions énoncées à l'article 706-73 de ce code (N Lexbase : L8494IB9), lorsque l'enquête l'exige. Elles sont effectuées sous le contrôle du juge des libertés et de la détention pour une période de quinze jours renouvelable une fois dans les mêmes conditions de forme et de durée.
En matière de réquisitions informatiques, les articles 60-1 (N Lexbase : L3499IGP) et 77-1- 1 (N Lexbase : L3463IGD) du Code de procédure pénale prévoient l'utilisation de réquisitions informatiques au cours de l'enquête de flagrance, de l'enquête préliminaire ou de l'instruction. L'article 60-2 (N Lexbase : L2442IE8) dispose que, sur demande de l'opj, qui peut intervenir par voie télématique ou informatique, les organismes publics ou les personnes morales de droit privé mettent à sa disposition les informations utiles à la manifestation de la vérité, à l'exception de celles protégées par un secret prévu par la loi, contenues dans le ou les systèmes informatiques ou traitements de données nominatives qu'ils administrent. L'OPJ peut, sur réquisition du procureur de la République, préalablement autorisé par ordonnance du juge des libertés et de la détention, requérir des opérateurs de télécommunications toutes mesures propres à assurer la préservation, pour une durée ne pouvant excéder un an, du contenu des informations consultées par les personnes utilisatrices des services fournis par les opérateurs. Enfin, en matière de conservation des données, le législateur a souhaité remédier aux difficultés soulevées par l'anonymat qui constitue l'un des principaux obstacles à l'enquête pénale. Ainsi, la loi ("LCEN") impose-t-elle aux fournisseurs d'accès à internet une obligation de conservation de ces données, moyens d'obtenir les éléments de preuve nécessaires pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. L'article L. 34-1 du Code des postes et des communications électroniques (N Lexbase : L3526IEC), tout en posant un principe d'effacement des données dès la fin de la communication qui les a engendrées, définit les modalités de conservation de certaines d'entre elles "pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ou d'un manquement à l'obligation définie à l'article L. 336-3 du Code de la propriété intellectuelle (N Lexbase : L8870IEA), et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire". Les opérateurs de communications électroniques sont tenus de conserver les données relatives au trafic pendant une durée d'un an. Or, ici, face à la problématique qui s'est fait jour, à savoir la durée qui varie d'un Etat à un autre, un réseau a été constitué, le G8H24, regroupant les pays signataires de la Convention de Budapest sur la cybercriminalité (N Lexbase : L4858A8G), et permettant avec un échange de police à police, la conservation des données le temps que l'enquête le nécessite. Les intervenants relèvent également un nouveau problème, le cloud computing. Ce nouveau concept consiste en la dématérialisation de l'informatique. Les entreprises ne sont plus propriétaires de leurs serveurs informatiques mais peuvent ainsi accéder de manière évolutive à de nombreux services en ligne sans avoir à gérer l'infrastructure sous-jacente, souvent complexe. Les applications et les données ne se trouvent plus sur l'ordinateur local, mais dans un ensemble virtuel composé d'un certain nombre de serveurs distants interconnectés au moyen d'une bande passante. Or, le problème fondamental reste la sécurisation de l'accès à l'application entre le client et le serveur distant : en effet, les postes informatiques composant le réseau seront tous connectés à internet (directement ou non) et ainsi exposés à des risques potentiels d'attaque. L'avenir Le projet de loi d'orientation et de programmation pour la performance de la sécurité intérieure, adopté en première lecture par l'assemblée nationale le 16 février 2010 va apporter quelques améliorations au moins sur deux points. D'abord, le projet envisage la création d'un délit d'utilisation frauduleuse de l'identité ou de données à caractère personnel de tiers sur un réseau de communications électroniques. Serait ainsi créé un nouvel article 222-16-1 au Code pénal qui réprimerait l'utilisation malveillante, dans le cadre des communications électroniques, de l'identité d'autrui ou de toute autre donnée personnelle, en vue de troubler sa tranquillité ou de porter atteinte à son
honneur ou à sa considération. La peine encourue par les auteurs de ce nouveau délit serait d'un an d'emprisonnement et 15 000 euros d'amende. L'idée est de combler un vide juridique en permettant de répondre à des actes malveillants qui ne peuvent aujourd'hui tomber sous le coup d'aucune qualification pénale, ne constituant ni une diffamation, ni un détournement de la correspondance d'autrui. Seront concernés par la nouvelle incrimination, notamment, toute personne qui affilierait un tiers à un parti politique ou une association en utilisant frauduleusement son adresse électronique ou tout mari en instance de divorce qui utiliserait l'adresse électronique de sa femme pour adresser un faux courriel à l'employeur de celle-ci dans le but de lui nuire... Dans un arrêt du 20 janvier 2009, la Chambre criminelle de la Cour de cassation a certes jugé que le fait d'utiliser l'adresse électronique d'un tiers, lorsqu'il s'en est suivi un risque de poursuites pénales pour cette personne, est constitutif du délit d'usurpation d'identité prévu à l'article 434-23 du Code pénal (N Lexbase : L1757AMZ) (Cass. crim., 20 janvier 2009, n 08-83.255 N Lexbase : A7580ETW). Il apparaît cependant que, dans d'autres affaires, la qualification d'usurpation d'identité n'ait pu être constituée, dès lors que l'usurpation n'a eu aucune conséquence juridique ou économique pour la victime, ce qui justifie qu'un nouvel article du Code pénal incrimine spécifiquement l'usurpation d'identité sur Internet. Ainsi, à la différence de l'article 434-23 du Code pénal, qui punit l'usurpation d'identité qui accompagne la commission d'une infraction, le nouvel article vise à punir, de peines d'ailleurs moins lourdes, le simple fait de se faire passer pour autrui, de manière réitérée et dans le but soit de troubler sa tranquillité ou celle d'une tierce personne (envoi répété par un individu A de courriels censés être envoyés par un individu B dans le but de troubler la tranquillité d'individus C et D qui reçoivent ces courriels), soit de porter atteinte à son honneur ou sa considération. Seconde innovation majeure, le texte permettrait la possibilité de recourir à la captation à distance de données informatiques dans les affaires de criminalité organisée. Cette captation de données informatiques permettra aux enquêteurs, dans les conditions et selon les formes prévues par de nouvelles dispositions du Code de procédure pénale, d'accéder aux données informatiques des personnes visées par une enquête en matière de criminalité organisée, telles que ces données s'affichent au même moment pour l'utilisateur sur son écran ou telles qu'il les introduit dans l'ordinateur, par l'intermédiaire notamment d'un clavier ou d'une souris. Elle aura pour effet de mettre l'enquêteur dans la situation de quelqu'un qui observerait derrière lui l'utilisateur d'un ordinateur. Elle permettra ainsi, grâce à la lecture de l'écran, de savoir avec qui un suspect est en contact par l'intermédiaire d'internet ou, grâce à un logiciel de reconnaissance de frappe, de lire à distance un message destiné à être envoyé crypté et auquel il serait impossible ou très complexe d'accéder au moyen d'une interception puis de décrypter. En revanche, la captation de données informatiques ne permettra pas d'accéder à distance à l'ensemble des messages ou des documents qui pourraient être inscrits dans la mémoire de l'ordinateur ou de son disque dur. Actuellement, sont disponibles en vente libre dans le commerce à la fois des solutions matérielles et des solutions logicielles susceptibles de permettre la captation de données informatiques, telle qu'elle est envisagée par le projet de loi. Les solutions matérielles sont de deux types : il peut s'agir soit d'un dispositif s'intercalant entre le clavier et le boîtier d'un ordinateur de bureau, soit d'une carte d'extension pour ordinateur portable servant à détourner les signaux électriques provenant du clavier. Le premier dispositif est presque impossible à employer car il est aisément détectable, même s'il est introduit à l'intérieur même du clavier. En revanche, le second dispositif est très discret, mais requiert qu'un port d'extension soit libre sur la machine, ce qui est de moins en moins le cas. Dans la plupart des cas, c'est donc un dispositif logiciel qui sera privilégié. La captation des données pourra présenter un grand intérêt dans des affaires particulièrement graves ou complexes, notamment en matière de terrorisme. Elle permettra de démanteler plus rapidement des groupes criminels, en offrant aux enquêteurs la
possibilité d'accéder à des informations dont ils ne pouvaient pas disposer jusqu'ici. En effet, aujourd'hui, les malfaiteurs ou les terroristes utilisent de plus en plus fréquemment des périphériques (clés USB ou CD-ROM) pour ne pas laisser d'informations dans l'ordinateur, rendant leurs données inaccessibles par le biais d'une perquisition. En outre, la pratique policière montre que, le plus souvent, les malfaiteurs professionnels et les terroristes utilisent aujourd'hui ces supports physiques à partir d'ordinateurs mis à leur disposition dans les cybercafés et autres lieux publics ou privés pour rédiger ou consulter des documents qui sont ensuite cryptés et ne sont pas transmis par un réseau de communication, ce qui empêche leur interception lors de leur envoi. (1) Christiane Féral-Schuhl, Avocat au Barreau de Paris Présidente de l'adij, Philippe Sarda, membre de l'association des avocats pénalistes - ADAP, Myriam Quémener, Avocat général à la cour d'appel de Versailles, auteure du livre "Cybercriminalité", Christian Aghroum, Commissaire divisionnaire, Chef de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication - OCLTIC, François Wallon, expert en informatique agréé par la Cour de cassation, coresponsable de l'atelier ADIJ "Cyberdélinquance", Vincent Nioré, Membre du Conseil de l'ordre, Secrétaire de la Commission pénale de l'ordre et Yvon Martinet, Avocat au Barreau de Paris. Anne-Laure Blouet Patin, Directrice de la rédaction Copyright LEXBASE