Les incriminations actuelles suffisent-elle pour couvrir l’évolution rapide des menaces cyber ? Les fuites de données et leurs conséquences, dans un contexte de guerre économique, sont-elles ou peuvent-elles être appréhendées pénalement en tant que telles ?

Myriam Quéméner, Avocat général près la cour d’appel de Paris

Myriam Quéméner : « Tout à fait. Je pense que nous avons un arsenal complet au niveau des infractions. Ce que l’on constate au niveau des poursuites et jugements, c’est une association, un panachage des atteintes aux systèmes de traitement automatisé de données (STAD) avec des infractions plus classiques, telles que l’escroquerie en bande organisée, l’abus de confiance et l’extorsion. Le blanchiment en bande organisée est également souvent retenu. La plupart du temps, nous avons l’association des deux, puisque les atteintes aux STAD illustrent le mode opératoire qui est utilisé par les cyberdélinquants. Les fuites de données peuvent entrer dans le champ de l’extraction de données, puisque, pour répondre au vol de données, le législateur a introduit cette notion d’extraction de données par la loi du 13 novembre 2014. Ce serait peut-être plutôt en matière de procédure qu’il faudrait prévoit quelques évolutions dans le sens d’une simplification. En outre, le regroupement des procédures souvent éparpillées sur le territoire national est important pour rendre l’action judiciaire plus efficace. Les efforts doivent donc plutôt porter sur la mise en œuvre de ces textes prévoyant les infractions et sur une politique pénale réaffirmée. »

Valérie Lafarge-Sarkozy, Avocate associée, cabinet Altana

Valérie Lafarge-Sarkozy : « En ce qui concerne les infractions, le législateur français a fait énormément d’efforts et maintenant, notre droit pénal est très adapté à ce type d’infractions. On les a bien détaillées dans le rapport et nous n’avons pas trouvé de « trous dans la raquette » si l’on peut dire ça comme ça. Et en effet, c’est plutôt le soutien aux enquêteurs, le développement des services d’enquête, les moyens qui leurs sont alloués, la coopération internationale, etc. qui doivent faire l’objet d’améliorations. Une fois que le cyberdélinquant ou le cybercriminel a été appréhendé, je pense qu’il n’y a pas tellement de difficultés pour qualifier les faits. En revanche, ce qui est plus difficile, c’est de le trouver et d’aller le "récupérer" ». Et nous l’avons vu encore récemment, la coopération interne et internationale dans ce contexte est indispensable pour démanteler les réseaux. »

Justement, dans le rapport, vous mettez en avant la montée en compétences des équipes en charge des investigations, de la poursuite et du jugement des infractions cyber. Vous évoquez également le rapprochement public-privé pour une meilleure compréhension technique des comportements. Pouvez-vous en dire un peu plus ?

Myriam Quéméner : « Il y a en effet une coopération public-privé qui se renforce, et je pense qu’il faut encore accentuer ces démarches. Et cela passe aussi par des formations pluridisciplinaires avocats, magistrats, services d’enquête. Cela doit se développer et même, à mon sens, être rendu obligatoire pour les magistrats qui ont en charge ces contentieux. Je me rends compte que, par exemple, certaines audiences, il y a une tendance - et c’est bien normal ! - à développer des arguments techniques qui ont tendance à vous égarer sur le plan juridique. Il faut donc, pour nous magistrats, connaître ces modes opératoires, qui sont quand même assez complexes et évolutifs. Et l’on constate d’ailleurs que les magistrats ont de plus en plus de contacts avec les services d’enquêtes spécialisés, les douanes aussi, pour décrypter ces modes opératoires. Il faut développer l’échange aussi avec les entreprises, qui ont subi une cyberattaque : des RETEX (retours d’expérience) sont organisés par les entreprises et souvent leurs avocats et je pense qu’il faut mutualiser ces réflexions. »

Valérie Lafarge-Sarkozy : « Je vois aussi les choses exactement de cette façon-là ! Il faut, à l’avenir, approfondir vraiment le partage d’informations techniques, avec les services d’enquête, avec les magistrats. Les services d’enquête sont compétents, formés, très habiles, chacun avec leurs spécialités. En revanche, ils manquent de moyens et de temps. Et du côté des magistrats, on peut constater que ceux-ci n’ont, pour l’instant, pas la spécialisation des services d’enquête. Les magistrats spécialisés sont aujourd’hui très peu nombreux ; il manque donc cette formation pour permettre aux magistrats d’être hyper spécialisés, pour pouvoir comprendre les arguments qui sont développés et pour pouvoir y résister ou y adhérer au choix, peu importe finalement, mais pour qu’ils puissent juger tout simplement. Une fois que le « miroir » sera fait du côté des magistrats, avec une spécialisation similaire de celle des services d’enquête, on aura fait un grand pas. Et c’est aussi l’objet de ce rapport : le risque cyber est tellement important en termes économiques et financiers, il faut avoir une justice adaptée à ce risque. »

Myriam Quéméner : « En complément, sur la spécialisation, c’est vrai qu’il y a, depuis 2016, une compétence spécifique pour la juridiction parisienne. On parle souvent les parquets spécialisés (le parquet national financier, le parquet antiterroriste, etc.) et cela ne se limite pas seulement au niveau du parquet, c’est bien toute la chaîne pénale qui est concernée. Mais seulement en première instance. Je pense qu’il faut aussi qu’il y ait des chambres spécialisées en cybercriminalité, et pas seulement en fraude et délinquance astucieuse en appel et en cassation. Il faudrait des services spécialisés en criminalité économique et financière et numérique. Cela passe aussi par le recrutement d’assistants spécialisés, comme c’est d’ailleurs le cas au tribunal judiciaire de Paris. Et cela pourrait se faire aussi en appel, pour pouvoir s’appuyer sur des cadres spécialisés Nous travaillons de façon encore trop souvent de façon artisanale. C’est donc un besoin de réorganisation et d’adaptation assez urgent selon moi. »

En matière de cybersécurité, la victime est la première à pouvoir amorcer la lutte contre le phénomène avec le dépôt de plainte. Or elles sont souvent réticentes à le faire. Que leurs diriez-vous ? Le rôle de conseil de l’avocat est-il plus large dans la gestion d’une crise cyber ?

Valérie Lafarge-Sarkozy : « C’est vrai, comme vous le disiez, l’avocat aussi se spécialise et affine ses compétences techniques. Il travaille lui aussi en synergie avec son écosystème pour accompagner son client. Avant le dépôt de plainte, il faut d’abord gérer la crise avec les entreprises spécialisées que nous connaissons, avec l’ANSSi aussi bien sûr, etc. Nous avons en effet tout un écosystème, qui nous permet d’assister et de rassurer nos clients victimes en amont du processus judiciaire. Pour ce qui concerne le dépôt de plainte, il importe en effet de faire prendre conscience que cela a un double impact c’est impératif et nécessaire pour eux ,mais cela aussi aide aussi la collectivité. Pour ce type d’attaques, c’est donc un geste civique. Et je n’ai jamais vu de plainte déposée pour ce type de faits qui soit elle-même à l’origine de fuites médiatiques pouvant nuire à la réputation de l’entreprise victime ! Le dépôt de plainte est important évidemment lorsqu’il permet l’indemnisation de la victime, mais aussi parce qu’il permet d’aller plus loin dans les processus de connaissance de ces réseaux criminels. »

La jurisprudence Kerviel pourrait-elle selon vous s’appliquer ici en cas de manque de prudence ou de diligences de la victime pour se protéger contre le risque cyber ? Cela pourrait-il avoir un effet « positif » sur la prise de conscience collective ?

Myriam Quéméner : « D’abord, je partage l’avis de Valérie sur le caractère civique du dépôt de plainte. Il est certain qu’il permet de faire des recoupements avec d’autres affaires, avec des modes opératoires identiques, etc. et cela permet de mieux comprendre et d’appréhender les faits et leurs auteurs. Et je pense aussi qu’il faut une responsabilisation des acteurs, y compris de l’internaute d’ailleurs. La chambre commerciale de la Cour de cassation a ainsi considéré qu’il faut rechercher s’il n’y a pas eu une négligence d’un internaute, alors qu’à un moment donné, les banques indemnisaient systématiquement en cas de phishing, ce qui n’est plus le cas. On va vers une responsabilité accrue et la sensibilisation est tout à fait fondamentale de ce point de vue là aussi. Et ce rapport est là pour contribuer à ça aussi. »

Valérie Lafarge-Sarkozy : « Il y a en effet déjà des décisions, en tout cas au civil, sur le partage de responsabilités. Et nous mettons évidemment en garde nos clients sur le sujet, pour leur dire qu’il faut se protéger pour que l’on ne puisse pas leur reprocher en l’état des connaissances, de leur métier, etc., de ne pas avoir suffisamment protégé leur entreprise. Mais il faut néanmoins faire attention parce que c’est extrêmement subjectif et qu’il faut garder à l’esprit que la victime s’est déjà fait hacker, donc peut-être ne pas inverser les rôles et ajouter une "double peine" en ce qui concerne l’indemnisation. Le rapport est à cet égard un outil d’aide aux entreprises, qui en sont les principales destinataires. »

Retrouvez l’intégralité du rapport du Club des Juristes « Le droit pénal à l’épreuve des cyberattaques » ici.