A l’origine, la loi n°88-19 du 5 janvier 1988 relative à la fraude informatique [1] ou loi Godfrain était intervenue pour insérer dans le titre II du Livre III du Code pénal le chapitre III « De certaines infractions en matière informatique » comprenant lui-même les articles 462-2 et suivants du Code pénal.
Puis, la convention de Budapest du 23 novembre 2001 sur la cybercriminalité [2] impulsée par le Conseil de l’Europe est un traité qui aura une incidence sur les Etats la ratifiant en matière d’infractions informatiques.
Signée par la France le 23 novembre 2001, elle est ratifiée le 10 janvier 2006 et est entrée en vigueur en droit interne le 1er mai 2006, avec la loi du 19 mai 2005 autorisant l’approbation de la Convention sur la cybercriminalité [3].
La législation évolue, la ratification de la Convention sur la cybercriminalité et la loi pour la confiance dans l’économie numérique (LCEN) [4] est promulguée le 21 juin 2004 afin de transposer la directive 2000/31 du 8 juin 2000 ou « directive sur le commerce électronique » [5].
La loi du 21 juin 2004 comprend un titre III avec les articles 29 à 46, plus précisément le chapitre II est voué à la lutte contre la cybercriminalité aux articles 41 à 46. Sont insérés dans le Code pénal les articles 323-1 et suivants dans le nouveau chapitre III du titre II du livre III de la partie législative du Code pénal.
Les atteintes aux systèmes de traitement automatisé des données sont sanctionnées aux articles 323-1 à 323-7 du Code pénal. Par ailleurs, la loi du 24 juillet 2015 relative au renseignement est venue alourdir les amendes concernant des atteintes en doublant les sommes qui peuvent être demandées [6].
L’article 323-1 du Code pénal punit jusqu’à un an de prison et 15.000 € d’amende pour tout « fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ».
De même, le Code pénal prévoit aussi les atteintes aux données personnelles qui portent atteinte à aux libertés en lien avec l’informatique avec les articles 226-16 à 226-24 du Code pénal. Ainsi, l’article 226-16 du Code pénal prévoit que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300.000 € d’amende ».
Pour ce qui concerne l’escroquerie, cette infraction est visée aux articles 313-1 et suivants du Code pénal dans la mesure où ce sont très majoritairement des actes d’escroquerie qui sont constatées dans les infractions informatiques parce que les escroqueries y sont facilitées [7].
Appliqué à la délinquance informatique, « l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque à fournir un service ou à consentir un acte opérant obligation ou décharge » [8].
En outre, afin de limiter la cybercriminalité, l’article 2226-14-1 du Code pénal punit le délit d’usurpation d’identité d’un an d’emprisonnement et de 15 000 € d’amende, délit « notamment constaté par la plateforme PHAROS [...] qui permet la dénonciation en ligne, aux forces de l’ordre, des actes de cybercriminalité » [9].
Si l’Etat protège ses traitements automatisés de données, les personnes privées peuvent aussi recourir à cette technique entravant les enquêtes et investigations comme l’indique François Molins, le procureur de la République de Paris pour qui « au moins huit smartphones n’ont pas pu être pénétrés dans des affaires de terrorisme ou de crime organisé » [10].
En réponse, la loi du 15 novembre 2001 sur la sécurité quotidienne a mis en place une sanction liée à l’absence de remise ou au refus de cette remise des clés de cryptographie [11] en insérant l’article 434-15-2 du Code pénal qui punit « de trois ans d’emprisonnement et de 270.000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du Code de procédure pénale ».
Par la suite, la loi pour la confiance dans l’économique numérique du 21 juin 2004 a alourdi les sanctions concernant la cryptologie si celle-ci sert à commettre un crime ou un délit [12], de telle sorte que le nouvel article 132-79 du Code pénal issu de la loi du 21 juin 2004 aggrave les peines encourues « lorsqu’un moyen de cryptologie au sens de l’article 29 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique a été utilisé pour commettre un crime ou un délit, ou pour en faciliter la commission ».
La réponse pénale concernant la pédopornographie existe en premier lieu à l’article 227-24 du Code pénal selon lequel « le fait de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu’en soit le support un message à caractère [...] pornographique ou de nature à [...] inciter des mineurs à se livrer à des jeux les mettant physiquement en danger, soit de faire commerce d’un tel message, est puni de trois ans d’emprisonnement et de 75.000 euros d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur ».
Surtout, cette réponse pénale est issue de la décision-cadre du 22 décembre 2003 relative à la lutte contre l’exploitation sexuelle des enfants et la pédo-pornographie [13] transposée par la loi du 4 avril 2006 renforçant la prévention et la répression des violences au sein du couple ou commises contre les mineurs [14] et, enfin, la loi du 5 août 2013 portant diverses dispositions d’adaptation dans le domaine de la justice en application du droit de l’Union européenne et des engagements internationaux de la France [15] qui modifie l’article 227-23 du Code pénal en ce sens et « vise à protéger les enfants victimes mais également l’image des mineurs en général et permet de réprimer les comportements liés à la diffusion d’images à caractère pédophile afin de lutter contre les représentations de mineurs en tant qu’objets sexuels » [16].
Les pôles d’instruction cybercriminalité.
Pour accompagner le travail des services ainsi que la législation et la réglementation luttant contre la cybercriminalité, François Molins, le procureur de la République de Paris a annoncé lors du discours de septembre 2014 de réorganiser le Tribunal de grande instance de Paris avec la Division économique, financière et commerciale composé du pôle cybercriminalité ou « section F1 » et une section financière, économique et commerciale ou « section F2 » [17].
Le pôle cybercriminalité ou « section F1 » est composée de deux magistrats et d’un assistant spécialisé [18].
Pour le moment, la compétence de la section F1 « est limitée aux affaires de système de traitement automatisé des données et faux ordres de virement. Les autres infractions commises par Internet continuent à relever de la compétence des sections en fonction de l’infraction d’origine, mais la section cybercriminalité aura vocation à intervenir en qualité de soutien technique aux autres sections chaque fois que le besoin se présentera » [19].
De manière complémentaire au pôle cybercriminalité du Tribunal de grande instance de Paris, la loi du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité [20] a inséré un titre XXV dans le livre IV du Code de procédure pénale dont le chapitre 1er porte sur la compétence des juridictions spécialisées. Les huit juridictions interrégionales que sont Bordeaux, Lille, Lyon, Marseille, Nancy, Paris, Rennes et Fort-de-France [21] fixées par le décret du 16 septembre 2004 [22] sont des juridictions spécialisées notamment dans les domaines fixés par l’article 704 du Code de procédure pénale qui se réfère notamment à l’article 323-1 du Code pénal sur les atteintes aux systèmes de traitement automatisé des données.
Au total, « selon la Chancellerie, 2 222 condamnations ont été prononcées en 2012 pour des crimes ou délits spécifiquement visés par la loi comme faisant partie de la cybercriminalité » [23].
Les réponses judiciaires et la création des pôles d’instruction cybercriminalité sont donc des interventions bienvenues pour faire face à l’évolution des nouvelles menaces criminelles, notamment pour la criminalité organisée, même si ces "réponses" devraient être accompagnées de mesures préventives afin d’anticiper ces menaces et d’éviter des conséquences notamment financières qui pourraient s’avérer être pharaoniques pour les victimes.