La lettre juridique n°984 du 16 mai 2024 : Droit pénal spécial

[Focus] Cybercriminalité : les qualifications pénales de l’utilisation d’un rançongiciel - La conversion du singulier au pluriel après l’arrêt du 15 décembre 2021

Lecture: 38 min

N9063BZP

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Focus] Cybercriminalité : les qualifications pénales de l’utilisation d’un rançongiciel - La conversion du singulier au pluriel après l’arrêt du 15 décembre 2021. Lire en ligne : https://www.lexbase.fr/article-juridique/107546091-focus-cybercriminalite-les-qualifications-penales-de-lutilisation-dun-rancongiciel-la-conversion-du-
Copier

par Eliaz Le Moulec, Professeur agrégé à l’Université de Franche-Comté

le 15 Mai 2024

Mots-clés : rançongiciel • extorsion • atteintes aux STAD • cryptologie •concours de qualifications

À l’époque où la Chambre criminelle interdisait encore, sauf exceptions, les cumuls de qualifications, nous nous étions questionnés sur LA qualification pénale de l’utilisation d’un rançongiciel. Nous avions alors conclu que la qualification d’extorsion devait l’emporter sur toutes les autres. Or, depuis un arrêt très remarqué du 15 décembre 2021, la Haute Juridiction a inversé principe et exception : désormais, le juge a la possibilité de cumuler les qualifications en concours. Appliqué au cas particulier de l’utilisation d’un rançongiciel, le principe nouveau permet donc de retenir à la fois la qualification d’extorsion et les différentes qualifications d’atteintes aux STAD. Cette solution n’est pas remise en cause par l’application de la circonstance aggravante générale de cryptologie qui, de notre point de vue, ne saurait absorber les qualifications d’atteintes aux STAD.

 

  1. Dans une précédente étude publiée au début de l’année 2021, nous nous étions interrogés sur « la qualification pénale de l’utilisation d’un rançongiciel » [1]. Plusieurs qualifications avaient paru envisageables. Cependant, et conformément au principe d’unicité (ou d’interdiction du cumul) qui régissait alors les concours de qualifications, nous avions exposé les raisons selon lesquelles il nous semblait que seule la qualification d’extorsion devait être retenue, à l’exclusion de toutes les autres donc.
  2. Mais comme diraient certains : « ça, c’était avant ». Avant l’arrêt de la Chambre criminelle du 15 décembre 2021 N° Lexbase : A83502RP [2]. L’affaire ayant conduit à cette décision n’a aucun rapport, même indirect, avec les rançongiciels. Il ne s’agit même pas d’un cas de « cybercriminalité », puisque sont en cause des faits d’escroquerie, de faux et d’usage de faux. Toutefois, la Chambre criminelle y opère un revirement de jurisprudence à propos des règles qui gouvernent le concours de qualifications : « feu le principe d’unicité de qualification » [3], relégué au rang des exceptions, quand l’exception – la possibilité du cumul des qualifications – elle, devient la règle.
  3. Cette jurisprudence nouvelle nous oblige à réviser la seconde partie du raisonnement que nous avions tenu dans notre précédente étude. Désormais, il ne s’agit plus de déterminer la qualification applicable, mais plutôt les qualifications applicables. Ce sera l’objet essentiel de cette nouvelle contribution. Toutefois, il n’est pas inutile d’introduire le propos en restituant succinctement les raisons qui nous ont convaincu que l’utilisation d’un rançongiciel réalise les éléments constitutifs d’un certain nombre d’infractions (I.). Après quoi, il nous sera possible d’expliquer que toutes ces qualifications peuvent désormais être retenues, solution en apparence plus simple que l’ancienne (II.), mais qui, revers de la médaille, fait émerger une difficulté nouvelle (III.).

I. Retour sur les qualifications envisageables

  1. Dans son panorama de la cybermenace pour 2023, publié fin février 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a relevé « un regain du nombre d’attaques par rançongiciel contre des organisations françaises ». Le phénomène n’a donc pas cessé d’être actuel et touche essentiellement les TPE, les PME, les ETI, les collectivités territoriales et les établissements de santé, ainsi que les entreprises stratégiques [4].
  2. Son fonctionnement est généralement le suivant : après s’être introduit dans le système informatique de la victime (par l’entremise d’un courriel piégé par exemple), le rançongiciel bloque le fonctionnement du système en chiffrant ses données et parfois en exfiltrant celles-ci [5]. S’en suit une demande de rançon dont doit s’acquitter la victime si elle souhaite obtenir la clé de déchiffrement et se garantir contre la divulgation de ses données [6].
  3. L’ « utilisation » [7] d’un tel rançongiciel réunit les éléments constitutifs de plusieurs infractions : l’extorsion (A.), les atteintes aux systèmes de traitement automatisé de données (B.) et, dans certains cas, le sabotage (C.).

A. L’extorsion

  1. Cette utilisation se coule parfaitement dans l’incrimination d’extorsion, prévue par l’article 312-1 du Code pénal N° Lexbase : L7189ALT [8]. Certes, le rançongiciel opère sans violence physique, encore que la paralysie de certains systèmes, comme celui d’un hôpital, peut avoir des conséquences sur l’intégrité corporelle des personnes. Cependant, cela n’est guère un obstacle à l’application de l’article 312-1 du Code pénal qui, en visant la « contrainte » indépendamment de la « violence » et de la « menace de violences », ouvre l’incrimination à des hypothèses où l’agent use d’une pression morale. L’utilisateur d’un rançongiciel se rend donc coupable d’extorsion lorsqu’il obtient le paiement d’une rançon grâce à la pression exercée sur sa victime puisque celle-ci est contrainte de payer si elle souhaite obtenir la clé de déchiffrement de ses données ou éviter leur divulgation. Et lorsque la victime n’a point cédé, des poursuites peuvent être envisagées sur le fondement de l’article 312-9 du Code pénal N° Lexbase : L7153ALI qui incrimine la tentative d’extorsion [9].

B. Les atteintes aux systèmes de traitement automatisé de données (STAD)

  1. Outre l’extorsion, les trois incriminations placées en tête du Chapitre « Des atteintes aux systèmes de traitement automatisé de données » sont naturellement envisageables. Dans notre première étude, nous avions expliqué que le rançongiciel est un véritable « couteau-suisse » qui réalise plusieurs actions qui entrent alternativement dans la définition des trois délits [10]. Il doit généralement être introduit dans le système ciblé, ce qui peut constituer l’infraction d’accès frauduleux à un STAD (C. pén., art. 323-1 N° Lexbase : L6507MG4) [11], procède à des créations, modifications et suppressions de données, parfois même à leur extraction, autant d’actions qui réalisent l’infraction d’atteintes aux données d’un STAD (C. pén., art. 323-3 N° Lexbase : L0872KCB), tout cela dans l’intention d’altérer le fonctionnement du système, fait constitutif de l’entrave au fonctionnement d’un STAD (C. pén., art. 323-2 N° Lexbase : L0871KCA).
  2. Quant à la fonction de chiffrement, nous avions souligné la difficulté à déterminer la qualification idoine : entrave au fonctionnement ou modification de données [12] ? Nous sommes aujourd’hui d’avis (sans être parfaitement convaincu) que c’est la seconde des deux qualifications qui correspond le mieux au fait de chiffrement. En effet, l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique N° Lexbase : C15764ZE dispose qu’ « on entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données […] ». À suivre ce texte, le chiffrement consiste donc à transformer des données plus qu’à entraver l’accès à ces données. Quoi qu’il en soit, que l’on retienne l’article 323-2 (entrave au fonctionnement) ou l’article 323-3 (atteintes aux données) pour qualifier le chiffrement, il demeure, nous l’avons dit, que si le rançongiciel est envisagé dans l’ensemble de ses actions, l’une et l’autre des deux infractions sont constituées.
  3. Nuançons toutefois cette conclusion dans une hypothèse particulière : celle d’une attaque qui se serait cantonnée à reproduire des données pour menacer de les divulguer, sans pour autant entraver le fonctionnement du système. Dans ce cas de figure, la qualification de l’article 323-2 doit naturellement être écartée [13].

C. Le sabotage

  1. Par ailleurs, lorsque l’utilisation du rançongiciel est de nature à porter atteinte aux intérêts fondamentaux de la nation, elle réalise les éléments constitutifs du crime de sabotage défini par l’article 411-9 du Code pénal N° Lexbase : L1746AMM [14]. Cette qualification ne pourra donc être retenue que dans certains cas, par exemple lorsque le rançongiciel aura attaqué un système concourant à la défense de la nation ou à son potentiel scientifique et économique.
  2. Un concours de qualifications se fait donc jour. Nous l’avions déjà relevé, mais c’est la manière de le résoudre qui doit désormais être révisée.

II. Les qualifications applicables

  1. Autrefois, les concours de qualifications étaient gouvernés par l’interdiction du cumul de ces qualifications (A.). Désormais et depuis l’arrêt du 15 décembre 2021, il est possible de procéder à un tel cumul (B.).

A. Le passé : l’interdiction du cumul de qualifications

  1. Dans notre précédente étude, nous avions expliqué pourquoi une seule des qualifications envisageables à l’égard de l’utilisation d’un rançongiciel devait être retenue [15]. C’est qu’à l’époque, les concours de qualifications étaient gouvernés par un principe d’interdiction du cumul de qualifications ou d’unicité de qualification. Le cumul n’était autorisé que par exception, dans l’hypothèse où les incriminations en concours portaient atteinte à des valeurs sociales distinctes ; exception dont le bien-fondé était d’ailleurs discuté par la doctrine [16].
  2. Ce principe d’unicité reposait sur les bases solides de la règle non bis in idem. Règle que la Chambre criminelle interprétait d’ailleurs de manière très énergique, puisqu’elle interdisait le cumul de qualifications même dans l’hypothèse d’une pluralité de faits, dès lors que ceux-ci « procèd[aient] de manière indissociable d’une action unique caractérisée par une seule intention coupable » [17].
  3. Appliquant cette solution jurisprudentielle, et puisqu’il ne pouvait en rester qu’une, nous avions poursuivi en recherchant quelle qualification devait être préférée à toutes les autres. Plusieurs raisons nous avaient alors convaincus que ce concours devait se résoudre à l’avantage de la qualification d’extorsion [18].

B. Le présent : la possibilité du cumul de qualifications

1) Le revirement de jurisprudence

  1. Par un arrêt du 15 décembre 2021, la Chambre criminelle de la Cour de cassation a opéré un important revirement de jurisprudence [19]. Au moyen d’une motivation enrichie qui emprunte à la pédagogie [20], principe et exception sont inversés : l’unicité de qualification est tout à coup [21] enfermée dans les limites de deux hypothèses particulières [22], tandis que le cumul de qualifications devient possible au-delà, ce qui étend considérablement son empire autrefois cantonné au cas d’une pluralité de valeurs sociales protégées.
  2. Bien que la Haute juridiction n’y ait vu qu’un simple « infléchissement » de sa jurisprudence [23], la doctrine n’a pas manqué de souligner le véritable renversement de perspective provoqué par cet arrêt. « Requiem pour Ne bis in idem » et « Sic transit « ne bis in idem » », ont respectivement écrit Olivier Décima [24] et Nicolas Catelan [25].

2) Le cumul de toutes les qualifications envisageables

  1. L’objet de cette étude n’est pas de porter une appréciation critique sur la solution nouvelle [26], mais de l’appliquer au cas de l’utilisation d’un rançongiciel. Les qualifications pouvant désormais se cumuler, il serait possible de retenir concomitamment celles d’extorsion, d’accès frauduleux à un STAD [27], d’entrave au fonctionnement d’un STAD [28] et d’atteinte aux données d’un STAD. À ces quatre qualifications, pourraient s’ajouter, dans des hypothèses très particulières, celles de chantage [29] et de sabotage.
  2. Encore faut-il s’assurer que le cas du rançongiciel ne tombe pas dans l’une des deux exceptions au nouveau principe du cumul, c’est-à-dire dans l’une des deux hypothèses où le principe d’unicité de qualification a survécu. L’arrêt du 15 décembre 2021 les présente en ces termes : « Dans la première, l’une des qualifications, telles qu’elles résultent des textes d’incrimination, correspond à un élément constitutif ou une circonstance aggravante de l’autre, qui seule doit alors être retenue. Dans la seconde, l’une des qualifications retenues, dite spéciale, incrimine une modalité particulière de l’action répréhensible sanctionnée par l’autre infraction, dite générale ».
  3. La seconde hypothèse peut aisément être rejetée, aucune des différentes qualifications énumérées n’étant dans un rapport spécial-général par rapport à une autre [30].
  4. S’agissant de la première, nous pourrions remarquer que pour créer les conditions de la contrainte constitutive de l’extorsion et ainsi faire céder la victime, le rançongiciel procède précisément à une entrave au fonctionnement d’un STAD qui se réalise elle-même au moyen d’une atteinte aux données [31]. Plus prosaïquement, c’est en modifiant les données que l’utilisateur du rançongiciel entrave le fonctionnement du système, et c’est en entravant le fonctionnement du système qu’il parvient à créer les conditions d’une contrainte devant conduire la victime à payer une « rançon ». Ainsi, le fait qualifiable d’atteinte aux données s’emboite dans celui constitutif de l’entrave au fonctionnement du STAD, qui à son tour, donne corps à la contrainte qui est un élément constitutif de l’extorsion. Partant, faudrait-il considérer que les deux premières qualifications « correspond[ent] à un élément constitutif » de l’extorsion et se trouvent donc absorbées par elle ? Raisonner ainsi, ce serait toutefois se leurrer sur le sens que la Chambre criminelle a voulu donner à cette première exception. L’identité des éléments constitutifs ne doit pas être envisagée dans un sens matériel, mais plutôt dans un sens textuel. La Chambre criminelle précise en effet : « telles qu’elles résultent des textes d’incrimination ». Ainsi, il ne suffit pas que, dans une affaire donnée, le fait par lequel l’auteur réalise l’un des éléments constitutifs de l’une des infractions, en constitue également la totalité d’une autre. Ce qui est nécessaire pour conclure à l’identité, c’est que les mots employés par la loi afin de décrire l’un des éléments constitutifs de l’une des infractions, soient les mêmes que ceux utilisés pour définir une autre infraction [32]. Par exemple, il n’y a point d’identité entre les manœuvres frauduleuses constitutives de l’escroquerie et l’usage de faux, même si c’est par le second que sont commises les premières, puisque les mots de l’article 313-1 du Code pénal N° Lexbase : L2012AMH ne sont pas identiques à ceux de l’article 441-1 du même code N° Lexbase : L2006AMA [33].
  5. Un autre élément permet d’écarter d’un coup d’un seul le jeu des deux exceptions. L’arrêt du 15 décembre 2021 précise que l’une comme l’autre supposent qu’ « un fait ou des faits identiques [soient] en cause » [34]. Or, s’agissant du rançongiciel, il pourrait être défendu que celui-ci réalise successivement plusieurs actions différentes : il chiffre, il exige la remise d’une somme d’argent, il extrait parfois des données. Fait donc défaut la condition commune aux deux exceptions ménagées par l’arrêt du 15 décembre 2021.
  6. En somme (et le terme paraît particulièrement approprié), le magistrat qui aurait à connaître des faits d’utilisation d’un rançongiciel pourrait cumuler les qualifications d’extorsion, d’accès frauduleux dans un STAD [35], d’entrave au fonctionnement d’un STAD [36], d’atteinte aux données d’un STAD et, dans certaines hypothèses particulières, de chantage [37] et de sabotage. Précisions que ce cumul est, pour lui, une faculté et non une obligation, la Chambre criminelle ayant simplement levé l’interdiction du cumul sans imposer qu’il y soit procédé [38].

3) Les effets du cumul

  1. Si le magistrat fait le choix d’user de cette faculté, alors l’ensemble des peines fulminées contre l’extorsion, l’accès frauduleux à un STAD, l’entrave au fonctionnement d’un STAD et l’atteinte aux données d’un STAD, pourront être prononcées. Toutefois, cela ne l’autorisera en aucune manière à additionner les quanta des peines de même nature. Le concours de qualifications résolu par un cumul de qualifications tombe en effet dans le régime des concours réels [39], gouvernés par la règle du non-cumul des peines de même nature (C. pén., art. 132-3 N° Lexbase : L2106AMX). Ainsi, et malgré la pluralité de qualifications retenues, il ne pourra être prononcé qu’une seule peine d’emprisonnement dans la limite du maximum légal le plus élevé, c’est-à-dire, hors-aggravation, sept ans d’emprisonnement (peine prévue par l’article 312-1 en répression de l’extorsion, qui est l’infraction la plus sévèrement réprimée de ce point de vue). La même règle s’applique à la peine d’amende qui ne pourra donc dépasser, hors-aggravation, 150 000 euros (peine prévue aussi bien par l’article 323-2 que par l’article 323-3 qui sont les plus sévères de ce point de vue). Cette absence d’addition des différents quanta (qui aurait conduit, par exemple, à vingt ans d’emprisonnement…), ne fait pas pour autant perdre son intérêt au cumul. Dans notre précédente étude, lorsque nous avions retenu la seule qualification d’extorsion, nous avions implicitement conclu que l’auteur encourait seulement les peines de l’article 312-1, soit sept ans d’emprisonnement et 100 000 euros d’amende [40]. Le cumul permet désormais, réserve faite de l’hypothèse de l’aggravation [41], de retenir une peine d’amende plus sévère (150 000 euros).
  2. Par ailleurs, sur le plan procédural, ce cumul permettra de déjouer la difficulté que nous avions relevée à la fin de notre précédente étude. Puisque nous avions alors expliqué que seule la qualification d’extorsion pouvait être retenue, il fallait logiquement en déduire que se trouvait écarté le jeu de l’article 706-72-1 du Code de procédure pénale N° Lexbase : L4806K8I qui prévoit la compétence concurrente des juridictions parisiennes pour les atteintes aux STAD, mais non pour l’extorsion [42]. Puisque les qualifications des articles 323-1 et suivants peuvent désormais être retenues, en plus de celle de l’article 312-1, les dispositions de l’article 706-72-1 du Code de procédure pénale pourront être appliquées.
  3. Ces infractions pourront, le cas échéant, être aggravées par des circonstances aggravantes. Par exemple, par la bande organisée [43] dont, nous le pensons, les conditions seront souvent réunies, l’utilisation d’un rançongiciel supposant généralement la réunion de nombreuses compétences, de la conception du logiciel à la collecte de la rançon, en passant par l’injection [44]. Par ailleurs, si le rançongiciel a paralysé le système d’un établissement hospitalier, la nouvelle circonstance aggravante des atteintes aux STAD prévue par l’article 323-4-2 du Code pénal N° Lexbase : L6510MG9 et créée par la LOPMI 2023 N° Lexbase : L6260MGX, pourra être retenue. Cet article dispose en effet que « lorsque les infractions prévues aux articles 323-1 à 323-3-1 ont pour effet d’exposer autrui à un risque immédiat de mort ou de blessures de nature à entraîner une mutilation ou une infirmité permanente ou de faire obstacle aux secours destinés à faire échapper une personne à un péril imminent ou à combattre un sinistre présentant un danger pour la sécurité des personnes, la peine est portée à dix ans d’emprisonnement et à 300 000 € d’amende ».
  4. Une autre circonstance aggravante pourrait prétendre à être appliquée à trois des qualifications en concours. Mais son cas suscite d’importantes difficultés.

III. Les difficultés découlant de la circonstance aggravante de cryptologie

  1. La circonstance aggravante de cryptologie, prévue par l’article 132-79 du Code pénal N° Lexbase : L9877GQU, est l’une des rares circonstances aggravantes générales. Elle est non seulement présentée dans le Livre Ier du Code pénal (comme la bande organisée ou la préméditation par exemple), mais surtout – et c’est cela qui lui confère son caractère général –, l’article 132-79 l’attache à tous les crimes (sauf les crimes politiques) et à tous les délits punis d’emprisonnement. Pour être applicable, il n’est donc pas nécessaire qu’elle soit prévue par les différents textes d’incrimination. L’article 132-79 dresse alors un « tableau » général d’aggravation des peines privatives de liberté en cas d’utilisation d’un moyen de cryptologie [45].
  2. Lorsque le rançongiciel chiffre les données [46], il est possible de considérer que les éléments de cette circonstance aggravante sont réunis : l’agent a bel et bien utilisé un moyen de cryptologie défini comme « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète » [47]. Partant, et bien qu’elle soit délaissée par la pratique [48], la circonstance aggravante de cryptologie pourrait être retenue pour chacun des délits envisagés [49], à l’exception du délit d’accès frauduleux au STAD puisque celui-ci se réalise avant l’opération de chiffrement. Précisons toutefois que la circonstance aggravante devra être écartée, en application du dernier alinéa de l’article 132-79, lorsque l’utilisateur du rançongiciel aura, à leur demande, remis « la clé de déchiffrement » aux autorités judiciaires ou administratives.
  3. Une nouvelle question émerge alors : faut-il retenir cette circonstance pour chacun des trois délits (extorsion, entrave au fonctionnement d’un STAD et atteinte aux données d’un STAD) ou seulement pour un seul d’entre eux, et dans ce dernier cas, pour lequel (B.) ? En vérité, s’interroger sur ce point, c’est peut-être déjà « brûler » l’une des étapes du raisonnement. C’est qu’on pourrait d’abord se questionner sur le point de savoir si la circonstance de cryptologie n’absorbe pas les qualifications d’atteintes aux STAD (A.).

A. La circonstance aggravante de cryptologie absorbe-t-elle les qualifications d’atteintes aux STAD ?

  1. L’application de la circonstance aggravante de cryptologie à l’extorsion ne fait-elle pas tomber notre hypothèse d’étude dans le giron de la première des deux exceptions ménagées par l’arrêt du 15 décembre 2021, celle des qualifications absorbantes ? On y revient : « l’une des qualifications, telles qu’elles résultent des textes d’incrimination, correspond à un élément constitutif ou une circonstance aggravante de l’autre, qui seule doit alors être retenue ». En effet, il serait possible d’avancer que les infractions des articles 323-2 et 323-3 correspondent à la circonstance aggravante de cryptologie et, partant, sont absorbées par elle. Or, nous ne sommes pas convaincus de cette identité. Certes, sur le plan matériel, c’est en « cryptant » les données du système que le rançongiciel parvient à entraver son fonctionnement ; et s’il « crypte », c’est parce qu’il modifie les données de façon à les rendre inutilisables. Mais cette identité matérielle ne nous semble pas suffisante pour considérer que sont remplies les conditions du premier cas d’interdiction du cumul de qualifications tel qu’il résulte de l’arrêt du 15 décembre 2021. Il faut en effet se souvenir que l’identité exigée par la Chambre criminelle est d’ordre textuel [50].
  2. S’agissant de l’entrave au fonctionnement d’un STAD, cette identité textuelle fait évidemment défaut. L’article 323-2 du Code pénal n’est pas rédigé comme l’article 132-79, ni comme l’article auquel il renvoie, c’est-à-dire l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. D’ailleurs, l’entrave au fonctionnement d’un STAD se conçoit tout à fait en dehors de l’usage d’un moyen de cryptologie (l’arsenal des cyber-malfaiteurs est si varié…) ; inversement, l’usage d’un moyen de cryptologie n’emporte pas nécessairement entrave au fonctionnement du système concerné (parfois, il sert au contraire à le protéger !).
  3. S’agissant de l’atteinte aux données d’un STAD, nous pourrions être tentés, dans un premier élan, de relever l’existence d’une identité textuelle entre l’article 323-3 du Code pénal et l’article 29 de la loi du 21 juin 2004. Le premier vise, entre autres, le fait de « modifier » des données, quand le second mentionne le fait de « transformer » des données. Cependant, et quand bien même on admettrait cette identité par synonymes, il faut remarquer qu’une lecture complète du second des deux textes suffit à faire s’effondrer ce qui n’est en fait qu’une apparence d’identité. L’article 29 de la loi du 21 juin 2004 vise en effet une espèce précise de transformation de données, celle qui s’opère « à l’aide de conventions secrètes ». Toutes les modifications de données incriminées par l’article 323-3 du Code pénal ne sont donc pas concernées par l’article 29 de la loi du 21 juin 2004. Autrement dit, l’un n’est pas le décalque textuel de l’autre [51].
  4. Par conséquent, il nous semble que la circonstance aggravante de cryptologie appliquée à l’extorsion est impuissante à absorber les deux autres qualifications. Le cas demeure en dehors des deux exceptions prévues par l’arrêt du 15 décembre 2021 et le cumul de qualifications est donc bel et bien possible.

B. La circonstance aggravante de cryptologie peut-elle être retenue plusieurs fois ?

  1. On en revient alors à l’interrogation évoquée plus haut : si l’on peut cumuler les qualifications d’extorsion aggravée par l’emploi d’un moyen de cryptologie, d’entrave au fonctionnement d’un STAD et d’atteintes aux données d’un STAD, peut-on également retenir la circonstance aggravante pour ces deux dernières infractions ? En d’autres termes, peut-on cumuler les circonstances de cryptologie sur chacune des trois qualifications retenues ?
  2. L’arrêt du 15 décembre 2021 ne précise pas explicitement la marche à suivre dans pareille hypothèse. Toutefois, il est peut-être possible d’en dégager une solution par extrapolation. On se souvient que l’arrêt permet qu’une qualification soit absorbée par une circonstance aggravante si les mots utilisés par la loi pour les décrire toutes deux sont identiques : c’est l’hypothèse de la première exception, déjà évoquée plusieurs fois dans cet article. Or, qui peut le plus, ne peut-il pas le moins ? Une circonstance aggravante ne pourrait-elle pas absorber une autre circonstance aggravante, dès lors que l’une et l’autre sont décrites par les mêmes mots ? Or, dans le cas qui nous intéresse, celui de la circonstance aggravante de cryptologie, ces mots sont absolument identiques puisqu’il s’agit d’une circonstance aggravante générale décrite par les mêmes textes, l’article 132-79 du Code pénal et l’article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. Ce raisonnement, qui pousse la logique de l’arrêt du 15 décembre 2021 jusqu’au bout d’elle-même, permettrait donc de considérer que la circonstance aggravante de cryptologie ne doit être retenue que pour une seule des qualifications en concours puisque, d’une certaine façon, elle s’auto-absorbe.
  3. Toutefois, qu’il nous soit permis de relever que cette question est, du moins dans l’hypothèse qui nous intéresse, sans intérêt pratique majeur. En effet, que la circonstance aggravante de cryptologie soit retenue une seule fois plutôt que trois, les peines encourues par l’auteur des faits demeureront les mêmes, du moins si dans l’hypothèse minimaliste, on veille à attacher la circonstance aggravante à l’infraction dont la peine privative de liberté est déjà la plus élevée, c’est-à-dire, ici, l’extorsion.
  4. Ainsi, hors des hypothèses où une autre qualification [52] serait également applicable, l’utilisation d’un rançongiciel fait encourir à son auteur dix ans d’emprisonnement (peine de l’extorsion aggravée par l’usage d’un moyen de cryptologie) et 150 000 euros d’amende (peine des atteintes aux STAD). Si les faits sont commis en bande organisée, cette circonstance porte la peine privative de liberté à trente ans de réclusion criminelle (vingt ans pour l’extorsion en bande organisée + dix ans en raison de la circonstance de cryptologie) et la peine d’amende à 300 000 euros (peine des atteintes aux STAD commises en bande organisée).

***

  1. Rien ne garantit que la solution de l’arrêt du 15 décembre 2021 soit pérenne. Elle a suscité de nombreuses critiques [53]. De surcroît, il faut en relativiser la portée simplificatrice. Certes, il n’est désormais plus besoin, en cas de concours, de déterminer quelle qualification doit être choisie entre toutes. Toutefois, et comme cette étude l’a révélé, de nouvelles difficultés peuvent émerger. Ces critiques et ces difficultés auront peut-être raison, un jour, de la nouvelle solution jurisprudentielle. Un nouveau revirement n’est pas exclu. Il se pourrait alors que notre première étude et son singulier « La qualification… », recouvrent leur actualité. À moins qu’une troisième s’avère nécessaire.
 

[1] E. Le Moulec, Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, Lexbase Pénal, février 2021 N° Lexbase : N6367BYH.

[2] Cass. crim., 15 décembre 2021, n° 21-81.864 N° Lexbase : A83502RP : G. Beaussonie, note, D. 2022, p. 154 ; Ch.-H. Boeringer et G. Courvoisier-Clément , note, AJ pénal, 2022 ; N. Catelan, note, JCP G, 2022, 132 ; O. Décima, obs., Dr. pén., 2022, étude 4 ; Ph. Conte, obs., ibid., comm. 23 ; S. Detraz, note, Gaz. Pal., 22 février 2022, p. 49 ; R. Parizot, note, Gaz. Pal., 1er février 2022, p. 21 ; X. Pin, note, RSC, 2022, p. 311 ; J.-C. Saint-Pau, Cumul des qualifications d’usage de faux et d’escroquerie. Évolution de la règle ne bis in idem, Lexbase pénal, janvier 2022 N° Lexbase : N0178BZM.

[3] N. Catelan, Concours de qualifications : feu le principe d’unicité de qualification !, JCP G, 2022, act. 132.

[4] V. le rapport : ANSSI, Panorama de la cybermenace, 2023 [en ligne]. V. également le rapport de Cybermalveillance.gouv.fr pour l’année 2023, publié le 5 mars 2024 [en ligne] : « avec 2 782 demandes d’assistance, les attaques par rançongiciel ont atteint un niveau record depuis quatre ans, tous publics confondus (+ 12 %) ».

[5] L’ANSSI note cependant une tendance au rançonnage reposant exclusivement sur l’exfiltration de données (ibid., p. 22).

[6] Pour davantage de détails sur le phénomène, v. Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 1 et s.

[7] Comme dans notre précédente étude, nous nous limiterons à qualifier l’utilisation même du rançongiciel et non les comportements qui y sont liés plus ou moins étroitement, comme la confection du rançongiciel, la « vente » de celui-ci ou l’utilisation des données exfiltrées.

[8] Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 7.

[9] La qualification voisine de chantage (C. pén., art. 312-10 N° Lexbase : L1879AMK) ne pourra être retenue que dans le cas particulier où l’utilisateur du rançongiciel menacerait sa victime d’utiliser une partie des données appréhendées afin de jeter le discrédit sur elle ou de faire engager une procédure à son encontre (par exemple pour non-conformité au RGPD), ce qui est notamment le mode de faire des « ransomhack ».

[10] Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 10.

[11] Toutefois, celle-ci devra peut-être être écartée dans certains types d’attaques, lorsque l’agent opère sans avoir besoin de pénétrer dans le système pour y déposer le rançongiciel, par exemple en cas d’attaques par « phishing » ou au « point d’eau ». En effet, il est possible de considérer que l’article 323-1 ne s’applique que lorsque l’agent a lui-même accédé au système.

[12] Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 10.

[13] Dans son rapport pour l’année 2023, l’ANSSI a noté une tendance au rançonnage reposant exclusivement sur l’exfiltration de données (op. cit., p. 22).

[14] Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 12.

[15] Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 15 et s.

[16] La doctrine critique notamment l’imprécision de la notion de valeur protégée, ainsi que son caractère extra-légal. V. not. O. Décima, S. Detraz et E. Verny, Droit pénal général, LGDJ, coll. Cours, 5e éd., 2022, n° 297. Rappr. : E. Dreyer, Droit pénal spécial, LGDJ, coll. Manuel, 2e éd., 2023, n° 2.

[17] V. par ex. Cass. crim., 26 octobre 2016, n° 15-84.552, FS-P+B+R+I N° Lexbase : A3230SCM : N. Catelan, note, JCP G, 2017, 16 ; O. Décima, obs., Rev. pénit., 2016, p. 935 ; G. Beaussonie, ibid, p. 941 ; Ph. Conte, obs., Dr. pén., 2016, comm. 4 ; Cass. crim., 25 octobre 2017, n° 16-84.133, F-D N° Lexbase : A1390WXR : Ph. Conte, obs., Dr. Pénal 2018, comm. 1 ; Cass. crim., 14 novembre 2019, n° 18-83.122, F-P+B+I [LXB=2147ZY8] : P.-J. Delage, note, D. 2020, p. 204.

[18] Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 20. Y compris lorsque la qualification de sabotage était applicable (ibid., note 43).

[19] Cass. crim., 15 décembre 2021, n° 21-81.864 N° Lexbase : A17417GL : G. Beaussonie, note, D. 2022, p. 154 ; Ch.-H. Boeringer et G. Courvoisier-Clément, note, AJ pénal, 2022 ; N. Catelan, note, JCP G, 2022, 132 ; O. Décima, obs. Dr. pén. 2022, étude 4 ; ibid., comm. 23, obs. Ph. Conte ; S. Detraz, note, Gaz. Pal. 22 févr. 2022, p. 49 ; R. Parizot, note, Gaz. Pal. 1er février 2022, p. 21 ; X. Pin, note, RSC 2022, p. 311; J.-C. Saint-Pau, Cumul des qualifications d’ usage de faux et d’escroquerie. Évolution de la règle ne bis in idem, Lexbase pénal, janvier 2022 N° Lexbase : N0178BZM.

[20] La construction grammaticale des § 28 à 30 constitue peut-être l’acmé de ce souci pédagogique, quand la Cour explique que « L'interdiction de cumuler les qualifications lors de la déclaration de culpabilité doit être réservée, […] aux cas où un fait ou des faits identiques sont en cause et où l'on se trouve dans l'une des deux hypothèses suivantes (§ 28). Dans la première, […] (§ 29). Dans la seconde […] (§ 30) ».

[21] Qu’il nous soit permis d’utiliser cette expression pour rendre compte de la soudaineté de cette solution nouvelle qui adopte une vision minimaliste de la règle non bis in idem, quand la jurisprudence des dernières années procédait au contraire à une interprétation plutôt énergique de cette règle (v. supra n° 14 in fine).

[22] Il serait tentant, à la lecture de l’arrêt, de dénombrer, non pas deux, mais trois hypothèses où le cumul de qualifications est interdit. La Chambre criminelle précise en effet que cette interdiction s’applique également « à la situation dans laquelle la caractérisation des éléments constitutifs de l'une des infractions exclut nécessairement la caractérisation des éléments constitutifs de l'autre ». Mais il s’agit alors d’une hypothèse où il n’y a même pas de concours de qualifications, puisque si l’une est envisageable, c’est que l’autre ne l’est pas. À titre d’exemple, si un fait peut être qualifié de meurtre, c’est qu’il ne peut l’être d’homicide non-intentionnel. L’impossibilité de cumuler les deux qualifications ne tient donc pas fondamentalement à l’interdiction de ce cumul. Elle est plutôt la conséquence logique de l’inexistence même d’un concours entre les deux qualifications, puisque l’une d’elle est inapplicable aux faits.

[23] Cass. crim., 15 décembre 2021, préc., § 27. 

[24] O. Décima, Requiem pour ne bis in idem, Dr. pén., 2022, étude 4.

[25] N. Catelan, Concours de qualifications : feu le principe d’unicité de qualification !, JCP G, 2022, note 132.

[26] À ce propos, on lira entre autres, l’analyse d’Olivier Décima qui stigmatise la fragilité des motifs du cumul de qualifications autant qu’il s’inquiète de ses effets. Pour notre part, bornons-nous à dire qu’au moins un aspect précis de la solution nouvelle nous inspire un certain scepticisme : tel qu’il est rédigé, l’arrêt du 15 décembre 2021 autorise les cumuls de qualifications, mais ne les impose pas, laissant à chaque magistrat la possibilité de ne retenir qu’une seule qualification ou plutôt d’en cumuler plusieurs ou encore la totalité. Cela risque d’entraîner des différences de traitement entre les justiciables, selon la propension à cumuler du magistrat auquel ils ont affaire. Le risque est aussi celui d’une instrumentalisation de la qualification pénale, le juge retenant une qualification s’il souhaite prononcer l’une des peines attachées à celle-ci.

[27] V. cependant la remarque faite à la note n° 11.

[28] Sauf dans l’hypothèse mentionnée supra n° 10.

[29] V. note sous n° 9.

[30] Soutiendra-t-on le contraire s’agissant du chantage et de l’extorsion ? En effet, l’article 312-10 du Code pénal incrimine une modalité particulière de contrainte morale crapuleuse, contrainte envisagée de manière plus générale par l’article 312-1 (v. not. à ce sujet notre Pour un renouvellement du système répressif dit des atteintes juridiques aux biens, LGDJ, coll. Bibliothèque des sciences criminelles, tome 70, 2021, n° 976 et s.). Il faut toutefois persister à penser que les conditions de l’exception ne sont pas satisfaites puisque, dans l’hypothèse d’un « ransomhack », le logiciel peut réaliser les deux infractions par des actions distinctes : il extorque en exigeant une rançon en échange de la clé de déchiffrement ; il commet un chantage en menaçant d’utiliser une partie des données appréhendées afin de jeter le discrédit sur la victime. Puisqu’il y a deux menaces, il peut y avoir deux qualifications.

[31] Dès lors que l’on considère que le chiffrement consiste à modifier des données, ce qui est désormais notre opinion : v. supra n° 8 in fine.

[32] V., notamment en ce sens, la note explicative relative aux arrêts n° 1387 et 1390 du 15 décembre 2021, p. 6.

[33] Cet exemple est tiré de l’arrêt du 15 décembre 2021 lui-même : « il résulte des articles 313-1 et 441-1 du Code pénal qu’aucune de ces infractions n’est un élément constitutif ou une circonstance aggravante de l’une des autres. En effet, l’article 313-1, qui incrimine l’escroquerie, vise les manœuvres frauduleuses et non spécifiquement le faux ou l’usage de faux comme élément constitutif de ce délit ». Cet exemple permet pourtant de constater facilement le caractère assez superficiel de cette conception, puisqu’il aurait alors suffi que l’article 313-1 vise, aux côtés de « l’usage d'un faux nom ou d'une fausse qualité », celui d’un faux document, pour que le cumul soit alors interdit. En ce sens, v. O. Décima, op. cit., n° 11.

[34] Exigence qui est d’ailleurs bien illustrée par des arrêts postérieurs où le cumul est admis en raison d’une diversité de faits : Cass. crim., 15 février 2022, n° 20-86.019 N° Lexbase : A60357NT : Ph. Conte, obs., Dr. pén., 2022, comm. 62. ; Cass. crim., 13 décembre 2023, n° 22-81.985 N° Lexbase : A525918B : Dr. pén., 2024, comm. 23.

[35] V. cependant la remarque faite à la note n° 11.

[36] Sauf dans l’hypothèse mentionnée supra n° 10.

[37] V. note sous n° 9.

[38] V., sur cet aspect de la solution et la rupture d’égalité à laquelle cette liberté peut conduire : O. Décima, Requiem pour ne bis in idem, Dr. pén., 2022, étude 4, n° 8 et s.

[39] Puisqu’il y a alors plusieurs infractions qui ne sont pas séparées par la condamnation définitive de l’une d’entre elles. D’ailleurs, comment pourraient-elles l’être puisqu’elles ont lieu au même moment ?

[40] Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 20.

[41] V. infra n° 27 et surtout n° 30 et s.

[42] Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 21.

[43] S’agissant de l’extorsion, cette circonstance aggravante est prévue par l’article 312-6 du Code pénal N° Lexbase : L1936AMN. En ce qui concerne les atteintes aux STAD, c’est l’article 323-4-1 du même code N° Lexbase : L6509MG8 qui prévoit cette circonstance aggravante, dans des termes plus larges qu’autrefois depuis la LOPSI 2023. En effet, l’ancienne rédaction de l’article n’envisageait la circonstance de bande organisée que si le système était un système de traitement automatisé de données à caractère personnel mis en œuvre par l' État. Dans notre précédente étude, nous avions critiqué cette restriction (Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 11) ; la LOPSI 2023 l’a supprimée.

[44] Partageant ce constat, v. M. Quéméner, Cyberattaques et santé publique : l’hôpital de Rouen cible d’un rançongiciel, Dalloz IP/IT 2019, 648, in fine.

[45] Par exemple, lorsque l’infraction est punie de cinq ans d’emprisonnement, la circonstance de cryptologie porte le quantum de cette peine à sept ans ; lorsque l’infraction est punie de sept ans d’emprisonnement, le quantum est porté à dix ans.

[46] Ce qui est l’hypothèse classique, bien que l’ANSSI semble avoir relevé une tendance de certains rançonneurs à seulement exfiltrer des données (v. Panorama de la cybermenace 2023, p. 22 [en ligne]). Dans ce cas, la circonstance aggravante sera écartée, ce qui épargnera bien des difficultés…

[47] Cette définition est donnée par l’article 29 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique N° Lexbase : C15764ZE, auquel renvoie l’article 132-79 du Code pénal N° Lexbase : L9877GQU.

[48] C. Guéry, Bref retour sur l'utilisation d'un moyen de cryptologie au travers d'une circonstance aggravante générale oubliée, Dr. pén., 2023, Étude n° 11.

[49] Il est vrai que dans notre précédente étude, nous avions soutenu que cette circonstance aggravante devait être écartée (Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, op. cit., n° 8 et 11). Mais nous nous fondions alors sur une interprétation très rigoureuse de non bis in idem qui n’est, à l’évidence, plus d’actualité depuis l’arrêt du 15 février 2021.

[50] V. supra n° 22.

[51] On pourrait être tenté d’objecter que si l’on ne tombe pas dans la première exception, nous sommes en revanche dans la seconde puisque la circonstance aggravante de cryptologie serait alors une hypothèse « spéciale » de l’infraction « générale » de modification de données. Mais outre que l’arrêt du 15 décembre 2021 n’envisage le rapport spécial-général qu’entre infractions, remarquons que la circonstance aggravante de cryptologie n’est pas nécessairement englobée par la modification frauduleuse de données d’un STAD. Donnons un seul exemple pour le montrer : voici un escroc qui, afin de masquer son activité aux forces de police, chiffre les données des appareils qu’il utilise. Les éléments de la circonstance aggravante son réunis, mais pas ceux du délit de l’article 323-3, puisque la modification de données n’est ici, en elle-même, pas frauduleuse.

[52] Dans le cas où la qualification de sabotage pourrait être retenue en plus des autres (v. supra n° 11), les peines seraient plus élevées (en tout cas, en l’absence de bande organisée) : quinze ans de détention criminelle et 225 000 euros d'amende. Remarquons que la circonstance aggravante de cryptologie ne devrait pas pouvoir s’appliquer au sabotage puisque l’article 132-79 du Code pénal fait référence aux crimes punis de réclusion criminelle, non de détention criminelle.

[53] V. not. O. Décima, Requiem pour ne bis in idem, Dr. pén., 2022, étude 4.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:489063

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Cookies juridiques

Considérant en premier lieu que le site requiert le consentement de l'utilisateur pour l'usage des cookies; Considérant en second lieu qu'une navigation sans cookies, c'est comme naviguer sans boussole; Considérant enfin que lesdits cookies n'ont d'autre utilité que l'optimisation de votre expérience en ligne; Par ces motifs, la Cour vous invite à les autoriser pour votre propre confort en ligne.

En savoir plus