L’évolution de la criminalité organisée a été étudiée par des spécialistes comme Xavier Raufer, qui a publié Cyber-criminologie en 2015 [1], ou encore Jean-François Gayraud, dont nous nous permettons de citer un passage de ses travaux en la matière :
« Contrairement à une idée reçue, le cyberespace – Internet et les médias sociaux – n’est pas le territoire d’évolution d’une criminalité nouvelle et originale. Il y a simplement translation de la criminalité du monde physique vers cet univers déterritorialisé et logique. Si différence il y a, elle tient aux possibilités inédites d’anonymat et d’impunité qu’offre un espace par nature sans frontières et où les possibilités techniques de dissimulation sont permanentes. L’ancienne dialectique du bouclier et de l’armure se répète à l’ère du numérique dans la course sans fin entre ceux qui chiffrent et anonymisent leurs données et ceux qui tentent de les percer. » [2]
La protection des données et des systèmes de traitement informatisés est aujourd’hui observé dans le cadre d’un mouvement général de protection, puisque, outre les outils juridiques français, l’Union européenne a elle aussi considéré comme nécessaire de renforcer le cadre juridique en matière de cybersécurité, avec la directive du Parlement européen et du Conseil du 6 juillet 2016 [3] concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union [4], dont l’entrée en vigueur n’est intervenue que récemment, avec le décret d’application du 25 mai 2018 [5].
Le coût réel est extrêmement important, puisqu’il peut rapidement se chiffrer en centaines de milliers d’euros, voire en millions d’euros. En effet, « un hacking coûte en moyenne entre 20 et 100 € par contact « hacké ». Ainsi, une entreprise qui dispose des données de 100.000 clients s’expose à un préjudice estimé entre 2 et 10 M € « non compressible » car la non-notification est un délit qui peut entraîner de lourdes sanctions. Mais le bilan peut très vite s’alourdir dès lors qu’il va falloir identifier les failles dans les systèmes informatiques, les réparer, s’assurer que les données « hackées » ne seront pas utilisées de façon malveillante, potentiellement payer des dommages et intérêts aux plaignants et le cas échéant, pour les entreprises cotées ou non, communiquer sur la place publique que tout est rentré dans l’ordre » [6].
De nombreuses législations et réglementations existent aujourd’hui, que ce soit en matière de fraude ou de contrefaçons, mais il sera vu brièvement ici les sanctions liées aux atteintes concernant les systèmes de traitement de données informatisés.
La loi de programmation militaire du 18 décembre 2013 [7], puis la loi du 24 juillet 2015 relative au renseignement [8] sont intervenues pour modifier les articles 323-1 à 323-3-1 du Code pénal, cela afin de prendre en compte les l’évolution des menaces afférentes aux nouvelles technologies. Désormais, le Code pénal prévoit ainsi des sanctions pour toutes les atteintes aux systèmes de traitement de données informatisés. En premier lieu, l’article 323-1 du Code pénal sanctionne l’accès ou le maintien frauduleux dans le système informatisé donné contre la volonté du détenteur de ce système.
De manière similaire, « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 € d’amende » [9]. Cette entrave est le pendant informatique du sabotage.
Étant donné l’importance des enjeux, notamment avec le risque de perdre des données lors d’un piratage informatique, l’article 323-3 du Code pénal sanctionne jusqu’à cinq ans de prison et 150 000 euros d’amende toute personne qui agit en vue « d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ». Cette forme de cyberespionnage est aggravée si « cette infraction a été commise à l’encontre d’un système de traitement automatisé des données à caractère personnel mis en œuvre par l’État, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende » [10].
En outre, avec la loi pour la confiance dans l’économie numérique du 21 juin 2004, il est inséré l’article 132-79 du Code pénal qui relève les peines privatives de liberté si « un moyen de cryptologie au sens de l’article 29 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission ».
Parce que de nombreux délits peuvent être commis avec ces nouvelles technologies, il est important que l’État puisse se doter d’un arsenal tant législatif que réglementaire en la matière, même si toute la difficulté réside dans le fait de déceler qui est l’auteur du délit qui se cache derrière son écran pour commettre de tels forfaits.
Au final, ce qu’il est possible d’en retenir, c’est qu’« à défaut d’être originaux, les crimes qu’on y commet pour motifs politiques ou de droit commun sont en revanche d’une intensité exceptionnelle en termes de préjudice. Le cyberespace est par nature peu administrable, voire incontrôlable et chaotique. Il défie les frontières et fait de la dissimulation des traces son principe actif." [11]