Criminalité et nouvelles technologies : un enjeu international majeur

Source : https://pixabay.com/fr/illustrations/internet-crime-cyber-criminel-1862313/

Le développement des Nouvelles Technologies de l'Information et de la Communication (NTIC) affecte tous les aspectsde la vie humaine, modifiant ainsi notre quotidien. Depuis les années 1980, aucune définition formelle des NTIC n'a été explicitement établie. Certains auteurs ont tenté de définir cet acronyme sans nécessairement se mettre d'accord. À mesure que la technologie continue d'évoluer, il est alors difficile de fixer la portée de ce concept puisque depuis l'avènement du premier ordinateur en 1946 ou bien d'Internet en 1969, diverses formes de technologies et moyens de communication ont vu le jour. Cependant, l’apport de ces avancées n’est pas sans conséquence. Bien qu’elles facilitent nos recherches, nos communications, ou bien nos échanges, elles peuvent être préjudiciables pour le maintien de notre vie privée car en utilisant ces moyens les individus deviennent vulnérables et attirent les cybercriminels.

Cachés derrière l’anonymat d’Internet, les cybercriminels piratent nos boîtes mails, traquent nos mots de passe et volent nos coordonnées bancaires. La cybercriminalité atteint un niveau record, causant des milliards de dollars de perte aux acteurs économiques et aux particuliers chaque année. Toutefois, le concept de cybercriminalité n’est pas explicitement défini par le droit. En l’absence de précision, la Commission européenne avait clairement énoncé lorsd’une communication avec le Parlement européen en 2007 que « faute d’une définition communément admise de la criminalité dans le cyberespace, les termes de cybercriminalité, criminalité informatique ou criminalité liée à la hautetechnologie sont souvent utilisés  indifféremment ». Néanmoins, par la suite, la Commission européenne va venir apporter des éclaircissements sur la cybercriminalité en établissant trois catégories d’activités criminelles.

• -Premièrement, elle énonce les formes traditionnelles de criminalité, comme par exemple les escroqueries avec les fraudes ou bien la falsification d’information.
• -Deuxièmement, elle évoque les infractions propres aux réseaux électroniques, à savoir les assauts visant lessystèmes d’information, le piratage et le déni de service.
• -Troisièmement, elle cite la diffusion de contenus illégaux par voie électronique, tels que les harcèlements ou lesincitations à la haine.

Cependant, les clarifications faites par la Commission européenne n’étaient pas suffisantes. Certains pays membres,notamment la France,  estimaient que la cybercriminalité n’implique pas qu’une liste d’infractions soit bien définie. C’est pour cela, qu’en 2014 sous l’avènement des représentants du ministère de la Justice, du ministère de l’Intérieur, du ministère de l’Économie et des Finances, et du ministère de l’Économie Numérique, que le groupe de travail « Cybercriminalité » piloté par le Service Statistique Ministériel de la Sécurité Intérieure (SSMSI) a été créé. Le but ici était d’établir une définition complète à ce concept. Il a été convenu que « la cybercriminalité regroupe toutes les infractions pénales tentées ou commises à l’encontre ou a moyen d’un système d’information et de communication, principalement Internet ».

Toutefois, avec la complexité croissante de la technologie numérique, la vision alternative d’Internet semble s'infléchir. Diverses nouvelles formes de criminalité font leur apparition. Par exemple, avec l’essor du « Dark web », des marchés d’affaires illégaux ou de trafics de tout genre se multiplient. Pour accéder à ces accommodements, les utilisateursdoivent recourir à des sites et pages accessibles uniquement via certains protocoles et configurations tels que I2P « Invisible Internet Project » (Projet Internet invisible) ou TOR « The Onion Router » (le routeur oignon). En conséquence, la cybercriminalité est devenue une réalité qui ne peut être ignorée par le droit.

La mise en place d’un encadrement juridique de la cybercriminalité.

À l’ère du développement numérique et face à sa transformation, la cybersécurité est depuis longtemps un enjeu crucial pour l’État français. Dès les années 1980, avec le développement d’Internet, est apparue la loi Godfrain ou loi n°88-19 du 5 janvier 1988 relative à la fraude informatique. L’idée était d’insérer un chapitre consacré aux délits informatiques au sein du Code pénal. Afin d’encadrer ces procédures illégales, des sanctions économiques et pénales ont été mises enplace. Par exemple l’article 462-3 de cette loi disposait que « quiconque, aura, intentionnellement et au mépris desdroits d’autrui, entravé le  fonctionnement d’un système de traitement automatisé de données sera puni d’unemprisonnement de trois mois à trois ans et d’une amende de 10 000 francs à 100 000 francs ou de l’une de ces deuxpeines. »

Toutefois, bien que certains encadrements nationaux aient été posés, la lutte contre la criminalité ne pouvait pas se faire qu’au niveau national. Avec l’émergence des réseaux de cyber-délinquant, des personnes de tous les groupes ethniques étaient mobilisées. Face à cela, le Conseil de l’Europe a estimé que la sécurité des citoyens était de mise, et qu’il fallaitimpérativement remédier à ce phénomène. Devenue une priorité majeure de l’Union Européenne, dès les années 1997 le Comité d'expert sur la criminalité dans le cyberespace appelé comité PECY a été créé. Il était chargé d’édifier un projet de convention pour lutter contre les auteurs de délits criminels commis dans le cybermonde. Ce Comité était composéde divers experts en la matière. On y retrouvait des experts représentant les États membres de l’Union Européenne, ainsi que des experts venus d’autres pays comme la Colombie, les États- Unis ou bien le Canada. Par la suite, un projet de convention a été rédigé et tous les États étaient invités à sa signature lors d’une conférence organisée à Budapest le 23 novembre 2001. Dans cette période, une trentaine de pays, dont la France a signé et ratifié cette convention pénale à vocation universelle. La convention sur la cybercriminalité, est ainsi entrée en vigueur en France le 1er juillet 2004. Il s’agit ainsi, d’un texte pionnier visant à unifier les législations nationales des États ratifiant.

Cependant, en raison de l’opposition de diverses délégations entre pays, le Comité d’experts a rencontré des difficultésdans sa mission. Par exemple aucune mesure spéciale pour incriminer la discrimination raciale et la xénophobie sur Internet n’avait été prise. Pour certains États, notamment comme la Japon, le Canada ou bien les États-Unis, ce comportement est couvert par la liberté d’expression. En conséquence, un protocole additionnel à la Convention de Budapest a été établi. Adopté le 7 novembre 2002 par le Conseil de l’Europe et ouvert à la signature à Strasbourg le 28 janvier 2003, un enrichissement nécessaire à la Convention a été fait. Ce Protocole fixe deux objectifs. Premièrement, il vise à unifier le droit pénal matériel dans la lutte contre le racisme et la xénophobie sur Internet. Deuxièmement, sa finalité est d’améliorer la coopération internationale dans ce domaine. Au total, seuls 23 États ont signé ce protocole et divers pays notamment membres de l’Union Européenne ne l’ont pas fait. L’apport de cette convention et de son protocole est tout de même important. Par la suite, certains pays ont incorporé au sein de leurs droits nationaux, des éléments énoncés dans celle- ci. C’est le cas de la France. On a vu apparaître la loi pour la sécurité quotidienne du 15 novembre 2001, la loi d’orientation programmatique pour la sécurité intérieure du 18 mars 2003, ou bien la loi portant adaptation de la justice aux évolutions de la criminalité du 9 mars 2009.

Enfin, dans l’intention d’accompagner les législateurs et les organisations juridictionnelles nationales, certaines réglementations européennes ont été progressivement établies. Le but était de faire évoluer les normes dans le sens d’une répression efficace. Par exemple, la directive 2011/93/ UE relative à la lutte contre les abus et l'exploitation sexuels et la pédopornographie    du    13     décembre     2011     est     venue remplacer la     décision- cadre 2004/68/JAI. Il en est de même avec la directive 2019/713 du 17 avril 2019, concernant la lutte contre la fraude et la contrefaçon des moyensde paiement autres que les espèces. Toutefois, bien que des directives aient été établies, il reste à les appliquer et à les faire  respecter. C’est pour cela que la France s’est dotée de divers organismes pour lutter contre la cybercriminalité. En 2000, l’Office Central de Lutte Contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC) a été créé. Placé au sein de la Direction centrale de la police judiciaire, cet office détient une compétencejudiciaire en matière d’enquêtes sur les fraudes à la carte bancaire et les piratages.

Néanmoins, malgré l’augmentation des normes et des moyens de coopération, il reste tout de même des problèmesd’efficacité. Cela nous conduit à la question de savoir si le droit répressif de chaque État est à même de constituer seulune réponse à la cybercriminalité.

La difficulté d’une cohésion juridique internationale.

Le développement de l’accès à l’Internet permet d’échanger à travers le monde. Nos images, nos données personnellesvoyagent à travers les réseaux planétaires. Parallèlement, ce développement technologique a entrainé un nouveau typede criminalité. La mondialisation du phénomène rend compliqué son encadrement. En effet, l’accès mondial au réseau a permis à la cybercriminalité de se développer. Internet est devenu un nouveau moyen de communication et un nouvel espace d’opération pour les criminels. Les États, chacun de leur côté, ont mis en place des politiques de lutte contre la cybercriminalité. Cependant, pour être endigué, ce phénomène mondial nécessite une coopération juridiqueinternationale. Mettre en place une telle opération commune pour contrecarrer ce fléau transnational soulève denombreux écueils.

Il parait en effet très difficile malgré les institutions internationales crées de vaincre la cybercriminalité alors que les législations mêmes des pays sont différentes. Il est alors apparu nécessaire dans un premier temps de rapprocher les différentes législations nationales en termes de cybercriminalité. L’Union européenne a tenté ce rapprochement entre ses membres. L’harmonisation européenne s’est focalisée sur le problème de la définition des infractions mais a omisd’intégrer celui des sanctions. Afin de réussir à infléchir la cybercriminalité il parait pourtant nécessaire de rapprocherles différents droits pénaux nationaux notamment en ce qui concerne les procédures. Les solutions ainsi que les outilsamenés par l’Union européenne, laissent aux États membres de l’Union une trop grande autonomie. Cette dernièren’entraine pas une cohésion suffisante pour répondre au phénomène mondial de la cybercriminalité. Les textes nationaux ne sont donc pas impactés par les instruments européens (ou très peu) et demeurent alors inchangés : la disparité entre les législations des États membres perdure donc. S’il est difficile de créer une coopération à l’échelleeuropéenne cela s’annonce d’autant plus compliqué à l’échelle internationale.

Si au niveau mondial plusieurs initiatives ont été mises en place, leur réalisation se heurte à des problèmes notamment politiques. La Commission du désarmement et de la sécurité internationale de l’Assemblée générale des Nations Unies a adopté des résolutions sur les technologies de l’information et sur la question de sécurité. Ces résolutions sous-entendentde trouver un consensus entre les États. La réponse à la cybercriminalité se trouve dans la capacité des États à lutter ensemble, d’une même voix, et avec les mêmes armes. Trouver un consensus implique un compromis : le fait d’accepterde renoncer à certaines prérogatives nationales. Plusieurs États sont en effet réticents quant au fait de renoncer à leur pouvoir de régulation de l’Internet au profit des Nations Unies. Le frein a une politique internationale commune de lutte contre cette nouvelle criminalité se situe au niveau de la crainte de la perte de souveraineté des États.

S’ajoute à ces problèmes d’ordre politique des difficultés liées à la valeur des textes internationaux mis en place. En effet, ces textes n’ont aucune valeur juridique contraignante. Les États ne se voient appliquer aucune sanction s’ils violent ou ne respectent pas leurs engagements internationaux. Tout État peut donc gérer à sa guise et selon sa volonté propre ses politiques de défense contre la cybercriminalité. Ainsi, même si les pays adoptent chacun des règlesnationales importantes en matière de lutte contre cette nouvelle criminalité, chacune d’elles représentent un frein pour la mise en place d’une cohésion internationale. Il reste beaucoup trop de divergences entre toutes ces normes pourpermettre une réelle opération commune. Certains pays, comme la Chine ou bien la Russie, contrôlent déjà leurs réseaux Internet de façon très autoritaire au niveau national. Ils sont donc plus ouverts à des législations sévères et restrictives des libertés que le sont les pays occidentaux. Ces derniers considèrent que de telles politiques sont anti-démocratiques et portent atteinte aux droits fondamentaux comme la liberté d’expression.

Il existe encore une difficulté plus profonde pour mettre en place cette coopération anti- cybercriminalité mondiale. Le fait qu’Internet ait une forte emprunte des pays occidentaux, et notamment des États-Unis, freine l’acceptation d’une politique internationale. Par exemple, des pays en désaccord avec les États-Unis comme la Chine refusent de mettre en place une politique commune. Cet accord serait ressenti comme un affaiblissement de leur pouvoir étatique et pour d’autres comme la suite d’une hégémonie américaine.

Malgré la prise de conscience de tous les États de la nécessité d’établir une coopération mondiale pour lutter contre la cybercriminalité, des phénomènes de résistance persistent. Ces derniers sont dommageables, mais semblent inévitables et durables.

EncroChat : Exemple de cybercriminalité.

Malgré toutes les dispositions prises, et notamment en raison des difficultés énoncées précédemment, la cybercriminalité demeure toujours active sur le Réseau mondial. Pourtant, de nombreux exemples de coopération entre États montrentqu’une solution à la cybercriminalité est possible. En effet, on peut citer l’affaire EncroChat. EncroChat était une société qui fournissait des téléphones aux criminels de toutes sortes (trafiquants de drogue, d’êtres humains…) et de toutesnationalités. Les téléphones vendus 1 000 euros avec un abonnement de 3 000 euros par an étaient dotés d’un logiciel de messagerie instantanée chiffrée avec une suppression automatique des messages. Ils étaient très sécurisés : sans micro, sans système GPS… Les données des téléphones étaient ainsi indétectables par les autorités de sécurité.

Le cryptage, aussi appelé chiffrement, constitue le fait de transformer des données lisibles en format codé qui devientcompréhensible après un « décodage » de ce dernier. Cela est normalement conçu afin que les informations dites « du système informatique » ne puissent pas être utilisées par des personnes malintentionnées. Ce chiffrement a été conçupour protéger certaines informations comme par exemple, les données bancaires, ou bien les simples messages, en cas de piratage des données. Pour avoir accès à ces données chiffrées, il faut normalement avoir un accord légal. Cependant, certaines extensions ont été créées pour permettre aux forces de l’ordre d’y avoir accès afin de faciliter leurs enquêtes. Le souci est que cette ouverture a permis l’accès de ces données à des « hackers » professionnels. L’affaire EncroChat en est l’exemple parfait. Cette société est donc devenue une réelle arme pour les criminels du monde entier.

Ayant pris connaissance des activités illégales de cette société, une enquête a été ouverte. Cela a permis l’interception en temps réel de 120 millions de messages. Les enquêteurs ont alors pu surveiller les échanges entre cescriminels. Eurojust, qui est une agence de coopération judiciaire de l’Union européenne, a alors mis en place une équipe internationale pour mettre fin à ce trafic qui sévissait dans le monde entier et principalement sur le territoire européen. L’équipe néerlandaise et française par leur coopération, leur coordination, et un partage d’informations réel sontparvenus à stopper ce réseau de malfaiteurs.

La réussite de cette opération est liée au fait que l’enquête ait été menée conjointement par les différentes autorités de chaque État. Le succès n’a été possible de par le partage d’informations que chaque État détenait personnellement. Le fait de croiser les données a permis de réagir rapidement et ainsi d’arrêter ce trafic avant que les criminels n’aient pu se retourner. Cette affaire prouve donc que la coopération est très importante pour réussir à vaincre la cybercriminalitémondiale.

Auteurs : CLAUZEL Camille ; HADDI Sarah. 

BIBLIOGRAPHIE.

Normes juridiques et jurisprudence.

Droit national

• Loi Godfrain ou loi n°88-19 du 5 janvier 1988 relative à la fraude informatique.

Droit européen

• Directive 2011/93/ UE relative à la lutte contre les abus et l'exploitation sexuels et la pédopornographie du 13 décembre 2011.
• Directive 2019/713 du 17 avril 2019, concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces.

Institutions officielles.

• CONSEIL DE L’EUROPE, Bureau des Traités « Convention sur la cybercriminalité » [en ligne] https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/185 (consulté le 7 mars 2021).
• CONSEIL DE L’EUROPE, Bureau des Traités « Protocole additionnel à la Convention sur la cybercriminalité, relatif à l'incrimination d'actes de nature raciste et xénophobe commis par le biais de systèmes informatiques » [en ligne] https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/189 (consulté le 7 mars 2021).
• SENAT (site officiel), « Projet de loi autorisant l'approbation de la convention sur la cybercriminalité et du protocole additionnel à cette convention, relatif à l'incrimination d'actes de nature raciste et xénophobe commis par le biais de systèmes informatiques » [en ligne] https://www.senat.fr/rap/l04-321/l04-3210.html (consulté le 7 mars 2021).
• MINISTERE DE L’INTERIEUR, « Les défis de la mesure statistique de la cybercriminalité - Revue de la Gendarmerie Nationale » [en ligne] https://www.interieur.gouv.fr/Interstats/Actualites/Les-defis-de-la-mesure-statistique- de-la-cybercriminalite-Revue-de-la-Gendarmerie-Nationale (consulté le 6 mars 2021).
• JOISSAINS Sophie et BIGOT Jacques, « Cybercriminalité : un défi à relever aux niveaux national et européen », Sénat, 9 juillet 2020 [en ligne] http://www.senat.fr/rap/r19-613/r19-6137.html (consulté le 06 mars 2021).

Articles de doctrine.

• BENHAMOU Bernard et SORBIER Laurent, « Internet et souveraineté : La gouvernance de la société de l’information », Politique étrangère, autonome 2006 [en ligne] http://www.netgouvernance.org/politiqueetrangere.pdf (consulté le 05 mars 2021).
• BERTHELET Pierre, « Aperçus de la lutte contre la cybercriminalité dans l'Union européenne », Revue de science criminelle et de droit pénal comparé, 2018/I (N°I), Pages 59 à 74 [en ligne] https://www.cairn.info/revue-de-science-criminelle-et-de-droit- penal-compare-2018-1-page-59.htm (consulté le 5 mars 2021).
• DEPRAU Alexis, « Les réponses judiciaires face à la cybercriminalité », Village de la Justice, 4 juillet 2018 [en ligne] https://www.village-justice.com/articles/les-reponses-judiciaires-face-cybercriminalite,28927.html (consulté le 6 mars 2021).
• PEREIRA Brigitte, « La lutte contre la cybercriminalité : de l’abondance de la norme à sa perfectibilité » Revue internationale de droit économique, 2016/3, Pages 387 à 409 [en ligne] https://www.cairn.info/revue-internationale-de-droit-economique-2016- 3-page-387.htm (consulté le 5 mars 2021).

Thèse.

• BOOS Romain (sous la direction de Delphine BRACH-THIEL), La lutte contre la cybercriminalité au regard de l’action des États, Thèse dactyl., Université de Lorraine, 2016 [en ligne] https://tel.archives- ouvertes.fr/tel-01470150/document (consulté le 05 mars 2021).

Webographie (autres sources).

• FOLLOROU Jacques et UNTERSINGER Martin, « EncroChat, cette mystérieuse société technologique prisée par le crime organisé », Le Monde, 3 juillet 2020 [en ligne] https://www.lemonde.fr/pixels/article/2020/07/03/encrochat-une-societe- technologique-mysterieuse-prisee-par-le-crime-organise_6045126_4408996.html (consulté le 07 mars 2021).
• INTERNET SOCIETY, « Cryptage mondial menacé », Internet Society, 2021 [en ligne] https://www.internetsociety.org/fr/encryption/global-encryption-under-threat/ (consulté le 10/03/2021).
• HOLLEN Emma, « Quelle est la différence entre le deep web et le dark web ? », Futura Tech, 20 janvier 2021 [en ligne] https://www.futura-sciences.com/tech/questions-reponses/internet-difference-deep- web-dark-web-15026/ (consulté le 6 mars 2021).
• LE BUREAU DES AFFAIRE CRIMINELLES, « Retour sur l’affaire EncroChat », GEND info, 31 juillet 2020 [en ligne] https://www.gendinfo.fr/enquetes/2020/retour-sur-l-affaire- encrochat/ (consulté le 07 mars 2021).
• ROUSSEL Nicolas, « Définition- NTIC et TIC », I & Yoo, 3 février 2018 [en ligne] https://www.iandyoo.com/ntic-tic- definition/ (consulté le 5 mars 2021).