Cybercriminalité : La Convention du Conseil de l’Europe sur la cybercriminalité et la législation des Etats parties. Par Marion Boccaccio

Résumé : La Convention du Conseil de l’Europe sur la cybercriminalité met en place un système d’harmonisation des dispositions pénales nationales et de coopération internationale permettant de lutter efficacement contre les infractions commises dans le domaine informatique. Les Etats Partiesont dû l’incorporer mais peinent parfois à l’appliquer et à la rendre réellement effective.

 

 

          La Conventiondu Conseil de l’Europe de Bucarest du 23 novembre 2001 instaure un système de coopération internationale contre la cybercriminalité. En 1989, le Conseil avait fait une tentative d’harmonisation non contraignante en publiant des recommandations. Il dut cependant constater qu’elles n’avaient pas été suivies.  Il fallait donc que soit ratifié un instrument qui oblige les Etats à adopter des mesures pénales cohérentes de lutte contre la cybercriminalité.

          L’adoption de la Convention intervient dans un contexte mondialisé où les échanges d’informations sont démultipliés, dématérialisés et effectués à une vitesse accrue par des Systèmes de Traitement Automatisé de Données (STAD). Cette dématérialisation abolit les frontières et fait peser une menace majeure sur les acteurs internationaux qui doivent s’associer pour prévenir et condamner ces crimes d’un nouveau genre et dont le nombre connait une croissance exponentielle. Les virus informatiques tels qu’ «  I love you » , l’usurpation d’identité, la contrefaçon, le détournement de fonds ou encore les attaques à coup de « Denial of services » constituent un éventail d’infractions si large qu’il peut porter atteinte non seulement aux personnes privées mais aussi à l’édifice économique et politique mondial.

         Quarante et un Etats ont adopté la adoptent cetteConvention en 2001 alors que la France, les Etats-Unis et le Royaume-Uni avaient déjà mis en place des mesures de lutte contre la cybercriminalité. La Convention élabore un système inédit de coopération internationale prenant en compte l’absolue nécessité de réagir de manière extrêmement rapide à la cybercriminalité. Dans quelle mesure la Convention  se présente-t-elle comme un instrument de lutte contre la cybercriminalité à la fois novateur et insuffisant ?

 


 

L’unification des législations pénales, une mesure nécessaire mais insuffisante.

 

        La Conventiondoit appréhender deux sortes d’infractions. Les premières ne sauraient être commises que dans le domaine informatique. Ce sont celles qui portent atteinte à l’intégrité, à la disponibilité ainsi qu’à la confidentialité de l’immense variété des systèmes informatiques et des données qu’ils contiennent et diffusent. On identifie également les infractions traditionnelles qui sont réalisées en utilisant ces nouvelles technologies. Il s’agit notamment des atteintes à la vie privée, des incitations à la violence, de la diffamation. Les manières d’appréhender ces différents types d’infraction sont variables et traduisent le plus ou moins grand souci d’efficacité des systèmes juridiques en présence.

 

        La Conventionse situe au-dessus des systèmes nationaux en énumérant, tout au long de son chapitre II, les mesures à prendre par les Parties. Elle leur laisse cependant une certaine marge de manœuvre quant à l’incorporation de ces dispositions en droit national. Ses titres I et II reprennent la distinction entre les deux types d’infraction. Elle fait ainsi œuvre de clarté, de précision et de bon sens. Elle devient dès lors, réellement un outil au service des Etats en demeurant strictement circonscrite au domaine informatique tout en incluant des infractions qui en dépassent le cadre. Les rédacteurs en ont fait un instrument exhaustif et condensé. Ils proposent ainsi aux Etats une solide base de travail.  Cependant, les Etats ne sont pas contraints d’incorporer ce système à l’identique. Contraints de conserver le fond de la Convention, ils sont libres quant à la forme.  Or, ceci peut nuire à la compréhension des différents instruments nationaux par les Etats parties et rendre plus difficile le travail de coopération. 

        Ainsi, les Etats-Unis ont repris la présentation proposée par le Conseil de l’Europe en prenant le parti de l’unification. Dans un rapport qui accompagne l’US Code (Title 18. Part I. Chapter 47. §1030. Fraud and related activity in connection with computers), le législateur part également du constat que toute infraction dite « classique » peut être commise par voie informatique. La question se posait alors de savoir s’il était réellement nécessaire de créer un cadre juridique pour des crimes clairement identifiés commis sous une forme nouvelle ou s’il fallait au contraire un cadre juridique propre. Le choix de la seconde solution fut justifié par des considérations pragmatiques, au service de la justice. Dans une décision du 10th Circle (US v. Brown, 1991), les juges admettent que leur appareil législatif ne prévoit pas la commission de vol de biens intangibles. Or, le passage d’une criminalité tangible à une criminalité incorporelle rend bien plus grande la possibilité de commettre des crimes de grande ampleur, il est impensable de ne pas remédier à ce vide juridique efficacement. En plus de combler un vide juridique, cela confère un avantage pratique considérable. Les professionnels du droit américain sont dès lors libérés de la tâche de passer en revue l’intégralité de leur législation et les acteurs internationaux peuvent appréhender facilement et rapidement un système qu’ils seront inévitablement amenés à prendre en considération. Il est par ailleurs intéressant de constater que si les Etats-Unis sont parties à la Convention, ils ne sont pas membres du Conseil de l’Europe mais ont un statut d’observateurs. Or, sur ce point, ce sont eux qui ont le plus fidèlement incorporé la Convention.

          Au contraire, la France n’a pas suivi ce modèle. Au lieu de rassembler des dispositions législatives au sein d’un même instrument, elle a inséré des lois nouvelles ou complété des lois anciennes sans pour autant les regrouper. Le système français ne présente donc pas les qualités logiques et pragmatiques de la Convention ou du système américain. Il adopte une approche davantage fondée sur l’empilement et l’éparpillement. La loi Godfrain du 5 janvier 1988 a vocation à ne régir que les crimes commis dans l’environnement numérique. Elle a été complétée par des lois ultérieures sans pour autant devenir un corpus exhaustif et unifié de lois dédiées aux infractions propres à ce domaine. Ainsi, elle ne couvre pas nécessairement  les atteintes  à la vie privée ou la diffamation et la victime devra fonder son action sur d’autres dispositions législative. S’il n’existe aucun doute sur la capacité des juristes français à s’y retrouver, une telle approche nuit certainement à la coopération internationale. Celle-ci doit être rapide mais ne peut l’être si les acteurs doivent vérifier dans des sources diverses l’existence d’une incrimination, la compatibilité de plusieurs systèmes juridiques avec le système français.

 

        L’harmonisation des mesures pénales que prévoit la Convention constitue donc une étape nécessaire pour lutter contre la cybercriminalité. Elle n’est cependant pas suffisante. En ne contraignant pas les Etats à adopter des corpus de lois unifiées, elle nuit à la coopération internationale.

 

La coopération internationale, un outil partiellement efficace.

 

        Les hackers passent outre les frontières spatio-temporelles et les crimes peuvent ainsi être simultanément commis en tous points du globe. Il fallait que la Convention permette aux Etats de répondre à cette problématique entièrement nouvelle.  La réactivité doit être au cœur de la démarche préventive et répressive adoptée par les Etats. L’objectif est partiellement atteint. En effet, si certains mécanismes de coopération internationale semblent pouvoir fonctionner, ce n’est pas le cas des procédures d’enquêtes ou des techniques probatoires.

         Ces dernières sont prévues dans la Convention et c’est aux Etats de les instaurer (Chapitre II section 2). Or, en France comme aux Etats-Unis, les législateurs se sont heurtés à la difficulté de mener des enquêtes rapides afin de lutter contre la criminalité.

       Le système français n’a pas réellement su s’inspirer de la Convention et adapter ses pouvoirs d’enquêtes aux problèmes et aux enjeux de la cybercriminalité. S’il existe des dispositions du code de procédure pénale propres à l’univers informatique, la majorité des bases légales aux enquêtes ont une portée plus générale qui omet donc de prendre en compte le besoin de rapidité des enquêtes et la volatilité des preuves disponibles. Les juges français ont, quant à eux contribué à la mise en place d’un droit procédural propre à ce sujet. Il est cependant très lourd et les modes de preuves demeurent inadaptés. La présence d’un huissier est, par exemple, indispensable. Or,  elle ne peut pas être toujours assurée.  La mesure est donc non seulement en contradiction avec la collecte de données en temps réelle imposée par l’art. 20 de la Convention, mais elle retarde aussi l’enquête et les procédures.  Les hackers ont alors toujours un temps d’avance  sur les pouvoirs nationaux.

        La multiplicité des unités spécialisées dans la prévention de la cybercriminalité ralentit elle aussi l’enquête en retardant la centralisation du renseignement. La Brigade d’enquête sur les fraudes aux technologies de l’information, l’Institut de recherche criminelle de la gendarmerie nationale, la Brigade centrale de répression de la criminalité informatique ou encore l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication présentent autant de compétences que de risques de perdre le fil de l’infraction.  Les Etats-Unis font face à une difficulté similaire, celle de concilier les agences fédérales et les agences des Etats fédérés.

        Les dispositions de la Convention montrent que les contours et les implications de la cybercriminalité sont bien cernés et qu’il existe une réelle volonté de la combattre. Cependant, les moyens mis en œuvre aux niveaux nationaux n’assurent ni la rapidité ni la qualité de l’enquête  ce qui nuit à la bonne communication de ces résultats aux autres Etats.

 

        La Conventionsemble cependant plus efficace dans la mise en œuvre d’autres mesures relatives à la coopération internationale. Les agences internationales et régionales telles qu’Interpol ou Europol peuvent en effet constituer le lieu de la coopération et du dialogue interétatique et donc de la mise en œuvre de la Convention. Cette dernière prévoit la mise en place de réseaux 24/7. Des points de contacts sont mis en place d’un pays à l’autre et œuvrent à l’entraide internationale. Sur ce point encore, la Convention fait preuve de pragmatisme. Probablement conscients des lourdeurs des procédures d’extradition, les rédacteurs ont mis l’accent sur l’entraide internationale. Elle doit donc être rapide et non contraignante, les Etats ayant la possibilité de faire que ces échanges soient strictement confidentiels et ne portent pas sur des questions pouvant porter atteinte à la sécurité nationale d’un Etat Partie. Par ailleurs, de telles mesures relèvent directement du droit international et ne nécessitent pas forcément d’être transposées en droit interne. Il est en outre possible que des traités internationaux poursuivant cet objectif existent déjà.

 

        Ainsi, la coopération internationale est un objectif pleinement justifié (car indispensable) et réaliste (car des mécanismes tels que l’extradition préexistaient à la Convention). Sa mise en œuvre est pragmatique (car prenant en compte le besoin de confidentialité des Etats ou encore celui d’une vigilance permanente). Cependant, son efficacité est amoindrie en amont. Les Etats ayant instauré des pouvoirs d’enquête peu soucieux de la réalité et peu coordonnés, les informations transmises entre eux sont dès lors parcellaires voire obsolètes.

 

Un instrument novateur qui se heurte à des problématiques traditionnelles.

 

        Pour la première fois, un traité international contraint les Etats à agir ensemble contre la cybercriminalité. Rares sont les instruments internationaux qui reflètent autant la nécessité de lutter contre les attaques informatiques de manière réellement pragmatique et effective. La Convention fait des Etats parties des acteurs interdépendants, les obligeant ainsi à agir au plus vite pour défendre des intérêts communs. Cependant, outre la nouveauté de cette approche, des problèmes traditionnels, propres aux instruments internationaux demeurent.

 

       En tant qu’instrument international, la Convention doit réunir autour d’elle un grandnombre d’Etats afin d’être la plus effective possible. Néanmoins, si le bien-fondé d’un tel objectif n’est pas discutable, il faut souligner qu’une large adhésion est généralement conditionnée à la rédaction d’un document consensuel au risque d’en diminuer la force contraignante et donc de ne pas atteindre le but originel. Ainsi, à l’origine, la Convention excluait de son champ d’application la diffamation, l’injure, les atteintes à la vie privée. Malgré un rattrapage relatif avec l’adoption d’un protocole additionnel condamnant le racisme et la xénophobie en tant qu’infraction relative au contenu, cela prouve que les rédacteurs ont pris le parti d’un consensus sur des normes minimales communes. L’exemple de la diffamation, non présente dans la Convention, est révélateur. En plus de priver cette dernière d’un aspect important de la cybercriminalité, ce choix du consensus met en péril la protection des libertés fondamentales. En effet, la définition donnée par chaque système juridique à la diffamation élargit ou rétrécit considérablement le champ de la liberté d’expression. Ecarter la diffamation de la Convention permet aux Etats de continuer à contrôler la liberté d’expression sur leur territoire national. Ce risque est rendu d’autant plus réel que des Etats non membres du Conseil de l’Europe et donc non signataires de la Convention européenne de sauvegarde des droits de l’Homme peuvent ratifier cette convention.  Ainsi, la Convention est amputée d’un aspect courant de la cybercriminalité et ne concoure pas non plus au respect des libertés fondamentales.

        L’autre problème posé par la recherche du consensualisme et la nécessaire prise en compte de la souveraineté des Etats est celui de la mise en œuvre du droit international. Chaque Etat partie bénéficie donc de la possibilité de faire une application « à la carte » de la Convention. Ceci contribue également à amoindrir sa portée. Tout d’abord, ses modalités d’application sont variables. Certains articles peuvent ainsi être soumis à des conditions restrictives. C’est le cas des articles 2 et 3 qui rendent plus difficile la qualification des faits si les Parties le souhaitent en exigeant notamment une intention délictueuse dans le fait d’intercepter intentionnellement des données informatiques. D’autres articles tels que le 4§2, le 6 ou encore le 10 envisagent la possibilité d’une réserve à l’application de la Convention. Ces différents éléments sont la preuve d’une approche consensuelle élaborée dans le souci de mener une action répressive dans un cadre souple. Le bien-fondé d’un tel raisonnement n’est pas évident, vaut-il mieux un consensus large et faible ou une coopération plus étroite mais plus solide ?

       A l’inverse, cette souplesse peut aussi être l’occasion pour les Etats d’interpréter largement la Convention et de prendre des mesures critiquables sur le plan des libertés individuelles. L’exemple de l’art. 18 est révélateur. Il donne le pouvoir aux Etats d’ordonner à tout acteur de communiquer des données informatiques.  Ceci est une disposition fondamentale qui permet de mener à bien les enquêtes et sans laquelle la Convention n’aurait qu’une portée relative. Les fournisseurs de services sont évidemment visés par l’art. 18. Or, ces derniers doivent généralement garantir à leurs clients une protection de leurs données personnelles. Sur ce point, les Etats ont pris des dispositions ambigües.  Ainsi la loi française (L. n° 2007-297 du 5 mars 2007) vient-elle préciser la Convention en établissant que les fournisseurs d’accès à Internet n’ont pas d’obligation de surveillance vis-à-vis de leurs clients. Ils doivent néanmoins surveiller tout comportement suspicieux. La frontière est trop ténue entre ces deux types d’implication pour que l’individu soit pleinement rassuré. Des reproches similaires bien que beaucoup plus virulents furent adressés à l’encontre du législateur britannique lors de l’adoption du « Regulation of Investigatory Powers Act 2000 ». Les pouvoirs d’enquêtes concernent de près les individus et leurs données personnelles.  La Convention n’a pas su imposer un juste équilibre entre la nécessité de lutter contre la cybercriminalité et celle de protéger les libertés individuelles.  Elle n’a pas pu ou pas voulu trop préciser sa portée, laissant aux Etats le soin d’organiser la surveillance.

 

       En optant pour une harmonisation souple des législations nationales, les rédacteurs de la Convention ont parfois nuit à sa pleine et entière application et ont fait porter un risque sur certaines libertés individuelles. Par ailleurs, il est déplorable qu’en plus d’amoindrir la qualité du document, ce consensualisme ne soit pas parvenu au résultat espéré. En effet, elle n’a pas été ratifiée par tous les Etats membres du Conseil de l’Europe. Certains ne l’ont d’ailleurs même pas signée.  Il en va de même pour les Etats non-membres. Trente pays l’ont ratifiée mais dix-sept autres ne se sont contentés que de la signer.

(Cf. http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&CL=FRE)

 

       La Conventionest un instrument incontestablement novateur et ambitieux car il met en place un système de coopération internationale très réactif. Cependant, s  a mise en œuvre est rendue difficile au niveau national. Il faut que les Etats instaurent de bonne foi un système efficace qui rende effective les dispositions de la Convention et atteigne ses ambitions sans nuire aux libertés individuelles. Elle ne prend par ailleurs pas en compte un aspect bien spécifique de la cybercriminalité qui représente pourtant une menace majeure. Il s’agit d’une attaque électronique qui viserait expressément un pays ou un organe gouvernemental. Ce fut le cas récemment du Ministère français de l’Economie et des Finances dans le cadre de la présidence du G20, du Canada en janvier 2011 mais aussi de l’Estonie en 2007.  Ceci devrait faire prendre conscience à la communauté internationale de l’urgence qu’il y a à prendre des mesures réellement efficaces dans ce domaine. Il faut une volonté politique et une grande réactivité de la part des institutions qui ne semblent pas avoir pris la mesure d’un problème qui les rend tout autant vulnérables qu’interdépendants.


Bibliographie