DROIT PENAL DE L INTERNET -ASPECTS DE FOND ET DE PROCEDURE-

MASTER 2 «DROIT DU MULTIMEDIA ET DES SYSTEMES D INFORMATION» Mme V. JAWORSKI. Mlle S. CORIOLAND DROIT PENAL DE L INTERNET -ASPECTS DE FOND ET DE PROCEDURE- Avertissement : Les règles et principes généraux rappelés dans le module «Remise à niveau en droit pénal» sont applicables à la matière spécifique du droit pénal de l Internet. Le présent module a pour objet de présenter de manière schématique mais non exhaustive- la problématique particulière de la cybercriminalité, ainsi que ses particularités tant sur le plan du droit pénal de fond que dans ses aspects procéduraux. PLAN DU COURS DE DROIT PENAL DE L INTERNET I- L Internet : un «espace de droit pénal» ou «zone de non droit»? 1- Définition de la «cybercriminalité» 2- Problématique spécifique à la criminalité sur l Internet II- La criminalité sur l Internet : le problème des «infractions transfrontières» 1- Les règles de fond 2- Les règles de procédure III- L action de la France contre la cybercriminalité A- Panorama des principales infractions 1- Les infractions directement liées aux TIC 2- Les infractions facilitées par l utilisation des TIC ou liées à l utilisation des TIC B- Des règles de procédure spécifiques C- La lutte institutionnelle

IV- La lutte contre la cybercriminalité au niveau européen A- L action du Conseil de l Europe B- L action de l Union européenne 1- Les actions normatives 2- La lutte institutionnelle V- La lutte contre la cybercriminalité sur le plan international 1- L action de l OCDE 2- INTERPOL 3- La SCCOPOL 4- SCHENGEN

I- L Internet : un «espace de droit pénal» ou «zone de non droit»? = Problématique de départ : compatibilité entre Internet et le droit. A n en pas douter l Internet constitue un espace de liberté, mais est-ce un espace de liberté totale? Une telle situation, dans l affirmative, présenterait des risques évidents et graves de déviances en tout genre. Le problème est qu Internet entretient une mythologie libertaire : Internet serait une zone de non droit, où l on pourrait se défouler et sur laquelle tout est permis. Sur Internet, point de diffamation, point de contrefaçon!!! Or la réalité est autre : l Internet n est pas un espace de liberté totale. Certains comportements peuvent être source de responsabilité pénale (et / ou civile). Mais l Internet est un environnement dans lequel la diversité des contenus rend difficile de mettre en œuvre une régulation autoritaire et centralisée. La problématique spécifique à l Internet (2) rend particulièrement malaisée la lutte contre cette nouvelle forme de délinquance que l on nomme «cybercriminalité» (1). 1- Définition de la «cybercriminalité» La cybercriminalité est l'ensemble des infractions pénales qui se commettent sur le réseau Internet. (définition posée par l ONU : tout comportement illégal faisant intervenir des opérations électroniques qui visent la sécurité des systèmes informatiques et des données traitées. Rapport 2005). Elle désigne à la fois : - les attaques de tout type sur des systèmes informatiques : virus, tentatives d intrusion... - la diffusion de contenus illégaux : diffusion d images pédophiles, de méthodes pour se suicider, de recettes d'explosifs ou d injures raciales - l usurpation d identité en ligne : fraude à la carte de crédit (utilisation par autrui sans le consentement du propriétaire de la carte bancaire) - l escroquerie en ligne (vente par petites annonces ou aux enchères d objets volés ou encaissement d un paiement sans livraison de la marchandise), le cyber-blanchiment d argent - les atteintes à la propriété intellectuelle (par des échanges de particulier à particulier «peer to peer «, streaming ou téléchargements illégaux ) Le développement d Internet a entraîné celui d une nouvelle forme de délinquance, qui, en utilisant les Nouvelles Technologies de l Information et de la Communication (NTIC), menace tout à la fois les individus, les entreprises et les Etats. Le développement des nouvelles technologies rend plus complexe le traitement judiciaire des infractions de toute nature, certains faits pouvant être commis hors du territoire national ou s inscrivant dans un contexte plus large de criminalité organisée, ce qui rend parfois difficile l identification des auteurs. En conséquence, les victimes d actes de cybercriminalité portent rarement plainte. Les raisons tiennent à la difficulté, d une part, d identifier le ou les auteurs des infractions sur Internet et, d autre part, de collecter les preuves desdites infractions. Au regard de ces nombreuses difficultés, il s agit donc d un domaine appelé à connaître de nombreuses évolutions sur le plan technique, législatif et jurisprudentiel. Ceci est 3

d autant plus important que les enjeux liés à l Internet sont multiples : protection des droits fondamentaux et des libertés individuelles, responsabilité des intermédiaires techniques, compétence et loi applicable au regard du droit international. S agissant de la protection des droits et des libertés, certains ont souhaité qu Internet constitue un espace de liberté totale non soumis au droit. En réalité, le monde virtuel n est pas un espace de non droit et pour l essentiel, les lois existantes suffisent à assurer cette protection 1. C est ainsi qu un message raciste ou révisionniste sera sanctionné qu il soit diffusé sur l Internet ou à la radio. Il en va de même s agissant d une diffusion diffamatoire ou d une diffusion violant des droits d auteurs. Internet est aussi protégé par le droit. Ainsi, une correspondance échangée par le biais d un courrier électronique sera protégée par le secret, comme une lettre envoyée par la poste (ex : consultation des e-mails des salariés par leurs employeurs). Face à ce qu il est convenu d appeler la "cybercriminalité", les Etats réagissent. Ainsi, aux Etats-Unis, après trois mois d enquête, les autorités ont réussi un vaste coup de filet dans le milieu du cyber-crime, pour des affaires présumées de Spam, de phishing (usurpation d identité via de faux sites) et autres escroqueries en ligne (opération «Web Snare»). Un succès néanmoins à relativiser lorsque l on sait que les attaques de type phishing ont augmenté de 800 % sur les six premiers mois de l année 2006. La cybercriminalité pose ainsi de nouveaux défis aux Etats, rendant nécessaire une coopération internationale accrue. Elle n implique pas seulement le droit pénal, mais aussi l éducation des usagers d Internet, la mise en place de systèmes de sécurité, et la coopération entre Etats, entreprises et société civile. Dans cette optique, du 15 au 17 septembre 2004 s est tenue à Strasbourg une conférence du Conseil de l Europe sur ce thème. Cette conférence entendait promouvoir la Convention du Conseil de l Europe sur la Cybercriminalité, qui constitue le premier texte international à traiter de cette question. Cette convention du 23 novembre 2001 enjoint notamment aux Etats-membres d incriminer, entre autres, les comportements «se rapportant à la pornographie enfantine». Depuis, cette convention a été complétée par un protocole additionnel concernant l incrimination d actes racistes et xénophobes le 30 janvier 2003. 2- Problématique spécifique à la criminalité sur l Internet L immatérialité est ce qui caractérise l Internet. Ce dernier véhicule des biens immatériels, choses que l on ne peut pas toucher, qui n ont pas de consistance physique, tels que les données informatiques, les systèmes de traitement des données, les sites et leur contenu, fichiers, logiciels, bases de données, programmes, ou encore le temps de connexion, l électricité, l énergie Actuellement, l opinion générale s accorde à en avoir une vision dégradée : l Internet serait avant tout un moyen pour les néo-nazis, pédophiles, terroristes et personnes mises en examen d échapper aux rigueurs de la loi. Si l Internet constitue une richesse collective pour la communauté internationale, il présente de nombreux risques de dérapages au regard des règles de protection des mineurs, des consommateurs ou des auteurs. 1 Rapportde Bercy du 25 février 2005 : «Si Internet est un espace de liberté, cette liberté ne saurait être absolue». 4

En facilitant les communications et la diffusion d'informations à l'échelle planétaire, Internet favorise la commission d'infractions et apparaît comme le vecteur d'une nouvelle forme de délinquance contre laquelle l'application de notre droit pénal bute pour identifier les auteurs, eu égard à cette dimension internationale. Deux problèmes sont ainsi à combiner : 1 Les agissements délictueux sont innombrables : diffusion d'images pornographiques (la brigade norvégienne de lutte contre la criminalité informatique a identifié 6000 sites pornographiques), messages racistes, reproduction d'une œuvre sans l'accord de son auteur, diffamations, injures, atteintes à la vie privée, etc 2 Les infractions commises sur Internet posent très souvent un problème de droit pénal international, car elles présentent un élément d extranéité. Les infractions transfrontières sont de plus en plus nombreuses, ce qui entraîne une application des règles de droit pénal international. Le problème crucial posé par l Internet réside dans la généralisation de l internationalisation des infractions commises. Techniquement, le cheminement des informations entre le point émetteur et le point récepteur est difficilement reconstituable. L immense quantité d informations traitées alliée à la quasi-instantanéité des transferts soulève de nombreuses questions, telles que celles de l application de la loi pénale dans l espace, de la désignation du ou des responsables, de la constatation des infractions et de leur preuve... La difficulté tient à ce qu'internet nous confronte à l'hétérogénéité des systèmes juridiques à l'échelon de la planète : ce qui est répréhensible en France ne l'est pas nécessairement ailleurs. Ainsi, de nombreux sites révisionnistes ont été créés aux Etats-Unis, où ce type de messages ne fait l objet d aucune interdiction en vertu du 1 er amendement de la Constitution américaine qui garantit un droit d expression quasi-illimité. Or ces sites sont consultables en France. A l inverse, certaines interdictions pénalement sanctionnées sont prévues par des législations étrangères, sans l être par la loi française. Ainsi, le droit coranique interdit toute représentation du Prophète sous peine de sanctions religieuses et pénales. Cette dimension internationale, caractérisée par un manque d harmonisation des législations nationales, constitue une entrave majeure à la coopération judiciaire internationale, sans laquelle une répression efficace semble impossible. Une autre difficulté majeure tient à la preuve des infractions commises. La preuve de la connexion sur un site est extrêmement difficile à établir. Ainsi, en droit pénal français, tout mode de preuve est recevable (art. 427 CPP qui consacre le principe de la liberté de la preuve). Cependant, dans l environnement numérique, les preuves s avèrent particulièrement difficiles à rapporter. C est le cas par exemple lorsqu un internaute commet des infractions sur l Internet mais n en garde aucune trace sur son disque dur. Dans une telle hypothèse, la chambre criminelle de la Cour de cassation, dans un arrêt en date du 5 janvier 2005, a considéré que la production par les autorités de poursuite des «fichiers temporaires» retrouvés sur le poste n était pas en l espèce une preuve suffisante de l infraction, car leur enregistrement est automatique et ne peut donc pas caractériser une intention de copier de la part de la personne poursuivie. Il est intéressant de constater que les autorités policières françaises ont mis au point des formations spécifiques des personnels de la police face à cette nouvelle forme de délinquance. Un des moyens de preuve des infractions commises consistant à saisir le disque dur des 5

ordinateurs et à l'analyser, des compétences techniques de haut niveau sont désormais indispensables. En effet, les investigations doivent préserver la preuve des données et faire appel à des techniques probatoires sûres : démarrage de l ordinateur à partir d une disquette pour éviter tout risque de destruction des données par des fichiers pièges, logiciels d enquête interdisant la réécriture ou la modification des contenus, etc L aspect immatériel de l Internet ne doit pas être un frein à la répression. Une analyse globale des outils juridiques tant nationaux, qu européens et internationaux, permet d affirmer que le droit est bien présent sur l Internet. Ainsi, le corpus juridique français semble disposer des incriminations nécessaires à la sanction de la cybercriminalité. Il est possible d affirmer qu il n y a pas de vide juridique en matière pénale concernant l Internet. Ce qui pose véritablement problème, c est sa bonne application. Le débat est donc mal posé. Ce qu il faut se demander c est : comment faire respecter de façon efficace le droit sur l Internet? Dans cette optique, la lutte doit s organiser à trois niveaux : - au niveau national (III) - au niveau européen (IV) - au niveau international (V) Elle suppose avant tout de régler le problème d extranéité que pose dans la plupart des cas la criminalité sur l Internet, qui relève donc des règles de droit pénal international (II). II- La criminalité sur l Internet : le problème des «infractions transfrontières» Ou la question de la compétence juridictionnelle et de la loi applicable (cette question a été traitée de manière détaillée dans le module «Remise à niveau en droit pénal») Par nature, l Internet est un réseau international. Plusieurs législations nationales sont donc susceptibles de s appliquer. En droit pénal, le conflit ne concerne que la compétence juridictionnelle et la question qui se pose est la suivante : quand la juridiction pénale française est-elle compétente? Cette question est fondamentale car déterminante de la loi pénale applicable. Par exemple, dans certains pays anglo-saxons, les discours d incitation à la haine raciale sont tolérés au nom de la liberté d expression, alors qu ils sont poursuivis en France car attentatoires à la dignité humaine. Une fois cette question résolue et la compétence des juridictions pénales françaises reconnues, ne se pose pas la question de la loi pénale applicable, car le principe est le suivant : le juge pénal français applique systématiquement sa propre loi pénale, à savoir la loi pénale française. C est le principe de solidarité des compétences juridictionnelle et législative. Il est à noter que le droit pénal français bénéficie de règles attributives de compétence particulièrement larges et attractives, qui permettent d'appréhender juridiquement la plupart des contenus ou comportements délictueux sur l Internet. Nous verrons donc les règles de fond applicables (1), avant de voir les règles de procédure (2). 1- Les règles de fond 6

L analyse qui suit conduit à différencier le lieu de réalisation matérielle de l'infraction (lieu du fait générateur), de celui où les effets se produisent (lieu du résultat). Ainsi, cela donne une large compétence au juge national français. Examinons attentivement trois articles du Code pénal (rédaction applicable au 1 er mars 1994) : 1 La loi pénale française est applicable aux infractions commises sur le territoire de la République : article 113-2 al.1 CP. L'infraction est réputée commise sur le territoire de la République dès qu'au moins un de ses faits constitutifs a au lieu sur ce territoire, c est-à-dire dans l'espace maritime, terrestre ou aérien de la République française (article 113-2 al. 2 CP). Pour un acte de complicité commis en France, bien que le crime ou le délit ait été commis à l'étranger, le complice pourra être poursuivi en France si le fait principal est puni par la loi française et étrangère (article 113-5 CP). Ces trois textes du Code pénal nous permettent de déduire aisément que la loi pénale française s applique dès lors que la réception par l'utilisateur sur le territoire français constitue un élément de l'infraction en application de l'article 113-2 du Code pénal. Ainsi, dans le cas d'un message litigieux disponible sur le réseau Internet, et ce, quelle que soit sa source dans le monde, la loi française est applicable. C est bien ce qu a décidé la Cour d appel de Paris, 11 e chambre, dans l affaire Yahoo (arrêt du 17 mars 2004), concernant la vente aux enchères d objets nazis caractérisant l élément de publicité nécessaire au délit d apologie de crime de guerre. La Cour a précisé que le juge pénal français est compétent dès lors qu un message, émanant d un serveur localisé à l étranger, peut être perçu par les internautes sur le territoire français. La réception du site en France suffit au sens de l article 113-2 CP pour justifier la compétence du juge pénal français. La Cour d appel a ainsi donné compétence aux tribunaux français et à la loi française en précisant que «l élément constitutif essentiel de l infraction, en droit de la presse, est la publicité qui peut revêtir plusieurs formes en fonction du vecteur de communication ; ( ) qu en l espèce, il est établi que la société Yahoo a continué à diffuser, malgré les décisions du juge des référés ( ), permettant ainsi aux internautes installés en France, et en particulier dans le ressort du TGI de Paris, de visualiser sur l écran de leur ordinateur les services et sites incriminés». 2 La loi pénale française est applicable aux infractions commises hors du territoire de la République dans les situations suivantes : - pour les crimes commis par un Français : article 113-6 al. 1 CP - pour les délits punis par la législation du pays où ils ont été commis par un Français : article 113-6 al. 2 CP N.B. : une jurisprudence constante considère que la juridiction française est compétente pour connaître des faits commis par un étranger dès lors que ces faits forment un tout indivisible avec les infractions imputées en France à cet étranger et dont elle est également saisie. - pour les crimes et délits punis d emprisonnement commis à l encontre d un Français : article 113-7 CP Ainsi en matière pénale, par l application de ces textes, il est aisé de comprendre qu il n existe pas de vide juridique pour engager la responsabilité pénale des acteurs du net. Le droit pénal général est largement applicable à Internet. 2- Les règles de procédure 7

En matière d infractions commises via Internet, il n existe pas de parquet à compétence nationale. Les critères de compétence territoriale de droit commun demeurent. Ce qui fait que le droit pénal est particulièrement attractif en matière d Internet, c est la règle attributive de compétence suivante : le tribunal compétent est celui du lieu de l'infraction (commission ou constatation des faits), celui de la résidence du prévenu ou du lieu d'arrestation, voire du lieu de détention. Comme nous l avons vu, la loi pénale française s applique dès lors que la réception par l'utilisateur sur le territoire français constitue un élément de l'infraction en application de l'article 113-2 du Code pénal. Ainsi, le lieu de l infraction pouvant tout à fait être le lieu de réception du message litigieux, la juridiction française est compétente. III- L action de la France contre la cybercriminalité A Panorama des principales infractions Lorsque l on parle de droit pénal de l Internet, on pense en premier lieu aux infractions spécifiques à l informatique et commises via l Internet. Or l'application des dispositions pénales aux fraudes informatiques se heurte à une difficulté principale tenant à la preuve. En effet, ces infractions sont très difficiles à découvrir et souvent la connaissance de ces agissements illicites relève du hasard. La loi "Informatique et Libertés" en date du 6 janvier 1978 fut ainsi adoptée pour punir ces comportements délictueux et organiser un contrôle par la Commission Nationale de l'informatique et des Libertés (CNIL), afin de veiller à la stricte application de ces nouvelles dispositions. La C.N.I.L. est une autorité administrative indépendante, composée de 17 membres, qui disposent d'un pouvoir règlementaire. La loi de 1978 a été modifiée récemment par la loi du 6 août 2004 qui tend à mettre en oeuvre la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le texte consacre la liberté de circulation des données à l intérieur de l Union européenne en réduisant les divergences entre les législations nationales sur la protection des données. Ce texte limite le contrôle a priori des fichiers par la CNIL pour lui substituer le plus souvent un contrôle a posteriori. Les pouvoirs d'investigation ou d'accès aux données de la Commission ainsi que ses possibilités effectives d intervention seront, en contrepartie, renforcées. La CNIL disposera de pouvoirs de sanction administrative graduée allant du simple avertissement jusqu aux sanctions pécuniaires. Cette loi, aujourd'hui intégrée au Code pénal (articles 226-16 et suivants), permet de sanctionner les atteintes aux droits des personnes. Mais au-delà de ces dispositions spécifiques, il faut souligner qu'il est nécessaire de recourir aux textes du droit pénal classique - par opposition au droit pénal de l'informatique - pour réprimer d'autres comportements frauduleux qui ont pour support l'ordinateur et dont les manifestations contemporaines les plus marquantes sont les atteintes aux mœurs. 8

La fragilité de l'outil informatique conduit le législateur à tenter d'assurer la plus grande sécurité, afin d'éviter les fraudes qui prennent des formes diverses : piratage informatique, création de compte bancaire ou d'assuré social purement fictif, contrefaçon, destruction de système par l'introduction de "virus", intrusion dans la vie privée ou atteintes aux mœurs Il n'est donc pas surprenant que le droit pénal trouve application dans ce domaine pour sanctionner les différents agissements frauduleux portant notamment atteinte aux droits des personnes. La fraude informatique, c'est-à-dire l'ensemble des agissements répréhensibles relatifs aux systèmes de traitement automatique d'informations, est un concept protéiforme. Cependant, il apparaît que l'on peut opposer les biens informatiques qui sont l'objet de fraudes, l objet d infractions (sabotage, piratage, destruction de données ) et les biens informatiques qui sont le moyen de la fraude, le moyen d infractions. L'ordinateur connecté à l Internet sert alors de vecteur à la réalisation de l'infraction et permet de réaliser des atteintes aux droits des personnes. Ainsi, l'utilisation de l'ordinateur peut donner lieu à des agissements malhonnêtes, dont il importe de savoir s'ils peuvent recevoir une qualification pénale. Il serait vain de faire l'inventaire de toutes les dispositions pénales applicables. En effet, la plupart des comportements incriminés par le Code pénal peuvent être commis par le biais de l'informatique : abus de confiance, escroquerie, faux, détournement, contrefaçon, atteintes à la paix publique Cependant, des textes spécifiques intégrés aujourd'hui au Code pénal, les articles 226-16 et suivants, ont été créés pour sanctionner des comportements particuliers relatifs "aux atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques". La cybercriminalité recouvre donc schématiquement deux catégories d infractions : d une part, les cas où l infraction est directement liée aux TIC. Ce sont les infractions purement informatiques, c est-à-dire celles relevant de la criminalité informatique (1). Ces infractions sont prévues par les lois du 6 janvier 1978 et du 5 janvier 1988. Il s agit d infractions où l informatique est l objet même de l acte délictueux. d autre part, les cas où la commission de l infraction est facilitée ou liée à l utilisation des TIC. Ce sont les infractions de droit commun, contenues dans le Code pénal et commises au moyen de l Internet (2). Il s agit d infractions où l informatique est le moyen de commission de l acte délictueux. 1- Les infractions directement liées aux TIC Il s'agit essentiellement de toutes les infractions portant atteinte soit aux systèmes de traitement automatisé de données (STAD), soit à la confidentialité, à l'intégrité ou à la disponibilité des données d'information. La législation française réprime les agissements suivants, contenus dans le Code pénal : 1 Les atteintes aux systèmes de traitement automatisé de données (STAD) Ce sont les fraudes informatiques, prévues par la loi du 5 janvier 1988, dite loi «Godfrain». Cette loi vise à assurer la sécurité des systèmes d information. 9

Au sens de la décision du Conseil de l Europe du 31 mars 1992, «la sécurité des systèmes d information est reconnue comme une qualité partout nécessaire dans une société moderne». La récente convention du Conseil de l Europe sur la cybercriminalité invite à incriminer les comportements portant atteinte à la confidentialité, à l intégrité et à la disponibilité des données et systèmes informatiques. * Constituent des infractions : - L'accès ou le maintien frauduleux dans tout ou partie d un système de traitement automatisé de données (art. 323-1, al. 1 du C.P.), qui est puni de 2 ans d'emprisonnement et de 30.000 d'amende. Lorsqu il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement du système, les peines sont aggravées et portées à 3 ans d emprisonnement et 45.000 d amende. Concrètement est ainsi incriminé le fait d accéder dans tout ou partie d un STAD par forcement d un dispositif (hacker), l utilisation d un code d accès, l introduction d un logiciel, l utilisation d un décodeur d accès à une émission cryptée, l utilisation d une clé ou du code d accès à une carte bancaire ou à une monnaie électronique. Tout accès sans droit est réprimé (CA Paris, 5 avr. 1994, PA 1995, n 80, p. 13, note Alvarez). Le terme «système» est large et recouvre par exemple un site Internet, une base de données, un CD Rom Cette incrimination était nécessaire dans la mesure où l interprétation stricte des textes de droit pénal interdisait de poursuivre le «vol» de temps de machine. Ex : Dans une affaire très médiatisée, un informaticien, Serge Humpich, qui avait démontré la fragilité du système des cartes de crédit s est vu condamné (Trib. Corr. Paris, 25 févr. 2000, D. 2000, IR 99 et confirmé par CA Paris, 18 déc. 2000). Dans une autre affaire aux faits sensiblement identiques, et dans laquelle l introduction dans le système avait aussi été faite «sciemment», une condamnation à un emprisonnement avec sursis et à une amende de 1.000 a été prononcée (Trib. Corr. Paris, 13 févr. 2002, CCE 2002, n 72, obs. Grynbaum). Dans l affaire Kitetoa, la question a été posée de savoir s il y a accès frauduleux alors que le fichier litigieux était accessible par la seule utilisation des fonctionnalités de navigation. Il a été jugé qu il n y avait pas accès frauduleux dès lors que celui-ci est réalisé par la simple utilisation d un logiciel grand public avec ajout d un plug in (CA Paris, 30 oct. 2002, Expertises 2003, p. 36). Le tribunal correctionnel du Mans, dans un jugement du 7 novembre 2003, a jugé que falsifier l adresse e-mail de son ex-employeur pour faire un spamming dénigrant constituait un accès frauduleux. Le même article incrimine aussi le maintien frauduleux dans un STAD lorsque l on y a eu accès licitement. Ainsi par exemple du dispositif permettant de se maintenir au-delà du temps prévu dans une connexion, du fait de contrefaire une œuvre protégée par représentation, de «voler» du temps de machine Ex : utilisation des codes d accès pour accéder à la banque de données alors que désormais le salarié travaille pour une entreprise concurrente (Cass. crim., 3 octobre 2007, AJ Pén. 2007, p. 535). Lorsque l accès ou le maintien frauduleux a provoqué soit la suppression ou la modification de données contenues dans le système, soit une altération du 10

fonctionnement de ce système, la peine est de trois ans d emprisonnement et de 45 000 d amende en vertu de l article 323-1, alinéa 2, du code pénal. A noter que la suppression ou la modification de données comme l altération du fonctionnement du système sont involontaires. Cela signifie que le simple constat de la suppression, modification ou altération suffit et permet d appliquer cette circonstance. - Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 du C.P.), qui est puni de 5 ans d'emprisonnement et de 75.000 d'amende. Le texte utilise un langage non informatique pour une application informatique, ce qui pose des problèmes d interprétation (en effet, pas de définition du terme «fausser». On s accorde généralement pour dire qu il s agit d une altération du système). Ainsi, on peut affirmer que le fait d introduire un virus dans le STAD tombe sous le coup de cette incrimination. C est ce qu a jugé le tribunal correctionnel de Paris, dans une décision du 24 mai 2002 : le spammeur qui, par logiciel, avait bloqué les serveurs de Noos en envoyant des centaines de milliers de messages, a été condamné à un mois d emprisonnement avec sursis (v. aussi : Trib. Corr. du Mans, 7 nov. 2003, Legalis.net). En outre, la jurisprudence retient que la simple introduction du virus dans le serveur informatique suffit à caractériser l intention de l auteur des faits. - L'introduction, la suppression ou la modification frauduleuse de données dans un système de traitement automatisé (art. 323-3 du C.P.), qui est puni de 5 ans d'emprisonnement et de 75.000 d'amende. L exigence de fraude entraîne que le fait d effacer des données contenues sur un disque dur en copiant des fichiers personnels n est pas suffisant pour constituer le délit (crim., 25 mai 2004). Cette incrimination doublonne avec celle de l article 323-2, ce qui crée un concours idéal de qualifications (cf. remise à niveau). - L article 323-3-1 (créé par la LCEN) incrimine le fait d importer, de détenir, d offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre les faits prévus par les articles 323-1 à 323-3 du code pénal. Ce texte opère la transposition d une exigence d une directive européenne «concernant la protection juridique des services à accès conditionnel». La création d une infraction autonome permet ainsi d éviter d avoir à passer par le filtre incertain de la complicité par fourniture de moyens. Les instruments permettant la captation et donc le vol d informations sont concernés par ce texte. De même sont visés les créateurs de virus et le contournement des mesures de protection technique. Une rédaction trop large du texte aurait risqué de permettre des poursuites pénales contre la simple publication d informations relatives à la vulnérabilité de certains dispositifs techniques. C est pourquoi le texte restreint le champ d application de l infraction et punit uniquement quiconque a agi «sans motif légitime». Cette infraction est punie des peines prévues pour l infraction pour laquelle le programme ou équipement a été conçu ou des peines prévues pour l infraction la plus sévèrement réprimée lorsque le programme peut servir à commettre plusieurs des infractions mentionnées aux articles 323-1 à 323-3 du code pénal. 11

- La participation à un groupement formé ou à une entente établie en vue de commettre un délit informatique (art. 323-4 du C.P.), qui est puni des mêmes peines prévues par les articles 323-1 à 323-3. Le texte incrimine l association de malfaiteurs informatiques (vise les groupes de hackers), ce qui permet d atteindre des individus échangeant des informations relatives à des projets malfaisants lorsqu il n y a eu ni recel, ni tentative, ni complicité. En outre, le Code pénal prévoit la répression de la tentative de délit informatique (art. 323-7 du C.P.) et la responsabilité pénale des personnes morales (art. 323-6 du C.P.). *** 2 Les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques de données personnelles 2 Elles sont prévues par la loi «Informatique et Libertés» du 6 janvier 1978. Cette loi de 1978 relative à l'informatique, aux fichiers et aux libertés, a été modifiée par la loi n 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l égard des traitements de données à caractère personnel. Elle détermine un certain nombre d infractions, repris par les articles 226-16 à 226-24 du Code pénal. Avant même de chercher à protéger la technique informatique, la société française a voulu, dès 1978, se préserver de l'informatique... L'article 1 er définit clairement l'esprit de la loi : «L'informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques». * Constituent ainsi des infractions : - Art. 226-16 : «Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende». Ici, l infraction se constitue indépendamment de toute intention puisque le texte précise «y compris par négligence». La faute non intentionnelle est donc suffisante. En application de ce texte, un spammeur a été condamné pour non déclaration à la CNIL du fichier d adresses personnelles qu il utilisait : Trib. Corr. Paris, 6 juin 2003. - Le fait de procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations (art. 226-17 du C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 d'amende. 2 La loi du 6 août 2004 définit ce qu il faut entendre par traitement de données à caractère personnel : «constitue un traitement de données à caractère personnel toute opération ou ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction». 12

C est la légèreté coupable dans la gestion qui est ici incriminée. Ainsi, dans une décision en date du 19 décembre 1995, la chambre criminelle de la Cour de cassation a condamné le gestionnaire dans un cas où un homonyme avait été fiché comme mauvais payeur. Mais il a été jugé que le fait que les secrétaires et médecins d un syndicat puissent accéder aux informations nominatives de patients clients d autres médecins n était pas contraire, en raison du secret médical, à l article 226-17 (crim., 30 oct. 2001, Gaz. Pal. 2002, p. 40). En revanche, le fait que des tiers non autorisés puissent avoir assez facilement accès à ces informations, en raison de l insuffisance de formation délivrée au personnel du syndicat, entre dans la prévention de l article 226-17. L obligation de sécurité informatique suppose d installer des firewalls, mot de passe, anti-virus, mais aussi, si nécessaire, d assurer une formation du personnel. Pour un traitement d informations nominatives, la CNIL demande si de telles mesures ont été prises. - La collecte par un moyen frauduleux, déloyal ou illicite de données nominatives (art. 226-18 du C.P.), qui est punie de 5 ans d'emprisonnement et de 300.000 d'amende. La Cour de cassation a eu l occasion de donner un exemple de ce qu est l interprétation restrictive en droit pénal au regard d un texte qui n explicite pas les termes «moyen déloyal ou illicite» : la collecte en vue de constituer non un fichier mais un dossier ne tombe pas sous le coup de ce texte (crim., 3 nov. 1987). La nouvelle mouture, introduite par la loi du 6 août 2004, n améliore pas la rédaction du texte, si ce n est que le nouvel article 226-18-1 précise que l infraction est constituée lorsqu il y a traitement des données nominatives malgré l opposition d une personne, notamment lorsqu il s agit de prospection commerciale. - Le fait de mettre ou de conserver en mémoire informatisée, sans l'accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes (art. 226-19 du C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 d'amende. Ainsi, la mise en conservation de certaines données sensibles réalise un délit. Il existe néanmoins deux exceptions à cette règle : si un texte autorise la mise en conservation (par exemple pour certaines Administrations) ou si la personne visée a donné son consentement par écrit. Ainsi, un jeune homme a été condamné pour avoir stocké des images pornographiques de son ancienne petite amie (Trib. Corr. Privas, 3 sept. 1997, PA 11 nov. 1998, p. 19, note Frayssinet). - Le fait de conserver des informations sous une forme nominative au-delà de la durée prévue par la demande d'avis ou la déclaration préalable à la mise en oeuvre du traitement informatisé (art. 226-20 du C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 d'amende. - Le détournement d'informations à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement (art. 226-21 du C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 d'amende. En pratique, ce texte est assez peu appliqué 13

Ainsi, des ex-agents EDF ayant vendu un fichier à des sociétés d assurances ont été condamnés pour détournement d informations de leur finalité (CA Paris, 1 er sept. 1998, JCP éd. E 1998, 1620). - La divulgation de données nominatives portant atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée (art. 226-22 du C.P.), qui est punie de 5 ans d'emprisonnement et de 300.000 d'amende. Ainsi, la révélation à des compagnies d assurances de clients profilés comme à risques (CE Rennes, 13 janv. 1992, D. 1994, som. 287). Lorsque la divulgation a été commise par imprudence ou négligence, les peines sont diminuées à 3 ans d emprisonnement et 100.000 d amende. => La poursuite du chef de ces délits n est possible que sur plainte préalable de la victime. - L article 226-22-1 du CP permet de réprimer l exportation de fichiers dans des pays hors CE qui ne présentent pas un niveau de protection suffisant. Il s agit d un délit sanctionné de 5 ans d emprisonnement et de 300.000 d amende. Au titre des sanctions de ces différentes infractions, l article 226-22-2 du Code pénal permet, dans certains cas, d ordonner la suppression des données à caractère personnel, les agents de la CNIL étant compétents pour en constater l effacement. 3 Les infractions aux règles de la cryptologie, contenues dans la loi du 29 décembre 1990 (art. 434-15-2 du Code pénal). L article 28 de ladite loi, modifiée par l'article 17 de la loi du 26 juillet 1996 et par la loi du 21 juin 2004 (LCEN) précise les différentes infractions insérées dans les articles 132-79 et 434-15-2 du Code pénal. (ex : «Est puni de trois ans d'emprisonnement et de 45 000 euros d'amende, le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 75 000 euros d'amende»). L article 132-79 du Code pénal (créé par la LCEN) augmente ainsi le maximum de la peine privative de liberté encouru lorsqu un moyen de cryptologie a été utilisé pour commettre n importe quel crime ou délit. Ex: «Lorsqu'un moyen de cryptologie au sens de l'article 29 de la loi n 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission, le maximum de la peine privative de liberté encourue est relevé ainsi qu'il suit : 1 Il est porté à la réclusion criminelle à perpétuité lorsque l'infraction est punie de trente ans de réclusion criminelle ; 2 Il est porté à trente ans de réclusion criminelle lorsque l'infraction est punie de vingt ans de réclusion criminelle ;» 14

2 Les infractions facilitées par l utilisation des TIC ou liées à l utilisation des TIC Il s'agit de toutes les infractions utilisant les TIC comme moyen de commission de l'acte délictueux ou comme support de contenus illicites, susceptibles d'être commis sur le réseau Internet. Ces infractions relèvent de plusieurs codes et lois spécifiques : 1 Les infractions prévues par le Code Pénal : - Les crimes et délits contre les personnes Compte tenu de l importance de l Internet, le législateur, par une loi du 17 juin 1998, a durci la répression en édictant des circonstances aggravantes lorsque l infraction est commise par voie d un réseau informatique. On peut ainsi affirmer que des réseaux de prostitution ont surgi grâce aux nouvelles technologies. Aussi, le viol lorsque la victime a été sollicitée par un message (art. 222-24- 8 du CP), le proxénétisme (art. 225-7-10 du CP), les ventes et services pornographiques (art. 32 L. 1998) à des mineurs sont des exemples d infractions visées par la loi de 1998. Les atteintes aux mineurs : Il ne s agit pas ici d une préoccupation simplement nationale. En effet, tant le Conseil de l Europe que l Union européenne tentent de lutter contre la pédopornographie (Ex : décision cadre du 23 décembre 2003 relative à la lutte contre l exploitation sexuelle des mineurs et la pédopornographie). -Art. 227-22 du CP : «Le fait de favoriser ou de tenter de favoriser la corruption d'un mineur est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. Ces peines sont portées à sept ans d'emprisonnement et 100000 euros d'amende lorsque le mineur est âgé de moins de quinze ans ou lorsque le mineur a été mis en contact avec l'auteur des faits grâce à l'utilisation, pour la diffusion de messages à destination d'un public non déterminé, d'un réseau de communications électroniques ou que les faits sont commis dans les établissements d'enseignement ou d'éducation ou dans les locaux de l'administration, ainsi que, lors des entrées ou sorties des élèves ou du public ou dans un temps très voisin de cellesci, aux abords de ces établissements ou locaux». Avec ce texte, on voit bien que l infraction existe indépendamment d Internet mais que les sanctions sont aggravées si un réseau de communications électroniques a facilité la commission des faits. - Le même constat peut être opéré avec le délit de proposition sexuelle à un mineur de 15 ans prévu par l article 227-22-1. En effet, les peines sont portées à 2 ans et 30 000 euros d amende si un réseau de communications électroniques a permis la commission des faits. -La diffusion, la fixation, l'enregistrement, l offre ou la transmission d'image à caractère pornographique d'un mineur (art. 227-23 du CP). La loi du 5 mars 2007 incrimine désormais le simple fait de consulter habituellement sur Internet de telles images ou de les détenir (art. 227-23 al. 5 du CP). A noter que les juges se contentent d une «présomption d apparence d un mineur» pour considérer les faits commis, lorsque l âge exact demeure inconnu. 15

-La fabrication, le transport, la diffusion ou le commerce d'un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine, susceptible d'être vu ou perçu par un mineur (art. 227-24 du CP). Dans une affaire jugée par la Cour d appel de Paris (2 avril 2002, D. 2002, 1900), la page d accueil d un site Internet comportait un avertissement relatif aux mineurs, mais ce message avait une portée jugée annulée par la présence d images pornographiques sur cette même page. La Cour ajoute que l éditeur ne proposait pas de logiciel de filtrage parental. L éditeur a été condamné à 30.000 d amende. Par son libellé, c est donc une véritable obligation de résultat d empêcher l accès à un mineur qui a été mise à la charge du diffuseur. Il est probable que pareille contrainte est contraire à l article 10 de la CEDH sur la liberté d expression. C est pourquoi la solution posée par un arrêt infirmatif de la Cour d appel d Angers (10 juin 2003, Expertises 2003, 247) est préférable : il s agissait en l espèce d un site trash pour lequel la cour a jugé que le mineur ne le verrait que s il le voulait bien. De plus, la cour a estimé que l envoi par courriel d un hyperlien vers le site supposait la composition d un mot de passe, si bien que le site n était pas accessible au public. Enfin, la cour a jugé que l envoi d un mail donnant la référence au site ne suffisait pas à constituer l élément intentionnel du délit. La chambre criminelle de la Cour de cassation semble aussi plus restrictive puisqu elle a jugé le 3 février 2004 que l envoi d un lien par courriel à un majeur ne contenant que l adresse d un site pornographique ne caractérise pas le délit. Elle a aussi jugé que la présence sur un disque dur d images pornographiques, même en l absence de mot de passe pour y accéder, ne suffisait pas à constituer l infraction (crim., 12 oct. 2005, CCE 2006, n 16). En revanche, elle a jugé que le simple transfert de photos sur l ordinateur d un collège suffisait à constituer le délit (crim., 12 oct. 2005, Droit Pénal 2006, n 23). Les autres atteintes aux personnes : (Attention, liste non exhaustive!!) Les menaces (art. 222.17 et suivants du CP) Les atteintes à la vie privée (art. 226-1 al.2 ; 226-2 al.2 du CP) Les dénonciations calomnieuses (art. 226-10 du CP) Les atteintes au secret professionnel (art. 226-13 du CP) Les atteintes aux correspondances (art. 226-15 du CP). La diffusion sur le net d images sans l accord de la personne concernée, et notamment le fait d enregistrer et de diffuser sur Internet des images d agression (art. 222-33-3 du CP) ou ce que l on appelle le «happy slapping». Le fait d effectuer des vidéos à partir de téléphones portables, notamment d atteintes à l intégrité physique d une personne, rend son ou ses auteurs coupables en tant que complices des infractions filmées. Il peut donc s agir de crimes ou de délits très graves : violences ayant entraîné la mort sans intention de la donner, violences ayant entraîné une mutilation permanente, violences ayant entraîné une ITT, viol, meurtre La loi du 5 mars 2007 relative à la prévention de la délinquance a créé une nouvelle infraction concernant les personnes qui diffusent sur Internet de telles images, les sanctionnant de 5 ans d emprisonnement et de 75.000 d amende (art. 222-33-3 al. 2 du CP). 16

Elles peuvent également être poursuivies pour atteinte à la vie privée (art. 226-1 du CP, 1 an d emprisonnement et 45.000 d amende). A noter cependant que des «immunités» ont été mises en place par le dernier alinéa de l article 222-33-3 : «Le présent article n'est pas applicable lorsque l'enregistrement ou la diffusion résulte de l'exercice normal d'une profession ayant pour objet d'informer le public ou est réalisé afin de servir de preuve en justice». - Les crimes et délits contre les biens : Les escroqueries (art. 313-1 et suivants du C.P.) L abus de confiance (art. 314-1 du CP) Dans un arrêt du 22 septembre 2004, la chambre criminelle de la Cour de cassation a retenu le détournement d un projet de borne informatique par un salarié. Dans une décision du 19 mai 2004 (CCE 2004, n 165), elle a condamné pour abus de confiance le salarié qui faisait une utilisation immorale de son ordinateur pendant ses heures de travail. Il est donc désormais évident qu un droit intellectuel est un bien au sens juridique du terme. La menace de commettre une destruction, une dégradation ou détérioration (art. 322-12 du C.P.) Le vol (art. 311-1 du CP)? Peut-on voler une information? après l avoir admis un moment, la chambre criminelle de la Cour de cassation ne semble l admettre qu indirectement au travers du vol d un support. En application de la règle de l interprétation stricte de la loi pénale, une réponse négative est logique car il n y a pas dépossession d un bien, l information ne disparaissant pas. Mais l absence de disparition de la chose est en fait le lot commun de tous les objets incorporels qui sont duplicables à l infini, si bien qu en dérober un exemplaire ne prive pas le propriétaire de la jouissance de la chose. Il semblerait d ailleurs que la chambre criminelle, le 9 septembre 2003, ait admis à nouveau le vol d information, mais la portée de cet arrêt est controversée. L article 311-1 du Code pénal visant «une chose» et non pas un bien, le doute est permis. La question du vol pourrait aussi trouver une actualité nouvelle si la pratique du vol d identité pour commettre des actes illicites (ex. : usurpation d identité d un détenteur de carte de crédit) se multipliait, à l instar des Etats-Unis. Le recel (art. 321-1 du CP)? Peut-on receler une information, des images pédophiles par exemple? Il semble que non (crim., 3 avr. 1995), ce qui est illogique dès lors que la chambre criminelle de la Cour de cassation incrimine par ailleurs le recel de secret de l instruction (crim., 13 mai 1991) et le recel de l information d initié (crim., 26 oct. 1995). 2 Les infractions de contenu prévues par des textes spécifiques : - Les infractions à la loi sur la presse (Loi du 29 juillet 1881 modifiée) (voir module «Infractions de presse», pour une présentation détaillée des infractions) La provocation aux crimes et délits (art. 23 et 24) L'apologie des crimes contre l'humanité (art. 24) 17

L'apologie et la provocation au terrorisme (art. 24) La provocation à la haine raciale (art. 24) La contestation des crimes contre l'humanité (art. 24 bis) La diffamation publique et raciale (art. 30, 31 et 32) L injure publique et raciale (art. 33) - Les infractions au Code de la Propriété Intellectuelle : Pour assurer la protection des logiciels, le législateur a mis l'accent sur une protection de type privatif, par le biais du droit d'auteur. Avant la loi de 1985, il s'était en effet développé une jurisprudence majoritairement favorable à la protection du logiciel par le recours à la loi de 1957 sur la propriété littéraire et artistique. La loi du 3 juillet 1985, relative aux droits d'auteur, est venue consacrer ce principe dans son Titre 5, concernant les logiciels (Articles 45 à 51 de ladite loi). Le Code de la Propriété Intellectuelle, institué par la loi du 1er juillet 1992 et modifié par la loi du 10 mai 1994, a repris l'essentiel des dispositions de la loi de 1985. Une loi récente, la loi n 2006-961 du 1 er août 2006 relative au droit d'auteur et aux droits voisins dans la société de l'information, est venue renforcer le dispositif répressif. Sur le plan pénal, la reproduction d'un logiciel autre qu'une copie de sauvegarde, de même que l'utilisation d'un logiciel non expressément autorisé, sont passibles d'une peine d'emprisonnement de 3 ans et d'une amende de 300 000 (art. L 335-2 et suivants du C.P.I.). De même, les bases de données bénéficient également d un régime de protection particulier prévu par le Code de la Propriété Intellectuelle (Art. L 341-1 et suivants du C.P.I.), récemment modifié par la loi n 2007-1544 du 29 octobre 2007 sur la lutte contre la contrefaçon : - La contrefaçon d'une œuvre de l'esprit, y compris d'un logiciel, de son, d'une image fixe ou animée (art. L 335-2 et L 335-3) - La contrefaçon d'un dessin ou d'un modèle (art. L 521-4) - La contrefaçon de marque (art. L. 716-9) Ce dispositif pénal vient encore d être renforcé par la loi n 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet (JORF n 0251 du 29 octobre 2009 page 18290), dite «loi Hadopi 2». Cette dernière loi en date comporte de nombreuses dispositions d ordre procédural de nature à faciliter la recherche et la constatation des infractions : elle vise principalement à autoriser les agents de la Haute autorité à constater les infractions à la protection des œuvres via internet et à recueillir les observations des personnes concernées. En outre, elle vient compléter l arsenal répressif de nouvelles peines complémentaires, notamment la peine complémentaire de suspension de l'accès à un service de communication au public en ligne pour une durée maximale d'un an, assortie de l'interdiction de souscrire pendant la même période un autre contrat portant sur un service de même nature auprès de tout opérateur. 18

Elle instaure également deux nouvelles infractions : la contrefaçon (déjà existante) «commise au moyen d'un service de communication au public en ligne» (art. L. 135-7 du CPI). la négligence caractérisée. Elle semble ainsi opérer une distinction entre le «pirate présumé» et l'abonné négligent (V. sur ce point : L. MARINO, «La loi du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur Internet», D. 2010, p. 160.) Extrait du site Internet de l HADOPI (www.hadopi.fr). L Hadopi met en œuvre un dispositif pédagogique de sensibilisation qui vise, par l envoi de messages d avertissement, appelés " recommandations ", à informer les internautes de leur obligation de surveillance de leur accès à internet afin qu il ne soit pas utilisé pour mettre à disposition ou reproduire des contenus numériques protégés par un droit d auteur. Après deux e-mails d'avertissement aux internautes qui pratiquent le téléchargement illégal, la Hadopi pourra en cas de nouvelle récidive, constituer un dossier et saisir le tribunal correctionnel (tous les TGI sont compétents) afin de demander la suspension de l'accès internet (un an maximum), et/ou une peine d'emprisonnement ainsi qu'une amende. (V. art. L. 335-3 et s. du Code de la propriété intellectuelle). Par ailleurs, si après avoir reçu deux recommandations de la part de l HADOPI, de nouveaux actes de contrefaçon sont accomplis à partir de son accès à internet dans l année suivant la présentation de la seconde recommandation, l abonné pourra être poursuivi pour «négligence caractérisée» pour s'être abstenu, sans motif légitime, de mettre en place un moyen de sécurisation ou pour avoir manqué de diligence dans la mise en œuvre de ce moyen ; Ces faits sont constitutifs d une contravention de 5 ème classe (1500 euros d amende encourus). Le juge 19

peut en outre prononcer une peine complémentaire de coupure d accès à Internet d une durée maximale d un mois (art. R. 335-5 du C. propriété intellectuelle issu du Décret du 26 juin 2010). A noter que les données ainsi collectées doivent être effacées au bout de deux mois après que les données ont été transmises à l HADOPI si aucune recommandation n est envoyée, dans un délai de 14 mois après l envoi d une première recommandation, non suivie d une seconde recommandation ; enfin dans un délai de 20 mois après envoi de la seconde recommandation. - La participation à la tenue d'une maison de jeux de hasard ("cybercasino") : Article 1 de la loi du 12 juillet 1983, modifiée par la loi du 16 décembre 1992. - Les infractions au Code de la Santé Publique : Trafic de stupéfiants Vente de médicaments sans autorisation de mise sur le marché B- Des règles de procédure spécifiques Pour lutter contre la cybercriminalité, une veille permanente des contenus illicites s organise sur l Internet, à l initiative des pouvoirs publics mais aussi d acteurs privés. Quant à la procédure pénale, plusieurs dispositions sont venues compléter le dispositif existant en vue de faciliter l établissement des infractions et l appréhension des coupables. Ainsi, la sécurité sur Internet se trouve au centre de plusieurs interventions législatives récentes : - loi relative à la sécurité quotidienne n 2001-1062 du 15 novembre 2001 - loi pour la sécurité intérieure n 2003-239 du 18 mars 2003 - loi portant adaptation de la justice aux évolutions de la criminalité n 2004-204 du 9 mars 2004 (Loi Perben II) - loi pour la confiance dans l économie numérique n 2004-575 du 21 juin 2004 - loi sur les communications électroniques et services de communication audiovisuelle n 2004-669 du 9 juillet 2004 - loi relative à la protection des personnes physiques à l égard des traitements de données à caractère personnel n 2004-801 du 6 août 2004 - loi relative à la prévention de la délinquance n 2007-297 du 5 mars 2007 Ces lois comportent toutes, de manière supplétive, des dispositions ayant comme objet de permettre la mise en place de procédures sécuritaires propres aux nouvelles technologies de l information et de la communication. Le législateur a clairement affirmé un objectif d adaptation des procédures sécuritaires aux nouvelles technologies. Quelles sont donc les nouvelles mesures pénales dans ces différentes lois? La loi Perben II a modifié en profondeur à la fois des dispositions de procédure pénale et des dispositions de droit pénal afin de renforcer la lutte contre les formes modernes 20

de délinquance et de criminalité organisées. Elle opère un élargissement des dispositions pénales aux réseaux électroniques, par le biais de la criminalité organisée. L objet principal de la loi est de créer dans le Code de procédure pénale un titre spécifique relatif à la procédure applicable aux infractions dites «de délinquance et de criminalité organisée», qui font l objet d une double définition. Les formes les plus graves de criminalité et de délinquance organisée sont définies par un nouvel article 706-73 et concernent essentiellement des atteintes à la personne, telles que l assassinat en bande organisée, les tortures et actes de barbarie en bande organisée, les trafics de stupéfiants, les enlèvements et séquestrations, le proxénétisme ou la traite des êtres humains, les actes de terrorisme ou les associations de malfaiteurs en vue de commettre ces infractions. Une seconde définition, qui figure à l article 706-74, concerne les autres infractions aggravées par la circonstance de bande organisée ainsi que les formes classiques d associations de malfaiteurs. Au stade de la répression, la loi prévoit des peines renforcées pour la criminalité organisée : la liste des infractions en bande organisée est étendue afin d aggraver les sanctions encourues et de permettre l application de tout ou partie des règles spécifiques nouvelles. Sont notamment concernées : la corruption de mineurs et la diffusion d images pédopornographiques. A cet effet, la loi insère à l article 227-23 du Code pénal, un alinéa 6 ainsi rédigé : «Les infractions prévues au présent article sont punies de dix ans d emprisonnement et de 500 000 d amende lorsqu elles sont commises en bande organisée». * La loi prévoit des pouvoirs de police judiciaire accrus : La preuve des infractions est notamment rapportée grâce aux diligences de services spécialisés de police judiciaire. Ces «cyberflics», dont l activité a été créée pour la plupart en 1994, appartiennent à la police nationale ou à la gendarmerie. Il s agit du Service d Enquêtes sur les Fraudes aux Technologies de l Information (SEFTI), de la Brigade de Recherche et de Répression de la Criminalité Informatique (BRRCI), du Centre Technique de la Gendarmerie Nationale et d une «cellule Internet» de la police nationale, créée en septembre 1997 et qui réunit une 12 e de policiers spécialisés. La loi Perben II du 9 mars 2004 renforce la lutte contre certaines infractions de presse, la contrefaçon, les jeux de loteries. Elle assouplit le régime des interceptions de correspondances pour les enquêtes sur certains crimes et délits et généralise les dispositions de la loi sécurité intérieure du 18 mars 2003 relatives aux réquisitions, mise en place pour les opérateurs de télécommunication et les fournisseurs d accès internet. Ainsi, pour les crimes et délits énoncés au nouvel article 706-73 du Code de Procédure Pénale et «si les nécessités de l enquête de flagrance ou de l enquête préliminaire (...) l exigent, le juge des libertés et de la détention du tribunal de grande instance peut, à la requête du procureur de la République, autoriser l interception, l enregistrement et la transcription de correspondances émises par la voie des télécommunications (...) pour une durée maximum de quinze jours, renouvelable une fois (...)» (article 706-95 du CPP). Ces opérations sont faites sous le contrôle du juge des libertés et de la détention. De manière plus générale on retiendra le nouveau régime de la surveillance, l infiltration, la possibilité de prolongation de la garde à vue jusqu à 4 jours, les perquisitions de nuit et le gel des avoirs. Ces règles, dont certaines étaient déjà prévues par notre droit, mais uniquement pour certaines infractions - comme le trafic de stupéfiants ou les 21

actes de terrorisme - seront applicables à l ensemble des infractions visées par l article 706-73, et certaines d entre elles seront applicables aux infractions de l article 706-74. * Règles relatives aux perquisitions et saisies : article 56 pour les enquêtes de flagrance et article 77-1-1 pour les enquêtes préliminaires. Dans le cadre d une enquête de flagrance, l article 56 du CPP habilite l officier de police judiciaire (OPJ) à effectuer une perquisition et à saisir des «données informatiques» en la possession des personnes qui paraissent avoir participé au crime ou détenir des pièces, «informations» ou objets relatifs aux faits incriminés. Il a le droit de prendre connaissance des «données informatiques» avant de procéder à leur saisie. Idem pour le JI ou l OPJ commis par lui dans le cadre d une information judiciaire (art. 99-3 du CPP). «Il est procédé à la saisie des données informatiques nécessaires à la manifestation de la vérité en plaçant sous main de la justice soit le support physique de ces données soit une copie réalisée en présence des personnes qui assistent à la perquisition». «Si une copie est réalisée, il peut être procédé, sur instruction du procureur de la République, à l effacement définitif, sur le support physique qui n a pas été placé sous main de la justice, des données informatiques dont la détention ou l usage est illégal ou dangereux pour la sécurité des personnes ou des biens». «Avec l accord du procureur de la République, l OPJ ne maintient que la saisie des ( ) données informatiques utiles à la manifestation de la vérité». Enfin, l article 57-1 du CPP permet aux officiers de police judiciaire de procéder à la perquisition en ligne, en accédant «par un système informatique implanté sur les lieux où se déroule la perquisition à des données intéressant l enquête en cours et stockées dans ledit système ou dans un autre système informatique, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial». Dans le cas où les données accessibles seraient situées en dehors du territoire national, les autorités devront se conformer aux engagements internationaux existants, tels la Convention du Conseil de l Europe sur la cybercriminalité. * Règles relatives aux réquisitions : «Le procureur de la République ou l officier de police judiciaire peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des documents intéressant l enquête, y compris ceux issus d un système informatique ou d un traitement de données nominatives, de lui remettre ces documents, notamment sous forme numérique, sans que puisse lui être opposée, sans motif légitime, l obligation au secret professionnel (...)» (art. 60-1 du CPP). Idem pour l article 77-1-1 dans le cadre d une enquête préliminaire : le procureur de la République ou, sur l autorisation de celui-ci, l OPJ et pour l article 99-4, pour l exécution d une commission rogatoire par l OPJ lors de la phase d instruction. Lorsque les réquisitions concernent des avocats, notaires, huissiers, médecins ou des entreprises de presse, la remise des documents ne peut intervenir qu avec leur accord. 22

Dans le cadre d une telle réquisition, le fait de s abstenir de répondre aux demandes d un officier de police judiciaire ou du procureur de la République peut être puni d une amende de 3 750. Les fournisseurs d accès à Internet doivent mettre à la disposition de l officier de police judiciaire, sur demande de celui-ci, les informations utiles à la manifestation de la vérité, à l exception de celles protégées par un secret prévu par la loi, contenues dans le ou les systèmes informatiques ou traitements de données nominatives qu ils administrent et ce par voie télématique ou informatique dans les meilleurs délais (art. 60-2 du CPP). Idem pour l OPJ dans le cadre d une enquête préliminaire, mais sur autorisation du procureur de la République. L officier de police judiciaire peut, en outre, intervenant sur réquisition du procureur de la République préalablement autorisé par ordonnance du juge des libertés et de la détention, requérir des opérateurs de télécommunications de prendre, sans délai, toutes mesures propres à assurer la préservation, pour une durée ne pouvant excéder un an, du contenu des informations consultées par les personnes utilisatrices des services fournis par les opérateurs (pour les deux types d enquêtes). * Des règles de procédures spécifiques pour la criminalité organisée : L article 30 de la loi relative à la sécurité quotidienne (repris par la loi pour la confiance dans l économie numérique) a, par ailleurs, modifié le Code de procédure pénale en y insérant un chapitre concernant la mise en clair des données chiffrées nécessaires à la manifestation de la vérité (art. 230-1 à 230-5 du CPP). Ainsi, lorsque les données obtenues au cours d une enquête ou d une instruction ont été chiffrées, «le procureur de la République, la juridiction d instruction ou la juridiction de jugement saisie de l affaire peut désigner toute personne physique ou morale qualifiée, en vue d effectuer les opérations techniques permettant d obtenir la version en clair de ces informations ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire» (Titre IV «Dispositions communes» du Livre 1 er «De l exercice de l action publique et de l instruction», Chapitre unique «De la mise au clair des données chiffrées nécessaires à la manifestation de la vérité», art. 230-1 à 230-5 du CPP). Pour faciliter cette procédure de déchiffrement, l article 30 de la loi prévoit également l insertion dans la loi n 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications, d un article 11-1 qui dispose que «Les personnes physiques ou morales qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité sont tenues de remettre aux agents autorisés dans les conditions prévues à l article 4, sur leur demande, les conventions permettant le déchiffrement des données transformées au moyen des prestations qu elles ont fournies...». Le fait de ne pas déférer, dans ces conditions, aux demandes des autorités habilitées est puni de deux ans d emprisonnement et de 30.000 d amende. Ces obligations ont été confirmées par un décret n 2002-997 du 16 juillet 2002 relatif à l obligation mise à la charge des fournisseurs de prestations de cryptologie en application de l article 11-1 de la loi du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications. En pratique, ces dispositions mettent à la charge des fournisseurs des prestations de cryptologie et des éditeurs de logiciels de chiffrement l obligation de prévoir des portes 23

cachées dans leurs produits, afin de pouvoir procéder au déchiffrement quand cela leur est demandé par les autorités compétentes. * Règles relatives aux données de connexion : La loi relative à la sécurité quotidienne du 15 novembre 2001, tout d abord, a introduit dans le droit positif français certaines mesures sécuritaires spécifiques à Internet, dont notamment la conservation, pendant une période d un an, des données relatives à une communication et ce «pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales» (art. 29). Ces données, précise la loi, ne peuvent «en aucun cas, porter sur le contenu des correspondances échangées ou des informations consultées sous quelque forme que ce soit», mais concernent seulement l identité des utilisateurs et les caractéristiques techniques des services fournis par les prestataires de communication (comme par exemple les adresses IP, les adresses de messagerie électronique envoyées ou reçues, ainsi que les adresses des sites visités). Les hébergeurs et les fournisseurs d accès sont dans l obligation «de détenir et de conserver les données de nature à permettre l identification de toute personne ayant contribué à la création d un contenu des services dont elles sont prestataires. Ils sont également tenus de fournir aux personnes qui éditent un service de communication en ligne autre que de correspondance privée, des moyens techniques permettant à celles-ci de satisfaire aux conditions d identification prévues à l article 43-10. Les autorités judiciaires peuvent requérir communication auprès des prestataires mentionnés aux articles 43-7 et 43-8 des données mentionnées au premier alinéa». Il s agit ainsi pour l hébergeur de conserver, à titre complémentaire, les traces que laisse tout auteur lorsqu il modifie le contenu de son site (l internaute est «repéré» au moyen de son adresse IP) : il s agissait d une pratique courante chez les hébergeurs et les fournisseurs d accès, c est désormais une obligation légale. La loi LCEN (article 2, II, V) vient instaurer des peines plus lourdes à la charge des hébergeurs qui n ont pas respecté cette obligation : «Est puni d un an d emprisonnement et de 75000 euros d amende le fait pour une personne physique ou le dirigeant de droit ou de fait d une personne morale exerçant l une des activités définies aux articles 1 et 2 du I, de ne pas avoir conservé les éléments d informations visés au II ou de ne pas déférer à la demande d une autorité judiciaire d avoir communication desdits éléments». Cependant, cette technique à vocation subsidiaire que constituent les «données de connexion» possède également ses limites, car le propre de l informatique et notamment de l Internet, est d être immatériel : tout peut être modifié ou falsifié... Ainsi, une adresse IP est attribuée à un ordinateur et non à un internaute : donc la question se complique lorsque plusieurs individus ont la possibilité d accéder à un même ordinateur (entreprise, bibliothèque, cybercafé ), ou encore cette adresse est temporaire et peut donc disparaître à tout moment... Le dispositif s est enrichi des dispositions de la loi du 3 janvier 2006 sur la lutte contre le terrorisme. Ce texte a introduit dans le Code des postes et des communications électroniques, et à l article 6 II bis de la LCEN du 21 juin 2004, une nouvelle obligation de conservation et de communication des données de connexion. En vertu de ces textes, les «agents individuellement désignés et dûment habilités des services de police et de gendarmerie» en charge de la lutte anti-terrorisme peuvent obtenir des 24

opérateurs la communication de certaines des données techniques sans autorisation judiciaire préalable. Un décret du 24 mars 2006, décret d application de ladite loi, vient préciser la nature des données à conserver, limite la durée de conservation à un an et prévoit l indemnisation des opérateurs pour les surcoûts occasionnés. C- La lutte institutionnelle Le ministère de l Intérieur a dévoilé le 7 septembre 2004 son plan de lutte contre la cybercriminalité, et précisé les six axes de sa démarche : - Dresser une cartographie précise de la cybercriminalité - Intensifier la formation dans le domaine de la cybercriminalité - Prévenir et sensibiliser l ensemble des citoyens Français - Veiller sur les contenus illicites véhiculés par Internet - Accentuer la veille technologique et sur la Recherche et Développement - Déférer les criminels de l Internet devant la justice 1- Les actions ministérielles en faveur de l Internet Au premier rang des mesures envisagées par le gouvernement pour rendre l Internet plus sûr se trouve la sécurité des réseaux et des données qui y circulent : - la lutte contre la fraude : le groupement interministériel pour la Protection de la Société de l Information (GIPSI), créé en 2003, doit renforcer la lutte contre la fraude et la cybercriminalité. Matérialisé par un portail gouvernemental (le Serveur sur la sécurité des systèmes d information), le travail de ce groupement combine des missions de veille technologique et des échanges d expériences dans le domaine de la lutte contre les fraudes constatées sur l Internet. - le paiement électronique : le ministère des Finances entend améliorer l authentification pour renforcer la sécurité des transactions. C est l objectif de la Mission pour l économie numérique du ministère de l Économie, des Finances et de l Industrie. La Banque de France doit élaborer une charte pour améliorer l identification des parties lors des paiements en ligne. Un site officiel regroupera toutes les informations utiles pour l achat et le paiement en ligne. - la recherche et le développement : une structure placée sous l égide des ministères de la Recherche et de l Industrie définit les thèmes prioritaires dans le domaine de la R&D en sécurité des systèmes d information et les moyens du CERT RENATER (qui relie les organismes français de recherche et d enseignement) seront renforcés pour qu il puisse assurer en toutes circonstances la sécurité du réseau y compris lors de la mise en oeuvre des plans anti-terroristes. - le plan e-europe 2005 et le SMSI : la France a largement contribué à la formalisation et l adoption du plan e-europe 2005 qui a notamment pour objectif de stimuler le développement de nouveaux services, d applications et de contenus sécurisés. Pour sa mise en œuvre, le gouvernement soutient les actions prévues dans le domaine du gouvernement 25

électronique, de la télé santé, de l apprentissage électronique, du déploiement d une infrastructure à haut débit et de la mise en place d un environnement dynamique pour les affaires électroniques. Par ailleurs, le SMSI (Sommet Mondial pour la Société de l Information) constitue la première possibilité d aborder, dans un cadre multilatéral, l organisation de la société de l information et de déterminer les principes communs qui doivent la régir (respect des libertés individuelles, sécurité des réseaux, mise en place de politiques réglementaires, protection des consommateurs, garantie des droits de propriété intellectuelle et gouvernance de l Internet, en particulier la réforme de la gestion des noms de domaines). 2- Le CLUSIF (Club de la sécurité des systèmes d information français) : Observatoire des pratiques et des risques, le CLUSIF est aussi un lieu d échange et de réflexions sur les thèmes liés à la Sécurité des Systèmes d Information. Il est l auteur d un rapport intitulé "panorama de la cyber-criminalité - année 2003". Les principales conclusions de ce rapport annuel 2003 sont les suivantes : - L année 2003 montre une " professionnalisation " des actes de criminalité technologique. La criminalité technologique est désormais une activité lucrative, bien organisée et plutôt répandue. - Pour le CLUSIF, les parasites informatiques et le spam entrent aujourd hui dans une logique de recherche de gains, bien loin des motivations idéologiques ou narcissiques des premiers auteurs de virus. - Outre le rapprochement entre les auteurs de virus et les spammeurs et l explosion des épidémies de vers (Slammer, Blaster...), le CLUSIF met en lumière la généralisation, en 2003, du phishing. Cette technique consiste à envoyer un e-mail en se faisant passer pour un fournisseur de service en ligne (banque, site d enchères...) et en demandant à ses abonnés de mettre à jour leurs informations personnelles par l intermédiaire d un site Web falsifié, hébergé par un serveur pirate. Le but étant bien sûr de dérober ces informations confidentielles. En dépit de toutes les actions menées par la France, la nécessité d une entraide internationale est indéniable. L efficacité de la lutte contre ce type de délinquance internationale implique une étroite collaboration entre les Etats. Ces derniers se sont employés à développer cette entraide. Mais à certains égards, elle demeure embryonnaire. Le chapitre II de la loi Perben II améliore les dispositions relatives à l entraide internationale. A cette fin, il introduit notamment dans le Code de procédure pénale les dispositions nécessaires à la mise en oeuvre de la convention du 29 mai 2000 relative à l entraide judiciaire en matière pénale entre les Etats membres de l Union européenne ainsi que de la décision instituant EUROJUST du 28 février 2002. A cet effet, il réécrit complètement, dans le livre quatrième du Code de procédure pénale, le titre X relatif à l entraide judiciaire internationale, qui distingue désormais, dans deux chapitres, deux régimes d entraide : le premier, de portée générale, concerne l entraide pénale avec tout Etat ; le second est spécifique à l entraide avec les Etats de l Union européenne. 26

Une collaboration policière internationale semble incontournable. Mais elle se heurte au principe de la souveraineté des Etats qui entraîne une double conséquence : - d une part, il n existe pas de police internationale dont les membres seraient habilités à rechercher à travers le monde les preuves des infractions et à en arrêter les auteurs. Contrairement à une idée répandue, Interpol n est pas une police internationale, ni Europol une police européenne. - d autre part, la police d un Etat ne peut accomplir aucun acte sur le territoire d un autre Etat ni être tenue d accomplir un acte sur son propre territoire à la demande d un Etat étranger. Toutefois, plusieurs textes organisent une coopération à l échelle européenne (IV) ou internationale (V) entre les polices nationales, soit en vue de l obtention de renseignements et de preuves, soit même en vue de l accomplissement de mesures de contrainte IV La lutte au niveau européen A L action du Conseil de l Europe Dès le 23 novembre 2001, le Conseil de l Europe a adopté à Budapest une Convention sur la cybercriminalité. A ce jour, 21 pays l ont ratifiée et 42 l ont signée ; la Convention est entrée en vigueur le 1 er juillet 2004. Cette Convention constitue la première convention pénale à vocation universelle destinée à lutter contre le cyber-crime. Il s agit du tout premier traité international sur les infractions pénales commises contre les réseaux informatiques ou à l aide de ceux -ci. Cette Convention poursuit trois objectifs : 1 harmoniser les législations des Etats signataires en matière de cybercriminalité : cet objectif passe par un rapprochement des législations des Etats signataires en matière d incriminations dans le domaine du cyberespace. A cette fin, la Convention établit des définitions communes de certaines infractions pénales commises par le biais des réseaux informatiques. Ces infractions sont notamment relatives aux contenus, ainsi qu à toute atteinte à la propriété intellectuelle commise sur la toile. 2 compléter ces législations, notamment en matière procédurale afin d améliorer la capacité des services de police à mener en temps réel leurs investigations et à collecter des preuves sur le territoire national avant qu elles ne disparaissent. Le texte établit ainsi des règles de base communes aux Etats signataires en matière, notamment, de conservation des données, de perquisition et de saisie informatique et d interception des communications, à l instar des dispositions incluses dans la loi n 2003-239 pour la sécurité intérieure, adoptée le 18 mars 2003. 3 améliorer la coopération internationale, notamment en matière d extradition et d entraide répressive : la Convention s efforce d adapter les règles classiques de la coopération internationale pénale que sont l extradition et l entraide répressive aux contraintes spécifiques posées par la cybercriminalité. 27

La Convention prévoit de nouvelles procédures afin d améliorer la répression de la cybercriminalité. La Convention fixe le droit commun des mesures d enquêtes pénales sur les réseaux et est basée sur le maintien de la compétence exclusivement nationale des autorités en charge de lutte contre la cybercriminalité. Les pouvoirs d investigations définis dans la Convention visent à permettre l obtention et la collecte de données informatiques dans le cadre d enquêtes pénales en cours. La Convention reconnaît aux données numériques une valeur juridique et des effets probants identiques aux éléments matériels existant dans le monde hors ligne. Le titre 2 définit la notion de conservation rapide des données stockées". Les modalités de mise en œuvre de cette mesure varieront selon les États. Il s agit de préserver l intégrité des seules données utiles à l enquête en cours. L article 17 de la Convention vise à assurer la traçabilité de la communication, quel que soit le nombre de fournisseurs ayant participé à la transmission du message. Le titre 3, dans son article 18, prévoit le cas des injonctions de produire des données. Cette mesure devrait constituer le fondement juridique permettant la remise aux autorités compétentes de certaines données. Le titre 3, dans son article 19, vise les "perquisitions informatiques à distance. Les données perquisitionnées peuvent être soit conservées sur un support de stockage ou stockées dans un autre système informatique si celui-ci demeure dans les limites territoriales de l Etat qui perquisitionne. En revanche, cet article n autorise pas à perquisitionner des données stockées à l étranger, même si elles sont accessibles via le réseau. Ces dispositions sont soumises aux conditions légales des pays signataires mais doivent garantir le respect des droits de l homme et l application du principe de proportionnalité. En particulier, les procédures ne pourront être engagées que sous certaines conditions, telles que, selon le cas, l autorisation préalable d un magistrat ou d une autre autorité indépendante. La Convention précise également les règles de la coopération internationale : à côté des formes traditionnelles de coopération pénale internationale prévues notamment par les conventions européennes d extradition et d entraide judiciaire en matière pénale, la nouvelle Convention exigera des formes d entraide correspondant aux pouvoirs définis préalablement par la Convention et, en conséquence, que les autorités judiciaires et services de police d un Etat puissent agir pour le compte d un autre pays dans la recherche de preuves électroniques, sans toutefois mener d enquêtes ni de perquisitions transfrontalières. Les informations obtenues devront être rapidement communiquées. En janvier 2003, le Conseil de l Europe a ouvert à la signature le Protocole additionnel à la Convention sur la cybercriminalité, qui a pour conséquence d élargir le champ d application de la Convention. Négocié à la demande de la France, ce texte demande aux Etats de criminaliser la diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques, ainsi que les menaces et l insulte à motivation raciste et xénophobe, la négation, la minimisation grossière, l approbation ou la justification du génocide ou des crimes contre l humanité. Mais une nation ratifiant la Convention sur la cybercriminalité n est pas obligée d adhérer également au protocole. Il est destiné à «ceux qui souhaitent franchir le pas», précise le Comité des ministres du Conseil de l Europe. Les États-Unis ont annoncé dès 2002 qu ils ne signeraient pas ce protocole, car il va à l encontre de sa Constitution. La France a ratifié la convention de 2001 ainsi que son Protocole additionnel par une loi promulguée le 19 mai 2005. La convention a été publiée au JO par deux décrets du 23 mai 28

2006. Conséquence directe de cette publication au Journal Officiel, la Convention et don Protocole additionnel sont désormais opposables et invocables par les justiciables français. B- L action de l Union Européenne 1- Les actions normatives - La décision 276/1999CE du parlement Européen et du Conseil du 25 janvier 1999 adopte un plan d action communautaire pluriannuel visant à promouvoir une utilisation plus sûre d Internet par la lutte contre les messages à contenus illicites et préjudiciables diffusé sur les réseaux mondiaux. Sont ainsi encouragés l auto réglementation de l industrie d Internet, le développement de dispositifs de filtrage et enfin la création d un réseau européen de hotlines. - Le plan d action «e-europe 2005» : «une société de l information pour tous». Parmi les objectifs à atteindre par l UE dans le cadre de ce plan figure " une infrastructure d information sécurisée ". - Conférence internationale sur la lutte contre la pédopornographie sur Internet (Vienne, 29 septembre - 1er octobre 1999). - Décision du Conseil relative à la lutte contre la pédopornographie sur Internet du 29 mai 2000. 2- La lutte institutionnelle - L agence ENISA (European Network and Information Security Agency) : cette agence est née en mars 2004. Son site, pour l instant pauvre en contenu, devrait proposer par la suite des publications et des programmes de travail. Son objectif est d aider la Communauté à assurer un niveau particulièrement élevé de sécurité des réseaux et de l information. L Agence concourra donc à l émergence d une culture de la sécurité des réseaux et de l information dans l intérêt des citoyens, des consommateurs, des entreprises et des organismes du secteur public de l Union européenne. Elle prêtera son assistance à la Commission, aux États membres et au secteur des entreprises pour les aider à satisfaire aux exigences en matière de sécurité des réseaux et de l information, y compris celles définies dans la législation communautaire actuelle et à venir. - EUROJUST : les Etats membres de l Union européenne ont créé EUROJUST afin de faire obstacle à toutes les formes de criminalité organisée (trafic de drogue, blanchiment d argent, trafic d êtres humains, contrefaçons, criminalité informatique, criminalité au détriment de l environnement...). Cette unité de coopération judiciaire est composée de procureurs, magistrats ou d officiers de police des Etats, membres de l Union européenne. Les missions d EUROJUST s articulent autour de trois objectifs majeurs : promouvoir et améliorer la coordination des enquêtes et des poursuites entre les autorités compétentes des Etats membres ; améliorer la coopération entre ces autorités, en facilitant notamment la mise en oeuvre de l entraide judiciaire internationale et l exécution des demandes d extradition ; soutenir les autorités nationales afin de renforcer l efficacité de leurs enquêtes et de leurs poursuites. 29

- EUROPOL : parce qu il concerne un grand nombre d infractions, le traité de Maastricht du 7 février 1992 sur l Union européenne (modifié par le traité d Amsterdam du 2 octobre 1997 et par le traité de Nice du 26 février 2001) tend à renforcer la coopération des forces de police des Etats membres, notamment par «la collecte, le stockage, le traitement, l analyse et l échange d informations pertinentes». Les articles concernés figurent dans le titre VI -3 e pilier- intitulé «Dispositions relatives à la coopération policière et judiciaire en matière pénale». C est en application du traité de Maastricht qu a été établie la Convention du 26 juillet 1995 «portant création d un Office européen de police (convention Europol)». Son siège se trouve à La Haye. Europol «remplit en priorité» les fonctions suivantes : faciliter l échange d informations, collecter, rassembler et analyser des informations et des renseignements, informer les services compétents des Etats membres des liens constatés entre des faits délictueux, faciliter des enquêtes dans les Etats membres en leur transmettant toutes les informations pertinentes, gérer des recueils d informations contenant des données. Pour permettre à Europol d assumer ces fonctions, la convention impose à chaque Etat membre de créer une «unité nationale», seule intermédiaire entre Europol et les services nationaux compétents. Les unités nationales ont pour mission de fournir à Europol les informations et renseignements nécessaires à l accomplissement de ses fonctions, de répondre aux demandes d informations, de renseignements et de conseils formulées par Europol, d exploiter et de diffuser les informations et renseignements au profit des services compétents et d adresser à Europol des demandes d informations, de renseignements et de conseils. Europol se limite donc à un système d échanges d informations : il n est pas une «police fédérale» (souhaitée par l Allemagne) allant effectuer des enquêtes sur le terrain. S agissant de sa mission, l office européen de police est un organe policier chargé du traitement des renseignements relatifs aux activités criminelles. Son objectif consiste à améliorer l efficacité des services compétents des Etats membres et intensifier leur coopération dans le cadre de la prévention et de la lutte contre les formes graves de criminalité internationale organisée. Les infractions doivent impliquer une structure ou une organisation criminelle et deux Etats membres ou plus doivent être affectés. Europol est donc compétent dans la lutte contre la criminalité informatique ou pour les formes de criminalité dont la commission est facilitée par Internet. V La lutte sur le plan international 1- L action de l OCDE : L OCDE a mis en place un site "culture of security". Les 30 membres de l OCDE se sont engagés à encourager et développer une " culture de la sécurité " au niveau international. Ce site, créé en 2003, a pour objectif d aider les pouvoirs publics, les entreprises et le grand public à comprendre les risques et les responsabilités inhérents aux systèmes et réseaux d information. Il collecte des informations sur les initiatives nationales et internationales pour mettre en place le " security guidelines " de l OCDE. 2- INTERPOL : 30

INTERPOL est le nom en code radio de l Organisation Internationale de Police criminelle (OIPC) créée en 1929. L OIPC n a pas été créée par un traité international et n est pas une organisation internationale stricto sensu car elle réunit non pas des Etats, mais des services de police désignés par les Etats. Elle n en est pas moins une personne juridique, possédant son siège à Lyon depuis 1989 et des «bureaux centraux nationaux». Elle vise à améliorer la coopération policière dans le monde grâce à des bureaux dans 181 pays membres (BCN). Ces bureaux sont des services de police permanents composés de policiers agissant dans le cadre de leur législation nationale. Ils constituent le relais national aux opérations de police sollicitées par les autres Etats membres. Le BCN-France, antenne d Interpol, est rattaché à la Direction centrale de la Police Judiciaire au sein de la sous Direction des ressources et liaison dans la Division des relations internationales. Elle a pour but «d assurer et de développer l assistance réciproque la plus large de toutes les autorités de police criminelle dans le cadre des lois existant dans les différents pays et dans l esprit de la Déclaration universelle des droits de l homme ; d établir et de développer toutes les institutions capables de contribuer efficacement à la prévention et la répression des infractions de droit commun». L OIPC n exerce elle-même aucune fonction de police proprement dite : elle n a pas d enquêteurs propres à compétence internationale et tous les actes de coopération policière internationale sont accomplis par des policiers nationaux agissant sur leur propre territoire et dans le cadre de leur législation. Mais l OIPC a un rôle essentiel dans la recherche et la communication de renseignements : rassemblement et diffusion des renseignements reçus ; diffusion du signalement d un individu susceptible de commettre tel type d infraction ; constatations d infractions, identification et recherche de leurs auteurs, victimes et témoins ; recherches d objets (véhicules, armes, œuvres d art ). Elle ne s occupe que des infractions de droit commun. Son statut lui interdit «toute activité ou intervention dans des questions ou affaires présentant un caractère politique, militaire, religieux ou racial». Mais depuis 1984, elle considère qu elle ne saurait «rester indifférente au phénomène du terrorisme». Un accord du 22 décembre 2004 entre la Cour pénale internationale et l OIPC prévoit l échange d informations et d analyses criminelles ainsi qu une coopération pour la recherche de suspects. S agissant de sa mission, le rôle d Interpol est de faciliter pour ses membres la lutte contre le trafic de stupéfiants, le terrorisme, la criminalité informatique ou économique. Interpol dispose d un système de communication informatique commun à tous les pays membres et d une base de données criminelles internationales. S agissant de ses moyens, Interpol porte à la connaissance des services de police nationaux, les BSN, certains renseignements relatifs à des infractions, des délinquants et des victimes : établissement de notices signalétiques internationales individuelles relatives aux disparitions des personnes, notamment des mineurs, et aux délinquants susceptibles de récidiver. Depuis juillet 1999, Interpol a développé un site Web à deux niveaux d accès public et restreint, afin de donner une plus large diffusion aux notices. Interpol réalise des opérations de police judiciaire d envergure, telles l opération «Cathédrale», lancée en 1998, qui a permis le démantèlement d un réseau diffusant plus de 750 000 clichés de pornographie enfantine et qui s est traduite par l arrestation de 107 personnes dans 12 pays. 31

3- La SCCOPOL (section centrale de coopération opérationnelle de police) : Elle est la première cellule européenne de coopération contre la criminalité transfrontière, regroupant 80 policiers, gendarmes, douaniers et magistrats. Elle a été inaugurée en juillet 2000 à Paris. Elle permet aux autorités françaises d établir des liaisons opérationnelles 24h sur 24, 7 jours sur 7, avec 182 pays. 4- SCHENGEN : La suppression des contrôles aux frontières intérieures de l espace Schengen a conduit à la création d un système d information commun dénommé «système d information Schengen» et au renforcement de la coopération policière entre les forces de sécurité des parties contractantes. Ce système permet l échange d informations entre les Etats signataires et la consultation automatisée de données sur les personnes, les véhicules terrestres et les objets signalés. Dans chaque Etat est mis en place un organisme chargé d assurer 24h sur 24 un point de contact unique et permanent à la disposition des forces de l Etat considéré et des autres partenaires européens. * Coopération policière dans l espace Schengen : La coopération entre les polices des Etats de l Union ayant signé et ratifié la Convention s exerce grâce à un échange d informations et se traduit par plusieurs mesures novatrices. Elle prévoit notamment l assistance mutuelle aux fins de la prévention et de la recherche de faits punissables, l intensification de la coopération policière dans les régions frontalières : assistance mutuelle des services de police et de gendarmerie, échange d informations ou d éléments de procédure par le biais de l unité centrale de coopération policière internationale (UCCPI). Un modèle interministériel de convention de coopération transfrontière policière et douanière a été mis au point. Il fixe, d une part, les principes de la coopération judiciaire directe entre unités opérationnelles situées dans la zone frontalière définie par l accord et prévoit, d autre part, la création de centres de coopération policière et douanière (CCPD) à proximité des frontières. Dans une même structure, sont rassemblés policiers, gendarmes et douaniers, mis à disposition de l ensemble des services chargés de missions de police et de douane. Le droit d observation (article 40) est une possibilité offerte à un enquêteur de poursuivre selon certaines modalités qui sont différentes selon les Etats, une filature sur un Etat voisin. Les magistrats du parquet et de l instruction peuvent faire procéder d initiative à ces observations. L article 41 permet aux services enquêteurs de poursuivre une personne prise en flagrant délit de participation ou de commission d une infraction prévue par la Convention, sans autorisation préalable au-delà de la frontière lorsque cette personne prend la fuite vers un Etat voisin et si l avis n a pu être donné à temps par l Etat requis. Les règles de la poursuite varient selon les Etats. 32

L entraide répressive entre les Etats Schengen relève des articles 48 à 53 de la Convention. Le domaine de l entraide est étendu aux faits constituant une infraction administrative, aux procédures liées à des poursuites pénales, à la notification de communications judiciaires, aux modalités d exécution des peines et aux infractions fiscales. Celle-ci peut toutefois être refusée lorsque le montant des droits trop peu perçus ou non perçus est inférieur à 25 000. Il en est de même si la valeur des marchandises exportées ou importées illégalement ne dépasse pas 10 000. La Convention Schengen assouplit également les conditions de l entraide en matière de perquisitions et de saisies. L article 51 prévoit comme seule condition à l exécution d une perquisition et d une saisie, outre sa compatibilité avec la législation de la partie requise, que l infraction soit passible soit d une peine d emprisonnement ou d une mesure de sûreté d au moins six mois sur le territoire des deux Etats, soit d une sanction équivalente sur le territoire d une partie et qu elle constitue dans la législation de l autre partie une infraction administrative susceptible de donner lieu à recours devant une juridiction compétente notamment en matière pénale. De plus, les demandes d entraide pourront être adressées directement aux autorités judiciaires compétentes et renvoyées par la même voie. En France, les commissions rogatoires internationales, les demandes d entraide ainsi que les pièces d exécution doivent transiter par le parquet général territorialement compétent. * La situation spécifique de la Suisse : En raison de l absence de la Suisse des instances de coopération SCHENGEN, et pour assurer une meilleure sécurité de l espace SCHENGEN un accord de coopération policière, judiciaire et douanière a été signé entre la France et la Suisse en mars 1998. Son contenu est proche de celui de la convention d application. A ce titre, l accord reprend certaines modalités de coopération introduites par la convention d application des accords de SCHENGEN. Il s agit notamment de l assistance sur demande, et l échange d informations pour lutter contre la délinquance dans la zone frontalière, prévenir l immigration illégale et les trafics illicites, sauvegarder l ordre et la sécurité publics et recueillir et échanger des informations en matière policière et douanière. L accord précise également les conditions d échange d informations effectué entre les services compétents des deux parties, notamment au regard du respect des dispositions nationales en matière de protection des données à caractère personnel. A ce titre, la commission des communautés européennes a constaté dans une décision du 26 juillet 2000 le caractère adéquat de la protection des données à caractère personnel en Suisse conformément à la directive 95/46/CE du parlement européen et du conseil. Un centre de coopération policière et douanière (CCPD) prévu dans l accord francosuisse devrait donc être créé pour améliorer la circulation de l information entre les différents corps de sécurité dans la région "des trois frontières". Plusieurs opérations de police de grande ampleur ont déjà été menées à l échelon international, témoignant de l efficacité et du succès d une telle coopération entre les Etats dans la lutte contre la cybercriminalité : - l opération «Cathédrale», lancée par le FBI américain en 1998, a impliqué 14 pays (dont les USA, l Australie et plusieurs pays d Europe) et a permis de démanteler un réseau d images pédopornographiques impliquant plus de 1 000 victimes et une centaine de suspects. - En 2001, l opération «Candyman», également à l initiative du FBI américain, a permis d identifier un réseau de 6 000 membres et a permis une centaine d arrestations. 33

- L opération «Avalanche» a permis en 2001 de faire cesser la diffusion d images pédopornographiques diffusées sur plusieurs sites payant, de saisir les coordonnées de 250 000 clients localisés dans 37 Etats américains et 60 pays différents. - L opération «One», qui s inscrit dans la continuité de l opération «Avalanche» a conduit en 2003 à l interpellation de 1 600 suspects en Grande-Bretagne. NB : A surveiller, la LOPPSI 2 venant d être adoptée par la commission mixte paritaire, le 9 février 2011 comporte un volet «cybercriminalité». Ainsi, concernant les règles procédurales, le filtrage des sites Internet sans le contrôle du pouvoir judiciaire est instauré, en vue de permettre le blocage des sites à caractère pédopornographique (art. 4 de la loi). Il est également prévu que la police judiciaire puisse installer à distance des logiciels espions sur les postes informatiques des personnes suspectées d avoir commis une infraction, sur autorisation du juge d instruction. Concernant le volet droit pénal de fond, un délit d usurpation d identité sur internet est créé et passible d un an d emprisonnement et 15 000 euros d amende et les peines sont étendues au pishing. Cette loi très controversée (et pas uniquement concernant son volet «cybercriminalité») devrait faire l objet d une saisine du Conseil constitutionnel. 34