Actualité du droit pénal et nouvelles technologies

LEXBASE HEBDO n° 387 du Mercredi 17 Mars 2010 - Edition PRIVÉE GÉNÉRALE
[Pénal] Evénement
Actualité du droit pénal et nouvelles technologies
N4873BNS
Le 8 mars 2010 l'Association pour le développement de l'informatique
juridique (ADIJ) organisait une table ronde sur le thème "Actualité du droit
pénal et nouvelles technologies". Au programme de cette conférence, les
intervenants (1) ont abordé les enjeux de la révolution numérique au
quotidien pour les pénalistes, le renforcement des pouvoirs des chargés
d'enquêtes (réquisitions des données de connexion, déchiffrement...), la
valeur probante des preuves numériques, l'expertise comme moyen
d'investigation, la dématérialisation des procédures ou encore les enjeux
de la future loi d'orientation et de programmation pour la sécurité intérieure.
Comme l'a rappelé Christiane Féral-Schuhl, Avocat au Barreau de Paris et
présidente de l'ADIJ, la règle en droit pénal est qu'il ne peut y avoir de
sanction que si l'infraction est répertoriée dans le Code pénal. Or aujourd'hui, force est de
constater que la cyber-délinquance n'est pas intégrée dans le Code pénal. Selon un récent
sondage, 73 % des entreprises sondées ont déclaré avoir subi des pertes liées à des cyberattaques : usurpation d'identité numérique, vol de coordonnées bancaires, etc.. En témoigne
encore, ces derniers jours, la diffusion de mails censés émaner de la Caisse d'allocations
familiales invitant les internautes à se rendre sur un faux site de la CAF et à donner leurs
coordonnées bancaires pour recevoir une allocation d'un montant de 161,82 euros. Face à la
multiplication de ce type de fraude, deux questions se posent : comment appréhender les
coupables
?
Comment
et
quels
types
de
preuves
collecter
?
Le constat
La révolution numérique est en marche... Pour le pénaliste, qui arpente tout au long de la
journée couloirs et salles du Palais, la révolution numérique s'est traduite par la
numérisation des dossiers et la correspondance par mail avec les parquetiers et cela au
détriment des rapports humains, qui, eux aussi, ont été dématérialisés ! Or, selon Philippe
Sarda, avocat pénaliste et membre de l'Association des avocats pénalistes - ADAP, la
numérisation peut conduire à la rupture de l'égalité des armes entre l'accusation et le
respect des droits de la défense. L'égalité des armes sous-tend que chaque partie à une
procédure doit avoir des chances égales de présenter sa cause. Ce principe englobe la
notion selon laquelle chacune des deux parties à une procédure a le droit d'obtenir des
informations concernant les faits et les arguments de la partie adverse et doit avoir des
chances égales de répondre à l'autre.
La lutte contre la cybercriminalité dépassant très souvent le cadre national, l'avocat peut se
retrouver dans des conditions de mise en concurrence avec des avocats étrangers, ce qui
constitue indéniablement une nouveauté.
Un autre concurrent a également fait son apparition : le moteur de recherche... En effet, il
peut s'avérer dans certains cas bien plus rapide qu'un greffier pour la communication des
jugements !
Ainsi, on l'aura compris, internet et les nouvelles technologies obligent l'avocat d'aujourd'hui
à modifier sa façon de penser, de gérer et de solutionner ses dossiers.
Les moyens de lutte
Pour Myriam Quéméner, Avocat général à la cour d'appel de Versailles et Christian
Aghroum, Commissaire divisionnaire, Chef de l'Office central de lutte contre la
criminalité liée aux technologies de l'information et de la communication - OCLTIC, la
loi du 9 mars 2004 (loi n° 2004-204, portant adaptation de la justice aux évolutions de la
criminalité N° Lexbase : L7102GT9) a été une opportunité que le législateur n'a pas su
saisir. Hormis les dispositions relatives au mandat d'arrêt européen, la cybercriminalité n'est
pas intégrée dans le Code pénal. Depuis 2000, on constate néanmoins une prise de
conscience progressive, certaines dispositions législatives et règlementaires tentant de
remédier à cette carence (loi n° 2001-1062 du 15 novembre 2001, relative à la sécurité
quotidienne N° Lexbase : L7960AUD ; loi n° 2006-64 du 23 janvier 2006, relative à la lutte
contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles
frontaliers N° Lexbase : L4643HG3). Mais le constat d'une insuffisance des moyens
existants face à la rapidité des évolutions technologiques et numériques est vite apparu. En
effet, on se retrouve devant une utilisation croissante des réseaux numériques par les
délinquants agissant notamment en bande organisée et à des fins terroristes, et les enjeux
sont importants : sécurité, protection et respect des libertés individuelles, nécessaire
proportionnalité des mesures d'investigation attentatoires aux libertés et mesures ordonnées
sous le contrôle d'un magistrat.
Il est également nécessaire d'adapter le mode de perquisition. La loi n° 2004-575 du 21 juin
2004, pour la confiance dans l'économie numérique (N° Lexbase : L2600DZC) a précisé les
modalités de la saisie de support informatique : placement sous main de justice soit du
support physique des données, soit d'une copie réalisée en présence des personnes qui
assistent à la perquisition. A cet égard, l'article 57-1 du Code de procédure pénale
(N° Lexbase : L4455DG4) autorise les officiers de police judiciaire (OPJ) à accéder, au
cours d'une perquisition effectuée dans les conditions prévues par le Code de procédure
pénale, par un système informatique implanté sur les lieux où se déroule la perquisition à
des données intéressant l'enquête en cours et stockées dans ledit système ou dans un autre
système informatique, dès lors que ces données sont accessibles à partir du système initial
ou disponibles pour le système initial. Les données ainsi recueillies peuvent être copiées sur
tout support. C'est ce qu'il convient de qualifier de "saisie informatique" qui n'est pas
incompatible avec la saisie physique classique des supports de stockage informatiques
réalisée sur le lieu même de la perquisition.
Les perquisitions de systèmes informatiques connaissent cependant les mêmes limites
matérielles et géographiques que les perquisitions opérées dans le monde physique. Ainsi,
une perquisition ne peut s'effectuer que pour collecter des éléments de preuve de l'infraction
dont le juge a été saisi. Cet obstacle a une portée relativement minime en la matière dans la
mesure où la volatilité des éléments de preuve amenuise les chances de flagrant délit. La
seule limite légale au droit de perquisitionner est celle de l'accès à des données stockées
dans un système informatique situé en dehors du territoire national.
Concernant les interceptions de communications, elles sont applicables à internet et se
définissent comme une technique consistant à interposer, au moyen d'une dérivation sur la
ligne d'un abonné, un procédé magnétique d'enregistrement et de conversation. L'article 100
du Code de procédure pénale (N° Lexbase : L4316AZU) autorise, ainsi, le juge d'instruction
à procéder à des interceptions de correspondances émises par voie de télécommunication
lorsque les nécessités de l'information l'exigent en matière criminelle et en matière
correctionnelle si la peine encourue est égale ou supérieure à deux ans d'emprisonnement.
Par ailleurs, l'article 706-95 du Code de procédure pénale (N° Lexbase : L5776DYL),
modifié par la loi du 9 mars 2004, prévoit que les interceptions peuvent être autorisées par
le juge des libertés et de la détention sur requête du procureur de la République pour les
infractions énoncées à l'article 706-73 de ce code (N° Lexbase : L8494IB9), lorsque
l'enquête l'exige. Elles sont effectuées sous le contrôle du juge des libertés et de la
détention pour une période de quinze jours renouvelable une fois dans les mêmes
conditions de forme et de durée.
En matière de réquisitions informatiques, les articles 60-1 (N° Lexbase : L3499IGP) et 77-11 (N° Lexbase : L3463IGD) du Code de procédure pénale prévoient l'utilisation de
réquisitions informatiques au cours de l'enquête de flagrance, de l'enquête préliminaire ou
de l'instruction. L'article 60-2 (N° Lexbase : L2442IE8) dispose que, sur demande de l'OPJ,
qui peut intervenir par voie télématique ou informatique, les organismes publics ou les
personnes morales de droit privé mettent à sa disposition les informations utiles à la
manifestation de la vérité, à l'exception de celles protégées par un secret prévu par la loi,
contenues dans le ou les systèmes informatiques ou traitements de données nominatives
qu'ils administrent. L'OPJ peut, sur réquisition du procureur de la République,
préalablement autorisé par ordonnance du juge des libertés et de la détention, requérir des
opérateurs de télécommunications toutes mesures propres à assurer la préservation, pour
une durée ne pouvant excéder un an, du contenu des informations consultées par les
personnes utilisatrices des services fournis par les opérateurs.
Enfin, en matière de conservation des données, le législateur a souhaité remédier aux
difficultés soulevées par l'anonymat qui constitue l'un des principaux obstacles à l'enquête
pénale. Ainsi, la loi ("LCEN") impose-t-elle aux fournisseurs d'accès à internet une obligation
de conservation de ces données, moyens d'obtenir les éléments de preuve nécessaires
pour les besoins de la recherche, de la constatation et de la poursuite des infractions
pénales.
L'article L. 34-1 du Code des postes et des communications électroniques
(N° Lexbase : L3526IEC), tout en posant un principe d'effacement des données dès la fin
de la communication qui les a engendrées, définit les modalités de conservation de
certaines d'entre elles "pour les besoins de la recherche, de la constatation et de la
poursuite des infractions pénales ou d'un manquement à l'obligation définie à l'article L. 3363 du Code de la propriété intellectuelle (N° Lexbase : L8870IEA), et dans le seul but de
permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire".
Les opérateurs de communications électroniques sont tenus de conserver les données
relatives au trafic pendant une durée d'un an. Or, ici, face à la problématique qui s'est fait
jour, à savoir la durée qui varie d'un Etat à un autre, un réseau a été constitué, le G8H24,
regroupant les pays signataires de la Convention de Budapest sur la cybercriminalité
(N° Lexbase : L4858A8G), et permettant avec un échange de police à police, la
conservation des données le temps que l'enquête le nécessite.
Les intervenants relèvent également un nouveau problème, le cloud computing. Ce nouveau
concept consiste en la dématérialisation de l'informatique. Les entreprises ne sont plus
propriétaires de leurs serveurs informatiques mais peuvent ainsi accéder de manière
évolutive à de nombreux services en ligne sans avoir à gérer l'infrastructure sous-jacente,
souvent complexe. Les applications et les données ne se trouvent plus sur l'ordinateur local,
mais dans un ensemble virtuel composé d'un certain nombre de serveurs distants
interconnectés au moyen d'une bande passante. Or, le problème fondamental reste la
sécurisation de l'accès à l'application entre le client et le serveur distant : en effet, les postes
informatiques composant le réseau seront tous connectés à internet (directement ou non) et
ainsi exposés à des risques potentiels d'attaque.
L'avenir
Le projet de loi d'orientation et de programmation pour la performance de la sécurité
intérieure, adopté en première lecture par l'Assemblée nationale le 16 février 2010 va
apporter quelques améliorations au moins sur deux points.
D'abord, le projet envisage la création d'un délit d'utilisation frauduleuse de l'identité ou de
données à caractère personnel de tiers sur un réseau de communications électroniques.
Serait ainsi créé un nouvel article 222-16-1 au Code pénal qui réprimerait l'utilisation
malveillante, dans le cadre des communications électroniques, de l'identité d'autrui ou de
toute autre donnée personnelle, en vue de troubler sa tranquillité ou de porter atteinte à son
honneur ou à sa considération. La peine encourue par les auteurs de ce nouveau délit serait
d'un an d'emprisonnement et 15 000 euros d'amende.
L'idée est de combler un vide juridique en permettant de répondre à des actes malveillants
qui ne peuvent aujourd'hui tomber sous le coup d'aucune qualification pénale, ne constituant
ni une diffamation, ni un détournement de la correspondance d'autrui. Seront concernés par
la nouvelle incrimination, notamment, toute personne qui affilierait un tiers à un parti
politique ou une association en utilisant frauduleusement son adresse électronique ou tout
mari en instance de divorce qui utiliserait l'adresse électronique de sa femme pour adresser
un faux courriel à l'employeur de celle-ci dans le but de lui nuire... Dans un arrêt du 20
janvier 2009, la Chambre criminelle de la Cour de cassation a certes jugé que le fait d'utiliser
l'adresse électronique d'un tiers, lorsqu'il s'en est suivi un risque de poursuites pénales pour
cette personne, est constitutif du délit d'usurpation d'identité prévu à l'article 434-23 du Code
pénal (N° Lexbase : L1757AMZ) (Cass. crim., 20 janvier 2009, n° 08-83.255
N° Lexbase : A7580ETW). Il apparaît cependant que, dans d'autres affaires, la qualification
d'usurpation d'identité n'ait pu être constituée, dès lors que l'usurpation n'a eu aucune
conséquence juridique ou économique pour la victime, ce qui justifie qu'un nouvel article du
Code pénal incrimine spécifiquement l'usurpation d'identité sur Internet.
Ainsi, à la différence de l'article 434-23 du Code pénal, qui punit l'usurpation d'identité qui
accompagne la commission d'une infraction, le nouvel article vise à punir, de peines
d'ailleurs moins lourdes, le simple fait de se faire passer pour autrui, de manière réitérée et
dans le but soit de troubler sa tranquillité ou celle d'une tierce personne (envoi répété par un
individu A de courriels censés être envoyés par un individu B dans le but de troubler la
tranquillité d'individus C et D qui reçoivent ces courriels), soit de porter atteinte à son
honneur ou sa considération.
Seconde innovation majeure, le texte permettrait la possibilité de recourir à la captation à
distance de données informatiques dans les affaires de criminalité organisée. Cette
captation de données informatiques permettra aux enquêteurs, dans les conditions et selon
les formes prévues par de nouvelles dispositions du Code de procédure pénale, d'accéder
aux données informatiques des personnes visées par une enquête en matière de criminalité
organisée, telles que ces données s'affichent au même moment pour l'utilisateur sur son
écran ou telles qu'il les introduit dans l'ordinateur, par l'intermédiaire notamment d'un clavier
ou d'une souris. Elle aura pour effet de mettre l'enquêteur dans la situation de quelqu'un qui
observerait derrière lui l'utilisateur d'un ordinateur. Elle permettra ainsi, grâce à la lecture de
l'écran, de savoir avec qui un suspect est en contact par l'intermédiaire d'internet ou, grâce à
un logiciel de reconnaissance de frappe, de lire à distance un message destiné à être
envoyé crypté et auquel il serait impossible ou très complexe d'accéder au moyen d'une
interception puis de décrypter.
En revanche, la captation de données informatiques ne permettra pas d'accéder à distance
à l'ensemble des messages ou des documents qui pourraient être inscrits dans la mémoire
de l'ordinateur ou de son disque dur.
Actuellement, sont disponibles en vente libre dans le commerce à la fois des solutions
matérielles et des solutions logicielles susceptibles de permettre la captation de données
informatiques, telle qu'elle est envisagée par le projet de loi. Les solutions matérielles sont
de deux types : il peut s'agir soit d'un dispositif s'intercalant entre le clavier et le boîtier d'un
ordinateur de bureau, soit d'une carte d'extension pour ordinateur portable servant à
détourner les signaux électriques provenant du clavier. Le premier dispositif est presque
impossible à employer car il est aisément détectable, même s'il est introduit à l'intérieur
même du clavier. En revanche, le second dispositif est très discret, mais requiert qu'un port
d'extension soit libre sur la machine, ce qui est de moins en moins le cas. Dans la plupart
des cas, c'est donc un dispositif logiciel qui sera privilégié.
La captation des données pourra présenter un grand intérêt dans des affaires
particulièrement graves ou complexes, notamment en matière de terrorisme. Elle permettra
de démanteler plus rapidement des groupes criminels, en offrant aux enquêteurs la
possibilité d'accéder à des informations dont ils ne pouvaient pas disposer jusqu'ici. En effet,
aujourd'hui, les malfaiteurs ou les terroristes utilisent de plus en plus fréquemment des
périphériques (clés USB ou CD-ROM) pour ne pas laisser d'informations dans l'ordinateur,
rendant leurs données inaccessibles par le biais d'une perquisition. En outre, la pratique
policière montre que, le plus souvent, les malfaiteurs professionnels et les terroristes
utilisent aujourd'hui ces supports physiques à partir d'ordinateurs mis à leur disposition dans
les cybercafés et autres lieux publics ou privés pour rédiger ou consulter des documents qui
sont ensuite cryptés et ne sont pas transmis par un réseau de communication, ce qui
empêche leur interception lors de leur envoi.
(1) Christiane Féral-Schuhl, Avocat au Barreau de Paris Présidente de l'ADIJ, Philippe
Sarda, membre de l'Association des avocats pénalistes - ADAP, Myriam Quémener,
Avocat général à la cour d'appel de Versailles, auteure du livre "Cybercriminalité", Christian
Aghroum, Commissaire divisionnaire, Chef de l'Office central de lutte contre la criminalité
liée aux technologies de l'information et de la communication - OCLTIC, François Wallon,
expert en informatique agréé par la Cour de cassation, coresponsable de l'atelier ADIJ
"Cyberdélinquance", Vincent Nioré, Membre du Conseil de l'ordre, Secrétaire de la
Commission pénale de l'ordre et Yvon Martinet, Avocat au Barreau de Paris.
Anne-Laure Blouet Patin, Directrice de la rédaction
Copyright LEXBASE