MASTER 2 «DROIT DU MULTIMEDIA ET DES SYSTEMES D INFORMATION» Mme V. JAWORSKI. Mlle S. CORIOLAND DROIT PENAL DE L INTERNET -ASPECTS DE FOND ET DE PROCEDURE- Avertissement : Les règles et principes généraux rappelés dans le module «Remise à niveau en droit pénal» sont applicables à la matière spécifique du droit pénal de l Internet. Le présent module a pour objet de présenter de manière schématique mais non exhaustive- la problématique particulière de la cybercriminalité, ainsi que ses particularités tant sur le plan du droit pénal de fond que dans ses aspects procéduraux. PLAN DU COURS DE DROIT PENAL DE L INTERNET I- L Internet : un «espace de droit pénal» ou «zone de non droit»? 1- Définition de la «cybercriminalité» 2- Problématique spécifique à la criminalité sur l Internet II- La criminalité sur l Internet : le problème des «infractions transfrontières» 1- Les règles de fond 2- Les règles de procédure III- L action de la France contre la cybercriminalité A- Panorama des principales infractions 1- Les infractions directement liées aux TIC 2- Les infractions facilitées par l utilisation des TIC ou liées à l utilisation des TIC B- Des règles de procédure spécifiques C- La lutte institutionnelle
IV- La lutte contre la cybercriminalité au niveau européen A- L action du Conseil de l Europe B- L action de l Union européenne 1- Les actions normatives 2- La lutte institutionnelle V- La lutte contre la cybercriminalité sur le plan international 1- L action de l OCDE 2- INTERPOL 3- La SCCOPOL 4- SCHENGEN
I- L Internet : un «espace de droit pénal» ou «zone de non droit»? = Problématique de départ : compatibilité entre Internet et le droit. A n en pas douter l Internet constitue un espace de liberté, mais est-ce un espace de liberté totale? Une telle situation, dans l affirmative, présenterait des risques évidents et graves de déviances en tout genre. Le problème est qu Internet entretient une mythologie libertaire : Internet serait une zone de non droit, où l on pourrait se défouler et sur laquelle tout est permis. Sur Internet, point de diffamation, point de contrefaçon!!! Or la réalité est autre : l Internet n est pas un espace de liberté totale. Certains comportements peuvent être source de responsabilité pénale (et / ou civile). Mais l Internet est un environnement dans lequel la diversité des contenus rend difficile de mettre en œuvre une régulation autoritaire et centralisée. La problématique spécifique à l Internet (2) rend particulièrement malaisée la lutte contre cette nouvelle forme de délinquance que l on nomme «cybercriminalité» (1). 1- Définition de la «cybercriminalité» La cybercriminalité est l'ensemble des infractions pénales qui se commettent sur le réseau Internet. (définition posée par l ONU : tout comportement illégal faisant intervenir des opérations électroniques qui visent la sécurité des systèmes informatiques et des données traitées. Rapport 2005). Elle désigne à la fois : - les attaques de tout type sur des systèmes informatiques : virus, tentatives d intrusion... - la diffusion de contenus illégaux : diffusion d images pédophiles, de méthodes pour se suicider, de recettes d'explosifs ou d injures raciales - l usurpation d identité en ligne : fraude à la carte de crédit (utilisation par autrui sans le consentement du propriétaire de la carte bancaire) - l escroquerie en ligne (vente par petites annonces ou aux enchères d objets volés ou encaissement d un paiement sans livraison de la marchandise), le cyber-blanchiment d argent - les atteintes à la propriété intellectuelle (par des échanges de particulier à particulier «peer to peer «, streaming ou téléchargements illégaux ) Le développement d Internet a entraîné celui d une nouvelle forme de délinquance, qui, en utilisant les Nouvelles Technologies de l Information et de la Communication (NTIC), menace tout à la fois les individus, les entreprises et les Etats. Le développement des nouvelles technologies rend plus complexe le traitement judiciaire des infractions de toute nature, certains faits pouvant être commis hors du territoire national ou s inscrivant dans un contexte plus large de criminalité organisée, ce qui rend parfois difficile l identification des auteurs. En conséquence, les victimes d actes de cybercriminalité portent rarement plainte. Les raisons tiennent à la difficulté, d une part, d identifier le ou les auteurs des infractions sur Internet et, d autre part, de collecter les preuves desdites infractions. Au regard de ces nombreuses difficultés, il s agit donc d un domaine appelé à connaître de nombreuses évolutions sur le plan technique, législatif et jurisprudentiel. Ceci est 3
d autant plus important que les enjeux liés à l Internet sont multiples : protection des droits fondamentaux et des libertés individuelles, responsabilité des intermédiaires techniques, compétence et loi applicable au regard du droit international. S agissant de la protection des droits et des libertés, certains ont souhaité qu Internet constitue un espace de liberté totale non soumis au droit. En réalité, le monde virtuel n est pas un espace de non droit et pour l essentiel, les lois existantes suffisent à assurer cette protection 1. C est ainsi qu un message raciste ou révisionniste sera sanctionné qu il soit diffusé sur l Internet ou à la radio. Il en va de même s agissant d une diffusion diffamatoire ou d une diffusion violant des droits d auteurs. Internet est aussi protégé par le droit. Ainsi, une correspondance échangée par le biais d un courrier électronique sera protégée par le secret, comme une lettre envoyée par la poste (ex : consultation des e-mails des salariés par leurs employeurs). Face à ce qu il est convenu d appeler la "cybercriminalité", les Etats réagissent. Ainsi, aux Etats-Unis, après trois mois d enquête, les autorités ont réussi un vaste coup de filet dans le milieu du cyber-crime, pour des affaires présumées de Spam, de phishing (usurpation d identité via de faux sites) et autres escroqueries en ligne (opération «Web Snare»). Un succès néanmoins à relativiser lorsque l on sait que les attaques de type phishing ont augmenté de 800 % sur les six premiers mois de l année 2006. La cybercriminalité pose ainsi de nouveaux défis aux Etats, rendant nécessaire une coopération internationale accrue. Elle n implique pas seulement le droit pénal, mais aussi l éducation des usagers d Internet, la mise en place de systèmes de sécurité, et la coopération entre Etats, entreprises et société civile. Dans cette optique, du 15 au 17 septembre 2004 s est tenue à Strasbourg une conférence du Conseil de l Europe sur ce thème. Cette conférence entendait promouvoir la Convention du Conseil de l Europe sur la Cybercriminalité, qui constitue le premier texte international à traiter de cette question. Cette convention du 23 novembre 2001 enjoint notamment aux Etats-membres d incriminer, entre autres, les comportements «se rapportant à la pornographie enfantine». Depuis, cette convention a été complétée par un protocole additionnel concernant l incrimination d actes racistes et xénophobes le 30 janvier 2003. 2- Problématique spécifique à la criminalité sur l Internet L immatérialité est ce qui caractérise l Internet. Ce dernier véhicule des biens immatériels, choses que l on ne peut pas toucher, qui n ont pas de consistance physique, tels que les données informatiques, les systèmes de traitement des données, les sites et leur contenu, fichiers, logiciels, bases de données, programmes, ou encore le temps de connexion, l électricité, l énergie Actuellement, l opinion générale s accorde à en avoir une vision dégradée : l Internet serait avant tout un moyen pour les néo-nazis, pédophiles, terroristes et personnes mises en examen d échapper aux rigueurs de la loi. Si l Internet constitue une richesse collective pour la communauté internationale, il présente de nombreux risques de dérapages au regard des règles de protection des mineurs, des consommateurs ou des auteurs. 1 Rapportde Bercy du 25 février 2005 : «Si Internet est un espace de liberté, cette liberté ne saurait être absolue». 4
En facilitant les communications et la diffusion d'informations à l'échelle planétaire, Internet favorise la commission d'infractions et apparaît comme le vecteur d'une nouvelle forme de délinquance contre laquelle l'application de notre droit pénal bute pour identifier les auteurs, eu égard à cette dimension internationale. Deux problèmes sont ainsi à combiner : 1 Les agissements délictueux sont innombrables : diffusion d'images pornographiques (la brigade norvégienne de lutte contre la criminalité informatique a identifié 6000 sites pornographiques), messages racistes, reproduction d'une œuvre sans l'accord de son auteur, diffamations, injures, atteintes à la vie privée, etc 2 Les infractions commises sur Internet posent très souvent un problème de droit pénal international, car elles présentent un élément d extranéité. Les infractions transfrontières sont de plus en plus nombreuses, ce qui entraîne une application des règles de droit pénal international. Le problème crucial posé par l Internet réside dans la généralisation de l internationalisation des infractions commises. Techniquement, le cheminement des informations entre le point émetteur et le point récepteur est difficilement reconstituable. L immense quantité d informations traitées alliée à la quasi-instantanéité des transferts soulève de nombreuses questions, telles que celles de l application de la loi pénale dans l espace, de la désignation du ou des responsables, de la constatation des infractions et de leur preuve... La difficulté tient à ce qu'internet nous confronte à l'hétérogénéité des systèmes juridiques à l'échelon de la planète : ce qui est répréhensible en France ne l'est pas nécessairement ailleurs. Ainsi, de nombreux sites révisionnistes ont été créés aux Etats-Unis, où ce type de messages ne fait l objet d aucune interdiction en vertu du 1 er amendement de la Constitution américaine qui garantit un droit d expression quasi-illimité. Or ces sites sont consultables en France. A l inverse, certaines interdictions pénalement sanctionnées sont prévues par des législations étrangères, sans l être par la loi française. Ainsi, le droit coranique interdit toute représentation du Prophète sous peine de sanctions religieuses et pénales. Cette dimension internationale, caractérisée par un manque d harmonisation des législations nationales, constitue une entrave majeure à la coopération judiciaire internationale, sans laquelle une répression efficace semble impossible. Une autre difficulté majeure tient à la preuve des infractions commises. La preuve de la connexion sur un site est extrêmement difficile à établir. Ainsi, en droit pénal français, tout mode de preuve est recevable (art. 427 CPP qui consacre le principe de la liberté de la preuve). Cependant, dans l environnement numérique, les preuves s avèrent particulièrement difficiles à rapporter. C est le cas par exemple lorsqu un internaute commet des infractions sur l Internet mais n en garde aucune trace sur son disque dur. Dans une telle hypothèse, la chambre criminelle de la Cour de cassation, dans un arrêt en date du 5 janvier 2005, a considéré que la production par les autorités de poursuite des «fichiers temporaires» retrouvés sur le poste n était pas en l espèce une preuve suffisante de l infraction, car leur enregistrement est automatique et ne peut donc pas caractériser une intention de copier de la part de la personne poursuivie. Il est intéressant de constater que les autorités policières françaises ont mis au point des formations spécifiques des personnels de la police face à cette nouvelle forme de délinquance. Un des moyens de preuve des infractions commises consistant à saisir le disque dur des 5
ordinateurs et à l'analyser, des compétences techniques de haut niveau sont désormais indispensables. En effet, les investigations doivent préserver la preuve des données et faire appel à des techniques probatoires sûres : démarrage de l ordinateur à partir d une disquette pour éviter tout risque de destruction des données par des fichiers pièges, logiciels d enquête interdisant la réécriture ou la modification des contenus, etc L aspect immatériel de l Internet ne doit pas être un frein à la répression. Une analyse globale des outils juridiques tant nationaux, qu européens et internationaux, permet d affirmer que le droit est bien présent sur l Internet. Ainsi, le corpus juridique français semble disposer des incriminations nécessaires à la sanction de la cybercriminalité. Il est possible d affirmer qu il n y a pas de vide juridique en matière pénale concernant l Internet. Ce qui pose véritablement problème, c est sa bonne application. Le débat est donc mal posé. Ce qu il faut se demander c est : comment faire respecter de façon efficace le droit sur l Internet? Dans cette optique, la lutte doit s organiser à trois niveaux : - au niveau national (III) - au niveau européen (IV) - au niveau international (V) Elle suppose avant tout de régler le problème d extranéité que pose dans la plupart des cas la criminalité sur l Internet, qui relève donc des règles de droit pénal international (II). II- La criminalité sur l Internet : le problème des «infractions transfrontières» Ou la question de la compétence juridictionnelle et de la loi applicable (cette question a été traitée de manière détaillée dans le module «Remise à niveau en droit pénal») Par nature, l Internet est un réseau international. Plusieurs législations nationales sont donc susceptibles de s appliquer. En droit pénal, le conflit ne concerne que la compétence juridictionnelle et la question qui se pose est la suivante : quand la juridiction pénale française est-elle compétente? Cette question est fondamentale car déterminante de la loi pénale applicable. Par exemple, dans certains pays anglo-saxons, les discours d incitation à la haine raciale sont tolérés au nom de la liberté d expression, alors qu ils sont poursuivis en France car attentatoires à la dignité humaine. Une fois cette question résolue et la compétence des juridictions pénales françaises reconnues, ne se pose pas la question de la loi pénale applicable, car le principe est le suivant : le juge pénal français applique systématiquement sa propre loi pénale, à savoir la loi pénale française. C est le principe de solidarité des compétences juridictionnelle et législative. Il est à noter que le droit pénal français bénéficie de règles attributives de compétence particulièrement larges et attractives, qui permettent d'appréhender juridiquement la plupart des contenus ou comportements délictueux sur l Internet. Nous verrons donc les règles de fond applicables (1), avant de voir les règles de procédure (2). 1- Les règles de fond 6
L analyse qui suit conduit à différencier le lieu de réalisation matérielle de l'infraction (lieu du fait générateur), de celui où les effets se produisent (lieu du résultat). Ainsi, cela donne une large compétence au juge national français. Examinons attentivement trois articles du Code pénal (rédaction applicable au 1 er mars 1994) : 1 La loi pénale française est applicable aux infractions commises sur le territoire de la République : article 113-2 al.1 CP. L'infraction est réputée commise sur le territoire de la République dès qu'au moins un de ses faits constitutifs a au lieu sur ce territoire, c est-à-dire dans l'espace maritime, terrestre ou aérien de la République française (article 113-2 al. 2 CP). Pour un acte de complicité commis en France, bien que le crime ou le délit ait été commis à l'étranger, le complice pourra être poursuivi en France si le fait principal est puni par la loi française et étrangère (article 113-5 CP). Ces trois textes du Code pénal nous permettent de déduire aisément que la loi pénale française s applique dès lors que la réception par l'utilisateur sur le territoire français constitue un élément de l'infraction en application de l'article 113-2 du Code pénal. Ainsi, dans le cas d'un message litigieux disponible sur le réseau Internet, et ce, quelle que soit sa source dans le monde, la loi française est applicable. C est bien ce qu a décidé la Cour d appel de Paris, 11 e chambre, dans l affaire Yahoo (arrêt du 17 mars 2004), concernant la vente aux enchères d objets nazis caractérisant l élément de publicité nécessaire au délit d apologie de crime de guerre. La Cour a précisé que le juge pénal français est compétent dès lors qu un message, émanant d un serveur localisé à l étranger, peut être perçu par les internautes sur le territoire français. La réception du site en France suffit au sens de l article 113-2 CP pour justifier la compétence du juge pénal français. La Cour d appel a ainsi donné compétence aux tribunaux français et à la loi française en précisant que «l élément constitutif essentiel de l infraction, en droit de la presse, est la publicité qui peut revêtir plusieurs formes en fonction du vecteur de communication ; ( ) qu en l espèce, il est établi que la société Yahoo a continué à diffuser, malgré les décisions du juge des référés ( ), permettant ainsi aux internautes installés en France, et en particulier dans le ressort du TGI de Paris, de visualiser sur l écran de leur ordinateur les services et sites incriminés». 2 La loi pénale française est applicable aux infractions commises hors du territoire de la République dans les situations suivantes : - pour les crimes commis par un Français : article 113-6 al. 1 CP - pour les délits punis par la législation du pays où ils ont été commis par un Français : article 113-6 al. 2 CP N.B. : une jurisprudence constante considère que la juridiction française est compétente pour connaître des faits commis par un étranger dès lors que ces faits forment un tout indivisible avec les infractions imputées en France à cet étranger et dont elle est également saisie. - pour les crimes et délits punis d emprisonnement commis à l encontre d un Français : article 113-7 CP Ainsi en matière pénale, par l application de ces textes, il est aisé de comprendre qu il n existe pas de vide juridique pour engager la responsabilité pénale des acteurs du net. Le droit pénal général est largement applicable à Internet. 2- Les règles de procédure 7
En matière d infractions commises via Internet, il n existe pas de parquet à compétence nationale. Les critères de compétence territoriale de droit commun demeurent. Ce qui fait que le droit pénal est particulièrement attractif en matière d Internet, c est la règle attributive de compétence suivante : le tribunal compétent est celui du lieu de l'infraction (commission ou constatation des faits), celui de la résidence du prévenu ou du lieu d'arrestation, voire du lieu de détention. Comme nous l avons vu, la loi pénale française s applique dès lors que la réception par l'utilisateur sur le territoire français constitue un élément de l'infraction en application de l'article 113-2 du Code pénal. Ainsi, le lieu de l infraction pouvant tout à fait être le lieu de réception du message litigieux, la juridiction française est compétente. III- L action de la France contre la cybercriminalité A Panorama des principales infractions Lorsque l on parle de droit pénal de l Internet, on pense en premier lieu aux infractions spécifiques à l informatique et commises via l Internet. Or l'application des dispositions pénales aux fraudes informatiques se heurte à une difficulté principale tenant à la preuve. En effet, ces infractions sont très difficiles à découvrir et souvent la connaissance de ces agissements illicites relève du hasard. La loi "Informatique et Libertés" en date du 6 janvier 1978 fut ainsi adoptée pour punir ces comportements délictueux et organiser un contrôle par la Commission Nationale de l'informatique et des Libertés (CNIL), afin de veiller à la stricte application de ces nouvelles dispositions. La C.N.I.L. est une autorité administrative indépendante, composée de 17 membres, qui disposent d'un pouvoir règlementaire. La loi de 1978 a été modifiée récemment par la loi du 6 août 2004 qui tend à mettre en oeuvre la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le texte consacre la liberté de circulation des données à l intérieur de l Union européenne en réduisant les divergences entre les législations nationales sur la protection des données. Ce texte limite le contrôle a priori des fichiers par la CNIL pour lui substituer le plus souvent un contrôle a posteriori. Les pouvoirs d'investigation ou d'accès aux données de la Commission ainsi que ses possibilités effectives d intervention seront, en contrepartie, renforcées. La CNIL disposera de pouvoirs de sanction administrative graduée allant du simple avertissement jusqu aux sanctions pécuniaires. Cette loi, aujourd'hui intégrée au Code pénal (articles 226-16 et suivants), permet de sanctionner les atteintes aux droits des personnes. Mais au-delà de ces dispositions spécifiques, il faut souligner qu'il est nécessaire de recourir aux textes du droit pénal classique - par opposition au droit pénal de l'informatique - pour réprimer d'autres comportements frauduleux qui ont pour support l'ordinateur et dont les manifestations contemporaines les plus marquantes sont les atteintes aux mœurs. 8
La fragilité de l'outil informatique conduit le législateur à tenter d'assurer la plus grande sécurité, afin d'éviter les fraudes qui prennent des formes diverses : piratage informatique, création de compte bancaire ou d'assuré social purement fictif, contrefaçon, destruction de système par l'introduction de "virus", intrusion dans la vie privée ou atteintes aux mœurs Il n'est donc pas surprenant que le droit pénal trouve application dans ce domaine pour sanctionner les différents agissements frauduleux portant notamment atteinte aux droits des personnes. La fraude informatique, c'est-à-dire l'ensemble des agissements répréhensibles relatifs aux systèmes de traitement automatique d'informations, est un concept protéiforme. Cependant, il apparaît que l'on peut opposer les biens informatiques qui sont l'objet de fraudes, l objet d infractions (sabotage, piratage, destruction de données ) et les biens informatiques qui sont le moyen de la fraude, le moyen d infractions. L'ordinateur connecté à l Internet sert alors de vecteur à la réalisation de l'infraction et permet de réaliser des atteintes aux droits des personnes. Ainsi, l'utilisation de l'ordinateur peut donner lieu à des agissements malhonnêtes, dont il importe de savoir s'ils peuvent recevoir une qualification pénale. Il serait vain de faire l'inventaire de toutes les dispositions pénales applicables. En effet, la plupart des comportements incriminés par le Code pénal peuvent être commis par le biais de l'informatique : abus de confiance, escroquerie, faux, détournement, contrefaçon, atteintes à la paix publique Cependant, des textes spécifiques intégrés aujourd'hui au Code pénal, les articles 226-16 et suivants, ont été créés pour sanctionner des comportements particuliers relatifs "aux atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques". La cybercriminalité recouvre donc schématiquement deux catégories d infractions : d une part, les cas où l infraction est directement liée aux TIC. Ce sont les infractions purement informatiques, c est-à-dire celles relevant de la criminalité informatique (1). Ces infractions sont prévues par les lois du 6 janvier 1978 et du 5 janvier 1988. Il s agit d infractions où l informatique est l objet même de l acte délictueux. d autre part, les cas où la commission de l infraction est facilitée ou liée à l utilisation des TIC. Ce sont les infractions de droit commun, contenues dans le Code pénal et commises au moyen de l Internet (2). Il s agit d infractions où l informatique est le moyen de commission de l acte délictueux. 1- Les infractions directement liées aux TIC Il s'agit essentiellement de toutes les infractions portant atteinte soit aux systèmes de traitement automatisé de données (STAD), soit à la confidentialité, à l'intégrité ou à la disponibilité des données d'information. La législation française réprime les agissements suivants, contenus dans le Code pénal : 1 Les atteintes aux systèmes de traitement automatisé de données (STAD) Ce sont les fraudes informatiques, prévues par la loi du 5 janvier 1988, dite loi «Godfrain». Cette loi vise à assurer la sécurité des systèmes d information. 9
Au sens de la décision du Conseil de l Europe du 31 mars 1992, «la sécurité des systèmes d information est reconnue comme une qualité partout nécessaire dans une société moderne». La récente convention du Conseil de l Europe sur la cybercriminalité invite à incriminer les comportements portant atteinte à la confidentialité, à l intégrité et à la disponibilité des données et systèmes informatiques. * Constituent des infractions : - L'accès ou le maintien frauduleux dans tout ou partie d un système de traitement automatisé de données (art. 323-1, al. 1 du C.P.), qui est puni de 2 ans d'emprisonnement et de 30.000 d'amende. Lorsqu il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement du système, les peines sont aggravées et portées à 3 ans d emprisonnement et 45.000 d amende. Concrètement est ainsi incriminé le fait d accéder dans tout ou partie d un STAD par forcement d un dispositif (hacker), l utilisation d un code d accès, l introduction d un logiciel, l utilisation d un décodeur d accès à une émission cryptée, l utilisation d une clé ou du code d accès à une carte bancaire ou à une monnaie électronique. Tout accès sans droit est réprimé (CA Paris, 5 avr. 1994, PA 1995, n 80, p. 13, note Alvarez). Le terme «système» est large et recouvre par exemple un site Internet, une base de données, un CD Rom Cette incrimination était nécessaire dans la mesure où l interprétation stricte des textes de droit pénal interdisait de poursuivre le «vol» de temps de machine. Ex : Dans une affaire très médiatisée, un informaticien, Serge Humpich, qui avait démontré la fragilité du système des cartes de crédit s est vu condamné (Trib. Corr. Paris, 25 févr. 2000, D. 2000, IR 99 et confirmé par CA Paris, 18 déc. 2000). Dans une autre affaire aux faits sensiblement identiques, et dans laquelle l introduction dans le système avait aussi été faite «sciemment», une condamnation à un emprisonnement avec sursis et à une amende de 1.000 a été prononcée (Trib. Corr. Paris, 13 févr. 2002, CCE 2002, n 72, obs. Grynbaum). Dans l affaire Kitetoa, la question a été posée de savoir s il y a accès frauduleux alors que le fichier litigieux était accessible par la seule utilisation des fonctionnalités de navigation. Il a été jugé qu il n y avait pas accès frauduleux dès lors que celui-ci est réalisé par la simple utilisation d un logiciel grand public avec ajout d un plug in (CA Paris, 30 oct. 2002, Expertises 2003, p. 36). Le tribunal correctionnel du Mans, dans un jugement du 7 novembre 2003, a jugé que falsifier l adresse e-mail de son ex-employeur pour faire un spamming dénigrant constituait un accès frauduleux. Le même article incrimine aussi le maintien frauduleux dans un STAD lorsque l on y a eu accès licitement. Ainsi par exemple du dispositif permettant de se maintenir au-delà du temps prévu dans une connexion, du fait de contrefaire une œuvre protégée par représentation, de «voler» du temps de machine Ex : utilisation des codes d accès pour accéder à la banque de données alors que désormais le salarié travaille pour une entreprise concurrente (Cass. crim., 3 octobre 2007, AJ Pén. 2007, p. 535). Lorsque l accès ou le maintien frauduleux a provoqué soit la suppression ou la modification de données contenues dans le système, soit une altération du 10
fonctionnement de ce système, la peine est de trois ans d emprisonnement et de 45 000 d amende en vertu de l article 323-1, alinéa 2, du code pénal. A noter que la suppression ou la modification de données comme l altération du fonctionnement du système sont involontaires. Cela signifie que le simple constat de la suppression, modification ou altération suffit et permet d appliquer cette circonstance. - Le fait d'entraver ou de fausser le fonctionnement d'un tel système (art. 323-2 du C.P.), qui est puni de 5 ans d'emprisonnement et de 75.000 d'amende. Le texte utilise un langage non informatique pour une application informatique, ce qui pose des problèmes d interprétation (en effet, pas de définition du terme «fausser». On s accorde généralement pour dire qu il s agit d une altération du système). Ainsi, on peut affirmer que le fait d introduire un virus dans le STAD tombe sous le coup de cette incrimination. C est ce qu a jugé le tribunal correctionnel de Paris, dans une décision du 24 mai 2002 : le spammeur qui, par logiciel, avait bloqué les serveurs de Noos en envoyant des centaines de milliers de messages, a été condamné à un mois d emprisonnement avec sursis (v. aussi : Trib. Corr. du Mans, 7 nov. 2003, Legalis.net). En outre, la jurisprudence retient que la simple introduction du virus dans le serveur informatique suffit à caractériser l intention de l auteur des faits. - L'introduction, la suppression ou la modification frauduleuse de données dans un système de traitement automatisé (art. 323-3 du C.P.), qui est puni de 5 ans d'emprisonnement et de 75.000 d'amende. L exigence de fraude entraîne que le fait d effacer des données contenues sur un disque dur en copiant des fichiers personnels n est pas suffisant pour constituer le délit (crim., 25 mai 2004). Cette incrimination doublonne avec celle de l article 323-2, ce qui crée un concours idéal de qualifications (cf. remise à niveau). - L article 323-3-1 (créé par la LCEN) incrimine le fait d importer, de détenir, d offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre les faits prévus par les articles 323-1 à 323-3 du code pénal. Ce texte opère la transposition d une exigence d une directive européenne «concernant la protection juridique des services à accès conditionnel». La création d une infraction autonome permet ainsi d éviter d avoir à passer par le filtre incertain de la complicité par fourniture de moyens. Les instruments permettant la captation et donc le vol d informations sont concernés par ce texte. De même sont visés les créateurs de virus et le contournement des mesures de protection technique. Une rédaction trop large du texte aurait risqué de permettre des poursuites pénales contre la simple publication d informations relatives à la vulnérabilité de certains dispositifs techniques. C est pourquoi le texte restreint le champ d application de l infraction et punit uniquement quiconque a agi «sans motif légitime». Cette infraction est punie des peines prévues pour l infraction pour laquelle le programme ou équipement a été conçu ou des peines prévues pour l infraction la plus sévèrement réprimée lorsque le programme peut servir à commettre plusieurs des infractions mentionnées aux articles 323-1 à 323-3 du code pénal. 11
- La participation à un groupement formé ou à une entente établie en vue de commettre un délit informatique (art. 323-4 du C.P.), qui est puni des mêmes peines prévues par les articles 323-1 à 323-3. Le texte incrimine l association de malfaiteurs informatiques (vise les groupes de hackers), ce qui permet d atteindre des individus échangeant des informations relatives à des projets malfaisants lorsqu il n y a eu ni recel, ni tentative, ni complicité. En outre, le Code pénal prévoit la répression de la tentative de délit informatique (art. 323-7 du C.P.) et la responsabilité pénale des personnes morales (art. 323-6 du C.P.). *** 2 Les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques de données personnelles 2 Elles sont prévues par la loi «Informatique et Libertés» du 6 janvier 1978. Cette loi de 1978 relative à l'informatique, aux fichiers et aux libertés, a été modifiée par la loi n 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l égard des traitements de données à caractère personnel. Elle détermine un certain nombre d infractions, repris par les articles 226-16 à 226-24 du Code pénal. Avant même de chercher à protéger la technique informatique, la société française a voulu, dès 1978, se préserver de l'informatique... L'article 1 er définit clairement l'esprit de la loi : «L'informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques». * Constituent ainsi des infractions : - Art. 226-16 : «Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende». Ici, l infraction se constitue indépendamment de toute intention puisque le texte précise «y compris par négligence». La faute non intentionnelle est donc suffisante. En application de ce texte, un spammeur a été condamné pour non déclaration à la CNIL du fichier d adresses personnelles qu il utilisait : Trib. Corr. Paris, 6 juin 2003. - Le fait de procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations (art. 226-17 du C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 d'amende. 2 La loi du 6 août 2004 définit ce qu il faut entendre par traitement de données à caractère personnel : «constitue un traitement de données à caractère personnel toute opération ou ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction». 12
C est la légèreté coupable dans la gestion qui est ici incriminée. Ainsi, dans une décision en date du 19 décembre 1995, la chambre criminelle de la Cour de cassation a condamné le gestionnaire dans un cas où un homonyme avait été fiché comme mauvais payeur. Mais il a été jugé que le fait que les secrétaires et médecins d un syndicat puissent accéder aux informations nominatives de patients clients d autres médecins n était pas contraire, en raison du secret médical, à l article 226-17 (crim., 30 oct. 2001, Gaz. Pal. 2002, p. 40). En revanche, le fait que des tiers non autorisés puissent avoir assez facilement accès à ces informations, en raison de l insuffisance de formation délivrée au personnel du syndicat, entre dans la prévention de l article 226-17. L obligation de sécurité informatique suppose d installer des firewalls, mot de passe, anti-virus, mais aussi, si nécessaire, d assurer une formation du personnel. Pour un traitement d informations nominatives, la CNIL demande si de telles mesures ont été prises. - La collecte par un moyen frauduleux, déloyal ou illicite de données nominatives (art. 226-18 du C.P.), qui est punie de 5 ans d'emprisonnement et de 300.000 d'amende. La Cour de cassation a eu l occasion de donner un exemple de ce qu est l interprétation restrictive en droit pénal au regard d un texte qui n explicite pas les termes «moyen déloyal ou illicite» : la collecte en vue de constituer non un fichier mais un dossier ne tombe pas sous le coup de ce texte (crim., 3 nov. 1987). La nouvelle mouture, introduite par la loi du 6 août 2004, n améliore pas la rédaction du texte, si ce n est que le nouvel article 226-18-1 précise que l infraction est constituée lorsqu il y a traitement des données nominatives malgré l opposition d une personne, notamment lorsqu il s agit de prospection commerciale. - Le fait de mettre ou de conserver en mémoire informatisée, sans l'accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les moeurs des personnes (art. 226-19 du C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 d'amende. Ainsi, la mise en conservation de certaines données sensibles réalise un délit. Il existe néanmoins deux exceptions à cette règle : si un texte autorise la mise en conservation (par exemple pour certaines Administrations) ou si la personne visée a donné son consentement par écrit. Ainsi, un jeune homme a été condamné pour avoir stocké des images pornographiques de son ancienne petite amie (Trib. Corr. Privas, 3 sept. 1997, PA 11 nov. 1998, p. 19, note Frayssinet). - Le fait de conserver des informations sous une forme nominative au-delà de la durée prévue par la demande d'avis ou la déclaration préalable à la mise en oeuvre du traitement informatisé (art. 226-20 du C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 d'amende. - Le détournement d'informations à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement (art. 226-21 du C.P.), qui est puni de 5 ans d'emprisonnement et de 300.000 d'amende. En pratique, ce texte est assez peu appliqué 13
Ainsi, des ex-agents EDF ayant vendu un fichier à des sociétés d assurances ont été condamnés pour détournement d informations de leur finalité (CA Paris, 1 er sept. 1998, JCP éd. E 1998, 1620). - La divulgation de données nominatives portant atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée (art. 226-22 du C.P.), qui est punie de 5 ans d'emprisonnement et de 300.000 d'amende. Ainsi, la révélation à des compagnies d assurances de clients profilés comme à risques (CE Rennes, 13 janv. 1992, D. 1994, som. 287). Lorsque la divulgation a été commise par imprudence ou négligence, les peines sont diminuées à 3 ans d emprisonnement et 100.000 d amende. => La poursuite du chef de ces délits n est possible que sur plainte préalable de la victime. - L article 226-22-1 du CP permet de réprimer l exportation de fichiers dans des pays hors CE qui ne présentent pas un niveau de protection suffisant. Il s agit d un délit sanctionné de 5 ans d emprisonnement et de 300.000 d amende. Au titre des sanctions de ces différentes infractions, l article 226-22-2 du Code pénal permet, dans certains cas, d ordonner la suppression des données à caractère personnel, les agents de la CNIL étant compétents pour en constater l effacement. 3 Les infractions aux règles de la cryptologie, contenues dans la loi du 29 décembre 1990 (art. 434-15-2 du Code pénal). L article 28 de ladite loi, modifiée par l'article 17 de la loi du 26 juillet 1996 et par la loi du 21 juin 2004 (LCEN) précise les différentes infractions insérées dans les articles 132-79 et 434-15-2 du Code pénal. (ex : «Est puni de trois ans d'emprisonnement et de 45 000 euros d'amende, le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale. Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 75 000 euros d'amende»). L article 132-79 du Code pénal (créé par la LCEN) augmente ainsi le maximum de la peine privative de liberté encouru lorsqu un moyen de cryptologie a été utilisé pour commettre n importe quel crime ou délit. Ex: «Lorsqu'un moyen de cryptologie au sens de l'article 29 de la loi n 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission, le maximum de la peine privative de liberté encourue est relevé ainsi qu'il suit : 1 Il est porté à la réclusion criminelle à perpétuité lorsque l'infraction est punie de trente ans de réclusion criminelle ; 2 Il est porté à trente ans de réclusion criminelle lorsque l'infraction est punie de vingt ans de réclusion criminelle ;» 14
2 Les infractions facilitées par l utilisation des TIC ou liées à l utilisation des TIC Il s'agit de toutes les infractions utilisant les TIC comme moyen de commission de l'acte délictueux ou comme support de contenus illicites, susceptibles d'être commis sur le réseau Internet. Ces infractions relèvent de plusieurs codes et lois spécifiques : 1 Les infractions prévues par le Code Pénal : - Les crimes et délits contre les personnes Compte tenu de l importance de l Internet, le législateur, par une loi du 17 juin 1998, a durci la répression en édictant des circonstances aggravantes lorsque l infraction est commise par voie d un réseau informatique. On peut ainsi affirmer que des réseaux de prostitution ont surgi grâce aux nouvelles technologies. Aussi, le viol lorsque la victime a été sollicitée par un message (art. 222-24- 8 du CP), le proxénétisme (art. 225-7-10 du CP), les ventes et services pornographiques (art. 32 L. 1998) à des mineurs sont des exemples d infractions visées par la loi de 1998. Les atteintes aux mineurs : Il ne s agit pas ici d une préoccupation simplement nationale. En effet, tant le Conseil de l Europe que l Union européenne tentent de lutter contre la pédopornographie (Ex : décision cadre du 23 décembre 2003 relative à la lutte contre l exploitation sexuelle des mineurs et la pédopornographie). -Art. 227-22 du CP : «Le fait de favoriser ou de tenter de favoriser la corruption d'un mineur est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. Ces peines sont portées à sept ans d'emprisonnement et 100000 euros d'amende lorsque le mineur est âgé de moins de quinze ans ou lorsque le mineur a été mis en contact avec l'auteur des faits grâce à l'utilisation, pour la diffusion de messages à destination d'un public non déterminé, d'un réseau de communications électroniques ou que les faits sont commis dans les établissements d'enseignement ou d'éducation ou dans les locaux de l'administration, ainsi que, lors des entrées ou sorties des élèves ou du public ou dans un temps très voisin de cellesci, aux abords de ces établissements ou locaux». Avec ce texte, on voit bien que l infraction existe indépendamment d Internet mais que les sanctions sont aggravées si un réseau de communications électroniques a facilité la commission des faits. - Le même constat peut être opéré avec le délit de proposition sexuelle à un mineur de 15 ans prévu par l article 227-22-1. En effet, les peines sont portées à 2 ans et 30 000 euros d amende si un réseau de communications électroniques a permis la commission des faits. -La diffusion, la fixation, l'enregistrement, l offre ou la transmission d'image à caractère pornographique d'un mineur (art. 227-23 du CP). La loi du 5 mars 2007 incrimine désormais le simple fait de consulter habituellement sur Internet de telles images ou de les détenir (art. 227-23 al. 5 du CP). A noter que les juges se contentent d une «présomption d apparence d un mineur» pour considérer les faits commis, lorsque l âge exact demeure inconnu. 15
-La fabrication, le transport, la diffusion ou le commerce d'un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine, susceptible d'être vu ou perçu par un mineur (art. 227-24 du CP). Dans une affaire jugée par la Cour d appel de Paris (2 avril 2002, D. 2002, 1900), la page d accueil d un site Internet comportait un avertissement relatif aux mineurs, mais ce message avait une portée jugée annulée par la présence d images pornographiques sur cette même page. La Cour ajoute que l éditeur ne proposait pas de logiciel de filtrage parental. L éditeur a été condamné à 30.000 d amende. Par son libellé, c est donc une véritable obligation de résultat d empêcher l accès à un mineur qui a été mise à la charge du diffuseur. Il est probable que pareille contrainte est contraire à l article 10 de la CEDH sur la liberté d expression. C est pourquoi la solution posée par un arrêt infirmatif de la Cour d appel d Angers (10 juin 2003, Expertises 2003, 247) est préférable : il s agissait en l espèce d un site trash pour lequel la cour a jugé que le mineur ne le verrait que s il le voulait bien. De plus, la cour a estimé que l envoi par courriel d un hyperlien vers le site supposait la composition d un mot de passe, si bien que le site n était pas accessible au public. Enfin, la cour a jugé que l envoi d un mail donnant la référence au site ne suffisait pas à constituer l élément intentionnel du délit. La chambre criminelle de la Cour de cassation semble aussi plus restrictive puisqu elle a jugé le 3 février 2004 que l envoi d un lien par courriel à un majeur ne contenant que l adresse d un site pornographique ne caractérise pas le délit. Elle a aussi jugé que la présence sur un disque dur d images pornographiques, même en l absence de mot de passe pour y accéder, ne suffisait pas à constituer l infraction (crim., 12 oct. 2005, CCE 2006, n 16). En revanche, elle a jugé que le simple transfert de photos sur l ordinateur d un collège suffisait à constituer le délit (crim., 12 oct. 2005, Droit Pénal 2006, n 23). Les autres atteintes aux personnes : (Attention, liste non exhaustive!!) Les menaces (art. 222.17 et suivants du CP) Les atteintes à la vie privée (art. 226-1 al.2 ; 226-2 al.2 du CP) Les dénonciations calomnieuses (art. 226-10 du CP) Les atteintes au secret professionnel (art. 226-13 du CP) Les atteintes aux correspondances (art. 226-15 du CP). La diffusion sur le net d images sans l accord de la personne concernée, et notamment le fait d enregistrer et de diffuser sur Internet des images d agression (art. 222-33-3 du CP) ou ce que l on appelle le «happy slapping». Le fait d effectuer des vidéos à partir de téléphones portables, notamment d atteintes à l intégrité physique d une personne, rend son ou ses auteurs coupables en tant que complices des infractions filmées. Il peut donc s agir de crimes ou de délits très graves : violences ayant entraîné la mort sans intention de la donner, violences ayant entraîné une mutilation permanente, violences ayant entraîné une ITT, viol, meurtre La loi du 5 mars 2007 relative à la prévention de la délinquance a créé une nouvelle infraction concernant les personnes qui diffusent sur Internet de telles images, les sanctionnant de 5 ans d emprisonnement et de 75.000 d amende (art. 222-33-3 al. 2 du CP). 16
Elles peuvent également être poursuivies pour atteinte à la vie privée (art. 226-1 du CP, 1 an d emprisonnement et 45.000 d amende). A noter cependant que des «immunités» ont été mises en place par le dernier alinéa de l article 222-33-3 : «Le présent article n'est pas applicable lorsque l'enregistrement ou la diffusion résulte de l'exercice normal d'une profession ayant pour objet d'informer le public ou est réalisé afin de servir de preuve en justice». - Les crimes et délits contre les biens : Les escroqueries (art. 313-1 et suivants du C.P.) L abus de confiance (art. 314-1 du CP) Dans un arrêt du 22 septembre 2004, la chambre criminelle de la Cour de cassation a retenu le détournement d un projet de borne informatique par un salarié. Dans une décision du 19 mai 2004 (CCE 2004, n 165), elle a condamné pour abus de confiance le salarié qui faisait une utilisation immorale de son ordinateur pendant ses heures de travail. Il est donc désormais évident qu un droit intellectuel est un bien au sens juridique du terme. La menace de commettre une destruction, une dégradation ou détérioration (art. 322-12 du C.P.) Le vol (art. 311-1 du CP)? Peut-on voler une information? après l avoir admis un moment, la chambre criminelle de la Cour de cassation ne semble l admettre qu indirectement au travers du vol d un support. En application de la règle de l interprétation stricte de la loi pénale, une réponse négative est logique car il n y a pas dépossession d un bien, l information ne disparaissant pas. Mais l absence de disparition de la chose est en fait le lot commun de tous les objets incorporels qui sont duplicables à l infini, si bien qu en dérober un exemplaire ne prive pas le propriétaire de la jouissance de la chose. Il semblerait d ailleurs que la chambre criminelle, le 9 septembre 2003, ait admis à nouveau le vol d information, mais la portée de cet arrêt est controversée. L article 311-1 du Code pénal visant «une chose» et non pas un bien, le doute est permis. La question du vol pourrait aussi trouver une actualité nouvelle si la pratique du vol d identité pour commettre des actes illicites (ex. : usurpation d identité d un détenteur de carte de crédit) se multipliait, à l instar des Etats-Unis. Le recel (art. 321-1 du CP)? Peut-on receler une information, des images pédophiles par exemple? Il semble que non (crim., 3 avr. 1995), ce qui est illogique dès lors que la chambre criminelle de la Cour de cassation incrimine par ailleurs le recel de secret de l instruction (crim., 13 mai 1991) et le recel de l information d initié (crim., 26 oct. 1995). 2 Les infractions de contenu prévues par des textes spécifiques : - Les infractions à la loi sur la presse (Loi du 29 juillet 1881 modifiée) (voir module «Infractions de presse», pour une présentation détaillée des infractions) La provocation aux crimes et délits (art. 23 et 24) L'apologie des crimes contre l'humanité (art. 24) 17
L'apologie et la provocation au terrorisme (art. 24) La provocation à la haine raciale (art. 24) La contestation des crimes contre l'humanité (art. 24 bis) La diffamation publique et raciale (art. 30, 31 et 32) L injure publique et raciale (art. 33) - Les infractions au Code de la Propriété Intellectuelle : Pour assurer la protection des logiciels, le législateur a mis l'accent sur une protection de type privatif, par le biais du droit d'auteur. Avant la loi de 1985, il s'était en effet développé une jurisprudence majoritairement favorable à la protection du logiciel par le recours à la loi de 1957 sur la propriété littéraire et artistique. La loi du 3 juillet 1985, relative aux droits d'auteur, est venue consacrer ce principe dans son Titre 5, concernant les logiciels (Articles 45 à 51 de ladite loi). Le Code de la Propriété Intellectuelle, institué par la loi du 1er juillet 1992 et modifié par la loi du 10 mai 1994, a repris l'essentiel des dispositions de la loi de 1985. Une loi récente, la loi n 2006-961 du 1 er août 2006 relative au droit d'auteur et aux droits voisins dans la société de l'information, est venue renforcer le dispositif répressif. Sur le plan pénal, la reproduction d'un logiciel autre qu'une copie de sauvegarde, de même que l'utilisation d'un logiciel non expressément autorisé, sont passibles d'une peine d'emprisonnement de 3 ans et d'une amende de 300 000 (art. L 335-2 et suivants du C.P.I.). De même, les bases de données bénéficient également d un régime de protection particulier prévu par le Code de la Propriété Intellectuelle (Art. L 341-1 et suivants du C.P.I.), récemment modifié par la loi n 2007-1544 du 29 octobre 2007 sur la lutte contre la contrefaçon : - La contrefaçon d'une œuvre de l'esprit, y compris d'un logiciel, de son, d'une image fixe ou animée (art. L 335-2 et L 335-3) - La contrefaçon d'un dessin ou d'un modèle (art. L 521-4) - La contrefaçon de marque (art. L. 716-9) Ce dispositif pénal vient encore d être renforcé par la loi n 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet (JORF n 0251 du 29 octobre 2009 page 18290), dite «loi Hadopi 2». Cette dernière loi en date comporte de nombreuses dispositions d ordre procédural de nature à faciliter la recherche et la constatation des infractions : elle vise principalement à autoriser les agents de la Haute autorité à constater les infractions à la protection des œuvres via internet et à recueillir les observations des personnes concernées. En outre, elle vient compléter l arsenal répressif de nouvelles peines complémentaires, notamment la peine complémentaire de suspension de l'accès à un service de communication au public en ligne pour une durée maximale d'un an, assortie de l'interdiction de souscrire pendant la même période un autre contrat portant sur un service de même nature auprès de tout opérateur. 18
Elle instaure également deux nouvelles infractions : la contrefaçon (déjà existante) «commise au moyen d'un service de communication au public en ligne» (art. L. 135-7 du CPI). la négligence caractérisée. Elle semble ainsi opérer une distinction entre le «pirate présumé» et l'abonné négligent (V. sur ce point : L. MARINO, «La loi du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur Internet», D. 2010, p. 160.) Extrait du site Internet de l HADOPI (www.hadopi.fr). L Hadopi met en œuvre un dispositif pédagogique de sensibilisation qui vise, par l envoi de messages d avertissement, appelés " recommandations ", à informer les internautes de leur obligation de surveillance de leur accès à internet afin qu il ne soit pas utilisé pour mettre à disposition ou reproduire des contenus numériques protégés par un droit d auteur. Après deux e-mails d'avertissement aux internautes qui pratiquent le téléchargement illégal, la Hadopi pourra en cas de nouvelle récidive, constituer un dossier et saisir le tribunal correctionnel (tous les TGI sont compétents) afin de demander la suspension de l'accès internet (un an maximum), et/ou une peine d'emprisonnement ainsi qu'une amende. (V. art. L. 335-3 et s. du Code de la propriété intellectuelle). Par ailleurs, si après avoir reçu deux recommandations de la part de l HADOPI, de nouveaux actes de contrefaçon sont accomplis à partir de son accès à internet dans l année suivant la présentation de la seconde recommandation, l abonné pourra être poursuivi pour «négligence caractérisée» pour s'être abstenu, sans motif légitime, de mettre en place un moyen de sécurisation ou pour avoir manqué de diligence dans la mise en œuvre de ce moyen ; Ces faits sont constitutifs d une contravention de 5 ème classe (1500 euros d amende encourus). Le juge 19
peut en outre prononcer une peine complémentaire de coupure d accès à Internet d une durée maximale d un mois (art. R. 335-5 du C. propriété intellectuelle issu du Décret du 26 juin 2010). A noter que les données ainsi collectées doivent être effacées au bout de deux mois après que les données ont été transmises à l HADOPI si aucune recommandation n est envoyée, dans un délai de 14 mois après l envoi d une première recommandation, non suivie d une seconde recommandation ; enfin dans un délai de 20 mois après envoi de la seconde recommandation. - La participation à la tenue d'une maison de jeux de hasard ("cybercasino") : Article 1 de la loi du 12 juillet 1983, modifiée par la loi du 16 décembre 1992. - Les infractions au Code de la Santé Publique : Trafic de stupéfiants Vente de médicaments sans autorisation de mise sur le marché B- Des règles de procédure spécifiques Pour lutter contre la cybercriminalité, une veille permanente des contenus illicites s organise sur l Internet, à l initiative des pouvoirs publics mais aussi d acteurs privés. Quant à la procédure pénale, plusieurs dispositions sont venues compléter le dispositif existant en vue de faciliter l établissement des infractions et l appréhension des coupables. Ainsi, la sécurité sur Internet se trouve au centre de plusieurs interventions législatives récentes : - loi relative à la sécurité quotidienne n 2001-1062 du 15 novembre 2001 - loi pour la sécurité intérieure n 2003-239 du 18 mars 2003 - loi portant adaptation de la justice aux évolutions de la criminalité n 2004-204 du 9 mars 2004 (Loi Perben II) - loi pour la confiance dans l économie numérique n 2004-575 du 21 juin 2004 - loi sur les communications électroniques et services de communication audiovisuelle n 2004-669 du 9 juillet 2004 - loi relative à la protection des personnes physiques à l égard des traitements de données à caractère personnel n 2004-801 du 6 août 2004 - loi relative à la prévention de la délinquance n 2007-297 du 5 mars 2007 Ces lois comportent toutes, de manière supplétive, des dispositions ayant comme objet de permettre la mise en place de procédures sécuritaires propres aux nouvelles technologies de l information et de la communication. Le législateur a clairement affirmé un objectif d adaptation des procédures sécuritaires aux nouvelles technologies. Quelles sont donc les nouvelles mesures pénales dans ces différentes lois? La loi Perben II a modifié en profondeur à la fois des dispositions de procédure pénale et des dispositions de droit pénal afin de renforcer la lutte contre les formes modernes 20