Lecture: 38 min
N6615BZZ
Citer l'article
Créer un lien vers ce contenu
par Romain Ollard, Professeur à l’université de Poitiers
le 04 Octobre 2023
Mots-clés : cybercriminalité • numérique • internet • données à caractère personnel • traitement de données • STAD
Devenue une préoccupation majeure au regard de ses enjeux tant politiques qu’économiques, la cybercriminalité a progressivement pénétré les frontières de la loi pénale, pour irriguer tous les pans de son activité, n’épargnant aucune catégorie d’infractions, quelle qu’en soit la nature. Pour autant, la réception du fait cybercriminel s’est opérée de façon purement empirique, le plus souvent dispersée, pour faire face à l’émergence de faits sociaux nouveaux, d’essence numérique. Le constat est général, valant tant en droit spécial de la cybercriminalité que dans le champ des infractions de droit commun qui cherchent à s’adapter tant bien que mal aux spécificités du phénomène. Après le temps du désordre, celui de la réaction instinctive à un phénomène méconnu, le temps de la maturité pourrait être venu.
Enjeux de la cybercriminalité. Si la France s’est intéressée sur le tard au phénomène, la cybercriminalité est devenue une préoccupation majeure, à la fois politique et économique, tant elle forge la vulnérabilité des États [1], des particuliers, des entreprises [2]. En témoigne encore l’actualité récente, qu’il s’agisse de la cyberattaque ayant ciblé le système informatique du CHU de Rennes en juin 2023 ou, en juillet, de la publication, par un groupe de hackers dénommées Kromsec, d’un fichier contenant des données personnelles concernant plus d’un millier de magistrats. Aussi n’est-il guère surprenant que se soient emparés de la question tant les politiques, qui relaient le phénomène dans un discours volontiers emprunté au champ lexical de la guerre [3], que les juristes qui, après avoir délaissé la thématique, lui consacrent désormais de larges efforts. C’est que la cybercriminalité génère des problématiques – et une politique criminelle – spécifiques, de l’application de la loi dans l’espace, affectée par son caractère transfrontière, à la protection de la vie privée contre des procédés numériques intrusifs. Dans le champ du droit pénal spécial, la cybercriminalité interroge peut-être surtout les rapports du droit commun et du droit spécial car si le premier peut être façonné sous l’empreinte du numérique, l’œuvre d’adaptation trouve ses bornes dans le principe de légalité criminelle, contraignant la loi pénale à intervenir sous la pression des faits sociaux pour forger des incriminations spéciales.
Champ de la cybercriminalité. Aussi s’agira-t-il ici de retenir, non point une conception étroite de la cybercriminalité qui la cantonnerait aux seuls comportements ayant pour objet de porter atteinte aux systèmes informatiques ou aux réseaux de communication [4], mais une approche inclusive intégrant en outre les hypothèses où l’usage de procédés numériques ou de réseaux ne constitue qu’un moyen permettant de réaliser une infraction, quelle qu’en soit la nature, contre les personnes, les biens ou l’État [5]. Aussi bien, la cybercriminalité, largement comprise, n’intègre pas seulement les infractions ayant pour résultat ou finalité une atteinte aux systèmes informatiques mais encore les hypothèses où leur usage constitue l’instrument d’une atteinte d’une autre nature, bref un procédé illicite. Ainsi la cybercriminalité peut-elle être définie « comme l'ensemble des infractions pénales commises via le réseau internet » [6] ou, plus largement, « à l’encontre ou au moyen d’un système d’information et de communication » [7]. C’est qu’en effet, le cyberespace, conçu comme le cadre dans lequel se déploie la cybercriminalité, est mouvement, impliquant des réseaux de communication destinés à véhiculer l’information, qui peuvent constituer tantôt la cible même de l’attaque tantôt son vecteur.
Droit commun et droit spécial de la cybercriminalité. Dès lors, c’est tout le champ du droit pénal spécial qui est balayé, passé au crible, car aucune infraction, ou presque, n’échappe à l’emprise. Il est d’ailleurs devenu courant, presque banal, d’affubler du préfixe « cyber » tous les types de criminalité, qu’il s’agisse de « cyberfraude », de « cyberharcèlement », de « cyberpornographie », de « cyberviolences » – la liste est extensible à l’envi. Pour autant, deux catégories d’incriminations émergent en la matière, suivant qu’elles participent du droit spécial de la cybercriminalité ou qu’elles constituent des infractions de droit commun pouvant – par occasion – être commises au moyen de réseaux de communication. Au-delà d’une approche formelle, fondée sur la place des infractions dans le Code pénal, c’est le critère matériel de la spécificité des incriminations qui forge la distinction, une infraction relevant du droit spécial lorsque, par définition même, sa constitution implique des réseaux de communication, comme vecteurs ou objets de l’atteinte. Ici et là, en droit spécial (I.) ou en droit commun (II.), le constat est le même, celui d’une pénétration progressive, toujours plus prégnante, du fait cybercriminel dans le champ juridique répressif. Procédant tantôt d’un fait jurisprudentiel d’interprétation, tantôt d’un fait législatif de création, l’expansion est générale, affectant tous les pans du droit pénal spécial, confinant à une forme de surprotection, reflet d’un surinvestissement législatif. Pour autant, la qualité de la norme interroge en la matière, sans doute parce que le droit de la cybercriminalité s’est essentiellement construit de façon empirique, le plus souvent dispersée, sans effort d’harmonisation.
I. Droit spécial de la cybercriminalité
Des personnes et des biens. S’orientant dans deux directions principales [8], le droit spécial de la cybercriminalité s’attache tantôt à la protection des personnes, lorsque l’usage de procédés numériques est un moyen de porter atteinte à leurs données personnelles (A.), tantôt à la protection des biens, lorsqu’il a pour objet la sécurité des systèmes et des réseaux numériques (B.). Puisant leur source dans des lois anciennes, les deux corps de règles ont en commun leur longévité, témoin de leur capacité d’adaptation dans une matière pourtant sujette aux innovations technologiques. Les recettes du « succès » sont identiques, reposant sur des définitions larges, sinon évanescentes, offrant au juge le pouvoir de procéder aux adaptations nécessaires, quitte à prendre quelques latitudes avec le principe de légalité.
A. Atteintes à l’identité
Enjeux. L’usage de procédés informatiques renferme virtuellement des risques pour la vie privée, ce dont la loi française a tôt pris conscience en incriminant, par la loi du 6 janvier 1978, dite Informatique et libertés N° Lexbase : L8794AGS, diverses « atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » [9]. Quoi qu’on en dise, la menace affecte la vie privée des individus, laquelle, irréductible à la seule intimité, étend son empire à protection de l’identité des personnes. Tandis que les atteintes à l’intimité de la vie privée supposent un acte d’immixtion dans la sphère privée d’autrui ayant trait à des informations secrètes ou confidentielles, les atteintes à l’identité concernent quant à elles des informations identifiantes qui, sans être secrètes par nature, ne peuvent être collectées, traitées ou utilisées de façon libre, sans contrôle aucun [10]. La menace, toutefois, a changé de figure car si, aux origines, c’était le spectre d’un fichage massif opéré par l’État qui était redouté, faisant craindre une surveillance généralisée de la population, ce sont désormais les entreprises qui, pour l’essentiel, utilisent massivement les données personnelles à des fins commerciales [11]. La crainte du « big data » n’est plus une fiction mais une réalité économique puisque les données personnelles constituent des actifs patrimoniaux, cédés, échangés, vendus à des fins lucratives. De la même façon que les droits de l’homme ont muté au fil de leurs « générations » successives, pour n’être plus spécifiquement dédiés à la protection des citoyens contre le despote, le centre de gravité du droit des données personnelles s’est progressivement décentré, pour appréhender d’autres types de menaces, émanant des groupements économiques privés.
Données à caractère personnel. Le champ de la loi pénale se veut particulièrement large reposant d’abord sur le concept de « données à caractère personnel », conçu comme le pivot de la protection dont le contenu a évolué depuis les prémisses, dans le sens d’une extension progressive : après s’être substituée à celle d’ « informations nominatives » pour attraire en son sein l’image et la voix des individus, la notion est désormais définie, par renvoi au règlement général sur la protection des données (RGPD), comme « toute information se rapportant à une personne physique identifiée ou identifiable ». À cet égard, « est réputée être une personne physique identifiable [celle] qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » [12]. On ne saurait faire plus large car toute information identifiante entre dans le champ légal, quelle qu’en soit la nature, qu’elle ait trait à l’identité civile (nom, sexe, domicile), physique (image, voix, caractéristiques génétiques), professionnelle, patrimoniale sociale ou même numérique [13], la loi reconnaissant ainsi la réalité de la « personne numérique » – homo numericus –, protégée dans son identité.
Traitement des données à caractère personnel. C’est ensuite la notion – tentaculaire – de « traitement » des données personnelles qui est mobilisée, conçue comme l’épicentre du dispositif autour duquel gravitent divers comportements illicites, pénalement sanctionnés. La définition qui en est donnée, là encore par renvoi au RGPD, vise « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » [14]. Se trouve ainsi incluse « dans la notion de traitement la moindre opération effectuée sur des données personnelles, quelle qu’en soit la forme ou la nature » [15], y compris celles qui se déroulent avant (enregistrement, collecte) ou après (utilisation, diffusion) le traitement proprement dit, conçu comme une opération d’organisation structurée des données collectées. La seule restriction à cet égard a trait à la finalité du traitement des données qui doivent être « contenues ou appelées à figurer dans des fichiers » [16].
Afin d’embrasser tout le cycle des atteintes à l’identité, se trouvent sanctionné non seulement le traitement des données, incriminé lorsqu’il a été opéré en méconnaissance des formalités requises [17], en violation des droits des personnes physiques intéressées (droit à l’information, droit d’accès, de rectification, droit à l’effacement, droit d’opposition) [18] ou sans que soit préservée la sécurité des données traitées [19], mais encore tous les comportements qui se situent en amont ou en aval du traitement de données, de leur collecte illicite [20] à leur usage abusif (conservation illicite, détournement, divulgation non autorisée des données) [21].
Effectivité de la réponse pénale. Si la loi pénale, se voulant dissuasive, s’est attachée à sanctionner toute la chaîne des opérations relatives aux données personnelles, elle souffre pourtant d’une crise d’effectivité, ne donnant lieu qu’à un faible taux de poursuites et de condamnations [22]. Les maux de la législation, qui en sont la cause, sont connus tenant tant à l’accessibilité de la norme, en raison des renvois en cascade opérés par les textes, devenus illisibles, qu’à son défaut d’intelligibilité dû la sédimentation des textes qui s’empilent par strates successives – à la fois européennes et françaises – sans souci de cohérence d’ensemble. Si l’ordonnance n° 2018-1125 du 12 décembre 2018 N° Lexbase : L3271LNH ayant procédé à la réécriture partielle de la loi du 6 janvier 1978 se voulait être une œuvre de « simplification » et de « cohérence », elle a partiellement manqué son effet car cohabitent – et se superposent – encore aujourd’hui plusieurs régimes distincts, relatifs au RGPD, à la directive du 27 avril 2016 N° Lexbase : L9729K7H ou aux traitements intéressant l’État. Il en résulte une législation d’une rare complexité [23], concentrant toutes les tares inhérentes au droit pénal sanctionnateur, auxiliaire d’autres disciplines.
Aussi bien, après une importante crise de croissance du droit pénal en la matière, le temps de la décrue n’est-il pas venu ? Le mouvement est amorcé puisque l’autorité administrative – la Commission nationale de l’informatique et des libertés (CNIL) – dispose déjà d’importants pouvoirs de sanctions en la matière ; son amplification permettrait de combler le déficit de compétences de nos magistrats « généralistes » dans cette matière de « spécialistes », où il n’a pas été jugé utile de créer des juridictions spécialisées [24]. Qu’il soit par ailleurs permis de se demander si la peine principale de référence que constitue l’emprisonnement est ici adaptée, surtout si ce sont les groupements privés qui sont dans le collimateur. Autrement plus dissuasives apparaissent les sanctions pécuniaires prononcées par la CNIL, qui peuvent atteindre des montants considérables, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel [25] ; elles le sont d’autant plus que les décisions de la CNIL sont parfois l’objet d’une importante publicité – faisant office de « shame and name » pour certains groupements –, comme celle, retentissante, ayant prononcé une amende administrative record de 50 millions d’euros à l’encontre de la société Google le 21 janvier 2019 [26]. Il resterait toutefois encore à déterminer, au terme d’un travail discriminateur, la mesure de cette dépossession de la loi pénale afin d’identifier ce qui relève du giron normatif du droit pénal, réservé à la sanction des comportements frauduleux, et ce qui participe d’un droit pénal purement sanctionnateur [27] relevant d’un objectif de régulation qui devrait appartenir à l’autorité administrative dont c’est là la mission.
B. Atteintes aux systèmes
Légistique. Conçues comme le cœur de la lutte contre la cybercriminalité, les atteintes aux systèmes de traitement automatisé des données [28] ont su, depuis leur acte fondateur marqué par la loi Godfrain du 5 janvier 1988 relative à la fraude informatique N° Lexbase : L7828IRD, traverser les âges, faisant preuve de remarquables capacités d’adaptation. Si le dispositif est encore efficace aujourd’hui, c’est que les promoteurs de la loi, fort peu retouchée depuis sa genèse, ont su rédiger les incriminations en des termes suffisamment généraux pour permettre leur adaptation aux évolutions technologiques, au risque de méconnaître le principe de précision de la loi pénale.
Systèmes de traitement automatisé des données. D’abord, la notion de système de traitement automatisé de données (STAD), socle du dispositif, n’est nullement définie par la loi, ce qui procède d’un choix délibéré, sans doute visionnaire, afin de ne pas soumettre la répression aux vicissitudes des évolutions affectant la matière. La doctrine n’est guère plus disserte, raisonnant davantage par illustrations que par voie de définition, peut-être parce que la notion, sinon introuvable, est pour le moins insondable, rétive à se laisser enfermer dans une définition synthétique. Deux traits saillants paraissent pourtant caractériser la notion de STAD, conçu comme un ensemble affecté à une fin déterminée, non accessible à tous.
Sur le premier point, la définition donnée par la cour d’appel de Paris dans l’affaire Kerviel, directement inspirée des travaux préparatoires de la loi Godfrain, mérite audience : « la notion même de système suppose que ces éléments soient unis dans le but de produire un résultat déterminé : le traitement automatisé de données » [29]. Le STAD y est conçu comme un « tout », comme un ensemble composé d’éléments hétérogènes – tant matériels (puces informatiques, disque dur, etc.) que fonctionnels (logiciels, applications) – trouvant leur unité en ce qu’ils concourent à une même fin, le traitement automatisé des données, ce qui implique que ces différentes composantes soient reliées entre elles (« unis ») pour parvenir à un tel « résultat ». La définition permet ainsi de distinguer les STAD, conçus comme un moyen d’action informatique, du traitement automatisé des données [30], envisagé comme le résultat d’une telle action, qui fonde la protection des données nominatives. Ses virtualités sont considérables permettant d’attraire dans le champ répressif non seulement les systèmes informatiques « indépendants » des particuliers, des entreprises, des administrations [31] – qu’il y soit accédé physiquement [32] ou à distance, par le biais de réseaux de communication [33] –, mais encore les réseaux interconnectés, qui intègrent en leur sein divers systèmes reliés entre eux [34]. Ainsi en est-il du système intranet d’une entreprise [35], du serveur extranet d’une administration [36], d’un réseau wifi [37] ou même, peut-être, des réseaux sociaux ou des comptes des particuliers qui y sont connectés dès lors que, composés de différents éléments – matériels et fonctionnels – interconnectés, ils sont reliés entre eux à des fins de traitement de données (messages privés, photos, vidéos, etc.) [38].
Sur le second point, après valse-hésitation, la jurisprudence a rompu, à rebours des travaux préparatoires, avec l’exigence d’un système « protégé par des dispositifs » de sécurité [39], tels que des codes d’accès ou mots de passe [40], refusant ainsi de réserver la répression aux seuls hackers qui savent briser de tels dispositifs. Particulièrement inclusive, la notion de STAD n’est pourtant pas sans limite puisque ses contours sont façonnés par l’exigence d’un accès restreint, la qualification impliquant – sur le modèle du concept de lieu privé – que le système ne soit pas accessible à tous, de façon permanente et inconditionnelle. C’est qu’en effet, si le système pénétré n’a pas à être « fermé » [41] par un dispositif de sécurité, son accès doit toutefois être réservé, ce qui regroupe tant l’hypothèse où le système est verrouillé (accès interdit) que celle où l’accès au système, même ouvert, est restreint par le maître du système (accès non autorisé) : il faut – mais il suffit – que « le maître du système ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées » [42] (plateformes payantes, système intranet d’une entreprise, etc.). La notion de STAD s’identifie ainsi moins par la mise en œuvre matérielle d’un dispositif de sécurité que par une manifestation de volonté – subjective – du maître du système d’en restreindre l’accès.
Atteintes aux systèmes de traitement automatisé des données. Au-delà de la notion de STAD, cette arlésienne enveloppante aux contours nébuleux, l’attraction de la loi se manifeste ensuite à travers la grande variété de comportements incriminés. À cet égard, une évolution significative de la matière tient à la modification progressive de l’objet de la protection car si, aux origines, la protection était essentiellement dirigée vers la protection des systèmes informatiques, envisagés en tant que contenant, elle s’est progressivement décentrée vers la protection des données qu’ils contiennent.
Lorsqu’elle s’attache à la protection des systèmes eux-mêmes, la loi vise deux sortes de comportements fautifs en sanctionnant soit l’intrusion dans un STAD, soit l’altération du fonctionnement du système, ayant pour effet de paralyser ses fonctionnalités mêmes. Dans le premier cas, c’est l’inviolabilité du système qui est protégée, non seulement contre les accès illicites, lorsque l’intrus s’y est introduit sans droit, mais encore contre les actes de maintien frauduleux, lorsque l’agent, après s’être introduit de façon licite dans le système, s’y maintient frauduleusement, en dépassant les termes de l’autorisation qui lui a été conférée par son maître [43]. Dans le second cas, c’est l’intégrité du système qui est en cause, sa capacité à produire les services de traitement de données attendu de lui, lorsque la loi pénale vient sanctionner le fait d’« entraver » ou de « fausser » le fonctionnement d'un STAD [44], qui se trouve ainsi altéré.
L’objet de la protection pénale s’est toutefois progressivement déplacé vers la protection des données que les systèmes informatiques contiennent ou hébergent. Sans doute la loi pénale s’est-elle toujours attachée à réprimer les faits de modification ou de suppression des données informatiques. Mais la loi n° 2014-1353 du 13 novembre 2014 N° Lexbase : L8220I49, marquant un tournant décisif à cet égard, est venue enrichir ce corpus normatif d’autres comportements illicites en visant, en outre, l’extraction, la reproduction, la détention et la transmission de données [45]. Ce ne sont plus seulement des faits de destruction des données – hacking destructeur – qui se trouvent sanctionnés mais des actes d’appropriation frauduleuse visant le contenu informationnel du système – hacking accaparateur, animé par d’autres mobiles, souvent d’ordre lucratif.
Concours. C’est ainsi toute la chaîne des atteintes aux systèmes d’information qui se trouve incriminée, depuis l’intrusion illicite dans un STAD jusqu’à l’appropriation des données recueillies, sans compter les délits obstacles qui prétendent prévenir les atteintes aux STAD [46]. Si l’intérêt répressif d’une telle méthode – chronologique – est évident, elle n’en comporte pas moins des écueils car les comportements visés sont parfois très proches les uns des autres, souvent redondants [47], certains d’entre eux n’apparaissant que comme la suite – nécessaire – de celui qui précède. À vouloir trop embrasser, en resserrant à l’excès le maillage répressif, le risque est de mal étreindre puisque, ce faisant, la loi pénale a créé de nombreuses situations de concours – de qualifications ou d’infractions –, parfois extrêmement délicates à résoudre.
Les concours – réels d’infractions – sont d’abord internes à la loi spéciale elle-même, irriguant parfois un même texte d’incrimination, par exemple lorsque le maintien frauduleux dans un STAD fait suite à une introduction illicite ou lorsque l’extraction de données précède leur détention. Quoique plusieurs faits matériels distincts puissent être alors identifiés, une seule qualification pourrait être retenue, en présence de qualifications incompatibles, parce que la seconde n’apparaît que comme la suite – inéluctable – de la première. D’autres qualifications pourraient encore être conçues comme absorbantes lorsque la première n’est que le moyen de parvenir à une finalité plus lointaine, incluse dans la seconde, par exemple lorsqu’un accès illicite précède une entrave au fonctionnement du système ou que l’extraction de données n’est qu’un préalable à leur transmission. Ces solutions sont pourtant loin d’être certaines, surtout depuis que la décision de principe rendue par la Chambre criminelle le 15 décembre 2021 a fait de l’ancien principe d’unicité de qualifications l’exception, notamment en réduisant les hypothèses de qualifications absorbantes à peau de chagrin [48].
Les concours – de qualifications cette fois – sont encore d’origine externe, lorsqu’un même fait peut tomber tout à la fois sous le coup d’une qualification de droit commun et d’une atteinte à un STAD. Un tel concours est susceptible de se produire, tout particulièrement, à propos de la reproduction ou de l’extraction de données, depuis que la jurisprudence a pu admettre, par deux fois, le vol par téléchargement de données [49]. Il n’est toutefois pas certain que ces deux décisions aient la portée qu’on a bien voulu leur prêter dès lors qu’elles concernent des faits qui sont antérieurs à la réforme du 13 novembre 2014 ayant incriminé spécialement l’extraction et la reproduction de données. Anticipant l’application de la loi nouvelle, c’est comme si les juges avaient voulu appliquer les nouveaux principes répressifs à des faits antérieurs à son entrée en vigueur, en ayant recours à la qualification de vol issue du droit commun. Aussi, l’admission du vol d’informations par téléchargement pourrait-elle n’être que provisoire car, en cas de concours avec les atteintes à un STAD, c’est cette seconde qualification qui nous semble devoir être appliquée, quel que soit le mode d’arbitrage du concours privilégié dès lors qu’elle est à la fois plus spéciale et plus sévèrement sanctionnée. Procédant d’une volonté de ne laisser aucun interstice dans le champ répressif, un tel désordre normatif irrigue encore le droit commun.
II. Droit commun de la cybercriminalité
Voies de l’adaptation. Bien que n’ayant pas spécialement vocation à sanctionner des faits cybercriminels, les infractions de droit commun ont néanmoins dû s’adapter face à l’ampleur du phénomène qui n’épargne aucune d’elles, ni les infractions contre les personnes, ni celles contre les biens ou l’État. Si l’adaptation peut revêtir une nature duale, selon qu’elle procède d’un fait jurisprudentiel d’interprétation ou d’un fait légal de création [50], elle s’est opérée de façon empirique pour répondre à des faits sociaux émergeants, ainsi qu’en témoignent les infractions sexuelles ou assimilées, ici conçues comme des exemples privilégiés, symboles du désordre qui règne en la matière.
Adaptation-interprétation. À défaut d’intervention législative, les voies de l’adaptation – qui relève de l’office du juge – sont étroites car son pouvoir d’interprétation est bridé par le principe de l’interprétation stricte de la loi pénale. Sans doute certaines qualifications sont-elles propices à la dématérialisation lorsque, n’impliquant aucun contact physique, elles sont constitutives d’« atteintes morales » à la liberté sexuelle. Ainsi, de la même façon qu’un harcèlement sexuel peut être réalisé à travers un écran, lorsque l’agent impose de façon répétée à sa victime des propos ou comportements à connotation sexuelle par voie de communications électroniques [51], le délit d’exhibition sexuelle [52] peut être constitué lorsqu’un individu s’exhibe devant des témoins involontaires au moyen de sa webcam : peu importe que les faits se déroulent dans un lieu privé dès lors qu’il se mue, par la grâce des réseaux de communication, en un lieu « accessible aux regards du public » [53]. Mais à l’inverse, les « atteintes physiques » à la liberté sexuelle apparaissent rétives à une telle dématérialisation. Certes, dans une affaire où un septuagénaire s’était fait passer pour un fringant jeune homme, au moyen d’un faux profil numérique publié sur un site de rencontres, afin d'obtenir de sa victime des relations sexuelles, les juges ont-ils pu admettre qu’un stratagème numérique « destiné à dissimuler l’identité et les caractéristiques physiques de son auteur » puisse constituer le procédé de « surprise » constitutif du viol [54]. Mais une chose est de considérer que le procédé trompeur ou contraignant puisse être réalisé par des moyens numériques ; autre chose est d’admettre la dématérialisation de la pénétration sexuelle elle-même, conçue comme le résultat du viol impliquant une atteinte au corps. Ainsi, le prétendu « viol » subi par l’avatar d’une utilisatrice dans le monde virtuel du « metavers » ne saurait être qualifié tel dans le monde réel, à défaut d’acte de pénétration physique subi par la victime [55]. Il y a là une limite infranchissable que le pouvoir d’interprétation du juge ne saurait combler, sauf à violer le principe de l’interprétation stricte. C’est précisément cette logique qui anima la Chambre criminelle lorsqu’elle décida que la pratique du caming – consistant à proposer, moyennant rémunération, une diffusion en direct d’images ou de vidéos à contenu sexuel – ne pouvait être qualifiée de prostitution, si bien que les responsables des sites diffusant de telles images ne pouvaient être condamnés du chef de proxénétisme : les pratiques de caming « n’entrent pas dans le cadre de la définition » de la prostitution « dès lors qu'ils n'impliquent aucun contact physique entre la personne qui s'y livre et celle qui les sollicite, de sorte que l'assimilation de ces comportements à des actes de prostitution suppose[rait] une extension de cette définition » [56].
Adaptation-création. Aussi bien, lorsque les juges sont enfermés dans le carcan de la loi, l’adaptation au fait cybercriminel ne peut procéder que d’un acte législatif, portant création soit d’incriminations nouvelles, soit de circonstances aggravantes liées à l’usage du numérique.
Incriminations. Comme si chaque fait social numérique émergeant devait justifier une réponse pénale, des infractions nouvelles ont pullulé ces dernières années, de façon dispersée, comme en témoignent l’incrimination du revenge-porn [57] ou celle du « harcèlement en meute » qui, permettant notamment de saisir les hypothèses dites de « raids numériques », a conduit à un élargissement de la définition du harcèlement sexuel dont la répétition peut être caractérisée en la personne d’auteurs différents ayant agi de concert à l’encontre d’une même victime [58]. Symbole du désordre, l’infraction – spéciale – improprement dite de « sextorsion » vient réprimer « le fait pour un majeur d'inciter un mineur, par un moyen de communication électronique, à commettre tout acte de nature sexuelle [...] sur lui-même, y compris si cette incitation n'est pas suivie d'effet » [59]. Alors qu’aux origines, l’incrimination fut conçue pour sanctionner ceux qui menacent de divulguer des photos intimes consenties afin d’obtenir des images ou vidéos plus dégradantes, à caractère pornographique, il ne reste assurément pas grand-chose de cette volonté originelle dès lors que le fait d’incitation incriminé, pour le moins évanescent, ne requiert nul procédé de contrainte. Pire, l’infraction – dont la pertinence du champ d’application, réservé aux rapports entre majeurs et mineurs, peut être mise en doute – crée des situations de concours multiples, tant avec le délit de propositions sexuelles faites à un mineur par un moyen de communication électronique [60] qu’avec les qualifications d’agressions sexuelles, lorsque l’incitation prend la forme d’une contrainte suivie d’effet [61]. Si la dématérialisation des infractions sexuelles est assurément en marche [62], la marche (forcée) s’opère de façon dispersée.
Répression. Le désordre est plus prégnant encore s’agissant des circonstances aggravantes liées à l’usage du numérique, pour le moins hétérogènes. La diversité, qui confine au morcellement, est double, temporelle d’abord, dès lors que l’emploi d’un procédé numérique est susceptible d’intervenir à différents moments [63] : ante delictum, en tant qu’acte préparatoire des infractions, lorsqu’un « réseau de communication électronique » est utilisé pour entrer en contact avec la victime[64] ; in delicto, comme procédé de réalisation de l’infraction [65] ; ou même post delictum, lorsque le support numérique est utilisé pour véhiculer un contenu illicite [66]. La diversité est sémantique, ensuite, car là ou certaines causes d’aggravation font alternativement référence à « l'utilisation d'un service de communication au public en ligne » ou à l’usage d'un « support numérique ou électronique » [67], d’autres, en revanche, visent exclusivement l’usage d’un réseau de communication à « destination d'un public non déterminé » [68], ce qui évince les communications électroniques privées. Or, si l’exigence de publicité peut parfois se concevoir, lorsque le support numérique est utilisé pour diffuser un contenu illicite au plus grand nombre, l’on perçoit mal ce qui justifie une telle restriction lorsque le support numérique est utilisé comme un procédé permettant de faciliter ou de réaliser une infraction.
Retour au droit pénal général ? Une remise en ordre serait salutaire, qui pourrait emprunter la voie – minimale – d’une harmonisation rédactionnelle des causes d’aggravation numériques contenant une alternative permettant d’embrasser tous les procédés numériques, qu’ils soient individuels, réalisés au moyen de communications privées, « par le biais d'un support numérique ou électronique », ou collectifs, résultant de messages publics véhiculés par un « service de communication au public en ligne ». Une optique plus ambitieuse, délaissant la partie spéciale du code pour sa partie générale, pourrait consister en la création d’une circonstance aggravante générale qui, sur le modèle de celle tenant à l’usage d’un moyen de cryptologie [69], prendrait acte de la potentialité de nuisance décuplée que renferme l’usage de supports numériques, soit en raison de la démultiplication des auteurs, lorsque des réseaux publics sont utilisés, soit en raison des abus de faiblesse qu’ils renferment, lorsque des moyens de communication privés sont employés pour cibler des victimes vulnérables. La voie du droit pénal général pourrait encore être explorée dans le champ des incriminations, en insérant, dans le Livre 1er du Code pénal, une disposition générale suivant laquelle les éléments matériels d’une infraction – de toute infraction – pourraient être indifféremment commis physiquement ou par voie numérique [70]. L’harmonisation, ici réalisée par assimilation, pourrait toutefois apparaître excessive si l’on veut admettre que certaines infractions – notamment celles portant atteinte à l’intégrité physique – sont, par nature même, réfractaires à la dématérialisation, sinon dans leurs procédés, du moins dans leur résultat. Il n’est de toute façon pas certain que telle soit la voie – légistique – suivie par le législateur, qui préfère procéder de façon dispersée, par touches impressionnistes, au seul gré des faits sociaux émergeants. Au regard de son ampleur et de sa généralité, affectant toutes les infractions ou presque, le fait cybercriminel, mériterait pourtant mieux, une grande loi pénale qui, sans faire entièrement table rase du passé, viendrait simplifier et harmoniser cet ensemble largement disparate.
[2] La cybermenace et la protection des entreprises, Dossier, Dalloz IP/IT, janvier 2016, p. 7 et s.
[3] Ainsi, dans un discours sur la cybersécurité, prononcé à Lille le 8 septembre 2021, la ministre des armées invitait à « considérer le cyberespace comme un champ de bataille à part entière, [à] reconnaître que le cyber [est] une arme, avec un potentiel qui peut être bien plus nuisible et dangereux qu'un missile » [en ligne].
[4] M. Jaeger, La fraude informatique, RD pén. crim. 1985, p. 323.
[5] J. Devèze, La fraude informatique. Aspects juridiques, JCP 1987, I, 3289. Adde, définissant la cybercriminalité comme « des infractions pénales commises à l’aide de réseaux de communication et de systèmes d’information ou contre ces réseaux et systèmes » (Comm. europ. 2007, 267, § 1, Point 1).
[6] F. Chopin, Cybercriminalité, Rép. pén. Dalloz, 2020, n° 7.
[8] V. toutefois, faisant le jeu de l’efficacité policière, C. pén., art. 434-15-2 N° Lexbase : L4889K8L (refus de remettre aux autorités le code « de déchiffrement d’un moyen de cryptologie »). Adde, Ass. plén., 7 novembre 2022, n° 21-83.146 N° Lexbase : A04948S4.
[9] C. pén., art. 226-16 N° Lexbase : L4525LNW et s.
[10] J.-Ch. Saint-Pau, L’anonymat et le droit, Thèse Bordeaux, 1998, n° 762 et s.
[11] A. Lepage, P. Maistre du Chambone et R. Salomon, Droit pénal des affaires, LexisNexis, 6ème éd., 2020, n° 533.
[12] Règl. (UE) n° 2016/679, 27 avril 2016, art. 4, 1° N° Lexbase : L0189K8I auquel renvoie la loi n° 78-17, du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés, art. 2, al. 3 N° Lexbase : L8794AGS.
[13] V., à propos de de l’adresse IP, M. Teller, Les difficultés de l’identité numérique : quelle qualification juridique pour l’adresse IP ?, D., 2009, 1988. V., depuis lors, CJUE, 24 novembre 2011, aff. C-70/10, Scarlet Extended SA c/ Société belge des auteurs, compositeurs et éditeurs SCRL N° Lexbase : A9797HZU.
[14] Règl. préc., art. 4, 2° auquel renvoie l’art. 2, al. 3, Loi du 6 janvier 1978.
[15] R. Perray, Données à caractère personnel, JCl. Communication, Fasc. 930, 2019, n° 108.
[16] Loi n° 78-17, du 6 janvier 1978, préc., art. 2, al. 1er.
[17] C. pén., art. 226-16 N° Lexbase : L4525LNW.
[18] C. pén., art. 226-18-1 N° Lexbase : L4481GT7 et 226-19-1 N° Lexbase : L4482GT8. Adde, C. pén., art. R. 625-10 N° Lexbase : L7323LQB à R. 625-13 N° Lexbase : L5969IMZ.
[19] C. pén., art. 226-17 N° Lexbase : L4524LNU.
[20] C. pén., art. 226-18 N° Lexbase : L4480GT4. Adde, C. pén., art. 226-19 N° Lexbase : L4522LNS (données personnelles « sensibles »).
[21] C. pén., art. 226-20 N° Lexbase : L4484GTA ; art. 226-21 N° Lexbase : L4485GTB ; art. 226-22 N° Lexbase : L4486GTC. Adde, art. 226-22-1 N° Lexbase : L4521LNR.
[22] A. Lepage, P. Maistre du Chambon et R. Salomon, op. cit., n° 545.
[23] A. Debet et N. Metallinos, Comm. com. electr. 2018, Étude 17.
[24] À l’inverse des atteintes aux STAD : v. C. proc. pén., art. 706-72-1 N° Lexbase : L4806K8I.
[25] Loi n° 78-17, du 6 janvier 1978, préc., art. 20, III, 7°.
[26] Délibération CNIL, n° SAN-2019-001, 21 janvier 2019 N° Lexbase : X0990BDZ ; CE 19 juin 2020, Req. n° 430810 N° Lexbase : A96783NR.
[27] Ainsi des traitements de données en violation des formalités administratives (C. pén., art. 226-16 N° Lexbase : L4525LNW).
[28] C. pén., art. 323-1 N° Lexbase : L6507MG4 et s.
[29] CA Paris, 5, 12, 24 octobre 2012, n° 11/00404 N° Lexbase : A2194IW8 : J. Lasserre Capdeville, note, JCP G, 2012, 1371,.
[30] F. Chopin, Cybercriminalité, op. cit., n° 14.
[31] Cass. crim., 22 novembre 2005, n° 05-82.200 N° Lexbase : A31281EL ; Cass. crim., 20 mai 2015, n° 14-81.336, F-P+B N° Lexbase : A5424NIQ.
[32] Cass. crim., 10 mai 1997, n° 16-81.822, F-D N° Lexbase : A8859WC4.
[33] Cass. crim., 9 mars 2016, n° 14-86.795, F-D N° Lexbase : A1674Q77.
[34] CA Paris, 6 décembre 2000 : Ch. Le Stanc, note, CCE 2001, comm. 28, (réseau GIE carte bleue).
[35] Cass. crim., 28 juin 2017, n° 16-81.113, FS-P+B N° Lexbase : A7053WLS (en matière de vol).
[36] Cass. crim., 20 mai 2015, préc.
[37] Ch. Féral-Schuhl, Cyberdroit, Dalloz, 8ème éd., 2020, n° 712-43.
[38] En ce sens, S. Stella, L’adaptation du droit pénal aux réseaux sociaux en ligne, Thèse Nancy, 2019, n° 123 et s.
[39] J. Thyraud, Rapport sur la proposition de loi adoptée par l'Assemblée nationale, relative à la fraude informatique, Sénat 1987-1988, n° 3, 2 octobre 1987, p. 51 [en ligne] et s. Texte n° 1009, transmis à l'Assemblée nationale, le 4 novembre 1987.
[40] Cass. crim., 3 octobre 2007, n° 07-81.045, F-P+F N° Lexbase : A8223DY9 ; CA Paris, 9 septembre 2009 : CCE 2009, comm. 120.
[41] E. Dreyer, Droit pénal spécial, LGDJ, 1ère éd., 2020, n° 475.
[42] CA Paris, 5 avril 1994, JCP E 1995, I, 461 ; CA Paris 9 septembre 2009, préc.
[43] C. pén., art. 323-1.
[44] C. pén., art. 323-2 N° Lexbase : L0871KCA.
[45] C. pén., art. 323-3 N° Lexbase : L0872KCB.
[46] C. pén., art. 323-3-1 N° Lexbase : L0414IZD ; art. 323-3-2 N° Lexbase : L6508MG7.
[47] H. Christodoulou, Les attaques informatiques dans le Code pénal : de la redondance à la simplification, Gaz. Pal., n° 20, 13 juin 2023.
[48] Cass. crim., 15 décembre 2021, n° 21-81.864, FP-B N° Lexbase : A17417GL : L. Saenko, note, D. 2022, 1762, Chr. Adde, Cass. crim., 9 juin 2022, n° 21-80.237, FS-B N° Lexbase : A793074H.
[49] Cass. crim., 20 mai 2015, n° 14-81.336, F-P+B N° Lexbase : A5424NIQ : L. Saenko, note, D. 2015, 1466 ; Cass. crim., 28 juin 2017, n° 16-81.113, FS-P+B N° Lexbase : A7053WLS : G. Beaussonie, note, D. 2017, p. 1885.
[50] Le plan – non apparent – de cette partie est le fruit d’un travail collectif mené avec les étudiants du master 2 Droit et justice pénale de l’université de Poitiers, présenté oralement à Bordeaux le 31 mars 2023, lors des journées de l’Atlantique consacrées à la thématique des « infractions sexuelles commises par voie numérique ».
[51] Pour preuve, la loi Shiappa n° 2018-703 du 3 août 2018 N° Lexbase : L6141LLZ a créé une circonstance aggravante tenant au « cyberharcèlement » (C. pén., art. 222-33, 6° N° Lexbase : L6229LLB).
[52] C. pén., art. 222-32 N° Lexbase : L2629L47.
[53] CA Nîmes, 12 février 2009 : A. Lepage, obs., Dr. pén. 2009, Chron. 11, § 12. Adde, F-X. Roux-Demare, RPDP 2015, n° 1, p. 44.
[54] Cass. crim., 23 janvier 2021, n° 18-82.833, FS-P+B N° Lexbase : A3070YUA : J.-Ch. Saint-Pau, note, JCP G, 2019, 203.
[55] V. également, M.-E. Carbonnier, Un nouveau concept : le cyber-viol virtuel, AJ pénal, 2008, p. 295.
[56] Cass. crim., 18 mai 2022, n° 21-82.283, FS-B N° Lexbase : A33797XG : Ph. Conte, Dr. pén., 2022, comm. 121 ; M. Bouchet et B. Auroy, Panorama de droit pénal spécial (2022), Lexbase pénal, juin 2022 N° Lexbase : N1917BZZ ; R. Ollard, obs., Dr. pén. 2022, Chr. 12, n° 9.
[57] C. pén., art. 226-2-1, al. 2 N° Lexbase : L4894LAI.
[58] C. pén., art. 222-33, I, 1° et 2° N° Lexbase : L6229LLB.
[59] C. pén., art. 227-22-2 N° Lexbase : L2647L4S.
[60] C. pén., art. 227-22-1 N° Lexbase : L2648L4T.
[61] Dès lors que les agressions sexuelles permettent désormais de sanctionner des atteintes sexuelles accomplies sur soi-même (C. pén., art. 222-22-2).
[62] C. Dubois, P. Le Monnier de Gouville, Les infractions sexuelles à l’épreuve du numérique, Mare et Martin, 2022.
[63] J. Jombard, Les violences numériques en droit pénal, Thèse, Lille, 2021, n° 105.
[64] C. pén., art. 222-24, 8° N° Lexbase : L2625L4Y (viol) ; art. 227-22 N° Lexbase : L2646L4R (corruption de mineur).
[65] C. pén., art. 222-33, III, 6° (harcèlement sexuel).
[66] C. pén., art. 227-23 al. 3 N° Lexbase : L2649L4U (diffusion de l’image d’un mineur à caractère pornographique).
[67] C. pén., art. 222-33, III, 6° ; art. 222-33-2-2, 4° N° Lexbase : L7985MBD (harcèlements sexuel et moral).
[68] C. pén., art. 222-24, 8° N° Lexbase : L2625L4Y ; 222-26, 6° N° Lexbase : L2627L43 (agressions sexuelles) ; 227-22 (corruption de mineur).
[69] C. pén., art. 132-79 N° Lexbase : L9877GQU.
[70] En ce sens, R. Mésa, Le droit pénal général à l’épreuve de l’infraction digitalisée, D., 2022, 125.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:486615
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.