Cybercriminalité : les principales mesures du rapport Marc Robert

C'est aujourd’hui à 18h que le procureur Marc Robert a remis son rapport en présence de Christiane Taubira, garde des Sceaux, Arnaud Montebourg, ministre de l’Économie, Bernard Cazeneuve, ministre de l’Intérieur et Axelle Lemaire. Le Procureur général de la Cour d’appel de Riom rend là les différentes pistes proposées dans le cadre du groupe de travail interministériel sur la lutte contre la cybercriminalité. Panorama des principales mesures proposées dans ce document.

Pour « Protéger les INTERNAUTES » (en lettres capitales dans le texte), le procureur propose une panoplie de mesures tout au long d’un rapport fort de 277 pages (sans compter les 207 pages des annexes). Les unes sont structurelles et recommandent l’installation d’une super structure administrative – la délégation interministérielle chargée de la lutte contre la cybercriminalité -, d’autres promeuvent la création d’infractions spécifiques notamment contre le spam. Le magistrat entend également réactiver la suspension d’accès, mais en la généralisant à une série d’infraction mettant en péril des mineurs. À l’instar de Mireille Imbert Quaretta, il propose différentes mesures pour muscler le blocage des sites internet et spécialement pour éviter la réapparition des sites miroirs. Nouveauté plus ambitieuse encore, il propose que les juridictions françaises soient déclarées compétentes dès lors qu’une infraction grave vise une personne de nationalité française (ou qui a son siège en France).

Next INpact vous propose ci-dessous un panorama presque exhaustif de ces mesures.

Un CERT*FR et une délégation interministérielle à la lutte contre la cybercriminalité

Créer un "CERT" français (Computer emergency response team) : ce centre d’alerte généraliste aura pour mission de répondre aux besoins du grand public ou des PME. Son action épaulera donc les CERT professionnels ou l’actuel CERT-FR, géré par l’ANSSI, lequel est à ce jour concentré sur les OIV (opérateurs d’infrastructures vitales). Ce CERT*FR, associatif, aurait notamment pour mission d'inciter à un rapprochement entre plusieurs initiatives non étatiques (Signal Spam, Phishing Initiative, etc.). Il aurait aussi pour rôle d’aiguiller les victimes vers la bonne plate-forme (ANSSI, Pharos, Signal Spam…). (p.126)

Créer une Délégation interministérielle à la lutte contre la cybercriminalité (p.141). Celle-ci reviendrait à plusieurs reprises dans l’épais rapport de 277 pages. Elle jouerait un rôle d’interface avec le secteur privé et spécialement les intermédiaires du net. Cette délégation serait par exemple armée d’un pouvoir de sanction administrative en cas de non-respect de leurs obligations légales. Cette délégation mettrait également à exécution les décisions de retrait, de déréférencement, de blocage. Cette autorité de médiation aurait pour rôle d’examiner les signalements de contenus « manifestement illicites » auxquels ont refusé de donner suite les hébergeurs et FAI. Si un internaute dénonce un contenu, mais que l’intermédiaire n’agit pas, le médiateur pourra être saisi par tout particulier et se pencher sur sa demande. L’institution imaginée par le rapporteur serait surtout en capacité d’ordonner au prestataire de prendre les mesures nécessaires pour faire cesser l’infraction notifiée. Ce mode de règlement des litiges se voudrait « simple et gratuit » (voir plus bas). Au-delà des simples injonctions faites par le juge aux intermédiaires de retirer ou de bloquer certains contenus, Marc Robert propose que ceux-ci puissent également être tenus de surveiller la réapparition de ce même contenu, afin d’éviter un « effet miroir ».

De nouvelles infractions spécifiques, la suspension de l'accès généralisée

Aggraver les peines en cas d’atteintes aux systèmes de traitement automatisé de données (STAD), notamment lorsqu’elles sont commises par bande organisée ou visent des opérateurs d’infrastructure vitale, qu’ils soient publics ou privés. (p.154)

Création d’une peine spécifique réprimant l’envoi de spams. Selon le magistrat, ces pratiques s’assimilent à du harcèlement. Elles sont aussi constitutives d’une ingérence dans la vie privée selon la CJUE, cependant cette spécificité appelle des règles pénales particulières afin de sanctionner leurs auteurs (p.155).

Incriminer spécifiquement le vol de biens immatériels afin de protéger le secret des affaires. « Même si figurent déjà dans le droit positif des incriminations susceptibles d’assurer, pour partie, le secret des affaires, la création d’une incrimination particulière semble opportune, compte tenu tant des prescriptions résultant de la directive sur le commerce en ligne que des attentes des professionnels. Une solution simple et directement opérationnelle consisterait à incriminer spécifiquement, au même titre que le vol d’électricité (cf. art. 311-2 du Code pénal), le vol de biens immatériels que la Cour de cassation a commencé à consacrer ». (p.158)

Refaire naitre la peine de suspension de l’accès à internet et la généraliser à d’autres infractions, du moins celles mettant en péril un mineur (proposition sexuelle, pédopornographie, etc.). « Naturellement, l’effectivité d’une telle peine commande d’en assurer la notification à l’ensemble des fournisseurs d’accès » prévient le magistrat qui oublie de noter la complexité technique de cette suspension ciblant l’accès au web, qui fut notamment soulignée en secret par la CNIL. Comme ce fut le cas pour Hadopi, cette peine serait « assortie de l’interdiction de souscrire, pendant la même période, un autre contrat portant sur un service de même nature auprès de tout opérateur ». Dans le cadre de Hadopi, la peine de suspension avait été en partie supprimée par décret. Elle n'a jamais appliquée.

L'usurpation d’identité numérique sur internet, une circonstance aggravante : alors que l’usurpation d’identité « traditionnelle » est aujourd’hui passible des mêmes peines que celle commise grâce à Internet (un an de prison et 15 000 euros d’amende), Marc Robert propose que l’utilisation d’un réseau de communication électronique devienne une circonstance aggravante dans le cadre de tout délit d’usurpation d’identité. Le rapport fait ainsi référence à deux récentes propositions de loi UMP, qui visaient à multiplier par deux voire par sept les peines de prison encourues pour tout délit d’usurpation d’identité numérique. Cette idée avait été déjà portée dans le passé à l'Assemblée nationale par un député UMP.

Cyber-harcèlement : le rapport considère que notre droit se veut relativement adapté en la matière. Il n’est donc pas recommandé de prévoir de nouvelles dispositions particulières (contrairement à ce qu’ont déjà adopté les parlementaires au travers du projet de loi égalité femmes-hommes).

Cyber-café, hot spots Wi-Fi

Des cyber-cafés mieux réglementés : le rapport Robert demande à ce que des contrôles inopinés soient effectués afin de vérifier que ces établissements respectent bien la réglementation (à propos de la conservation des données d’identification notamment).

Hot spots Wi-Fi et sensibilisation : il est proposé de lancer une grande campagne de sensibilisation à destination des nombreux propriétaires de hot spots publics (gares, collectivités territoriales, commerces, etc.) sur cette réglementation que eux aussi doivent respecter, ainsi que sur les moyens de s’y plier.

La lettre de mission de Marc Robert signée par les quatre ministres

Les intermédiaires du net

Renforcer la coopération avec les FAI et les hébergeurs : le rapport estime nécessaire « de redéfinir un cadre global adapté aux obligations de ces prestataires », la loi de 2004 sur la confiance dans l’économie numérique générant trop de « difficultés » selon lui. Il conviendrait d’abord de quitter la culture de la confrontation, pour adopter une culture de la collaboration avec ces acteurs. Ces accords permettraient par exemple de faire peser sur leurs épaules les coûts de ces mesures. C’est la future délégation interministérielle, « par le biais d’une agence spécifique de régulation », qui veillerait qui serait notamment de coordonner les normes et négocier ou superviser ces éventuelles conventions de partenariat.

Les intermédiaires actifs doivent être responsables : le magistrat considère que ceux-ci doivent être déclarés irresponsables lorsqu’ils jouent un rôle passif dans les données stockées ou transmises, ou quand ils respectent leurs obligations en matière de données personnelles, d'identification des auteurs des contenus illicites, ou en matière de prévention et de mise d'un terme des activités illicites. Un rôle actif les rendrait donc automatiquement responsables. On pourra relire notre actualité sur la distinction entre intermédiaire actif et intermédiaire passif.

Régulation des moteurs : faire clairement peser sur les moteurs de recherche les obligations pesant sur les hébergeurs et les fournisseurs d’accès ayant pour objet la prévention et la sanction des contenus illicites figurant sur Internet. (p.173)

Obliger les moteurs, les hébergeurs, les FAI à détecter préventivement les infractions les plus graves. Quelles infractions ? Il vise spécialement celles de l’article 6-I-7 de la LCEN à savoir l'apologie des crimes contre l'humanité, l'incitation à la haine raciale, la pornographie enfantine, l'incitation à la violence et les atteintes à la dignité humaine. Cette obligation de surveillance préventive ne viserait que les infractions « se prêtant techniquement à une telle détection », en outre, « ce contrôle devrait donner lieu, ainsi que le prévoit déjà l’article en question, à l’information de l’autorité publique par le biais d’un point central - l’O.C.L.C.T.I.C. ». Précisons que l’actuel gouvernement veut élargir la liste de ces infractions graves pour étendre l’actuelle régulation aux appels à la haine et à la discrimination fondée sur le sexe, l’orientation sexuelle et le handicap.

Inciter les hébergeurs à une obligation de réponse à ceux qui sollicitent le retrait d’un contenu. Cependant, dans ce cas ou en cas de silence, un internaute aurait la capacité de saisir l’agence de régulation aux fins de médiation. « Ce n’est qu’au terme de ce processus, qu’une action civile ou pénale serait susceptible d’être engagée ». Marc Robert veut également que quiconque s’estime lésé puisse signaler ce contenu en ligne à l’autorité publique ou sur Pharos, sachant que « cette dernière devra l'aviser des suites données ».

Manifestement illicite : l’agence de régulation aura la capacité de notifier les hébergeurs ou les FAI, dans le respect du principe de subsidiarité, de l’existence d’un contenu manifestement illicite. Cette autorité centralisera et notifiera également les demandes de retrait, d'inaccessibilité, de déférencement, de blocage des noms de domaine, des contenus pédopornographiques, ou encore dans le cadre du droit à l’oubli et enfin les demandes de retrait étendue dans un temps limité (blocage contre les sites miroirs). Ces obligations, de moyen, seront arbitrées par la future délégation interministérielle. (p192). Cette autorité aurait la capacité de trancher les litiges sur ce qui relève ou non du « manifestement illicite » (p.190). Des mesures similaires pourront être envisagées à l’égard des prestataires de paiement ou des régies publicitaires. (p.193)

Le blocage des sites doit être décidé par un juge sauf pour la pédopornographie : Marc Robert estime que cette mesure ne peut intervenir qu’à titre subsidiaire, après tentative auprès de l’hébergeur puis du moteur de recherche. Il ne peut concerner que les « infractions graves qui s’y prêtent techniquement ». Exception faite de la pédopornographie, seul le juge judiciaire peut prendre une telle décision qui devra faire l’objet de compensation. Cependant, il recommande que cette mesure soit assortie d’une obligation de surveillance du prestataire et à son entière charge. C’est l’agence de régulation de la future délégation interministérielle qui surveillera l’exécution des décisions. Elle pourra saisir le juge en cas de difficulté d'exécution ou de sur-blocage. Enfin, la décision de blocage devra s'accompagner de la publication d'un message explicatif sur le site concerné. Le FAI pourra échapper à cette mesure s’il prouve que le contenu litigieux a été retiré ou qu’il est impossible d’y accéder. (p.204). Fait notable, le ministre de l'Intérieur s'apprête déjà à ignorer cette recommandation en instaurant un blocage administratif des sites liés au terrorisme.

Une compétence territoriale, preuve, réquisition, etc.

Revoir la compétence territoriale : Marc Robert propose de régler une fois pour toutes la question de la compétence des juridictions françaises. Selon lui, les crimes et les délits punissables d’un emprisonnement commis sur les réseaux devraient être de leur ressort s’ils visent une personne physique ou morale de nationalité française. Elles seront dans ce cadre « réputées avoir été commises en France » même s’ils sont orchestrés depuis l’étranger. Ce serait le parquet ou la juridiction du lieu de résidence de la personne physique ou du siège social de l’entreprise qui marquerait la compétence.

Conservation des données : le rapport demande à ce que tous les textes qui font obligation aux prestataires techniques de conserver, soit de plein droit, soit à la demande d’un juge, les données nécessaires aux enquêtes de justice. Ce délai pourrait être généralisé à un an.

Perquisitions, saisies : le rapport souhaite que le droit de perquisition soit étendu « à tout lieu privatif où se trouvent des objets ou données informatiques utiles à la manifestation de la vérité ». Il veut aussi autoriser explicitement la saisie d’ordinateurs, tablettes, smartphones, etc., mais aussi des supports sans transport sur les lieux de l’infraction. Dans le même sens, il veut autoriser explicitement la réalisation de copie sur les lieux de la saisie du support numérique ainsi que dans les locaux d’enquête sur la base du scellé provisoire et hors la présence de la personne. En cas de données un peu trop protégées, Marc Robert veut « reconnaître explicitement le droit, déjà largement mis en œuvre en pratique, pour l’officier de police judiciaire de casser lui-même le code d’accès ou de faire appel à une personne qualifiée pour ce faire, à condition d’assurer l’intégrité du système et d’en faire mention dans la procédure ». Pour les données chiffrées cette fois, il s’agirait d’autoriser un officier de police judiciaire à requérir toute personne qualifiée notamment via l’O.C.L.C.T.I.C. ou l’I.R.C.G.N. Quand les données qui intéressent un magistrat sont stockées à l’étranger, il veut que la loi soit mise à niveau pour autoriser ce juge à les consulter à distance.

La PNIJ, un guichet central : afin de faciliter et d’optimiser les réquisitions judiciaires, Marc Robert demande à ce que la future plateforme nationale des interceptions judiciaires (PNIJ) ait la « responsabilité du transit des réquisitions adressées aux prestataires pour les besoins de la lutte contre la cybercriminalité, du moins pour les principaux fournisseurs d’accès Internet ». Avec cette centralisation, « les services territoriaux seraient (…) déchargés de partie des tâches administratives qui leur incombe actuellement, les policiers et les gendarmes affectés à la PNIJ jouant d'ailleurs, pour les demandes qui transiteront par là, un rôle assimilable à celui des guichets » actuellement en vigueur. Cet élargissement se ferait par simple modification réglementaire. Comme révélé dans nos colonnes, le décret sur la PNIJ est actuellement au Conseil d’État, entre les mains de Mireille Imbert Quaretta. (P.182)

Les réquisitions adressées aux opérateurs installés à l’étranger : celles-ci restent souvent lettre morte ou sont très complexes. Google et Facebook ne répondent aux demandes « que lorsque les utilisateurs concernés sont Européens (pour le premier) ou Français (pour le second), par référence au seul critère de l’adresse IP ; en cas contraire, Google fait mention du pays concerné, afin de permettre aux enquêteurs français de se retourner vers celui-ci, Facebook avisant, quant à elle, les autorités du pays concerné, mais sans dévoiler ce dernier aux enquêteurs français ». Pour régler cette difficulté, les services d’enquête se replient à des demandes de renseignement, plutôt qu’une vraie réquisition. Si la Cour de cassation a validé ces pratiques, ces demandes restent bien faibles puisque les acteurs peuvent les ignorer. Marc Robert veut que les obligations françaises leur soient imposées même s’ils n’ont avec la France qu’une activité économique accessoire (publicités, etc.), quel que soit le lieu du siège social ou du stockage des données.

Preuve, pseudonyme et plainte en ligne

Preuve numérique : le pouvoir règlementaire est invité à adopter le principe d’une modélisation de la méthodologie devant être mise en oeuvre par les agents de police, dès lors qu’ils sont amenés à saisir des données ou à intervenir sur des supports informatiques. Le rapport Robert prône en particulier une certification externe des matériels destinés à récupérer des « preuves numériques » (que ce soit pour les copies ou bien pour les investigations de fichiers ou de supports).

Veille policière sur Internet : en dehors de toute enquête particulière, il est proposé d’autoriser les policiers à utiliser librement un pseudonyme afin d’accéder à des espaces publics, mais soumis à identification (forums, réseaux sociaux...).

Enquête policière sous pseudonyme : Marc Robert estime qu’il faudrait généraliser la possibilité de réaliser des enquêtes sous pseudonyme à tous les crimes et délits punis d’une peine d’emprisonnement et commis par le biais d’Internet. Alors que cette faculté est aujourd’hui assez restreinte (pour la pédopornographie notamment), le magistrat considère qu’il faudrait l’étendre dès lors que trois conditions seraient réunies : que seuls des officiers ou agents de police judiciaire appartenant à un service spécialisé soient habilités à procéder ainsi ; que l’enquête soit limitée dans le temps, et son renouvellement soumis à la décision du procureur de la République ; que « la traçabilité des opérations soit assurée ».

Plainte en ligne : alors qu’il n’est aujourd’hui possible que de « pré-porter plainte » sur Internet, le rapport Robert en appelle à l’instauration d’une plateforme ne nécessitant pas que la victime supposée se rende au commissariat ou à la gendarmerie. Ce type de processus ne serait opportun selon le magistrat que dans certains cas spécifiques : infractions commises via Internet, cyber-escroqueries et atteintes aux biens.

Droit à l’oubli et cyber-escroquerie

Un « droit à l’oubli » en faveur des seuls mineurs : le rapport Robert prend position en faveur d’un droit à l’effacement de toute donnée diffusée sur Internet et concernant une personne de moins de 18 ans (qu’elle soit publiée par lui-même ou par un tiers). Le juge des enfants pourrait ainsi être saisi de telles demandes de suppression de liens ou bien d’informations au sens large, dans les moteurs, réseaux sociaux, etc. Sur ce terrain, la CJUE a récemment validé le droit à l'effacement dans les moteurs de recherche, mais la mesure n'est pas réservée aux seuls mineurs.

Création d’une plate-forme centralisée pour le traitement des cyber-escroqueries, exception faite des infractions liées aux cartes de paiement. Dans ce cadre général, il serait possible de déclarer en ligne ces faits sans convocation et audition de la victime par le service d’enquête. Un logiciel d’analyse des plaintes permettrait de faire des rapprochements afin d’identifier les faits relevant d’une même action criminelle. Cette plateforme pourrait aussi « délivrer les réquisitions nécessaires aux prestataires afin d’obtenir les éléments d’identification et de domiciliation disponibles ».

S’agissant des infractions aux cartes de paiements, celles-ci seraient accompagnées d’une obligation de dénonciation par le système bancaire. Ces informations centralisées permettraient une meilleure lutte contre ces faits délictueux.

Police des noms de domaine

Renforcer la police des noms de domaine : Marc Robert souhaite que le contrôle de l’attribution d’un nom de domaine (identité et domiciliation) soit musclé, et épaulé par une obligation de mise à jour en cas de déménagement. En cas de fausse déclaration, tous les services de l’État intéressé pourraient réclamer la suppression d’un nom de domaine. Il veut également que l’État puisse surveiller les flux d’enregistrement sans frais, en obligeant à la production gratuite des listes de nom de domaine correspondant à certains mots clefs. L’État aurait également plus de facilités pour lever l’anonymat. Les noms de domaine litigieux (violation du droit etc.) pourraient être transmis à l’État « afin d’éviter tout nouveau dépôt ».

Cette transmission passerait par la création d’un bureau d’enregistrement propre à l’État. Autre idée : créer une peine complémentaire obligatoire interdisant à une personne de redéposer un autre nom de domaine de premier niveau pendant une certaine durée.