Xavier Le Cerf, "Lutte contre la cybercriminalité", 19 avril 2001

Lutte contre la cybercriminalité : le Projet de convention du Conseil de l’Europe sur la cybercriminalité

Par Maître Xavier Le Cerf
Avocat au Barreau de Nice
DESS en Droit des Systèmes d’Information
Chargé d’Enseignement au Centre International de Formation Européenne
Cabinet Caprioli Avocats

Résumé

En tant qu’espace de communication ouvert, l’Internet permet la diffusion de tout type d’information sans aucune contrainte géographique. Suivant la loi applicable dans le pays de destination de l’information, celle-ci pourra être considérée comme licite ou illicite, souvent en fonction de la force variable des principes de liberté d’expression et de respect de la vie privée.

Face à ces contraintes, une harmonisation internationale du droit et des procédures ainsi qu’une étroite coopération judiciaire est inévitable et particulièrement nécessaire pour contrer une cybercriminalité de plus en plus organisée et internationalisée. C’est l’objectif que se sont fixés les Etats membres du Conseil de l’Europe, conformément aux bases définies par le G8.

C’est précisément sur la base d'un "Etat de Droit Universel" que se négocient les termes d'une Convention du Conseil de l’Europe. Elle aura certes une vocation universelle mais demeure critiquable sur certains aspects. Ainsi sera franchi un palier dans la construction de cet "Etat de Droit international". L'Internet n'est pas qu'un accélérateur de la mondialisation des échanges et de l'économie, il est aussi un accélérateur de la mondialisation des normes.

Introduction

1. Il ne se passe pas une semaine sans que les médias ne rapportent une affaire liée de près ou de loin à l'utilisation frauduleuse des technologies de l'information. Chacun a en mémoire la récente affaire Yahoo![1] qui a ouvert une brèche dans le principe de territorialité du droit pénal. En effet, le magistrat français a condamné civilement et en référé une entreprise américaine, sur le fondement du droit pénal français[2], pour des faits qui ont été commis virtuellement sur le territoire français à partir du territoire américain et entend faire exécution de cette décision aux Etats-Unis ! Il y a dix ans, une telle décision aurait fait sourire le monde du droit. Et pourtant aujourd'hui, la société Yahoo! Inc. vient d’accepter de se soumettre à la décision du juge français – contradictoire avec son droit national – traduisant à sa manière la nécessité de voir s’appliquer un droit harmonisé (certains parlent déjà de droit universel) aux acteurs de l’Internet.

2. Par ailleurs, le jeudi 22 mars 2001 devait être interpellé par les experts informatiques de la Police de New York le criminel informatique le plus doué de ces dernières années. Abraham Abdallah restera dans l'histoire du crime informatique comme celui qui a escroqué plusieurs dizaines de millions de dollars à 200 des plus riches américains, dont nombre de personnalités des médias et de la "net économie", via les réseaux numériques, en dupant les plus prestigieuses banques internationales. L'usurpation d'identité, grâce aux technologies numériques est devenue depuis deux ans une activité criminelle particulièrement florissante aux Etats-Unis qui payent chèrement leur retard législatif en matière de protection des données à caractère personnel. Mais si Abraham Abdallah n'avait pas opéré depuis le territoire américain pour porter atteinte à des intérêts rattachés au territoire américain, comme l'auteur (fortement présumé) philippin du fameux virus « ILOVEYOU.exe » diffusé en mai 2000, quelques jours avant l'ouverture du Sommet du G8 de Paris sur la Cybercriminalité, nul doute qu'il surferait et sévirait encore.

I. Internet, accélérateur de la mondialisation des normes

3. A l’heure où le « village planétaire » tend à diluer le concept de nation, les mots de Cesare Beccaria, initiateur des principes fondamentaux de notre droit pénal, écrits il y a plus de deux siècles, nous interpellent sur l’application du droit pénal aux infractions commises sur l’Internet : « Si l'on veut prévenir les délits, il faut faire en sorte que les lois soient claires et simples, et que tous les membres de la nation unissent leurs forces pour les défendre, sans qu'aucun puisse travailler à les détruire »[3].

4. En tant qu’espace de communication ouvert, l’Internet permet la diffusion de tout type d’information sans aucune contrainte géographique. Suivant la Loi applicable dans le pays de destination de l’information, celle-ci pourra être considérée comme licite ou illicite, souvent en fonction de la force variable des principes de liberté d’expression et de respect de la vie privée.

5. En matière de criminalité informatique ou de criminalité informatisée – que l'on nomme ensemble usuellement "cybercriminalité" –, dès lors que le recours à l’appareil répressif est décidé par la victime ou par le Ministère Public, une réalité classique s’impose encore inévitablement : le droit pénal est l’une des expressions de la souveraineté des Etats et, en ce sens, il a une dimension territoriale. Or, l’Internet s’affranchit de toute contrainte territoriale. En effet, en matière pénale, le juge d’instruction et la police judiciaire recherchent classiquement et principalement à localiser et identifier l’auteur d’une infraction et à préserver les éléments de preuve pour matérialiser l’infraction qui peuvent se trouver sur le territoire d’un autre Etat.

6. Appréhender les comportements délictueux sur les réseaux se heurte à trois contraintes :

- l’anonymat qui peut très efficacement s’organiser sur les réseaux ;

- la volatilité des informations (possibilité de modifier et de supprimer des éléments de preuve quasi instantanément est inhérente à leur nature numérique) ;

- les comportements délictuels qui revêtent très souvent un caractère transnational.

7. Face à ces contraintes, une harmonisation internationale du droit et des procédures ainsi qu’une étroite coopération judiciaire est inévitable et particulièrement nécessaire face à une cybercriminalité de plus en plus organisée et internationalisée. Cette harmonisation, qui se fera sans aucun doute, est devenue une priorité majeure des Etats qui sont entrés dans la société de l'information, avec une volonté forte d'y associer le plus grand nombre d'Etats possible. Voici l’objectif que les Etats membres du Conseil de l’Europe se sont fixés, conformément aux bases qui ont été définies par le G8.

8. Lors du sommet du G8 de Paris sur la cybercriminalité, en mai 2000, le Président de la République Française a évoqué le « besoin d’un Etat de Droit international, un cadre juridique universel à la mesure du caractère mondial de l’Internet. Un cadre qui dans le respect des souverainetés, définisse les infractions soumises et fixe les procédures admises pour les établir et les réprimer ». C’est précisément sur cette base que se négocient les termes de la Convention de l’Europe qui aura une vocation universelle et que sera franchi un palier dans la construction de cet "Etat de Droit international".

9. Le Village Planétaire n'est pas qu'un concept marketing, il prend forme à une vitesse phénoménale au regard de l'histoire. Il aura fallu plus de cinquante ans pour bâtir une Union européenne et parvenir à une harmonisation des normes, parfois dans la douleur et à ce jour encore incomplète. Il faudra moins de trois ans pour bâtir un ensemble juridique cohérent, contraignant et quasi mondial qui ouvre la voie à une véritable harmonisation internationale. L'Internet n'est pas qu'un accélérateur de la mondialisation des échanges et de l'économie, il est aussi un accélérateur de la mondialisation des normes.

II. Le Projet de convention du Conseil de l’Europe dans sa rédaction du 9 janvier 2001

Projet N°25 consultable dans sa dernière version sur le site officiel du Conseil de l'Europe[4]

A. Historique

1. L'impulsion donnée par le G8

10. Le sommet des Chefs d’Etat et de Gouvernement du G7 qui s’est tenu à Lyon en juin 1997 a posé les bases de la réflexion en adoptant 40 recommandations à propos de la criminalité transnationale organisée et a décidé de confier aux experts respectifs des 7 la charge d’envisager les modalités de leur mise en œuvre. Les travaux des experts ont aboutit à l’adoption des « points de contact » et d’un plan d’action contre la criminalité liée aux hautes technologies lors d’une réunion des Ministres de l’Intérieur et de la Justice des 7 (avec la Russie, donc en fait des 8) à Washington les 9 et 10 décembre 1997.

11. En mai 1998, lors du G8 de Birmingham, les Chefs d’Etat et de Gouvernement ont confié à leurs experts le soin d’approfondir leurs travaux et ont décidé d’instaurer une étroite coopération avec le secteur industriel afin d’améliorer la lutte contre cette criminalité tout en assurant une "protection appropriée de la vie privée".

12. En octobre 1999 une nouvelle réunion des Ministres de l’Intérieur et de la Justice des 8 a décidé l’organisation du sommet du G8 de Paris en mai 2000 spécialement dédié à la cybercriminalité, devant préparer les réunions d’Okinawa (juillet 2000) et Berlin (octobre 2000).

13. Lors de ces trois sommets, les chefs d’Etat et de Gouvernement ont affirmé de manière unanime que la lutte contre la « cybercriminalité » ne se ferait pas sans une forte implication des acteurs privés du secteur de l’informatique et des grandes sociétés actrices du commerce électronique. Mais la matérialisation de cette coopération entre le secteur privé et la puissance publique devra se matérialiser, selon Jacques Chirac, par une corégulation, grâce à l’édification de chartes de sécurité et de qualité, de labellisation des sites Internet pour lesquelles la Loi viendrait en complément subsidiaire.

14. Les Etats-Unis d’Amérique qui sont partisans de la création d’une cyber-police mondiale permettant de poursuivre les cybercriminels au-delà des frontières et qui pourrait au besoin court-circuiter les systèmes judiciaires nationaux ont tempéré leur position pour se rapprocher quelque peu de la vision européenne de coopération policière et judiciaire.

15. Les USA entendent défendre en priorité les intérêts de l’Etat alors que l’Union européenne préfère privilégier le respect de la vie privée, des droits de l’Homme et la souveraineté des Etats. Les Etats-Unis ont donc tempéré quelque peu leur position. Il faut cependant souligner que cette petite concession est intervenue en filigrane lors de la négociation avec la Commission européenne sur les flux transfrontalier de données nominatives en provenance de l’Europe (accord intervenu le 31 mai 2000). Les Américains se devaient de démonter qu’ils offraient un niveau de protection suffisant à ces données conformément aux exigences de la Directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995[5]. Sur le point de la protection des données à caractère personnel, les américains commencent à mesurer les dégâts du retard de leur législation. En effet, le nombre de fraudes, de délits ou de crimes commis par les usurpateurs d’identités – qui en outre font des usurpés les cibles de la Police et de la Justice ! – est en pleine expansion.

16. Quelques jours avant la réunion de Berlin où se sont réunis les spécialistes de l’Internet des pays du G8, le Chancelier allemand Gerard Schröder avait déclaré solennellement lors d’un discours à Hanovre que « la criminalité sur l’Internet est un problème mondial (…) qui nécessite des mesures mondiales, un travail international mieux coordonné et surtout des normes minimales obligatoires ».

17. Malgré les bons augures de la réunion de Paris et les discours quasi unanimes des chefs d’Etat, réaffirmés à Okinawwa, la réunion de Berlin qui devait aboutir à une traduction concrète laisse les Huit assez loin du consensus, laissant apparaître des "divergences culturelles". Les experts des Huit réunis à Berlin se sont surtout concentrés sur quelques problèmes techniques concernant notamment la coopération entre les différentes polices nationales et ont confirmé ce qui avait déjà été décidé à Paris, c’est-à-dire la mise en place de « points de contacts » entre les 8.

18. En effet, le chef de la délégation Italienne, Giuliana des Papa a reconnu que « la mise en place de normes communes doit prendre en compte toutes sortes de différences culturelles (…) Nous ne sommes pas encore en position d’en établir pour ces problèmes ». Le chef de la délégation canadienne, Donald Pigaroff, renchérit en déclarant que les Etats-Unis, "ont des lois très dures sur le respect de la liberté d’expression. Ainsi, des conduites qui pourraient être interdites dans un certain nombre de pays ne peuvent ne pas l’être aux Etats-Unis ».

19. Néanmoins, les huit pays les plus industrialisés de la planète ont pris conscience que la confiance du consommateur et des entreprises ne se ferait pas sans un haut niveau de sécurité juridique et technique. Le constat a été fait que les Etats pris individuellement sont parfaitement impuissants face au crime organisé via l’Internet et qu’une coopération active et quasi instantanée entre les autorités judiciaires et policière du plus grand nombre de pays, au-delà des membres du G8, de l’Union européenne et même au delà des 41 membres habituels du Conseil de l’Europe siégeant à Strasbourg, au risque de voir se constituer des « paradis d’Internet » – que nous appelons pour notre part des paradis informationnels – selon Monsieur Chevènement, alors Ministre de l’Intérieur, qui mettrait à mal tout l’édifice juridique et par conséquent une bonne part de l’économie mondiale. C'est sur le principe d'un Etat de Droit international que se négocient les termes du Projet de convention du Conseil de l'Europe.

2. Les travaux du Conseil de l'Europe

20. Les travaux du Conseil de l’Europe ont débuté au début des années quatre-vingt, par l’adoption d’une Convention sur la protection des donnés personnelles à l’égard du traitement automatique de données, en vigueur depuis le 1^er octobre 1985, puis l’élaboration de recommandations sur la criminalité en relation avec l’ordinateur et sur les problèmes de procédure pénale liés aux technologies de l’information.

21. Le Conseil de l’Europe a créé, au début de l’année 1997, un comité d’experts sur la criminalité dans le « cyberespace » chargé d’élaborer un projet de convention internationale sur les nouvelles formes d’infractions commises dans le cyberespace, les aménagements des législations nationales susceptibles de faciliter la coopération internationale, les adaptations nécessaires des instruments procéduraux d’investigation (perquisition des systèmes informatiques, valeur des preuves électroniques…), les conflits de compétence entre juridictions et les questions de coopération internationale en matière d’enquêtes informatiques.

22. L’objectif fixé et annoncé était d’achever les travaux à la fin de l’année 2000, c’est pourquoi il est opportun de faire, de manière objective, le bilan d’un projet de convention internationale qui concernera non seulement tous les praticiens du droit pénal, qu'ils soient policiers, magistrats ou avocats, mais également tous les citoyens et les sociétés liées à l'économie des réseaux numériques. Dans sa 25^ème mouture, pour ainsi dire dans sa rédaction quasiment aboutie, il est particulièrement utile de porter la substance de ce Projet de convention à la connaissance des praticiens.

B. Les orientations du projet au 9 janvier 2001

23. Le Conseil de l’Europe qui a déjà émis un certain nombre de recommandations relatives à la criminalité liée aux télécommunications et aux technologies de l’information N° R (85) 10, N° R (88) 2, N° R (89) 9 et N° R (95) 13, est parfaitement conscient des bouleversements engendrés par l’immixtion des technologies de l’information dans la vie quotidienne, sociale, administrative et économique au sein d’Etats de plus en plus interdépendants en raison d’une globalisation économique inévitable et finalement acceptée comme telle par la plupart des Nations.

24. Le Conseil de l’Europe met l’accent sur une harmonisation des législations nationales en déterminant des qualifications juridiques minimales et communes aux Etats adhérents, des infractions liées à l’utilisation des technologies de l’information ainsi que sur la coopération policière et judiciaire en opérant un rapprochement des procédures pénales nationales.

25. Le projet ainsi élaboré a pour vocation annoncée dans son Préambule – dans le respect de la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe (1950) et du Pacte International relatif aux Droits Civils et Politiques des Nations Unies (1966) – de « compléter [les Conventions existantes du Conseil de l’Europe sur la coopération en matière pénale ainsi que les autres traités similaires conclu entre les Etats membres du Conseil et d’autres Etats] en vue de rendre plus efficaces les enquêtes et procédures pénales portant sur des infractions pénales en rapport avec des systèmes et données informatiques, ainsi que de permettre la collecte des preuves électroniques d’une infraction pénale ».

C. Les infractions visées

26. Les Etats Parties à la Convention, s’engagent à adopter en conformité avec leur droit interne des législations qui définissent un certain nombre infractions ainsi que leur tentative de commission, tout en laissant aux Etats une marge d’adaptation plus ou moins large selon les faits visés.

27. La manière dont sont rédigées les articles concernant chaque infraction visée laisse une latitude suffisamment grande à chaque Etat pour les intégrer dans son droit interne sans pour autant bouleverser ou heurter son ordre juridique. Il s'agit à notre sens d'une précaution intelligente qui permettra une adoption et une adhésion suffisamment large de la Convention, afin que son efficacité soit significative au plan international.

28. La contrepartie de cette souplesse est une probable disparité entre les transcriptions dans les droits internes, qui ne manquera pas de susciter des débats entre avocats et magistrats lorsqu’il s’agira de chercher à poursuivre et à condamner un individu dans un pays pour des faits commis dans un autre, ou à assurer sa défense. Par exemple, il est possible que dans un pays une "infraction" visée par le Projet de convention soit pénalement sanctionnée (au sens commun du droit français), mais que dans un autre elle le soit "civilement" ou "administrativement", suivant les procédures habituelles du pays en question.

29. En effet, au terme du Projet, les Etats doivent prendre les mesures nécessaires pour que les infractions visées soient sanctionnées par des « sanctions effectives, proportionnées et dissuasives y compris la privation de liberté ». Ils doivent adopter des législations incriminant les infractions suivantes :

1. Infractions contre la confidentialité, l’intégrité et la disponibilité des données et systèmes informatiques

30. Sont ainsi incriminés l’accès illégal, les interceptions illégales, l’atteinte à l’intégrité des données, l’atteinte à l’intégrité du système et les abus de dispositifs informatiques permettant la commission d’infractions. Ces incriminations reprennent globalement la substance de la Loi Godfrain du 5 janvier 1988[6].

2. Falsifications et fraudes informatiques

31. Sont incriminées les modifications, altérations de données informatiques lorsqu’elles sont utilisées aux fins de paraître légales ou authentiques, ainsi que toute atteinte au fonctionnement d’un système informatique dans l’intention d’obtenir sans droit un bénéfice économique quelconque.

32. Dans la mesure où la tendance est à la reconnaissance de l'équivalence de l'écrit électronique à l'écrit papier sur le modèle de la Loi-type de la CNUDCI ; voir pour la France la Loi du 13 mars 2000 sur l'adaptation du droit de la preuve aux technologies de l'information[7] et, au plan européen, la Directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques[8].

3. Pornographie enfantine

33. Sont incriminées toutes les productions, mises à disposition, diffusions, ou détention d’images de pornographie enfantine concernant des mineurs de 18 ans, voire de 16 ans en fonction du droit interne de chaque Etat.

34. Cette disposition, particulièrement attendue par le grand public, est davantage symbolique qu'une nécessité purement juridique. En effet, rares sont les Etats qui n'ont pas légiféré ou qui n'ont pas de règles de prohibition en matière de protection des mineurs. En réalité, la difficulté vient davantage de la non-application par certains Etats de leur propre législation pour des raisons de corruption ou de politique pénale devant composer avec les moyens matériels et humains à disposition et, par conséquent, procéder à une définition de priorités qui laissent apparaître de fait une certaine permissivité ou, tout au moins, une inertie judiciaire.

35. C'est en réalité la différence entre les seuils de la majorité qui risque de poser des difficultés, notamment pour les pays qui opèrent une distinction entre la majorité civile et la majorité sexuelle.

4. Infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes

36. Sont incriminées les atteintes aux droits protégés en vertu notamment du Traité de l’OMPI, de la Convention de Berne et de l’Acte de Paris.

37. Le Projet prévoit ainsi un durcissement de la protection des droits de propriété intellectuelle par le fait que les atteintes seront systématiquement pénalement sanctionnées. Du point de vue français, cela ne bouleversera pas l'ordre juridique puisque l'actuelle victime d'une atteinte à un droit de propriété intellectuelle (contrefaçon) a le choix entre la voie civile à vocation purement indemnitaire, et la voie pénale à vocation répressive et indemnitaire par constitution de partie civile. En revanche, il faudra procéder, en l'état du Projet, à des ajustements législatifs pour ce qui est des droits voisins (droits connexes dans le Projet de convention). Pour d'autres pays, il s'agira de modifier substantiellement l'état actuel du droit.

5. La responsabilité pénale des personnes morales

38. Cette responsabilité peut être pénale, civile ou administrative lorsque les faits définis dans la Convention ont été commis par une personne physique ayant le pouvoir d’engager ou de représenter la personne morale ou lorsqu’elle exerce sur elle un contrôle. Elle doit être établie indépendamment de la responsabilité pénale des personnes physiques ayant commis les faits.

39. En droit français, il est possible d'engager la responsabilité pénale d'une personne morale sous la condition que le législateur l'ait exclusivement prévue. Des adaptations législatives seront donc, là aussi, à prévoir.

D. Les procédures

40. Les Etats Parties à la Convention ont l’obligation d’habiliter leurs administrations respectives à perquisitionner les systèmes informatiques, à saisir des données et à imposer aux personnes concernées de fournir les données en leur possession, de conserver les données « vulnérables » ou de les faire conserver par les personnes concernées. Les Etats pourront également intercepter les données transmises sur les réseaux et par voie de télécommunication, ce qui nécessite inévitablement la coopération des fournisseurs de services Internet et des opérateurs de télécommunications. La mise en œuvre de ces procédures devant respecter le principe de confidentialité.

41. Les mesures prévues par la Convention sont applicables en droit interne à toutes les enquêtes et procédures pénales relatives aux infractions définies dans la Convention ainsi qu’à toute infraction commise au moyen d’un système informatique ou pour la collecte de preuves électroniques concernant une infraction pénale quelconque. Cette précaution vise à permettre une souplesse procédurale afin de rendre applicable la coopération procédurale lorsque l’enquête nécessite des investigations sur des moyens informatiques. La mise en œuvre des procédures doit être proportionnée avec la nature des circonstances de l’infraction et s’inscrire dans la conformité de l’ordre juridique interne et respecter les droits de l’Homme.

1. Conservation et injonctions de produire des données stockées dans un système informatique et des données de connexion

42. Les Etats ont pour obligation d’adopter les mesures nécessaires afin de pouvoir enjoindre à une personne où à une entreprise de conserver certaines données informatiques stockées ou des données de connexion relatives à une infraction pénale, sous le sceau du secret procédural, notamment lorsque ces données risquent de disparaître ou d’être modifiées et de pouvoir les divulguer à l’autorité compétente de l’Etat Partie. De la même manière les Etats doivent habiliter leurs autorités compétentes à avoir le pouvoir d’enjoindre aux personnes présentes sur leur territoire et aux fournisseurs de services Internet à communiquer les informations en leur possession.

43. Par la loi du 1^er août 2000 réformant celle du 30 septembre 1986 sur la liberté de communication, la législation française encadre la responsabilité et les obligations des fournisseurs d’accès à l’Internet (FAI) et des fournisseurs d'hébergement. Elle leur impose d’identifier leurs clients bénéficiant de services d’accès à l’Internet et leur donne obligation de conserver et de communiquer ces données identifiantes sur réquisition de l’autorité judiciaire. Toutefois elle ne précise pas combien de temps les FAI ont l’obligation de conserver ces données, ni ce qu'il convient d'entendre par autorité judiciaire[9]. Par ailleurs, les personnes physiques ou morales, dont l’activité est d’éditer un service de communication en ligne autre que des correspondances privées, doivent s’identifier précisément et tenir ces informations à la disposition du public.

44. Cette disposition du Projet de convention ne bouleversera pas l'état du droit d'autant que la Loi sur la Société de l'Information devrait venir préciser et renforcer les dispositions actuelles. Il n'en demeure pas moins qu'il s'agit de la disposition la plus controversée et qui est sévèrement critiquée par nombre d'association de défense des droits de l'Homme. En effet, il lui est reproché de transformer les prestataires de service de l'Internet en "auxiliaires de justice". C'est le spectre du Big Brother, que certains voient planer sur les réseaux numériques, qui viendrait renforcer un dispositif déjà très puissant "d'écoute" permanente (sniffing) tels qu'Echelon (dépendant de la National Security Agency et impliquant, outre les Etats-Unis, divers pays européens dont la Grande-Bretagne) ou Carnivor (FBI).

2. Perquisitions et saisies de données informatiques stockées

45. Les autorités compétentes d’un Etat doivent pouvoir perquisitionner et saisir les informations relatives à une infraction liée à l’utilisation de l’informatique.

46. La question des perquisitions à distance et transfrontalières dans des systèmes informatiques implantés dans un Etat Partie, à partir d’un autre Etat, a été abordée. Aucune position commune n’a cependant pu être adoptée, ni aucune mesure technique concrètement envisagée. Cette question est défendue par les USA qui préfèreraient voir en lieu et place du système de coopération judiciaire et d'entraide, instaurer une véritable "cyberpolice" internationale qui se jouerait des frontières.

47. A cette omission volontaire, plusieurs raisons : la souveraineté des Etats est directement atteinte par de telles pratiques, et certaines Nations demeurent réticentes à dévoiler qu’elles disposent déjà d’un arsenal technologique leur permettant d’opérer ce type de « visites » dans des systèmes d’information étrangers sans laisser de traces…

48. En ce qui concerne la France, les dispositions pénales permettent déjà de saisir tout type d'information dans le cadre d'une enquête judiciaire. Néanmoins le législateur prévoit dans le Projet de Loi sur la Société de l'Information de modifier les articles 56 et 97 du Code de procédure pénale en complétant le concept de "documents" par celui de "données informatiques" et le concept de "pièces" par celui de d'"informations" et en organisant la saisie ou la copie des données informatiques. Le législateur précise également la possibilité pour l'autorité judiciaire de pouvoir faire appel à tout organisme compétent afin d'obtenir une version "en clair" des données lorsqu'elles ont été chiffrées.

3. Collecte en temps réel de données informatiques et interception de données relatives au contenu

49. Les autorités compétentes des Etats Parties pourront collecter les données de connexion et intercepter les données relatives au contenu directement ou en contraignant les fournisseurs de services Internet.

50. La rédaction de ce projet d'article permettra à chaque pays d'adapter un système d'interception à sa législation interne. Pour ce qui est de la France, l'autorité judiciaire a déjà la possibilité de procéder par voie de réquisition auprès des opérateurs téléphoniques qui ont l'obligation de fournir les données de connexion[10]. En ce qui concerne le contenu des communications, c'est le régime classique sur les écoutes téléphoniques (procédure judiciaire) et les interceptions de sécurité (procédure administrative) qui a vocation à s'appliquer, sans qu’il y ait a priori besoin de profondes modifications.

E. La Coopération Internationale

1. Principe général de coopération

51. Le Projet de convention du Conseil de l’Europe prévoit que les traités et accord internationaux de coopération en matière pénale seront applicables aux infractions et procédures définies dans la Convention.

2. Extradition

52. Les règles d’extradition sont subsidiaires aux autres traités existant entre les pays, à la différence que ces traités devront intégrer des possibilités d’extradition pour les infractions prévues à la Convention. L’extradition est possible lorsque la peine maximale encourue dans les deux pays en cause est au moins égale à un an d’emprisonnement.

53. Cette disposition sur l’extradition est à notre sens particulièrement intéressante, surtout pour les policiers et les magistrats, puisqu'il deviendra possible d'obtenir une extradition auprès d'un pays membre de la Convention dès l'instant qu'une incrimination prévue à la Convention est invoquée, même auprès d'un Etat avec lequel il n'a pas été conclu d’accord bilatéral de coopération judiciaire d’extradition.

54. En effet, la criminalité étant de plus en plus informatisée, surtout lorsqu’elle est organisée, la Convention sur la cybercriminalité permettra sans doute d’obtenir l’extradition de personnes, sur le fondement d’une infraction informatique qui en fait ne sera qu’une infraction accessoire ou connexe à un tout autre crime (terrorisme, trafique de stupéfiant, prostitution enfantine, blanchiment d’argent, …) par un Etat adhérent mais qui n’a pas pour habitude de permettre les extraditions. La limite est que l'individu ne pourra être extradé que lorsque la peine maximale encourue (sur l'infraction visée par la Convention) dans les deux pays en cause sera au moins égale à un an d’emprisonnement.

55. Chaque Etat Partie à la Convention devra déposer au Secrétariat Général les coordonnées de son autorité compétente en matière d’extradition. Mais il est sous-entendu que les demandes d’extradition traditionnelles, c’est-à-dire passant par la voie diplomatique demeurent applicables.

3. Entraide des Etats Parties

56. Les Etats s’engagent à répondre le plus rapidement possible aux demandes d’entraide (communication de certaines informations, perquisition aux fins de les obtenir, mesures provisoires de saisie) d’un autre Etat Partie, sauf lorsque l’infraction poursuivie est considérée comme une infraction politique, ou que le fait d’accéder à la demande risque de porter atteinte à sa souveraineté, à sa sécurité, à son ordre public ou à d’autres intérêts essentiels. Cette large exception au principe d'entraide risque de fortement grever l'efficacité d'un dispositif qui restera toujours soumis à une décision de blocage en dernier recours, de nature politique.

57. Seulement dans les cas d’urgence, ou lorsque la mesure demandée n’est pas coercitive les autorités judiciaires peuvent s’adresser directement à leurs homologues à condition d’en informer les autorités centrales dans les meilleurs délais. Les Etats doivent en outre désigner une autorité centrale chargée de traiter les demandes d’entraide, mais la communication peut se faire directement par l’intermédiaire d’Interpol. La communication des informations peut également se faire de manière spontanée par les Etats Parties.

58. Les demandes d’entraide se font donc en principe d’Etat Partie à Etat Partie, c’est-à-dire de manière administrative, entre les autorités centrales désignées par chaque Etat. Cela signifie que les Etats peuvent désigner un service d’une autorité judiciaire ou un service dépendant d’une administration dépendant d’une autorité ministérielle ou politique. La communication ne se fait directement entre autorités judiciaires que lorsqu’il y a urgence ou lorsque la mesure demandée n’est pas coercitive.

59. Sans doute aurait-il été plus ambitieux de prévoir des coopérations directes entre autorités judiciaires, avec par exemple une section de la coopération internationale au sein d’un parquet ou d’une juridiction d’instruction d’un tribunal désigné dans chaque Etat.

F. Analyse critique du Projet de convention

60. Outre les critiques formulées au fur et à mesure de l'analyse du texte et, notamment, de l'absence de réelle coopération directe entre systèmes judiciaires au profit d'une coopération entre Etats, ce Projet de convention est l'objet d'un certain nombre de critiques qui vont de la forme au fond. Certaines sont à retenir dans la perspective d'améliorer le texte dans la perspective de respecter les droits de l'Homme sans porter atteinte à l'efficacité nécessaire et attendue des mesures envisagées.

1. Le choix du cadre du Conseil de l’Europe

61. Le cadre du Conseil de l'Europe, tel qu'il a été choisi pour l'élaboration de la future Convention Internationale sur la répression des infractions commises sur les réseaux, paraît être le moins mauvais choix en ce qu'il permettra l'élaboration d'un texte juridiquement contraignant pour les Etats adhérents au Conseil de l’Europe et permettra l'adhésion à ce texte d'autres Etats qui ne font pas partie de l'Europe des 41 (Etats-Unis, Japon, Australie ont déjà manifesté leur intérêt et l'Inde pourrait rejoindre les groupes de travail).

62. Une difficulté importante est que ces Etats "tiers" doivent répondre à certains critères démocratiques, au niveau institutionnel et constitutionnel, pour y adhérer, ils doivent se soumettre à l'approbation de ceux des quarante et un pays membres qui l'ont déjà fait. Or, si ces conditions ne sont pas à remettre en cause puisqu’il n'est pas concevable qu'un Etat ne répondant pas à des critères minima de démocratie et d’engagement de respect des droits de l’Homme devienne membre du Conseil de l’Europe, en ce qui concerne la criminalité sur l’Internet peut-être serait-il envisageable qu'un pays, non "parfaitement démocratique" selon les critères habituels du Conseil, puisse tout de même s'engager dans la lutte contre la criminalité sur les réseaux aux côté des Etats Européens ?

63. D’autres forums sont également envisageables et servent la cause de la lutte contre la cybercriminalité, dont les Nations Unies et l'OCDE.

Les Nations Unies (ONU) ont abordé la question de la criminalité de haute technologies sous plusieurs angles :

- deux résolutions adoptées par l’Assemblée Générale concernant la protection des individus, ont tracé des lignes directrices sur les flux informatiques de données personnelles (en 1989) et des lignes directrices sur la réglementation des fichiers informatiques de données personnelles (en 1990) ;

- à l’occasion de la 8^ème session de la Commission pour la prévention du crime et la justice pénale en 1990, les aspects purement répressifs ont été abordés. En 1994, les travaux se sont traduits par l’élaboration d’un manuel sur la prévention et la répression du crime informatique ;

- le 10^ème Congrès des Nations Unies pour la prévention du crime et le traitement des délinquants qui s’est tenu à Vienne (Autriche) du 10 au 17 avril 2000 a organisé un « atelier sur les délits liés à l’utilisation du réseau informatique ».

L’OCDE, par l’intermédiaire du Comité de la Politique de l’Information et des Communications (Comité PIIC), élabore des instruments sur le commerce électronique dont certains ont des répercussions dans le domaine de la cybercriminalité. L’OCDE a adopté des lignes directrices dans le domaine de la sécurité des systèmes d’information : le 26 novembre 1992 sur la définition des standards minimums et le 27 mars 1997 en matière de cryptographie.

2. La portée de la future Convention du Conseil de l’Europe

a. Le caractère contraignant

64. La Convention sera un complément de la Convention Européenne d’Extradition, ouverte à la signature le 13 décembre 1957, à Strasbourg, de la Convention Européenne d’Entraide judiciaire en matière pénale ouverte à la signature le 20 avril 1959 à Strasbourg, ainsi qu’au Protocole additionnel à la Convention Européenne d’Entraide Judiciaire en matière pénale ouvert à la signature le 17 mars 1978 à Strasbourg.

65. L’aspect réellement contraignant reste à démontrer puisque le Projet de convention ne prévoit pas de délai impératif de transposition et d’adaptation des stipulations dans les ordres juridiques internes, ni de sanctions en cas de carence dans la transposition, ou dans l’application de la mise en œuvre des procédures. Par ailleurs, les autorités judiciaires d’un pays désirant obtenir des données liées à une « infraction informatique » se heurteront toujours dans certains pays à une inertie d’origine politique.

b. Des atteintes aux libertés disproportionnées ?

66. Les critiques de ce texte ont été légions. Elles ne concernent pas tant les définitions des infractions que les possibilités de perquisition, de saisie des données ainsi que les obligations de communication pesant sur les fournisseurs de service informatique. Les critiques les plus virulentes proviennent du regroupement Global Internet Liberty Campaign (GILC) relayé en France par l’association Imaginons un Réseau Internet Solidaire (IRIS). Les associations de défense des droits de l’Homme sur les réseaux considèrent le projet de texte contraire à la Déclaration Universelle des droits de l’Homme et à la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe.

67. On peut effectivement craindre que l’obligation faite par l’article 17 du Projet de convention, aux fournisseurs d’accès à l’Internet d’enregistrer et de conserver les données de connexions des abonnés présente des risques d’atteinte à la vie privée et au régime de protection des données nominatives définit par la Directive n° 95/46/CE du 24 octobre 1995. Certains y voient là un moyen de surveillance des minorités sociales, ethniques, religieuses ou politiques.

68. A l'opposé, la France s'apprête à adopter une législation (Loi sur la Société de l'Information) plus protectrice des libertés. En effet la LSI devrait prévoir, en son Chapitre III article 17 et 18 insérant des articles L. 32-3-3 à L. 32-3-5 au Code des Postes et Télécommunications, un principe général d'effacement ou d'anonymisation des données de connexion, avec un régime dérogatoire de conservation pour une durée maximale de une année pour les cas de collaboration avec la justice et pour les hypothèses de conservation liée à la facturation pour la durée au cours de laquelle la facture peut être légalement contestée. Ces dispositions devront être précisées par décret pris en Conseil d'Etat suivant avis de la Commission Nationale de l'Informatique et des Libertés (CNIL).

69. Les critiques américaines portent, jusqu'à présent, davantage sur les définitions des infractions et sur l’absence de normes techniques permettant de procéder à des interception fiable des connexions sur l’Internet pouvant avoir valeur de preuve[11].

c. La question des moyens matériels et humains à mettre en œuvre

70. Mettre en place des procédures spécifiques liées aux technologies de l’information, notamment des procédures d’enquête, nécessite la mise en place de moyens matériels et humains. Or, le Projet de convention, s’il contraint les Etats adhérents à prendre les mesures législatives ou réglementaires, ne prévoit pas les moyens minimums à mettre en œuvre.

71. Il est certain que les Etats qui n’ont pas de retard technologique, ou qui chercheront à utiliser la Convention à des fins de politique interne, mettront les moyens matériels et humains en place. Mais les autres pays même s’ils sont partie à la Convention, demeureront, faute de moyens suffisants, de parfaits paradis informationnels que ne manqueront pas d’utiliser les professionnels du crime organisé sur les réseaux, tout en ayant acquis une respectabilité d'apparence en matière de lutte contre la cybercriminalité.

X.L.C.

Notes

[1] TGI Paris, référé, 20 novembre 2000, Juriscom.net : <http://www.juriscom.net/txt/jurisfr/cti/tgiparis20001120.htm>.

[2] Article R-645-1 du Code pénal.

[3] Cesare Beccaria, Des délits et des peines, Librairie Droz, Genève, 1965, § XLI. Moyens de prévenir les délits ; Flammarion, Paris, 1991, p. 169.

[4] <http://www.conventions.coe.int/treaty/FR/projets/cybercrime25.htm>.

[5] Directive entée en vigueur et d’application directe dans notre droit interne depuis le 25 octobre 1998 faute d’avoir été transposée à cette date.

[6] Articles 323-1 à 323-7 du Code pénal.

[7] Eric A. Caprioli, "Ecrit et preuve électroniques dans la loi n°2000-230 du 13 mars 2000", JCP 2000, éd. E, cah. dr. Entr.

[8] JOCE L.13, du 19 janvier 2000, p.12 et s. Voir Eric A. Caprioli, "La loi sur la preuve et la signature électroniques dans la perspective européenne", JCP 2000, G, I, 224 et Eric A. Caprioli, "La Directive européenne n°1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques", Gazette du Palais, numéro spécial Gazette Européenne n°25 du 29 au 31 octobre 2000, p.5 et s.

[9] Les demandes d'un OPJ semblent a priori exclues.

[10] La prestation est facturée environ 600 F.

[11] Comments of the US. Council For International Business, September 1, 2000,<http://www.uscib.org>.