Village de la Justice www.village-justice.com

Cybercriminalité : L’impérieuse nécessité d’une généralisation du droit d’accès à un système informatique étranger. Par Pablo Nicoli, Avocat.
Parution : jeudi 18 juin 2020
Adresse de l'article original :
https://www.village-justice.com/articles/cybercriminalite-imperieuse-exigence-une-generalisation-droit-acces-systeme,35790.html
Reproduction interdite sans autorisation de l'auteur.

« Le temps où les données intéressant l’enquête étaient toutes stockées dans l’ordinateur du suspect est désormais révolu » [1].

Cette assertion du Groupe de travail interministériel sur la lutte contre la cybercriminalité semble se confirmer davantage d’année en année tant l’évolution des moyens technologiques a favorisé leur externalisation.

A cet égard, l’article 32 de la Convention du Conseil de l’Europe sur la cybercriminalité de 2001 - utilement nommé « Accès transfrontière à des données stockées, avec consentement ou lorsqu’elles sont accessibles au public » précise que :

« sauf pour les données informatiques stockées accessibles au public, quelle que soit la localisation géographique de ces données, l’accès transfrontalier à des données stockées sur le territoire d’un autre État est conditionné par le consentement légal et volontaire de la personne autorisée légalement à divulguer ces données au moyen de ce système informatique » [2].

C’est en 2016 que ces dispositions ont été codifiées aux deux premiers alinéas de l’article 57-1 du Code de procédure pénale relatif au régime des perquisitions numériques.

Toutefois, une problématique demeure objet de nombreux débats : celle de la perquisition transfrontalière opérée sur d’autres systèmes informatiques localisés à l’étranger et liés au système faisant l’objet d’une perquisition « nationale ».

A l’heure actuelle, les Officiers de Police Judiciaire en charge des investigations n’ont pas la possibilité légale d’accéder aux données contenues sur des systèmes informatiques étrangers connectés entre eux par Internet.

Cependant, force est de constater que la célérité et l’efficacité sont les pierres angulaires d’une enquête. Il serait donc fortement souhaitable de pouvoir étendre les perquisitions à l’ensemble des accès dont dispose l’utilisateur du réseau Internet.

A ce propos, la Chambre criminelle de la Cour de cassation a, dans un arrêt du 6 novembre 2013, précisé que s’agissant des données non publiques, s’il n’est pas préalablement avéré que ces données étaient stockées dans un système informatique étranger, l’officier de police judiciaire sera autorisé à les consulter [3].

En l’espèce, la Cour de cassation a accordé à l’article 57-1 du Code de procédure pénale l’interprétation la plus large possible en estimant que « l’article 32 de la Convention du Conseil de l’Europe sur la cybercriminalité n’était pas applicable en l’absence de preuve de stockage des données sut le territoire des Etats-Unis ».

En effet, pour le Conseil de l’Europe, les Nations Unies et la Communauté européenne, de telles perquisitions et saisies transfrontalières portent nécessairement atteinte à la souveraineté de l’Etat où les données sont stockées.

Un tel positionnement interpelle !

La corrélation entre perquisition électronique à distance et mise en péril des droits de la défense s’avère hautement discutable ; et ce, notamment au regard du fait qu’il est parfaitement possible d’obtenir le consentement de la personne habilitée à donner accès aux données stockées à l’étranger.

Cependant, en l’absence de consentement et lorsqu’il est certain que le système informatique en cause est situé à l’étranger, la perquisition transfrontalière s’avère impossible dans la mesure où l’article 121-2 du Code de procédure pénale préserve les droits du prévenu et consacre le principe selon lequel nul n’est obligé de contribuer à établir sa propre culpabilité.

De surcroît, l’entraide judiciaire, notamment orchestrée par les commissions rogatoires semble parfaitement désuète car les interventions dans l’urgence sont impossibles ; et ce, alors que les informations contenues sur ces systèmes informatiques sont par essence volatiles.

Dès lors, il ne peut qu’être soutenu qu’« une telle situation favorise l’impunité des délinquants compte tenu du recours de plus en plus fréquent à la localisation des données à l’étranger, au besoin dans des "cyber-paradis" » [4].

Face à des procédures si complexes et inadaptées en matière de perquisitions transfrontalières, la recherche d’une solution - consistant en un mécanisme international autorisant la perquisition des systèmes informatiques au-delà des frontières nationales, la saisie des données se trouvant sur les réseaux selon des modalités adaptées à l’urgence de la situation - semble manifestement s’imposer.

Cette coopération transnationale semblerait alors être en mesure de rassembler rapidement des données numériques comme moyen de preuve, ce qui s’avère d’ailleurs souvent déterminant dans le cadre d’enquêtes relatives à des actes de cybercriminalité.

De surcroît, une solution alternative résiderait dans le fait de recourir à l’autorisation préalable d’un magistrat dès lors que le consentement de la personne habilitée à autoriser l’accès n’a pas été recueilli.

Cette proposition aurait alors vocation à s’appliquer, notamment lorsque la personne légalement autorisée à consentir à la divulgation n’est pas déterminée ou dans l’impossibilité d’être trouvée lorsque par exemple, elle a pris la fuite ou qu’elle se trouve à l’étranger - ce qui est d’ailleurs le cas dans l’immense majorité des cas.

Le magistrat chargé du dossier agirait donc comme une autorité de substitution à même d’autoriser une perquisition transfrontalière.

Enfin, une ultime voie tendant à améliorer le mécanisme de la perquisition numérique transfrontalière serait celle tendant à instituer un « droit de suite » en précisant que dès lors qu’un système informatique est accessible initialement sur le territoire français, utilisé par une personne suspectée de crime ou délit commis sur le réseau Internet, l’ensemble des ramifications de ce système, y compris celles situées à l’étranger, seraient alors soumises aux mêmes modalités de consultation que celui situé en France [5].

Précisons enfin qu’il en est de même pour le système de la territorialité de la loi pénale française, qui se déclare compétente dès lors qu’un de ses éléments constitutifs a été commis sur le sol national.

Suivant cette logique, lorsqu’un crime ou délit commis sur le réseau Internet est localisé sur notre sol, les officiers de police judiciaire, dans le cadre d’une perquisition numérique au domicile du suspect en France, pourraient prolonger cette perquisition sur un système informatique étranger à distance, en lien avec ce dernier.

S’il est manifeste qu’aujourd’hui la cybercriminalité jouit d’une impunité crasse, il ne convient pas pour autant de renoncer à tout espoir et si la législation française peine à encadrer la lutte contre ce phénomène, les dispositifs nationaux de lutte contre la cybercriminalité pourraient - lorsque cela sera enfin devenu une priorité pour nos Gouvernements - connaître de notables avancées dans les années à venir.

Pablo Nicoli, avocat au Barreau de Paris. www.pnavocat.com

[1« Rapport sur la cybercriminalité », Groupe de travail interministériel sur la lutte contre la cybercriminalité, Février 2014

[3Cour. Cass., crim., 6 novembre 2013, n°12-87130 ; « L’enquête préliminaire concernant l’importation et le commerce de produits dopants », comm. Gaz. Pal., 8 novembre 2013.

[4Rapport sur la « cybercriminalité », Groupe de travail interministériel sur la lutte contre la cybercriminalité, Février 2014.

[5« Rapport sur la cybercriminalité », Groupe de travail interministériel sur la lutte contre la cybercriminalité.