Notes
-
[1]
Alessandro Pansa qui est à présent chargé des informations pour la sécurité auprès du chef du gouvernement (propos relatés par « L'Italie dresse un tableau édifiant sur la force de la mafia », Ouest France, 24 nov. 2017).
-
[2]
Communication conjointe de la Commission et du Haut représentant du 13 sept. 2017 intitulée « Résilience, dissuasion et défense : doter l'UE d'une cybersécurité solide » (JOIN(2017)450), p. 2.
-
[3]
Sur ce thème, v. B. Dupont, L'évolution du piratage informatique : de la curiosité technique au crime par sous-traitance, in AAPI, Association sur l'Accès et la Protection de l'Information (dir.), Le respons@ble 2.0 : Acteur clé en AIPRP, Cowansville : Yvon Blais, 2010, p. 63-81.
-
[4]
P.-É. Lavoie, Problèmes relatifs à la définition et à la mesure de la cybercriminalité, in F. Fortin (dir.), Cybercriminalité. Entre inconduite et criminalité organisée, Montréal : Presses internationales polytechniques, 2013, p. 3. « Force est de constater que ce terme a été utilisé à toutes les sauces et sert d'étendard sous lequel se rallie un ensemble de sous-catégories variables, elles-mêmes définies de diverses façons » (idem, p. 11).
-
[5]
Ce que le Parlement européen déplore (consid. 2 de sa résolution du 3 oct. 2017 sur la lutte contre la cybercriminalité (P8_TA-PROV(2017)0366).
-
[6]
S. Ghernaouti-Hélie, La cybercriminalité. Le visible et l'invisible, Lausanne : Presses polytechniques et universitaires romandes, coll. Le savoir Suisse, 2009, p. 14.
-
[7]
La cybercriminalité, correspond alors à un lieu. 1 : un espace où se développent des marchés illicites ; 2 : un endroit où se commettent des comportements délinquants telles que des cyberfraudes ; 3 : un point de rencontre pour des communautés délinquantes (G. E. Higgins et S. E. Wolfe, Cyberbercrime, in J. M. Miller (dir.), 21st Criminology, Londres : Sage, 2009, p. 466).
-
[8]
U. Sieber, La menace de la cybercriminalité, in Conseil de l'Europe, Criminalité organisée en Europe. La menace de la cybercriminalité, Strasbourg : Éditions du Conseil de l'Europe, 2006, p. 86.
-
[9]
M. Quéméner et Y. Charpenel, Cybercriminalité. Droit pénal appliqué, Paris : Economica, coll. Pratique du droit, 2010, p. 7.
-
[10]
W. Duhen, Surveillance policière des réseaux et libertés fondamentales, in P. Mouron, C. Piccio (dir.), L'ordre public numérique. Libertés, propriétés, identités, Aix-en-Provence : Presses universitaires d'Aix-Marseille, coll. Inter-normes, 2015, p. 29.
-
[11]
Pt 1, § 1 de la communication du 22 juin 2007 intitulée « Vers une politique générale en matière de lutte contre la cybercriminalité » (COM(2007)267).
-
[12]
Dans le même sens, v. D. S. Wall, Cybercrime : The Transformation of Crime in the Information Age, Cambridge : Polity, 2007. L'Assemblée parlementaire du Conseil de l'Europe présente une typologie qui recoupe en partie celle énoncée par la Commission, au sens où la cybercriminalité correspond à trois phénomènes distincts : les infractions commises au moyen d'un ordinateur (vols de fonds par le biais de transferts vers des comptes numérotés dans différents pays, création de sites pédophiles), les infractions au regard desquels l'ordinateur est la cible de l'infraction (vols ou destruction de données par exemple), et enfin les infractions en lien avec un moyen informatique (ordinateur contenant des preuves ou une trace du délit commis) (Assemblée parlementaire du Conseil de l'Europe, Lutte de l'Europe contre la criminalité économique et le crime organisé transnational : progrès ou recul ?, doc. 9018 du 6 avr. 2001).
-
[13]
Pour un panorama du droit français, v. F. Chopin, Les politiques publiques de lutte contre la cybercriminalité, AJ pénal 2009. 101.
-
[14]
U. Sieber, La menace de la cybercriminalité, op. cit, p. 226.
-
[15]
En réalité, l'objectif est de donner un aperçu des enjeux actuels sans prétendre à l'exhaustivité. Ceux-ci sont nombreux. À titre d'exemple, l'un d'entre eux qui aurait mérité d'être davantage évoqué concerne le manque de capacité des services répressifs et des autorités judiciaires nationales, de même que des organismes européens chargés de la lutte contre la cybercriminalité (le rapport d'évaluation mutuelle sur la mise en œuvre des politiques européennes en matière de cybercriminalité, cf. infra) souligne ce manque de capacité des services répressifs et des autorités judiciaires nationales. Quant au Parlement européen, il réclame, dans la résolution précitée d'octobre 2017, un renforcement des capacités d'Europol et d'Eurojust. Enfin, il existe un défaut important de formation, qu'il s'agisse de personnels du secteur privé, ou des services répressifs et des autorités judiciaires. Les députés demandent au Collège européen de police (CEPOL) et au Réseau européen de formation judiciaire (REFJ) de renforcer leur offre de formations en la matière.
-
[16]
La Secure Platform for Accredited Cybercrime Experts (SPACE) est une plateforme d'experts membre de l'EPE (Europol Expert Platform) destinée à réunir des spécialistes issus des services répressifs, du secteur privé, en particulier de l'industrie, et du monde académique. Cette plateforme rassemble avant tout des praticiens désireux d'échanger des connaissances, des expériences et des bonnes pratiques sur le thème de la cybercriminalité.
-
[17]
P. 11 et 13 du document de programmation d'Europol pour la période 2017-2019.
-
[18]
Pour une présentation générale, v. M. Quéméner, J. Ferry, Cybercriminalité. Défi mondial, Paris : Economica, 2e éd., 2009, p. 237-238.
-
[19]
L'EC3 a participé, avec le Federal Bureau of Investigation et la Drug Enforcement Agency américains ainsi qu'avec la police nationale néerlandaise, à une opération répressive de grande ampleur visant à fermer deux importants marchés illicites dans le darkweb (sur le darkweb, v. le dossier « Le Darkweb : la face cachée d'internet », Dalloz IP/IT 2017. 70). Cette opération, menée en juill. 2017, a permis de neutraliser deux plateformes de l'économie criminelle souterraine (en l'occurrence AlphaBay et Hansa) ayant pris la suite de Silk Road, elle-même fermée par le FBI en 2013 (v. p. 12 de la communication de la Commission du 7 sept. 2017 sur le dixième rapport sur les progrès accomplis dans la mise en place d'une union de la sécurité réelle et effective (COM(2017)466).
-
[20]
Art. 5, § 2 de la décision du Conseil du 6 avr. 2009 portant création de l'Office européen de police (Europol), JOUE n° L 121 du 15 mai 2009, p. 37.
-
[21]
R. Genson, P. Zanders, Le développement de la coopération policière européenne - quel avenir pour Europol ?, RMCUE 2007, n° 504, p. 10.
-
[22]
Doc. du Conseil du 25 mars 2010 n° 5957/2/10, préc., p. 7.
-
[23]
Communication de la Commission du 28 mars 2012 intitulée « Combattre la criminalité à l'ère numérique : établissement d'un Centre européen de lutte contre la cybercriminalité » (COM(2012)140).
-
[24]
Doc. du Conseil du 4 juin 2012, n° 10603/12, ENFOPOL 154, TELECOM 116.
-
[25]
Communication de la Commission du 20 juin 2014 préc., p. 9.
-
[26]
A. Boin, M. Ekengren, M. Rhinard, The European Union as crisis manager. Problems and Prospects, Cambridge : Cambridge University Press, 2013, p. 123.
-
[27]
Plus exactement 4, § 1, al. l du règl. (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JOUE n° L 135 du 24 mai 2016, p. 53).
-
[28]
Au sein de l'EC3 figure le Multi-Disciplinary Centre for Cyber Innovation (MDCCI) destiné à fournir un soutien opérationnel aux États membres en matière de criminalistique numérique. L'EC3 apporte, au moyen du MDCCI et de son laboratoire criminalistique (Digital Forensic IT Lab) concernant les technologies de l'information et de la communication, un appui en matière de la coordination des opérations et une expertise dans le domaine de la recherche dans le domaine de la criminalistique numérique. Du point de vue des outils, l'EC3 dispose du Large File Exchange System (LFE), qui est un outil de communication, et du Malware Analysis Tool ou Sandbox (EMAS) qui est, pour sa part, un outil d'analyse sécurisée des divers malwares.
-
[29]
Check the Web (CTW) est un Analysis Working File d'Europol consacré à la surveillance des sites web islamistes. Ce projet allemand destiné à recenser notamment les sites islamistes impliqués sur le web, est géré par Europol qui a développé un portail d'accès permettant aux services spécialisés de se connecter aux serveurs de l'office (S. Perez, T. Thibaud, Les instruments de lutte contre le terrorisme au sein de l'Union européenne, in Auvret-Finck, J. (dir.), L'Union européenne et la lutte contre le terrorisme. État des lieux et perspectives, Bruxelles : Larcier, 2010, p. 95). Spécialisé dans la lutte antiterroriste, cette plateforme a pour mission de fournir un soutien opérationnel aux services de ces États, d'assurer une surveillance en ligne des activités d'incitation au terroriste, de suivre sur le web les diverses activités dans ce domaine et d'identifier leurs auteurs, de même que les participants aux forums.
-
[30]
Respectivement doc. du Conseil du 22 nov. 2005, n° 14781/05 et doc. du Conseil du 16 juin 2006, n° 10633/06.
-
[31]
Doc. du Conseil du 19 avr. 2007, n° 8457/07.
-
[32]
En 2015, Check the Web contenait plus de 1 500 objets (entities ; vidéos, audios, publications, déclarations) publiés en 2014 sur le web. Depuis 2007, près de 15 000 éléments (items) ont été insérés dans le CTW, essentiellement à travers une surveillance du Web effectuée par Europol lui-même (p. 5 du doc. du Conseil du 15 mars 2015, n° 7272/15).
-
[33]
Pour une description plus précise de l'EU IRU, ainsi que pour une évaluation critique, v. K. Vieth, Policing the internet : how Europol takes action against undesirable content online, Statewatch Analysis, 17 juill. 2017, http://www.statewatch.org/analyses/n°-314-europol-iru-policing-internet.pdf).
-
[34]
Doc. du Conseil du 16 mars 2015, n° 7266/15, JAI 178, COSI 32, ENFOPOL 66, CYBER 17, COTER 49.
-
[35]
D'après le Coordonnateur pour la lutte antiterroriste (p. 10 du doc. du Conseil du 23 nov. 2015, n° 14438/15 intitulé « état de la situation concernant la mise en œuvre de la déclaration adoptée par les membres du Conseil européen le 12 février 2015 sur la lutte contre le terrorisme »).
-
[36]
Doc. du Conseil du 2 juin 2006 n° 9409/06 (Presse 144) en référence au document du Conseil du 6 mars 2006 n° 7039/2/06.
-
[37]
Doc. du Conseil du 6 juin 2006 n° 10181/06 intitulé « Draft Council conclusions setting the EU priorities for the fight against organised crime based on the OCTA ».
-
[38]
Doc. du Conseil du 25 oct. 2010, n° 15358/10.
-
[39]
Concl. du Conseil des 9 et 10 juin 2011 (doc. du Conseil du 6 juin 2011, n° 11050/11).
-
[40]
Doc. du Conseil dénommé « Operational Action Plan 2017 related to the EU crime priority G3 : Cyber Attacks » (doc. du 20 juin 2017, n° 15233/1/16).
-
[41]
Communication de la Commission du 12 avr. 2017 sur le 6e rapport sur les progrès accomplis dans la mise en place d'une union de la sécurité réelle et effective (COM(2017)213).
-
[42]
Doc. du 12 mai 2017, n° 8654/17, p. 2
-
[43]
Le cycle politique de l'UE pour la période 2018-2021 est actuellement en cours de déploiement. Le COSI a approuvé, le 26 juin 2017, le mandat du nouveau cycle politique de l'UE pour la période 2018-2021 qui englobe les principales caractéristiques de celui-ci ainsi que les différentes étapes à réaliser. Un plan stratégique pluriannuel ainsi qu'un plan d'action opérationnel ont été approuvés concernant les trois volets de la cybercriminalité, à savoir les attaques contre les systèmes d'information, la pédopornographie, et la fraude aux cartes bancaires (p. 27 du doc. du 20 nov. 2017, n° 14108/1/17).
-
[44]
Proposition de directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces et remplaçant la décision-cadre 2001/413/JAI du Conseil (COM(2017)489).
-
[45]
Dir. 2012/29/UE du Parlement européen et du Conseil du 25 oct. 2012 établissant des normes minimales concernant les droits, le soutien et la protection des victimes de la criminalité et remplaçant la décision-cadre 2001/220/JAI du Conseil (JOUE n° L 315 du 14 nov. 2012, p. 57).
-
[46]
Dir. 2014/41/UE du Parlement européen et du Conseil du 3 avr. 2014 concernant la décision d'enquête européenne en matière pénale (JOUE n° L 130 du 1er mai 2014, p. 1). La cybercriminalité est mentionnée à l'annexe D de la directive, c'est-à-dire parmi les infractions figurant à l'art. 11 (en l'occurrence les infractions qui ne peuvent pas justifier le refus de l'exécution d'une décision d'enquête européenne par l'État d'exécution au motif qu'elle ne figure pas dans le droit de ce dernier (art. 11, § 1 al. g).
-
[47]
Respectivement. proposition de directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces et remplaçant la décision-cadre 2001/413/JAI du Conseil (COM(2017)489) et décision-cadre 2001/413/JAI du Conseil du 28 mai 2001 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces (JOUE n° L 149 du 2 juin 2001, p. 1).
-
[48]
C'est-à-dire le piratage informatique consistant à détourner le trafic d'un site Internet à partir d'une fausse adresse, en l'occurrence obtenir un paiement versé sur un compte bancaire contrôlé par le fraudeur.
-
[49]
Dir. 2013/40/UE préc.
-
[50]
Décision-cadre 2005/222/JAI du Conseil du 24 févr. 2005 relative aux attaques visant les systèmes d'information (JOUE n° L 69 du 16 mars 2005, p. 67).
-
[51]
Il s'agit d'un groupe d'ordinateurs compromis qui, sous un contrôle commun, exécutent des programmes (ndbdp n° 3 de la communication du 22 juin 2007). Sur cette question, v. J.-P. Dardayrol, L'impact économique de la cybercriminalité, in I. Bouhadana, W. Gilles (dir.), Cybercriminalité. Cybermenaces et cyberfraudes, Paris : IMODEV, 2012, p. 46. Lutter contre les botnets revient à lutter contre les « réseaux zombies », qui consistent en « un contrôle à distance d'un nombre important d'ordinateurs en les contaminant au moyen de logiciels malveillants dans le cadre de cyberattaques ciblées. Une fois créé, le réseau d'ordinateurs contaminés qui constitue le réseau zombie peut être activé à l'insu des utilisateurs des ordinateurs dans le but de lancer une cyberattaque à grande échelle, qui est en général à même de causer un grave préjudice » (dir. 2013/40/UE, préc., consid. 5).
-
[52]
Pt 3.2 du rapport de la Commission au Conseil fondé sur l'art. 12 de la décision-cadre du Conseil du 24 févr. 2005 relative aux attaques visant les systèmes d'information (COM(2008)448).
-
[53]
C. Castets-Renard, Droit de l'internet : droit français et européen, Paris : Montchrestien, 2012, p. 442.
-
[54]
Doc. du Conseil du 9 juin 2016, n° 10025/16.
-
[55]
Le Réseau judiciaire européen anti-cybercriminalité est une structure à caractère judiciaire ayant une expertise sur la cybercriminalité (alors que, en comparaison, le RJE apporte un appui ponctuel contre toute forme de criminalité grave, quelle que soit sa nature ; art. 4 § 1 de la décision 2008/976/JAI du Conseil du 16 déc. 2008 concernant le Réseau judiciaire européen, JOUE n° L 348 du 24 déc. 2008, p. 130).
-
[56]
Pour une présentation générale d'Eurojust, v. M. Quéméner, J. Ferry, op. cit., p. 238-240.
-
[57]
Art. 4 § 1 de la décision précitée du Conseil du 28 févr. 2002 instituant Eurojust, modifiée par la décision 2009/426/JAI du Conseil du 16 déc. 2008 sur le renforcement d'Eurojust et modifiant la décision 2002/187/JAI instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité (JOUE n° L 138 du 4 juin 2009, p. 14). Pour une version consolidée du texte, v. doc. du Conseil du 15 juill. 2009, n° 5347/3/09.
-
[58]
Et pour une description récente, v. M. Coninsx, Eurojust, une réponse judiciaire plus solide que jamais de l'Union européenne, Cahiers de la sécurité et de la justice, vol. 38, n° 4, 2016, p. 75-78.
-
[59]
Le FP Cyborg fait partie du projet d'analyse éponyme destine à fournir un soutien aux enquêtes contre la criminalité portant atteinte à la sécurité des réseaux, https://www.europol.europa.eu/sites/default/files/documents/ec3_first_year_report.pdf.
-
[60]
Rapport annuel d'activité d'Eurojust pour l'année 2015, p. 33.
-
[61]
Pour davantage de détails, v. p. 30 du rapport annuel d'activité d'Eurojust pour l'année 2016.
-
[62]
Consid. 2 des concl. (doc. du Conseil du 9 juin 2016, n° 10025/16 préc.).
-
[63]
Consid. M de la résolution du Parlement européen du 3 oct. 2017 sur la lutte contre la cybercriminalité (P8_TA-PROV(2017)0366).
-
[64]
Par ex. consid. 29 de la dir. 2013/40/UE du 12 août 2013, préc.
-
[65]
Consid. 1er de la décision-cadre 2008/913/JAI du Conseil du 28 nov. 2008 sur la lutte contre certaines formes et manifestations de racisme et de xénophobie au moyen du droit pénal, JOUE n° L 328 du 6 déc. 2008, p. 55).
-
[66]
Décision-cadre 2008/913/JAI, art. 1 al. b.
-
[67]
Décision-cadre 2008/913/JAI, art. 9 § 2 b.
-
[68]
Pour une analyse récente de la problématique générale des contenus illicites en ligne, v.
F.-X. Roux-Demare, Droit pénal, violences et Internet, in C. Ribeyre (dir.), Les violences, Paris : Cujas, coll. Travaux de l'Institut de sciences criminelles de Grenoble, à paraître. -
[69]
Communication de la Commission du 28 avr. 2015, préc.
-
[70]
V. la communication de la Commission du 25 janv. 2017 relative au 4e rapport sur les progrès accomplis dans la mise en place d'une union de la sécurité réelle et effective (COM(2017)41).
-
[71]
Communication de la Commission du 24 janv. 2018 relative au 13e rapport sur les progrès accomplis dans la mise en place d'une union de la sécurité réelle et effective (COM(2018)46).
-
[72]
Disponible sur http://ec.europa.eu/justice/fundamental-rights/files/hate_speech_code_of_conduct_en.pdf
-
[73]
Communication de la Commission du 28 sept. 2017 intitulée « Lutter contre le contenu illicite en ligne. Pour une responsabilité accrue des plateformes en ligne » (COM(2017)555).
-
[74]
Art. 14 de la dir. 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »), JOUE n° L 178 du 17 juill. 2000, p. 1.
-
[75]
Directive sur l'obligation de surveillance par les services d'hébergement, art. 15.
-
[76]
P. 9 de la communication de la Commission du 25 mai 2016 intitulée « Les plateformes en ligne et le marché unique numérique - Perspectives et défis pour l'Europe » (COM(2016) 288) ; p. 9-10 communication de la Commission du 10 mai 2017 sur l'examen à mi-parcours de la mise en œuvre de la stratégie pour le marché unique numérique (COM (2017)228).
-
[77]
Recommendation de la Commission sur les mesures destinées à lutter, de manière efficace, contre les contenus illicites en ligne (C(2018) 1177).
-
[78]
Pour une analyse approfondie de cette question, v. K. Ligeti, G. Robinson, Cross-border access to electronic evidence: Policy and legislative challenges, in S. Carrera, V. Mitsilegas, (dir.), Constitutionalising the Security Union. Effectiveness, Rule of Law and Rights in Countering Terrorism and Crime, Bruxelles, Centre for European Policy Studies (CEPS), 2017, p. 99-111.
-
[79]
Ce rapport synthétise les résultats concernant la septième série d'évaluations mutuelles. Il formule une série de recommandations à partir d'un cycle d'évaluation du droit et des pratiques des États membres mené entre 2014 et 2016. Cette série d'évaluations mutuelles a pour thème les mécanismes de lutte contre la cybercriminalité. Décidé en 2013, un tel cycle s'est déroulé conformément au mécanisme prévu par l'action commune 97/827/JAI du 5 déc. 1997 adoptée par le Conseil sur la base de l'art. K.3 du traité sur l'Union européenne instaurant un mécanisme d'évaluation de l'application et de la mise en œuvre au plan national des engagements internationaux en matière de lutte contre la criminalité organisée, JOUE n° L 344 du 15 déc. 1997, p. 7. Des rapports détaillés sur les États membres évalués ont été rendus public. C'est le cas de la France (doc. du Conseil du 16 mai 2017, n° 9135/17).
-
[80]
P. 50 du doc. du Conseil du 9 juin 2017, n° 9986/17, dénommé « Septième série d'évaluations mutuelles sur la mise en œuvre pratique et le fonctionnement des politiques européennes en matière de prévention de la cybercriminalité et de lutte contre celle-ci ».
-
[81]
Programme européen en matière de sécurité, préc., p. 23.
-
[82]
Par ailleurs, l'EJCN est également en train de créer un portail en ligne sécurisé en vue d'assurer les échanges entre autorités judiciaires concernant les preuves numériques.
-
[83]
Doc. du Conseil du 9 juin 2017, n° 10007/16.
-
[84]
Par exemple dans l'hypothèse où un seul délit est commis concomitamment sur plusieurs systèmes d'information situés dans plusieurs États membres, dans le cas où les preuves électroniques sont fugaces, au sens où elles se déplacent rapidement entre États membres, ou encore dans le cas où l'emploi de techniques de dissimulation permettent de masquer le lieu de la commission du délit ou des preuves électroniques.
-
[85]
Rapport préc., p. 56-60.
-
[86]
Doc. du Conseil du 9 juin 2017, n° 9986/17, p. 58.
-
[87]
Cette question est mise en évidence par l'iOCTA 2017. Le rapport précise que l'emploi du cryptage nuit au travail des services répressifs et rend les poursuites pénales inefficaces.
-
[88]
Plus exactement, en traitant « le rôle du chiffrement dans les enquêtes pénales et [en renforçant] la coopération dans ce domaine entre les services répressifs, notamment avec les partenaires de confiance en dehors de l'UE, afin de faire face aux défis actuels liés au détournement de services chiffrés de bout en bout, [en veillant] à la cohérence de l'approche à l'égard des fournisseurs de services et des fabricants de dispositifs, [de même qu'] à la disponibilité des données, sous réserve de garanties appropriées [et en veillant] à ce que les États membres soient en mesure d'accéder à ces données à des fins d'enquête » (p. 6 d doc. Conseil du 13 oct. 2017, préc.).
-
[89]
Rapport préc., p. 47-48.
-
[90]
Communication de la Commission du 18 oct. 2017 sur le 11e rapport sur les progrès accomplis dans la mise en place d'une union de la sécurité réelle et effective (COM(2017)608).
-
[91]
É. Durkheim, Les Règles de la méthode sociologique (1894). p. 45 du doc. pdf de l'ouvrage publié dans la coll. Les auteur(e)s classiques, Université du Québec à Chicoutimi : http://classiques.uqac.ca/classiques/Durkheim_emile/regles_methode/regles_methode.html.
-
[92]
À ce propos, v. B. Sandywell, On the globalisation of crime : the Internet and new criminality, in Y. Jewkes, M. Yar (dir.), Handbook of Internet Crime, Londres : Routledge, 2009, p. 45.
-
[93]
En ce sens, S. Leman-Langlois, Le crime comme moyen de contrôle du cyberespace commercial, Criminologie, vol. 39, n° 1, p. 63-81.
-
[94]
M. Quéméner, Cybermenaces, entreprises et internautes, Paris : Economica, 2008, p. 1.
-
[95]
W. Cappeler, Criminalité du risque et harmonisation pénale, in M. Delmas-Marty et alli., L'harmonisation des sanctions pénales en Europe, Sté de législation comparée, 2003, p. 414. Et pour prolonger l'analyse, v. l'article de Francis Snyder (Sites of criminality and sites of governance, Social & Legal Studies, vol. 10, n° 2, 2001, p. 251-256).
-
[96]
Et pour une critique éclairante, v. J. Ellul, Le système technicien, Paris : Le Cherche-midi, 2012.
-
[97]
Sur ce thème des rapports entre criminalité, mondialisation et société du risque, v. Governance risk and globalisation theories, in K. S. Williams, Textbook on criminology, Oxford : Oxford University Press, 7e éd., 2012, p. 584-611.
-
[98]
U. Beck, La société du risque. Sur la voie d'une autre modernité, Paris : Aubier, 2001.
1« Le cyberespace si prégnant dans notre vie quotidienne n'a pas de système de régulation ou de contrôle, et on y voit déjà des formes de criminalité très sophistiquées ». Ces propos sont ceux tenus au cours des États généraux sur la mafia, à Milan en novembre 2017 par un ancien chef de la police italienne [1]. Ce constat dressé n'est, en réalité, pas isolé et les institutions de l'Union ont pleinement conscience de la gravité de ce phénomène qui déborde les frontières de chaque État membre.
2L'incidence économique de la cybercriminalité a quintuplé entre 2013 et 2017 et elle pourrait quadrupler à l'horizon 2019 [2]. L'office européen de police, Europol, présente chaque année un document dénommé iOCTA (Internet Organised Crime Threat Assessment), consacré à l'état de la cybercriminalité dans l'Union. Il existe une certaine continuité des rapports : plus les sociétés sont connectées, plus l'économie numérique se développe, plus la menace que constitue la cybercriminalité s'accentue. Ainsi, le rapport iOCTA 2014 constate le degré de sophistication de ce phénomène, une augmentation du nombre de cyberattaques ainsi que leur diversification. L'office met en évidence le développement récent du « crime as a service business model », c'est-à-dire la pratique consistant pour des criminels à avoir recours à des services de hackers pour mener des attaques aux dommages considérables au regard des investissements menés [3]. Quant au rapport iOCTA 2016, il souligne l'ampleur des dommages financiers, le degré de ceux-ci n'ayant jamais été atteint auparavant. Il évoque l'agressivité de la cybercriminalité, cette dernière n'hésitant pas à recourir à des pratiques de type rançongiciel, éclipsant certaines menaces traditionnelles de malware comme les chevaux de Troie. Surtout, il précise le fait que la cybercriminalité supplante la criminalité traditionnelle au sein de certains États membres.
3Pour ce qui est du rapport iOCTA 2017, il confirme la tendance existante, à savoir une croissance continue de la cybercriminalité. Il met en exergue certains phénomènes, tels que la gravité des attaques de grande ampleur, le succès des rançongiciels, le développement de la fraude aux cartes bancaires, le succès du Darknet en tant que lieu de marchés illicites, ainsi que la vulnérabilité de l'Internet des objets et d'un large éventail d'infrastructures critiques.
4Si la cybercriminalité est un phénomène inquiétant, elle demeure néanmoins mal définie [4]. L'Union ne dispose d'ailleurs pas de définition propre à l'heure actuelle [5]. En première analyse, elle a trait à toute activité réalisée à travers le cyberespace [6], ou en lien avec internet [7]. À regarder de près, la cybercriminalité recouvre un large éventail d'infractions commises à l'aide et contre un système informatique [8]. Cerner celle-ci s'avère un exercice délicat, même pour le juriste pour qui elle reste un concept abstrait [9]. Les définitions données sont variables d'un État à l'autre et ce, en dépit de la signature d'une convention spécifique du Conseil de l'Europe en 2001 [10]. Dans ce contexte, la Commission a défini en 2007 ce phénomène comme des « infractions pénales commises à l'aide de réseaux de communications électroniques et de systèmes d'information ou contre ces réseaux et systèmes » [11]. Elle précise que la cybercriminalité recouvre trois types d'activités criminelles : les activités criminelles traditionnelles commises au moyen d'outils informatiques, la publication de contenus illicites et enfin les infractions spécifiques aux systèmes d'information [12].
5Face à cela, les États membres sont amenés à renforcer leur arsenal pénal [13]. Cependant, confrontés à un phénomène qui déborde le cadre national, ils conduisent leur action en liaison avec l'Union. Cette lutte menée par cette dernière contre la cybercriminalité naît donc de la volonté d'un effort collectif et des possibilités offertes par l'art. 5§3 TUE consacré au principe de subsidiarité. Un aspect de l'action de l'Union destinée à lutter contre la cybercriminalité se dévoile immédiatement à l'observateur. Il s'agit de son caractère répressif (I), même si d'autres aspects ne doivent pas être négligés, comme la sensibilisation ou la formation.
6Pour autant, une telle action doit surmonter un ensemble de défis. Le responsable de l'étude COMCRIME, le Pr Sieber notait avec justesse, que l'inadéquation entre le droit pénal traditionnel et la délinquance informatique met en évidence la difficulté de lutter efficacement contre cette forme de délinquance [14]. Ces propos sont toujours d'actualité. Les enjeux actuels du droit européen sont nombreux pour faire face à la cybercriminalité, en tant que phénomène polymorphe et fortement évolutif. Les innovations constantes couplées à l'ingéniosité des criminels posent de redoutables défis aux autorités répressives. La réponse à ces défis fait partie des problématiques majeures du droit positif en matière de lutte contre la cybercriminalité [15] (II).
I - Le caractère répressif d'une action menée à l'échelle de l'Union contre la cybercriminalité
7Tenter de traiter la question de la répression de la cybercriminalité en quelques pages est une entreprise vaine, tant les outils et moyens d'action sont nombreux et complexes. L'objectif consiste donc à aborder certains aspects en suivant la summa divisio classique police-justice retenue dans le traité FUE. Aussi est-il possible d'aborder le volet policier de la répression de la cybercriminalité (A), en référence à la « coopération policière » figurant dans le chapitre 5 du titre V de la troisième partie du traité et son volet judiciaire (B), en écho à la « coopération judiciaire en matière pénale » contenue dans le chapitre 4.
A - Le volet policier de la répression de la cybercriminalité
8Il est possible de concentrer l'analyse sur deux éléments saillants de ce volet. Le premier a trait à l'office européen de police, Europol qui est un organisme en charge de la coopération policière. Il est possible d'évoquer en particulier deux structures de cet organisme dont le mandat s'étend à la répression de la cybercriminalité : l'unité anti-cybercriminalité et celle chargée de la surveillance du web (1). Il importe de garder à l'esprit qu'il en existe d'autres, par exemple la plateforme SPACE [16].
9Le deuxième volet correspond au cycle de gestion en matière de lutte contre la criminalité organisée, le policy cycle (2). Dans les deux cas, le spectre couvert a trait aux formes graves de la criminalité. Dans les faits, la cybercriminalité constitue une priorité et ce, en écho à celles définies dans le cadre de la stratégie européenne de sécurité intérieure, ainsi que le rappelle le document de programmation d'Europol pour la période 2017-2019 [17].
1 - Les unités « anti-cybercriminalité » et « surveillance du web » d'Europol
10Europol constitue, au niveau de l'Union, l'agence compétente pour prévenir et réprimer la cybercriminalité en favorisant la collaboration entre les services répressifs des États membres [18]. L'unité anti-cybercriminalité d'Europol (European Cybercrime Centre - EC3) constitue la cheville ouvrière d'Europol en matière de lutte contre la cybercriminalité [19]. La décision de 2009 instituant l'office prévoit que les missions qui lui sont dévolues en matière de collecte et de partage de l'information concernent également les faits délictueux ayant lieu sur internet [20]. À cet égard, l'EC3 constitue un centre d'investigation d'Internet au bénéfice des États membres [21]. Il a, en outre, pour tâche, selon la stratégie concertée de lutte contre la cybercriminalité de 2010, de « servir d'organe de liaison permanent avec les organisations d'utilisateurs et de victimes et le secteur privé » [22]. La Commission a présenté à cet effet, le 28 mars 2012, une communication destinée à en préciser les grandes lignes [23]. Ces dernières ont été avalisées par le Conseil dans des conclusions du 7 juin 2012 [24].
11Devenue le « centre de référence pour les questions liées à la cybercriminalité » [25], cette structure mise en place en réponse aux cyberattaques de 2007 contre l'Estonie et dont la constitution a été approuvée par la suite par le Conseil le 25 juin 2013, a été déclarée opérationnelle au cours de cette année 2013 [26]. Elle a pour fonctions principales, le rassemblement des renseignements relatifs à la cybercriminalité provenant d'un grand nombre de sources, la mise en commun de l'expertise européenne en matière de cybercriminalité afin de soutenir les États membres dans le renforcement de leurs capacités, un appui opérationnel aux enquêtes sur la cybercriminalité, la fourniture d'une assistance en termes d'analyse ainsi qu'une expertise en matière de cryptage pour les enquêtes sur la cybercriminalité, et enfin un rôle d'interface avec les activités d'Interpol sur la cybercriminalité et d'autres unités internationales de police combattant la cybercriminalité. L'EC3 fournit aux autorités nationales compétentes des analyses relatives à la cybercriminalité, et leur apporte une assistance opérationnelle en cas de besoin. Rassemblant des données issues de sources ouvertes, elle réalise des évaluations de la menace et met à disposition des formations et outils criminalistiques dans le domaine de lutte contre la cybercriminalité. L'EC3 collabore avec les autorités répressives mais pas seulement. Des contacts étroits sont noués avec les sociétés du web (par exemple CISCO, Microsoft, Symantec, Trend Micro, Fox-IT) et les Computer Emergency Response Teams (CERTs) nationales ainsi que la CERT-EU. L'EC3, désormais fondé sur l'art. 4 du règlement de mai 2016 instituant Europol [27], élabore des rapports d'analyse, en premier lieu l'iOCTA. En outre, cette structure publie des bulletins spécialisés, tels que Cyber Bits, Alerts & advice et EC3 Bulletin [28]. Ces documents sont élaborés par la Cyber Intelligence Team (CIT), chargée de collecter des informations ouvertes en vue d'identifier les menaces émergentes.
12Si l'EC3 constitue l'unité « anti-cybercriminalité », celle consacrée à la « surveillance du web » correspond à l'unité de signalement des contenus sur Internet (EU IRU). Du point de vue de l'organigramme d'Europol, ces deux unités font partie de la même direction, en l'occurrence celle des opérations, mais pas du même service. L'EC3 est un service en tant que tel (service O3), alors que l'IRU figure actuellement au sein du centre antiterroriste européen (European Counter Terrorism Centre - ECTC) créé le 25 janvier 2016 (service O4).
13L'EU IRU est néanmoins plus ancien que ce centre institué après attaques terroristes de Paris de 2015. Instituée le 1er juillet 2015, cette unité a été créée à partir de Check the Web (CTW) qui est un projet allemand destiné à lutter contre la radicalisation sur le web [29]. Différents documents, la stratégie européenne antiradicalisation de 2005 et des conclusions du Conseil européen de juin 2006, soulignent l'importance d'empêcher l'usage d'internet dans le processus de radicalisation [30]. Le Conseil a adopté, toujours en 2006, des conclusions dans lesquelles il soutient l'initiative allemande Check the Web qui consiste en un partage d'informations entre les autorités nationales, concernant les résultats issus de la surveillance du web, en particulier certains sites de propagande djihadistes [31].
14Quant à l'EU IRU, il fait fonction de centre d'expertise européen en vue de venir en appui aux efforts des États membres pour identifier et supprimer les contenus extrémistes violents en ligne [32]. D'après le concept note d'Europol à ce sujet, l'EU IRU œuvre en partenariat avec le secteur privé, réuni par ailleurs au sein d'un forum européen regroupant des représentants des fournisseurs d'accès Internet et des représentants des services répressifs [33]. Il complète son action d'identification des sites aux fins de blocage, par une analyse stratégique et opérationnelle [34]. Il est parvenu à supprimer entre juillet 2015 et novembre de la même année, 511 éléments du web à contenu terroriste, soit un taux de réussite de 90 % [35].
15D'après le dernier rapport d'activité d'Europol (en l'occurrence le rapport pour les années 2016-2017, ce taux demeure inchangé : 20 000 évaluations de contenu de propagande (referral) ont été réalisées débouchant, le cas échéant sur leur suppression avec un taux de réussite similaire. Ce travail de lutte contre les contenus illicites s'insère dans un cadre structuré, à l'échelon d'Europol, son document de programmation pluriannuel, et à un échelon politique, la stratégie de sécurité intérieure. Quant au policy cycle, il s'agit d'un processus qui vient s'intercaler entre ces deux niveaux. Néanmoins, plutôt que d'ajouter une strate supplémentaire, il vise à interconnecter ces différents niveaux sous forme de projets opérationnels, dont certains ciblent la cybercriminalité.
2 - Le cycle de gestion en matière de lutte contre la criminalité organisée (policy cycle)
16Le policy cycle correspond à une forme d'action opérationnelle méthodique et structurée contre la criminalité organisée transnationale. Initié dans les années 2000, les conclusions du Conseil des 1er et 2 juin 2006 constituent le point de départ de ce processus qui va se complexifier au fil du temps [36]. À l'origine, un tel processus entendait repenser la coopération policière européenne fondée sur le partage du renseignement. L'objectif était double, à savoir permettre à Europol, qui souffrait d'un défaut d'alimentation d'informations des services répressifs nationaux, de bénéficier de renseignement de qualité de leur part et, par ailleurs, faire en sorte que la collaboration réalisée à l'échelle européenne corresponde aux attentes de ces services. Le policy cycle s'apparente donc à une série d'opérations ordonnées de manière cyclique, destinées à organiser la collecte et l'analyse du renseignement de manière à articuler l'action des services répressifs nationaux et celle de l'office de police dans la perspective d'une synergie réciproque. Au-delà, le policy cycle, qui est soumis à une méthodologie précise, dispose d'une dimension politique au sens où la coopération policière européenne ne se réduit pas à ordonner l'échange d'informations à l'échelon opérationnel. Il s'agit en effet d'insérer ce partage dans le cadre de la définition de priorités politiques. Les premières d'entre elles ont été définies par le Conseil le 2 juin 2006 [37]. La définition de ces priorités est en réalité une étape d'un cycle qui en comprend quatre en tout.
17Ce processus institutionnel, qui inclut le Conseil de l'UE, Europol, les services répressifs nationaux, ainsi que ce qui deviendra le Comité de sécurité intérieure (Cosi), se décompose en effet en quatre étapes : une évaluation de la menace, la définition des priorités politiques, la mise en œuvre de ces dernières et l'évaluation des résultats obtenus en vue de la préparation de nouvelles priorités. Europol est la pierre angulaire de ce processus dans la mesure où son rapport évaluatif de la menace, en l'occurrence l'Organised Crime Threat Assessement (OCTA) constitue le document sur lequel le Conseil va définir ses priorités politiques qui seront ajustées au gré des rapports évaluatifs subséquents. Cependant, les services répressifs nationaux sont inclus en amont et aval : en amont au sens où ils transmettent les informations à l'office européen de police pour lui permettre d'établir l'OCTA, et en aval, puisqu'ils sont parties prenantes à la mise en œuvre de ces priorités.
18Depuis 2010, le policy cycle s'est perfectionné. Des conclusions du Conseil datant des 8 et 9 novembre 2010 affinent la méthodologie [38]. Le cycle 2011-2017 se décompose en deux cycles secondaires (2011-2013 et 2013-2017). La méthodologie du rapport d'évaluation de la menace est revue (l'OCTA devenant le SOCTA UE - Serious Organised Crime Threat Assessement). Surtout, le processus de mise en œuvre des priorités politiques se décline en plans stratégiques multi-annuels (MASP), correspondant à chacune des priorités édictées par le Conseil. Ces différents plans stratégiques sont convertis en plans opérationnels (Operational Action Plans (OAPs) approuvés par le Cosi.
19Le Conseil a défini, les 6 et 7 juin 2011, les priorités de l'Union en matière de lutte contre la criminalité organisée pour la période 2011-2013 [39]. Figurent parmi les priorités édictées, la cybercriminalité. Cette dernière se retrouve également parmi celles retenues par les conclusions approuvées par le Conseil les 6 et 7 juin 2013. Un Operational Action Plan consacré à la lutte contre la cybercriminalité a été approuvé par le Cosi le 19 décembre 2016 dans le cadre du cycle 2013-2017 [40]. Un tel plan d'action comprend une série d'actions opérationnelles. Il liste celles-ci, et définit le ou les pays chefs de file pour chacune d'elles. Il donne également un aperçu général des tâches à mener, ainsi que les responsabilités qui incombent aux États membres et aux agences participant à la mise en œuvre du plan. Un fichier d'analyse d'Europol spécifique (Europol Analysis Work File for Serious and Organised Crime - AWF SOC) constitue la source d'information sur la base desquelles les différentes actions sont menées.
20La Commission avait jugé positif le bilan du cycle 2011-2017 [41]. Suivant ses recommandations, le Conseil a marqué son accord, le 27 mars 2017, pour un nouveau cycle. Constatant que « le cycle politique de l'UE revêt un caractère opérationnel de plus en plus important, ce qui permet de cibler de manière coordonnée et structurée les principales menaces auxquelles l'UE est confrontée » [42], il a en conséquence approuvé en juin 2017, sur la base du SOCTA UE diffusé par Europol le 9 mars 2017, les priorités de ce cycle correspondant à la période 2018-2021. Parmi les dix priorités validées figure la cybercriminalité. Plus exactement, le texte prévoit de lutter contre ce phénomène en perturbant les activités criminelles relatives aux attaques contre les systèmes d'information, de lutter contre la pédopornographie et de s'attaquer à la fraude contre les cartes bancaires [43]. C'est d'ailleurs dans ce contexte que la Commission a présenté, le 13 septembre 2017, une proposition de directive destinée à moderniser la décision-cadre du 28 mai 2001 consacrée à ce thème [44]. L'harmonisation des législations pénales est, à ce propos, un élément du volet judiciaire de la lutte contre la cybercriminalité.
B - Le volet judiciaire de la répression de la cybercriminalité
21La lutte contre la cybercriminalité bénéfice des avancées concernant l'espace pénal européen, par exemple en matière de protection des victimes [45] ou de reconnaissance mutuelle avec la décision d'enquête européenne [46]. Plusieurs projets sont actuellement en cours, dont cette proposition de directive destinée à modifier la décision-cadre du 28 mai 2001 visant à lutter contre les fraudes à la carte bancaire [47]. Il faut dire que ce type de fraude s'est accru (le texte évoque le montant d'1,44 milliard d'euros en 2013). Surtout la criminalité s'adapte et la proposition de directive entend assurer le rapprochement des législations nationales concernant toute une série de comportements, tels que le dévoiement (pharming) [48].
22Cette proposition de directive vise à compléter la directive de 2013 dite « cyberattaques » [49] Certains comportements sont en effet déjà incriminés par cette directive de 2013 destinée à moderniser la décision-cadre de 2005 [50]. Dans un rapport du 14 juillet 2008, la Commission avait constaté à cet égard que les attaques par botnets [51] n'étaient pas couvertes par la décision-cadre [52]. C'est la raison pour laquelle elle avait suggéré de modifier le texte afin de prendre en compte ce phénomène. Elle avait présenté, le 30 septembre 2010, une proposition de directive visant au « renforcement de la vigueur normative » [53] du cadre juridique instauré en 2005, en ajoutant de nouveaux éléments, tels que l'infraction d'interception illégale et la fourniture de moyens destinés à commettre des infractions visées par la directive. Le texte a été adopté sur la base de l'article 83 § 1 TFUE. Toutefois, et la remarque est d'importance, l'établissement des règles minimales relatives à la définition des infractions pénales n'est qu'un aspect du volet judiciaire de la lutte contre la cybercriminalité. Les efforts menés en matière pénale ne se réduisent pas en effet au seul rapprochement des législations nationales relatives aux infractions. Ils portent également sur la mise en place de structures de soutien aux autorités judiciaires chargées des enquêtes et des poursuites au sein des États membres.
23L'une d'entre elles a vu le jour en 2016, destinée à apporter une aide spécifique à ces autorités. Cette structure, dénommée Réseau judiciaire européen anti-cybercriminalité (EJCN), a été établie sur la base de conclusions du Conseil du 9 juin. Elle entend plus exactement offrir une expertise spécifique et favoriser l'échange d'expériences et de bonnes pratiques [54]. En soi, ce réseau rappelle le Réseau judiciaire européen (RJE), au sens où il s'agit d'une structure de soutien, destinée à fournir des conseils aux autorités judiciaires nationales, à les renseigner sur les législations d'autres États membres en vigueur et à mettre à leur disposition toute une série d'informations par le biais d'un portail web spécifique [55]. Ce portail permet également à ces autorités de se connecter pour échanger sur des problèmes pratiques et juridiques rencontrés. En ce sens, un tel centre se présente aussi comme le pendant d'Europol, notamment de la plateforme SPACE quant à sa fonction de forum permettant à une communauté de spécialistes de dialoguer.
24Ne disposant pas de la personnalité juridique et constituant une structure légère, l'EJCN est adossé à Eurojust qui lui apporte un soutien pour assurer son bon fonctionnement [56]. Se réunissant au moins deux fois par an au sein des locaux de l'unité de coopération judiciaire, il dispose de son appui, qu'il soit financier ou logistique.
25Eurojust, fondé désormais sur l'art. 85 TFUE, traite également des questions de cybercriminalité, du moins lorsqu'il s'agit de formes graves de criminalité (le mandat de l'unité coïncidant avec celui d'Europol) [57]. Concrètement, le nombre des dossiers enregistrés était de 42 en 2014 et 62 en 2015, le nombre de réunions de coordination s'élevait à 15 en 2014 et 19 en 2015, et le nombre d'équipes communes d'enquête était de 6 en 2014 et 8 en 2016, avec un pic en 2015 (11 équipes) [58].
26Eurojust coopère étroitement avec l'EC3. Même si l'unité dispose de moyens moindres que l'office européen de police, l'engagement contre la cybercriminalité n'en reste pas moins fort. Un expert national détaché en charge des questions relatives à la cybercriminalité est d'ailleurs en poste, au titre de représentant d'Eurojust, au sein d'Europol. Eurojust prend part activement au partage d'information, notamment dans le cadre de focal points (FP Jumeaux, FP Terminal et FP Cyborg) [59]. Son soutien s'est également concrétisé dans le cadre de l'Operational Action Plan Cyberattaques de 2015 [60]. D'autres actions sont mises en place. L'unité de coopération judiciaire a ainsi développé en 2016 le CJM (Cybercrime Judicial Monitor) qui répertorie les progrès législatifs en matière de lutte contre la cybercriminalité, analyse en détail certains décisions judiciaires nationales sur ce thème et traite une question spécifique en lien avec le thème de la cybercriminalité [61].
27« Le caractère sans frontières du cyberespace pose des défis particuliers aux autorités judiciaires, ce qui fait obstacle à la réussite des enquêtes et poursuites pénales et, par conséquent, conduit souvent à l'impunité » [62]. Cette observation formulée par les conclusions instituant l'EJCN amène en effet l'Union à développer des stratégies spécifiques pour réprimer la cybercriminalité, en apportant des réponses inédites face à des problématiques singulières, propres à ce phénomène.
II - Les principales problématiques de la lutte contre la cybercriminalité
28L'Union est confrontée à plusieurs enjeux en matière de lutte contre la cybercriminalité l'un d'entre eux a trait à un aspect de la lutte contre ce phénomène, à savoir celui des contenus illicites (A). Cependant, il y en existe d'autres. Dans sa résolution d'octobre 2017 précitée, le Parlement européen fait un constat accablant : impunité des cybercriminels, sous-déclaration importante des incidents de sécurité, complexité des procédures, problèmes de compétence judiciaire liés à la nature transfrontalière de la cybercriminalité, localisation des preuves numériques et de l'origine de ces cyberattaques, recevabilité limitée des preuves électroniques lorsqu'elles ont été acquises dans un autre État membre, etc. [63]. Ce constat pointe les obstacles juridiques et pratiques inhérents au cyberespace que les institutions européennes s'efforcent actuellement de surmonter (B).
A - Lutter plus efficacement contre les contenus illicites
29Le cyberespace est un lieu de libre expression et d'information qui, au demeurant, constitue une liberté garantie dans la Charte européenne des droits fondamentaux, en l'occurrence à l'article 11. Ce respect de la libre expression est rappelé régulièrement dans les normes juridiques adoptées [64]. Il n'empêche, certaines formes d'expression sont la manifestation d'atteintes aux valeurs de l'Union énoncées à l'article 2 TUE. C'est le cas du racisme et de la xénophobie qui « sont des violations directes des principes de liberté, de démocratie, de respect des droits de l'homme et des libertés fondamentales, ainsi que de l'État de droit, principes sur lesquels l'Union européenne est fondée et qui sont communs aux États membres » [65].
30Ces contenus, le racisme et la xénophobie, mais aussi la pédopornographie et l'apologie du terrorisme, sont sanctionnés au niveau national et, pour une répression plus efficace contre des phénomènes transnationaux, les normes des États membres font l'objet d'un rapprochement au niveau de l'Union. Toujours concernant les contenus racistes et xénophobes, le Conseil a adopté, le 28 novembre 2008, une décision-cadre prévoyant l'incrimination par les États membres, de l'incitation publique à la violence ou à la haine visant un groupe défini par référence à la race, ou encore l'origine nationale ou ethnique. Est ainsi criminalisée la commission d'un tel acte par tout support y compris par Internet [66]. Le texte prévoit que les États répriment également les acteurs de ces actes indépendamment de leur présence sur leur territoire. Il suffit que le matériel hébergé sur un système d'information s'y trouve [67].
31Cependant, la multiplication de matériels illicites en ligne et la diffusion croissante de leur contenu, en particulier par le biais des réseaux sociaux constitue une préoccupation majeure pour l'Union [68]. Des efforts ont été menés à cet égard puisque, outre le rapprochement des législations pénales destinées à sanctionner certains contenus illicites, et l'action de l'IRU décrite précédemment, il est possible d'évoquer la création du Forum de l'UE sur l'Internet destiné à lutter contre la propagande terroriste ainsi que le code de conduite visant à combattre les discours de haine illégaux en ligne.
32Le Forum de l'UE sur l'Internet, instauré par le programme européen en matière de sécurité d'avril 2015, a été lancé en décembre 2015 [69]. Il vise à créer un dialogue institutionnalisé à l'échelle de l'Union en réunissant le secteur informatique privé, en particulier les grandes plateformes de l'internet, et les services répressifs en matière de contenus extrémistes violents en ligne. Ces grandes plateformes ont lancé une initiative destinée à permettre le partage de valeurs de hachage en vue d'identifier des contenus ayant trait à la propagande terroriste [70]. C'est d'ailleurs dans ce cadre qu'a été créée une « base de données d'empreintes numériques » pour identifier des contenus terroristes. En complément, le forum de l'UE sur l'Internet a élaboré un mécanisme de notification spécifique à partir d'une série d'indicateurs permettant la suppression de contenus à caractère terroriste [71].
33En réponse à la déclaration conjointe du Conseil extraordinaire « Justice et affaires intérieures », réuni après les attentats terroristes de Bruxelles de mars 2016, un code de conduite a été élaboré pour contrer les discours de haine en ligne [72]. Ce code, rendu public en mai 2016, vise à définir une série d'engagements de la part des plateformes en ligne, en l'occurrence Facebook, Twitter, YouTube et Microsoft. Parmi ces engagements figurent l'examen sous 24 heures des signalements, ainsi que la définition de procédures claires d'examen en vue de leur retrait.
34Le Conseil européen des 22 et 23 juin 2017 veut aller plus loin en demandant à ces plateformes privées de mettre au point de nouvelles technologies destinées à assurer la détection et la suppression automatiques des contenus qui incitent à commettre des actes terroristes. Peu après, la Commission a présenté en septembre 2017 une communication dans laquelle elle annonce qu'elle soutiendra financièrement des projets destinés à développer des outils de vérification automatique visant à contrôler la véracité des contenus créés par les utilisateurs sur les réseaux sociaux [73].Les institutions se trouvent en effet insatisfaites des efforts déployés par de telles plateformes, laissant proliférer des contenus à caractère illicite. Sur le plan juridique, la directive sur le commerce électronique considère ces plateformes comme des services d'hébergement [74]. À ce titre, elles constituent des prestataires de services d'hébergement et elles ne peuvent pas être tenues responsables des informations mises en ligne par des tiers. Toutefois, cette exemption n'est pas absolue [75]. Elles doivent respecter certaines conditions, au demeurant harmonisées à l'échelle européenne par la directive, sous peine de voir leur responsabilité engagée. Cette communication de septembre 2017, qui fait écho à deux autres émises précédemment, dans le même sens [76], entend préciser que, faute de mesures proactives destinées à détecter et à supprimer les contenus illicites qu'elles hébergent, elles pourraient se voir retirer le bénéfice de la dérogation en matière de responsabilité. A contrario, de telles mesures, qui englobent les outils de détection automatique, leur permettent de conserver le bénéfice de cette dérogation. L'idée est, en écho à la communication du 25 mai 2016, de maintenir un régime de responsabilité équilibré et prévisible pour les plateformes en ligne, qui allie la nécessité de promouvoir ces plateformes aux fins de développement futur de l'économie numérique et les impératifs d'une lutte contre les contenus illicites. À ce propos, la perspective d'une réglementation plus contraignante n'est pas exclue, en lieu et place de l'autorégulation promue par le code de bonne conduite de 2016. Cependant, celle-ci n'a pas encore franchi le pas en émettant un texte non contraignant. La Commission a en effet publié, le 1er mars 2008, une recommandation précisant les lignes directrices à respecter, parmi lesquelles le principe d'un retrait en une heure de tout contenu terroriste, à compter de son signalement [77]. La lutte contre les contenus illicites constitue un enjeu important pour l'Union européenne et ses États membres, mais ce n'est pas le seul.
B - Surmonter les obstacles juridiques et pratiques inhérents au cyberespace
35L'Union dispose, on l'a vu, d'instruments juridiques utilisables dans le cadre de procédures pénales transnationales visant à réprimer la cybercriminalité. Cependant, le cyberespace présente certaines particularités faisant que ces outils, y compris les plus récents, comme la décision d'enquête européenne, se heurtent à des obstacles juridiques et pratiques.
36La question des preuves électroniques tend à occuper une place de plus en plus importante lors des enquêtes dont la caractéristique est de revêtir un caractère transnational [78]. Le rapport d'évaluation mutuelle approuvé par le Conseil des 12 et 13 octobre 2017 met en évidence différentes difficultés [79]. La première a trait à l'admissibilité de ce type de preuve qui, de par leur nature, peuvent être manipulées ou falsifiées facilement [80]. C'est la raison pour laquelle les modes d'admission varient selon les États membres, certains d'entre eux ayant prévu des règles spécifiques devant les tribunaux. Cependant, un tel degré d'exigence en matière d'admissibilité des preuves électroniques, à finalité protectrice, peut constituer un obstacle à la coopération judiciaire dans l'hypothèse où ce niveau n'est pas le même entre États. L'hypothèse, qui avait été évoquée par le programme européen en matière de sécurité de 2015, concernait la collecte de preuves en temps réel auprès d'un État membre concernant, notamment, des propriétaires d'adresses IP, et leur recevabilité subséquente devant les tribunaux d'un autre État [81]. C'est la raison pour laquelle différents travaux ont eu lieu, notamment dans le cadre du Réseau judiciaire anticybercriminalité. Entrent dans son mandat, la recherche de solutions pratiques aux obstacles à l'obtention de preuves électroniques existant dans le contexte du recours des mécanismes de reconnaissance mutuelle fondés sur l'art. 82 TFUE [82]. Le plan d'action approuvé par le Coreper le 6 décembre 2017, précisant les mesures destinées à la mise en œuvre de la stratégie européenne du 13 septembre 2017 en matière de cybersécurité, prévoit, outre la feuille de route dressée par Europol visant à lutter contre la criminalité sur le darkweb, la présentation par la Commission, courant 2018, d'une proposition législative concernant l'accès transfrontalier aux preuves électroniques ainsi que le lancement, courant de l'année 2019, d'une plateforme visant à permettre aux États membres de partager en ligne des formulaires de demande d'enquête européenne et des preuves électroniques.
37Une autre difficulté a trait à l'examen des règles relatives à la compétence d'exécution dans le cyberespace, c'est-à-dire la faculté des autorités compétentes de décider d'une mesure d'enquête. Cet aspect est clairement évoqué dans des conclusions du Conseil approuvées le même jour que celles instituant l'EJCN, soit le 9 juin 2016 [83]. Les ministres de la Justice demandent à la Commission européenne de définir une approche commune à l'échelle de l'Union dans des situations dans lesquelles les cadres existants concernant la compétence d'exécution dans le cyberespace se révèlent insuffisants [84].
38Enfin, se pose la problématique de la question de la compétence relative au stockage dans les nuages, les gestionnaires de cloud se trouvant la plupart du temps hors de l'Union. Le risque est que certains actes de cybercriminalité liés au cloud échappent en pratique aux poursuites. Le rapport d'évaluation mutuelle souligne la difficulté des procédures actuelles d'entraide judiciaire à l'heure où ce système de stockage se répand [85]. Une piste évoquée a trait, pour une autorité judiciaire nationale, à demander directement à ces gestionnaires de cloud les informations requises. Or, comme le note le rapport, ceux-ci ne collaborent pas avec les autorités judiciaires des États membres [86]. Ce même rapport préconise dès lors des arrangements spéciaux avec certains d'entre eux pour réduire les délais de remise des informations dans des formats admissibles devant les tribunaux nationaux.
39Des problèmes se posent en termes similaires avec les fournisseurs de service internet, telles que les plateformes privées, qui se trouvent au sein de pays tiers, notamment aux États-Unis. La collaboration est en effet aléatoire, certaines d'entre elles étant réticentes à fournir des informations relatives à leurs clients. Le recours croissant au chiffrement, conjugué avec des techniques toujours plus perfectionnées, empêche les autorités judiciaires d'avoir accès aux données pertinentes [87]. La solution retenue n'est pas celle des back doors, mais plutôt celle consistant à casser les chiffrements grâce à des partenariats noués avec le secteur privé.
40La problématique est en réalité mondiale, puisque le FBI ne parvient plus à accéder aux données cryptées des téléphones intelligents avec le consentement des fabricants de ceux-ci. En l'espèce, la société Apple avait refusé, en 2015 et en 2016, de fournir les données nécessaires au FBI pour débloquer un téléphone intelligent dans le cadre d'une enquête criminelle. Tirant les leçons de l'affaire Snowden, Apple avait refusé l'idée d'une backdoor au nom du respect de la vie privée et de la confiance des consommateurs dans la confidentialité des produits mis sur le marché. À la suite de la tuerie de San Bernardino du 2 décembre 2015, le FBI avait demandé à cette entreprise d'accéder au contenu du téléphone du terroriste. Le FBI a finalement réussi, grâce à une entreprise spécialisée, à déverrouiller le téléphone concerné.
41Cela étant dit, le Conseil, dans ses conclusions relatives à l'examen à mi-parcours de la stratégie de sécurité intérieure renouvelée pour l'UE 2015-2020, a déclaré lutter contre la cybersécurité en promouvant des outils d'investigation performants de nature à traiter le rôle du chiffrement dans les enquêtes pénales [88]. En ce sens, ces conclusions, approuvées les 12 et 13 octobre 2017, font écho aux recommandations du rapport d'évaluation mutuelle pour qui les problèmes posés par le chiffrement pourraient être surmontés par l'intensification des efforts menés en matière de recherche et d'innovation (R&I), l'objectif étant de permettre aux autorités répressives nationales, œuvrant en lien avec des entreprises spécialisées, d'utiliser des techniques innovantes en matière de chiffrement, combinées le cas échéant à une meilleure collaboration entre ces autorités [89]. Pour l'heure, parmi les pistes retenues pour répondre au défi du chiffrement figurent d'abord, un soutien financier apporté à Europol par la Commission pour permettre à l'EC3 de renforcer ses propres capacités de déchiffrement (en l'occurrence, 5 millions d'euros ont été ajoutés au budget de l'office pour 2018), ensuite, l'établissement d'un réseau de points d'expertise au sein de l'EC3 et enfin, la mise en place d'une fonction d'observatoire regroupant l'EJCN, l'EC3 et Eurojust [90].
Conclusion
42En conclusion, et avec un regard plus critique sur la situation actuelle, l'observateur peut avoir la désagréable impression que la lutte contre la cybercriminalité s'apparente à une tâche incommensurable. L'Union et ses États membres sont confrontés, telles les filles du roi Danaos condamnées pour l'éternité à remplir un tonneau sans fond, à une lutte infinie qui s'apparente à une quête éperdue. En dépit des efforts déployés, la cybercriminalité se répand toujours davantage, en témoignent les récents rapports iOCTA.
43La cybercriminalité est appréhendée classiquement comme venant se greffer à la société numérique. Or, en s'inspirant des réflexions de Durkheim qui conclut en son temps que le crime était un phénomène normal [91], il est possible d'appréhender la cybercriminalité comme inhérente au développement de la société numérique, car consubstantielle au processus de digitalisation de la société [92]. L'idée n'est certainement pas d'affirmer qu'il s'agit d'un phénomène légitime, mais plutôt de considérer que celle-ci structure des relations de pouvoir entre individus, entreprises privées et institutions étatiques [93]. Un tel phénomène est endogène à la civilisation occidentale fondée sur le progrès technique [94]. Il est la « conséquence de l'extrême radicalisation de la modernité » [95].
44Les réseaux numériques sont à double tranchant, facteur de développement économique et social, mais aussi menace pour les individus, les entreprises et les États [96]. En réalité, c'est la société de l'information actuellement en plein essor qui est profondément ambivalente [97]. La cybercriminalité est, en quelque sorte, le miroir des contradictions des sociétés occidentales en quête perpétuelle d'une réduction des risques, mais qui, par les progrès techniques permanents, les génèrent elles-mêmes de manière continuelle [98].
Notes
-
[1]
Alessandro Pansa qui est à présent chargé des informations pour la sécurité auprès du chef du gouvernement (propos relatés par « L'Italie dresse un tableau édifiant sur la force de la mafia », Ouest France, 24 nov. 2017).
-
[2]
Communication conjointe de la Commission et du Haut représentant du 13 sept. 2017 intitulée « Résilience, dissuasion et défense : doter l'UE d'une cybersécurité solide » (JOIN(2017)450), p. 2.
-
[3]
Sur ce thème, v. B. Dupont, L'évolution du piratage informatique : de la curiosité technique au crime par sous-traitance, in AAPI, Association sur l'Accès et la Protection de l'Information (dir.), Le respons@ble 2.0 : Acteur clé en AIPRP, Cowansville : Yvon Blais, 2010, p. 63-81.
-
[4]
P.-É. Lavoie, Problèmes relatifs à la définition et à la mesure de la cybercriminalité, in F. Fortin (dir.), Cybercriminalité. Entre inconduite et criminalité organisée, Montréal : Presses internationales polytechniques, 2013, p. 3. « Force est de constater que ce terme a été utilisé à toutes les sauces et sert d'étendard sous lequel se rallie un ensemble de sous-catégories variables, elles-mêmes définies de diverses façons » (idem, p. 11).
-
[5]
Ce que le Parlement européen déplore (consid. 2 de sa résolution du 3 oct. 2017 sur la lutte contre la cybercriminalité (P8_TA-PROV(2017)0366).
-
[6]
S. Ghernaouti-Hélie, La cybercriminalité. Le visible et l'invisible, Lausanne : Presses polytechniques et universitaires romandes, coll. Le savoir Suisse, 2009, p. 14.
-
[7]
La cybercriminalité, correspond alors à un lieu. 1 : un espace où se développent des marchés illicites ; 2 : un endroit où se commettent des comportements délinquants telles que des cyberfraudes ; 3 : un point de rencontre pour des communautés délinquantes (G. E. Higgins et S. E. Wolfe, Cyberbercrime, in J. M. Miller (dir.), 21st Criminology, Londres : Sage, 2009, p. 466).
-
[8]
U. Sieber, La menace de la cybercriminalité, in Conseil de l'Europe, Criminalité organisée en Europe. La menace de la cybercriminalité, Strasbourg : Éditions du Conseil de l'Europe, 2006, p. 86.
-
[9]
M. Quéméner et Y. Charpenel, Cybercriminalité. Droit pénal appliqué, Paris : Economica, coll. Pratique du droit, 2010, p. 7.
-
[10]
W. Duhen, Surveillance policière des réseaux et libertés fondamentales, in P. Mouron, C. Piccio (dir.), L'ordre public numérique. Libertés, propriétés, identités, Aix-en-Provence : Presses universitaires d'Aix-Marseille, coll. Inter-normes, 2015, p. 29.
-
[11]
Pt 1, § 1 de la communication du 22 juin 2007 intitulée « Vers une politique générale en matière de lutte contre la cybercriminalité » (COM(2007)267).
-
[12]
Dans le même sens, v. D. S. Wall, Cybercrime : The Transformation of Crime in the Information Age, Cambridge : Polity, 2007. L'Assemblée parlementaire du Conseil de l'Europe présente une typologie qui recoupe en partie celle énoncée par la Commission, au sens où la cybercriminalité correspond à trois phénomènes distincts : les infractions commises au moyen d'un ordinateur (vols de fonds par le biais de transferts vers des comptes numérotés dans différents pays, création de sites pédophiles), les infractions au regard desquels l'ordinateur est la cible de l'infraction (vols ou destruction de données par exemple), et enfin les infractions en lien avec un moyen informatique (ordinateur contenant des preuves ou une trace du délit commis) (Assemblée parlementaire du Conseil de l'Europe, Lutte de l'Europe contre la criminalité économique et le crime organisé transnational : progrès ou recul ?, doc. 9018 du 6 avr. 2001).
-
[13]
Pour un panorama du droit français, v. F. Chopin, Les politiques publiques de lutte contre la cybercriminalité, AJ pénal 2009. 101.
-
[14]
U. Sieber, La menace de la cybercriminalité, op. cit, p. 226.
-
[15]
En réalité, l'objectif est de donner un aperçu des enjeux actuels sans prétendre à l'exhaustivité. Ceux-ci sont nombreux. À titre d'exemple, l'un d'entre eux qui aurait mérité d'être davantage évoqué concerne le manque de capacité des services répressifs et des autorités judiciaires nationales, de même que des organismes européens chargés de la lutte contre la cybercriminalité (le rapport d'évaluation mutuelle sur la mise en œuvre des politiques européennes en matière de cybercriminalité, cf. infra) souligne ce manque de capacité des services répressifs et des autorités judiciaires nationales. Quant au Parlement européen, il réclame, dans la résolution précitée d'octobre 2017, un renforcement des capacités d'Europol et d'Eurojust. Enfin, il existe un défaut important de formation, qu'il s'agisse de personnels du secteur privé, ou des services répressifs et des autorités judiciaires. Les députés demandent au Collège européen de police (CEPOL) et au Réseau européen de formation judiciaire (REFJ) de renforcer leur offre de formations en la matière.
-
[16]
La Secure Platform for Accredited Cybercrime Experts (SPACE) est une plateforme d'experts membre de l'EPE (Europol Expert Platform) destinée à réunir des spécialistes issus des services répressifs, du secteur privé, en particulier de l'industrie, et du monde académique. Cette plateforme rassemble avant tout des praticiens désireux d'échanger des connaissances, des expériences et des bonnes pratiques sur le thème de la cybercriminalité.
-
[17]
P. 11 et 13 du document de programmation d'Europol pour la période 2017-2019.
-
[18]
Pour une présentation générale, v. M. Quéméner, J. Ferry, Cybercriminalité. Défi mondial, Paris : Economica, 2e éd., 2009, p. 237-238.
-
[19]
L'EC3 a participé, avec le Federal Bureau of Investigation et la Drug Enforcement Agency américains ainsi qu'avec la police nationale néerlandaise, à une opération répressive de grande ampleur visant à fermer deux importants marchés illicites dans le darkweb (sur le darkweb, v. le dossier « Le Darkweb : la face cachée d'internet », Dalloz IP/IT 2017. 70). Cette opération, menée en juill. 2017, a permis de neutraliser deux plateformes de l'économie criminelle souterraine (en l'occurrence AlphaBay et Hansa) ayant pris la suite de Silk Road, elle-même fermée par le FBI en 2013 (v. p. 12 de la communication de la Commission du 7 sept. 2017 sur le dixième rapport sur les progrès accomplis dans la mise en place d'une union de la sécurité réelle et effective (COM(2017)466).
-
[20]
Art. 5, § 2 de la décision du Conseil du 6 avr. 2009 portant création de l'Office européen de police (Europol), JOUE n° L 121 du 15 mai 2009, p. 37.
-
[21]
R. Genson, P. Zanders, Le développement de la coopération policière européenne - quel avenir pour Europol ?, RMCUE 2007, n° 504, p. 10.
-
[22]
Doc. du Conseil du 25 mars 2010 n° 5957/2/10, préc., p. 7.
-
[23]
Communication de la Commission du 28 mars 2012 intitulée « Combattre la criminalité à l'ère numérique : établissement d'un Centre européen de lutte contre la cybercriminalité » (COM(2012)140).
-
[24]
Doc. du Conseil du 4 juin 2012, n° 10603/12, ENFOPOL 154, TELECOM 116.
-
[25]
Communication de la Commission du 20 juin 2014 préc., p. 9.
-
[26]
A. Boin, M. Ekengren, M. Rhinard, The European Union as crisis manager. Problems and Prospects, Cambridge : Cambridge University Press, 2013, p. 123.
-
[27]
Plus exactement 4, § 1, al. l du règl. (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JOUE n° L 135 du 24 mai 2016, p. 53).
-
[28]
Au sein de l'EC3 figure le Multi-Disciplinary Centre for Cyber Innovation (MDCCI) destiné à fournir un soutien opérationnel aux États membres en matière de criminalistique numérique. L'EC3 apporte, au moyen du MDCCI et de son laboratoire criminalistique (Digital Forensic IT Lab) concernant les technologies de l'information et de la communication, un appui en matière de la coordination des opérations et une expertise dans le domaine de la recherche dans le domaine de la criminalistique numérique. Du point de vue des outils, l'EC3 dispose du Large File Exchange System (LFE), qui est un outil de communication, et du Malware Analysis Tool ou Sandbox (EMAS) qui est, pour sa part, un outil d'analyse sécurisée des divers malwares.
-
[29]
Check the Web (CTW) est un Analysis Working File d'Europol consacré à la surveillance des sites web islamistes. Ce projet allemand destiné à recenser notamment les sites islamistes impliqués sur le web, est géré par Europol qui a développé un portail d'accès permettant aux services spécialisés de se connecter aux serveurs de l'office (S. Perez, T. Thibaud, Les instruments de lutte contre le terrorisme au sein de l'Union européenne, in Auvret-Finck, J. (dir.), L'Union européenne et la lutte contre le terrorisme. État des lieux et perspectives, Bruxelles : Larcier, 2010, p. 95). Spécialisé dans la lutte antiterroriste, cette plateforme a pour mission de fournir un soutien opérationnel aux services de ces États, d'assurer une surveillance en ligne des activités d'incitation au terroriste, de suivre sur le web les diverses activités dans ce domaine et d'identifier leurs auteurs, de même que les participants aux forums.
-
[30]
Respectivement doc. du Conseil du 22 nov. 2005, n° 14781/05 et doc. du Conseil du 16 juin 2006, n° 10633/06.
-
[31]
Doc. du Conseil du 19 avr. 2007, n° 8457/07.
-
[32]
En 2015, Check the Web contenait plus de 1 500 objets (entities ; vidéos, audios, publications, déclarations) publiés en 2014 sur le web. Depuis 2007, près de 15 000 éléments (items) ont été insérés dans le CTW, essentiellement à travers une surveillance du Web effectuée par Europol lui-même (p. 5 du doc. du Conseil du 15 mars 2015, n° 7272/15).
-
[33]
Pour une description plus précise de l'EU IRU, ainsi que pour une évaluation critique, v. K. Vieth, Policing the internet : how Europol takes action against undesirable content online, Statewatch Analysis, 17 juill. 2017, http://www.statewatch.org/analyses/n°-314-europol-iru-policing-internet.pdf).
-
[34]
Doc. du Conseil du 16 mars 2015, n° 7266/15, JAI 178, COSI 32, ENFOPOL 66, CYBER 17, COTER 49.
-
[35]
D'après le Coordonnateur pour la lutte antiterroriste (p. 10 du doc. du Conseil du 23 nov. 2015, n° 14438/15 intitulé « état de la situation concernant la mise en œuvre de la déclaration adoptée par les membres du Conseil européen le 12 février 2015 sur la lutte contre le terrorisme »).
-
[36]
Doc. du Conseil du 2 juin 2006 n° 9409/06 (Presse 144) en référence au document du Conseil du 6 mars 2006 n° 7039/2/06.
-
[37]
Doc. du Conseil du 6 juin 2006 n° 10181/06 intitulé « Draft Council conclusions setting the EU priorities for the fight against organised crime based on the OCTA ».
-
[38]
Doc. du Conseil du 25 oct. 2010, n° 15358/10.
-
[39]
Concl. du Conseil des 9 et 10 juin 2011 (doc. du Conseil du 6 juin 2011, n° 11050/11).
-
[40]
Doc. du Conseil dénommé « Operational Action Plan 2017 related to the EU crime priority G3 : Cyber Attacks » (doc. du 20 juin 2017, n° 15233/1/16).
-
[41]
Communication de la Commission du 12 avr. 2017 sur le 6e rapport sur les progrès accomplis dans la mise en place d'une union de la sécurité réelle et effective (COM(2017)213).
-
[42]
Doc. du 12 mai 2017, n° 8654/17, p. 2
-
[43]
Le cycle politique de l'UE pour la période 2018-2021 est actuellement en cours de déploiement. Le COSI a approuvé, le 26 juin 2017, le mandat du nouveau cycle politique de l'UE pour la période 2018-2021 qui englobe les principales caractéristiques de celui-ci ainsi que les différentes étapes à réaliser. Un plan stratégique pluriannuel ainsi qu'un plan d'action opérationnel ont été approuvés concernant les trois volets de la cybercriminalité, à savoir les attaques contre les systèmes d'information, la pédopornographie, et la fraude aux cartes bancaires (p. 27 du doc. du 20 nov. 2017, n° 14108/1/17).
-
[44]
Proposition de directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces et remplaçant la décision-cadre 2001/413/JAI du Conseil (COM(2017)489).
-
[45]
Dir. 2012/29/UE du Parlement européen et du Conseil du 25 oct. 2012 établissant des normes minimales concernant les droits, le soutien et la protection des victimes de la criminalité et remplaçant la décision-cadre 2001/220/JAI du Conseil (JOUE n° L 315 du 14 nov. 2012, p. 57).
-
[46]
Dir. 2014/41/UE du Parlement européen et du Conseil du 3 avr. 2014 concernant la décision d'enquête européenne en matière pénale (JOUE n° L 130 du 1er mai 2014, p. 1). La cybercriminalité est mentionnée à l'annexe D de la directive, c'est-à-dire parmi les infractions figurant à l'art. 11 (en l'occurrence les infractions qui ne peuvent pas justifier le refus de l'exécution d'une décision d'enquête européenne par l'État d'exécution au motif qu'elle ne figure pas dans le droit de ce dernier (art. 11, § 1 al. g).
-
[47]
Respectivement. proposition de directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces et remplaçant la décision-cadre 2001/413/JAI du Conseil (COM(2017)489) et décision-cadre 2001/413/JAI du Conseil du 28 mai 2001 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces (JOUE n° L 149 du 2 juin 2001, p. 1).
-
[48]
C'est-à-dire le piratage informatique consistant à détourner le trafic d'un site Internet à partir d'une fausse adresse, en l'occurrence obtenir un paiement versé sur un compte bancaire contrôlé par le fraudeur.
-
[49]
Dir. 2013/40/UE préc.
-
[50]
Décision-cadre 2005/222/JAI du Conseil du 24 févr. 2005 relative aux attaques visant les systèmes d'information (JOUE n° L 69 du 16 mars 2005, p. 67).
-
[51]
Il s'agit d'un groupe d'ordinateurs compromis qui, sous un contrôle commun, exécutent des programmes (ndbdp n° 3 de la communication du 22 juin 2007). Sur cette question, v. J.-P. Dardayrol, L'impact économique de la cybercriminalité, in I. Bouhadana, W. Gilles (dir.), Cybercriminalité. Cybermenaces et cyberfraudes, Paris : IMODEV, 2012, p. 46. Lutter contre les botnets revient à lutter contre les « réseaux zombies », qui consistent en « un contrôle à distance d'un nombre important d'ordinateurs en les contaminant au moyen de logiciels malveillants dans le cadre de cyberattaques ciblées. Une fois créé, le réseau d'ordinateurs contaminés qui constitue le réseau zombie peut être activé à l'insu des utilisateurs des ordinateurs dans le but de lancer une cyberattaque à grande échelle, qui est en général à même de causer un grave préjudice » (dir. 2013/40/UE, préc., consid. 5).
-
[52]
Pt 3.2 du rapport de la Commission au Conseil fondé sur l'art. 12 de la décision-cadre du Conseil du 24 févr. 2005 relative aux attaques visant les systèmes d'information (COM(2008)448).
-
[53]
C. Castets-Renard, Droit de l'internet : droit français et européen, Paris : Montchrestien, 2012, p. 442.
-
[54]
Doc. du Conseil du 9 juin 2016, n° 10025/16.
-
[55]
Le Réseau judiciaire européen anti-cybercriminalité est une structure à caractère judiciaire ayant une expertise sur la cybercriminalité (alors que, en comparaison, le RJE apporte un appui ponctuel contre toute forme de criminalité grave, quelle que soit sa nature ; art. 4 § 1 de la décision 2008/976/JAI du Conseil du 16 déc. 2008 concernant le Réseau judiciaire européen, JOUE n° L 348 du 24 déc. 2008, p. 130).
-
[56]
Pour une présentation générale d'Eurojust, v. M. Quéméner, J. Ferry, op. cit., p. 238-240.
-
[57]
Art. 4 § 1 de la décision précitée du Conseil du 28 févr. 2002 instituant Eurojust, modifiée par la décision 2009/426/JAI du Conseil du 16 déc. 2008 sur le renforcement d'Eurojust et modifiant la décision 2002/187/JAI instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité (JOUE n° L 138 du 4 juin 2009, p. 14). Pour une version consolidée du texte, v. doc. du Conseil du 15 juill. 2009, n° 5347/3/09.
-
[58]
Et pour une description récente, v. M. Coninsx, Eurojust, une réponse judiciaire plus solide que jamais de l'Union européenne, Cahiers de la sécurité et de la justice, vol. 38, n° 4, 2016, p. 75-78.
-
[59]
Le FP Cyborg fait partie du projet d'analyse éponyme destine à fournir un soutien aux enquêtes contre la criminalité portant atteinte à la sécurité des réseaux, https://www.europol.europa.eu/sites/default/files/documents/ec3_first_year_report.pdf.
-
[60]
Rapport annuel d'activité d'Eurojust pour l'année 2015, p. 33.
-
[61]
Pour davantage de détails, v. p. 30 du rapport annuel d'activité d'Eurojust pour l'année 2016.
-
[62]
Consid. 2 des concl. (doc. du Conseil du 9 juin 2016, n° 10025/16 préc.).
-
[63]
Consid. M de la résolution du Parlement européen du 3 oct. 2017 sur la lutte contre la cybercriminalité (P8_TA-PROV(2017)0366).
-
[64]
Par ex. consid. 29 de la dir. 2013/40/UE du 12 août 2013, préc.
-
[65]
Consid. 1er de la décision-cadre 2008/913/JAI du Conseil du 28 nov. 2008 sur la lutte contre certaines formes et manifestations de racisme et de xénophobie au moyen du droit pénal, JOUE n° L 328 du 6 déc. 2008, p. 55).
-
[66]
Décision-cadre 2008/913/JAI, art. 1 al. b.
-
[67]
Décision-cadre 2008/913/JAI, art. 9 § 2 b.
-
[68]
Pour une analyse récente de la problématique générale des contenus illicites en ligne, v.
F.-X. Roux-Demare, Droit pénal, violences et Internet, in C. Ribeyre (dir.), Les violences, Paris : Cujas, coll. Travaux de l'Institut de sciences criminelles de Grenoble, à paraître. -
[69]
Communication de la Commission du 28 avr. 2015, préc.
-
[70]
V. la communication de la Commission du 25 janv. 2017 relative au 4e rapport sur les progrès accomplis dans la mise en place d'une union de la sécurité réelle et effective (COM(2017)41).
-
[71]
Communication de la Commission du 24 janv. 2018 relative au 13e rapport sur les progrès accomplis dans la mise en place d'une union de la sécurité réelle et effective (COM(2018)46).
-
[72]
Disponible sur http://ec.europa.eu/justice/fundamental-rights/files/hate_speech_code_of_conduct_en.pdf
-
[73]
Communication de la Commission du 28 sept. 2017 intitulée « Lutter contre le contenu illicite en ligne. Pour une responsabilité accrue des plateformes en ligne » (COM(2017)555).
-
[74]
Art. 14 de la dir. 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »), JOUE n° L 178 du 17 juill. 2000, p. 1.
-
[75]
Directive sur l'obligation de surveillance par les services d'hébergement, art. 15.
-
[76]
P. 9 de la communication de la Commission du 25 mai 2016 intitulée « Les plateformes en ligne et le marché unique numérique - Perspectives et défis pour l'Europe » (COM(2016) 288) ; p. 9-10 communication de la Commission du 10 mai 2017 sur l'examen à mi-parcours de la mise en œuvre de la stratégie pour le marché unique numérique (COM (2017)228).
-
[77]
Recommendation de la Commission sur les mesures destinées à lutter, de manière efficace, contre les contenus illicites en ligne (C(2018) 1177).
-
[78]
Pour une analyse approfondie de cette question, v. K. Ligeti, G. Robinson, Cross-border access to electronic evidence: Policy and legislative challenges, in S. Carrera, V. Mitsilegas, (dir.), Constitutionalising the Security Union. Effectiveness, Rule of Law and Rights in Countering Terrorism and Crime, Bruxelles, Centre for European Policy Studies (CEPS), 2017, p. 99-111.
-
[79]
Ce rapport synthétise les résultats concernant la septième série d'évaluations mutuelles. Il formule une série de recommandations à partir d'un cycle d'évaluation du droit et des pratiques des États membres mené entre 2014 et 2016. Cette série d'évaluations mutuelles a pour thème les mécanismes de lutte contre la cybercriminalité. Décidé en 2013, un tel cycle s'est déroulé conformément au mécanisme prévu par l'action commune 97/827/JAI du 5 déc. 1997 adoptée par le Conseil sur la base de l'art. K.3 du traité sur l'Union européenne instaurant un mécanisme d'évaluation de l'application et de la mise en œuvre au plan national des engagements internationaux en matière de lutte contre la criminalité organisée, JOUE n° L 344 du 15 déc. 1997, p. 7. Des rapports détaillés sur les États membres évalués ont été rendus public. C'est le cas de la France (doc. du Conseil du 16 mai 2017, n° 9135/17).
-
[80]
P. 50 du doc. du Conseil du 9 juin 2017, n° 9986/17, dénommé « Septième série d'évaluations mutuelles sur la mise en œuvre pratique et le fonctionnement des politiques européennes en matière de prévention de la cybercriminalité et de lutte contre celle-ci ».
-
[81]
Programme européen en matière de sécurité, préc., p. 23.
-
[82]
Par ailleurs, l'EJCN est également en train de créer un portail en ligne sécurisé en vue d'assurer les échanges entre autorités judiciaires concernant les preuves numériques.
-
[83]
Doc. du Conseil du 9 juin 2017, n° 10007/16.
-
[84]
Par exemple dans l'hypothèse où un seul délit est commis concomitamment sur plusieurs systèmes d'information situés dans plusieurs États membres, dans le cas où les preuves électroniques sont fugaces, au sens où elles se déplacent rapidement entre États membres, ou encore dans le cas où l'emploi de techniques de dissimulation permettent de masquer le lieu de la commission du délit ou des preuves électroniques.
-
[85]
Rapport préc., p. 56-60.
-
[86]
Doc. du Conseil du 9 juin 2017, n° 9986/17, p. 58.
-
[87]
Cette question est mise en évidence par l'iOCTA 2017. Le rapport précise que l'emploi du cryptage nuit au travail des services répressifs et rend les poursuites pénales inefficaces.
-
[88]
Plus exactement, en traitant « le rôle du chiffrement dans les enquêtes pénales et [en renforçant] la coopération dans ce domaine entre les services répressifs, notamment avec les partenaires de confiance en dehors de l'UE, afin de faire face aux défis actuels liés au détournement de services chiffrés de bout en bout, [en veillant] à la cohérence de l'approche à l'égard des fournisseurs de services et des fabricants de dispositifs, [de même qu'] à la disponibilité des données, sous réserve de garanties appropriées [et en veillant] à ce que les États membres soient en mesure d'accéder à ces données à des fins d'enquête » (p. 6 d doc. Conseil du 13 oct. 2017, préc.).
-
[89]
Rapport préc., p. 47-48.
-
[90]
Communication de la Commission du 18 oct. 2017 sur le 11e rapport sur les progrès accomplis dans la mise en place d'une union de la sécurité réelle et effective (COM(2017)608).
-
[91]
É. Durkheim, Les Règles de la méthode sociologique (1894). p. 45 du doc. pdf de l'ouvrage publié dans la coll. Les auteur(e)s classiques, Université du Québec à Chicoutimi : http://classiques.uqac.ca/classiques/Durkheim_emile/regles_methode/regles_methode.html.
-
[92]
À ce propos, v. B. Sandywell, On the globalisation of crime : the Internet and new criminality, in Y. Jewkes, M. Yar (dir.), Handbook of Internet Crime, Londres : Routledge, 2009, p. 45.
-
[93]
En ce sens, S. Leman-Langlois, Le crime comme moyen de contrôle du cyberespace commercial, Criminologie, vol. 39, n° 1, p. 63-81.
-
[94]
M. Quéméner, Cybermenaces, entreprises et internautes, Paris : Economica, 2008, p. 1.
-
[95]
W. Cappeler, Criminalité du risque et harmonisation pénale, in M. Delmas-Marty et alli., L'harmonisation des sanctions pénales en Europe, Sté de législation comparée, 2003, p. 414. Et pour prolonger l'analyse, v. l'article de Francis Snyder (Sites of criminality and sites of governance, Social & Legal Studies, vol. 10, n° 2, 2001, p. 251-256).
-
[96]
Et pour une critique éclairante, v. J. Ellul, Le système technicien, Paris : Le Cherche-midi, 2012.
-
[97]
Sur ce thème des rapports entre criminalité, mondialisation et société du risque, v. Governance risk and globalisation theories, in K. S. Williams, Textbook on criminology, Oxford : Oxford University Press, 7e éd., 2012, p. 584-611.
-
[98]
U. Beck, La société du risque. Sur la voie d'une autre modernité, Paris : Aubier, 2001.