[Textes] Analyse des dispositions procédurales et substantielles de lutte contre la cybercriminalité dans la LOPMI

Mots-clés : cyberattaques • cyberpatrouilleurs • atteintes aux systèmes de traitement automatisé de données • STAD • rançongiciel • saisie spéciale • avoirs criminels • cryptoactifs • actifs numériques • enquête sous pseudonyme • plateforme en ligne.

La loi n° 2023-22, du 24 janvier 2023, d’orientation et de programmation du ministère de l’Intérieur, dite loi « LOPMI », apporte des modifications substantielles ayant pour objectif de lutter plus efficacement contre la cybercriminalité dont l’importance et les conséquences apparaissent de plus en plus nocives. Aussi, d’un point de vue processuel, la loi facilite la saisie des avoirs numériques et amplifie les enquêtes sous pseudonyme. L’arsenal des infractions est élargi par la création de deux délits spéciaux visant les plateformes malveillantes et les peines relatives aux atteintes au système de traitement automatisé de données sont significativement relevées.

Le 14 septembre 2021, le Président de la République annonçait en clôture du Beauvau de la sécurité, le projet de loi d’orientation et de programmation du ministère de l’Intérieur  (dite « LOPMI »). Le but est, pour la première fois depuis dix ans, d’augmenter les moyens humains de ce ministère et d’en moderniser les méthodes, notamment en plaçant le numérique au centre des préoccupations.

En effet, les cybermenaces sont devenues une réalité incontournable tant pour les particuliers et les entreprises, que pour les administrations. Le rapport annexé à la loi n° 2023-22, du 24 janvier 2023, d’orientation et de programmation du ministère de l’Intérieur N° Lexbase : L6260MGX, rappelle que « la cyberdélinquance est en constante augmentation depuis plusieurs années, avec des taux de progression des faits constatés allant de 10 % à 20 % d’une année sur l’autre selon le type d’infraction » et il souligne que le ministère de l’Intérieur joue le rôle de « chef de file de la lutte contre la cybercriminalité ».

Il souligne qu’aujourd’hui « plus de deux tiers des escroqueries trouvent leur origine ou sont facilitées par Internet. En 2019, la moitié des individus de 15 ans ou plus déclaraient avoir connu des problèmes de cybercriminalité au cours de l’année précédente (notamment renvoi vers un site frauduleux). En 2020 une entreprise sur cinq déclare avoir subi au moins une attaque par rançongiciel au cours de l’année et 58 % des cyberattaques ont eu des conséquences avérées sur l’activité économique, avec des perturbations sur la production dans 27 % des cas » [1].

Pour mieux lutter contre ces cyberinfractions, le ministère a entendu investir dans des technologies nouvelles, former et recruter des cyberpatrouilleurs pour disposer de compétences pointues, et mettre l’accent sur la prévention, en lien avec l’agence nationale de la sécurité des systèmes d’information notamment. Le rapport annexé prévoit à ce titre que le renseignement sera développé au sein des services spécialisés du ministère de l’Intérieur pour mener une politique d’entrave systématique des cyberattaquants. Parallèlement, il est prévu l’installation d’un pôle de cyberdéfense, la mise en place d’une école de formation cyberinterne au ministère de l’Intérieur.

De surcroît, de nombreuses mesures visant la transformation numérique du ministère sont prises pour améliorer l’accessibilité des services publics dématérialisés.

La présente étude se propose d’analyser spécifiquement les dispositions visant à lutter contre l’accroissement des menaces « cyber », à l’exception des aspects préventionnels et assurantiels qui feront l’objet d’études distinctes.

Aussi, au titre d’un chapitre 1^er intitulé « Lutte contre la cybercriminalité », la loi n° 2023-22, du 24 janvier 2023, d’orientation et de programmation du ministère de l’Intérieur  prévoit plusieurs dispositions s’intéressant d’une part aux aspects procéduraux et d’autre part à des aspects plus substantiels de la lutte contre la cybercriminalité que nous nous proposons d’analyser.

I. Le renforcement de moyens procéduraux de lutte contre la cybercriminalité

A. L’extension de la saisie pénale aux actifs numériques

La saisie conservatoire avant condamnation est relativement récente puisqu’elle a été introduite dans notre procédure pénale française par les lois n° 2001-420, du 15 mai 2001, relative aux nouvelles régulations économiques N° Lexbase : O4569BAH en matière de stupéfiants (C. proc. pén., art. 706-24-2 N° Lexbase : L2150LH4) et n° 2001-1062, du 15 novembre 2001, relative à la sécurité quotidienne N° Lexbase : O7072BBK en matière de terrorisme (C. proc. pén., art. 706-24-2 N° Lexbase : L2150LH4). Elle a été largement étendue par la loi n° 2010-768, du 9 juillet 2010, visant à faciliter la saisie et la confiscation en matière pénale N° Lexbase : L7041IMQ (C. pén., art. 131-21 N° Lexbase : L7984MBC) et permet au procureur de la République, au juge d’instruction ou, avec leur autorisation, à l’officier de police judiciaire de faire procéder à la saisie d’un bien dans le cadre d’une procédure pénale pour la grande majorité des infractions.

Si jusqu’à présent la saisie de sommes versées sur un compte de dépôt pouvait facilement faire l’objet d’une saisie spéciale (C. proc. pén., art. 706-154 N° Lexbase : L6563MG8), en revanche la saisie d’un bien incorporel ne pouvait se réaliser qu’avec l’autorisation du juge des libertés et de la détention (JLD) (C. proc. pén., art. 706-153 N° Lexbase : L7453LPQ). Or les actifs numériques appartiennent à la catégorie des biens incorporels.

En effet, l’article L. 54-10-1 du Code monétaire et financier N° Lexbase : L7609LQU définit les actifs numériques, plus communément désignés sous les termes de cryptoactifs, cryptomonnaies, tokens ou monnaies virtuelles comme des biens incorporels (C. mon. fin., art. L. 552-2 N° Lexbase : L7517LQH).

À ce titre, la saisie des actifs numériques devait, jusqu’à la présente loi, faire l’objet d’une ordonnance préalable d’un juge et ne pouvait bénéficier de la saisie rapide prévue en matière de sommes d’argent.

L’étude d’impact, précédant le projet de loi, relevait que les actifs numériques présentaient la caractéristique d’être « aussi rapidement transférables, et donc dissipés, que les fonds détenus sur un compte bancaire », et que de ce fait, ils étaient « massivement utilisés dans le cadre d’extorsion par rançongiciel pour les demandes de rançon » [2], voire pour commettre des infractions de type cryptojacking.

En pratique, c’est souvent au cours de l’enquête, et notamment d’une perquisition, qu’est découvert un portefeuille de cryptoactifs ; le temps de rechercher le mot de passe et d’obtenir une ordonnance du JLD qui doit être motivée par la mention du montant disponible, la saisie est souvent vouée à l’échec, d’autant que la connexion de l’enquêteur entraînera une alerte pour un tiers qui pourra alors en dissiper le contenu.

À ce titre, l’article 3 de la LOPMI étend l’article 706-54 du Code de procédure pénale N° Lexbase : L1583MAU aux actifs numériques et a pour conséquence de permettre au procureur de la République de se passer de l’ordonnance du JLD pour saisir. Bien entendu, et comme pour les saisies de sommes d’argent, il reviendra ensuite au JLD, saisi par le procureur de la République ou par le juge d’instruction, de se prononcer, dans un délai de dix jours, sur le maintien ou la mainlevée de la saisie. Un appel (non suspensif) est alors ouvert, devant la chambre de l’instruction, au ministère public, au propriétaire de l’actif numérique et, s’ils sont connus, aux tiers ayant des droits sur cet actif.

De surcroît, il est évident que la saisie d’avoirs numériques restera plus complexe que la saisie de liquidités, notamment parce que les opérations seront réalisées sur des portefeuilles que l’Agence de gestion et de recouvrement des avoirs saisis et confisqués (AGRASC) aura ouverts auprès de divers intermédiaires de cryptomonnaie qu’il faudra identifier, ce qui prendra d’autant plus de temps lorsque les saisies auront lieu sur des plateformes situées à l’étranger puisque la voie de l’entraide judiciaire sera rendue nécessaire.

B. L’élargissement de l’enquête sous pseudonyme

L’enquête sous pseudonyme a été introduite dans notre procédure pénale par la loi n° 2007-297, du 5 mars 2007, relative à la prévention de la délinquance N° Lexbase : L6035HU3 d’abord pour les infractions de traite des êtres humains, de proxénétisme et d’atteintes aux mineurs. Progressivement, elle a été étendue à d’autres infractions et a été généralisée par la loi n° 2019-222, du 23 mars 2019, de programmation 2018-2022 et de réforme pour la justice N° Lexbase : L6740LPC aux « crimes et […] délits punis d’une peine d’emprisonnement commis par la voie des communications électroniques, et lorsque les nécessités de l’enquête ou de l’instruction le justifient » (C. proc. pén., art. 230-46 N° Lexbase : L6547MGL).

Jusqu’à présent, le dispositif permettait à un enquêteur de participer à des échanges électroniques, d’extraire et de conserver des données et, après autorisation du procureur de la République ou du juge d’instruction d’acquérir tout contenu, produit, substance, prélèvement ou service, y compris illicite ou transmettre en réponse à une demande expresse des contenus illicites.

L’autorisation de la loi n’était ainsi pas expressément accordée à l’enquêteur qui agissait sous pseudonyme en qualité de complice par fourniture de moyens notamment financiers, et qui portait assistance au délinquant.

Or il s’avère que l’enquête sous pseudonyme est un moyen efficace de lutter contre les crimes et délits commis sur internet, « qu’il s’agisse de la vente de drogue ou d’armes sur le dark web ou de la vente de biens volés sur des plateformes en ligne » [3].

Aussi, même si la modification de l’article 230-46 du Code de procédure pénale N° Lexbase : L6547MGL, issue d’un amendement de la commission du Sénat, n’est pas spécifiquement destinée à lutter contre la cybercriminalité, elle en constitue un levier important.

Désormais, il est ainsi prévu que les cyberpatrouilleurs puissent, « après autorisation du procureur de la République ou du juge d’instruction saisi des faits, en vue de l’acquisition, de la transmission ou de la vente par les personnes susceptibles d’être les auteurs de ces infractions de tout contenu, produit, substance, prélèvement ou service, y compris illicite, mettre à la disposition de ces personnes des moyens juridiques ou financiers ainsi que des moyens de transport, de dépôt, d’hébergement, de conservation et de télécommunication ».

Il est à noter que le Conseil constitutionnel a censuré la version initiale du texte qui dispensait les enquêteurs d’une autorisation d’un magistrat lorsque les acquisitions ou transmissions de contenus avaient un objet licite [4].

Quoiqu’il en soit, cet élargissement de l’enquête sous pseudonyme devrait permettre aux enquêteurs de mieux appréhender les diverses mises en vente sur des plateformes de vente en ligne d’objets illicites, leur permettant par exemple de contacter les vendeurs, en se faisant passer pour des acheteurs, pour organiser une réunion afin de procéder à leur interpellation en flagrant délit de recel.

II. Le renforcement de moyens substantiels de lutte contre la cybercriminalité

A. La création de deux nouveaux délits visant les plateformes en ligne

Absente du projet de loi, la création de deux délits spéciaux relatifs aux plateformes en ligne est apparue tardivement dans le processus parlementaire.

Il ressort de la circulaire du 2 février 2023 [5] le constat selon lequel le traitement d’un nombre croissant de procédures judiciaires a mis au jour l’augmentation du nombre de plateformes de vente d’objets illicites sur le darknet, qu’il s’agisse d’armes, de stupéfiants, de faux papiers ou de tout autre produit ou donnée dont la vente est illégale ou qui sont eux-mêmes issus de la commission d’une infraction pénale.

À ce titre, la loi du 24 janvier 2023 a créé deux délits offrant la possibilité d’incriminer et de réprimer des comportements relevant d’une activité d’administration de plateformes de transactions d’objets illicites ou d’intermédiation ou de séquestre destinée à permettre ou à faciliter la cession de produits illicites.

1) Le délit d’administration d’une plateforme en ligne pour permettre la cession de produits illicites

À la suite des atteintes aux systèmes de traitements automatisés de données, est créé un article 323-3-2 du Code pénal N° Lexbase : L6508MG7 qui incrimine le fait, pour un opérateur de plateforme en ligne mentionné à l’article L. 111-7 du Code de la consommation N° Lexbase : L4973LAG, de permettre sciemment la cession de produits, de contenus ou de services dont la cession, l’offre, l’acquisition ou la détention sont manifestement illicites, lorsque cette plateforme :

• restreint son accès aux personnes utilisant des techniques d’anonymisation des connexions ;
• contrevient aux obligations que la loi n° 2004-575, du 21 janvier 2004, pour la confiance dans l’économie numérique, dite loi « LCEN » N° Lexbase : L2600DZC leur impose.

Il s’agit finalement de sanctionner un individu qui administre une plateforme dont il sait qu’elle véhicule des services manifestement illicites. La complicité à titre principal par fourniture de moyens est ainsi incriminée à titre autonome. Le législateur s’assure néanmoins de la mauvaise foi de l’administrateur en conditionnant la réalisation du délit soit à une restriction de l’accès à la plateforme à des utilisateurs ayant recours à un dispositif d’anonymisation d’adresses IP tel qu’un VPN, soit à une violation des obligations que la loi lui impose.

En effet, l’article 6 VI de la loi n° 2004-575, du 21 juin 2004, oblige tout opérateur à mettre en œuvre un dispositif permettant aux utilisateurs d’une plateforme en ligne de signaler les contenus illicites qu’ils identifient, de l’obligation d’informer promptement les autorités publiques compétentes des activités illicites qui leur ont été signalées, ou encore de l’obligation de conserver les données de nature à permettre l’identification des personnes ayant contribué à la création d’un contenu diffusé.

Le délit est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende et devrait rendre efficace la lutte contre les sites du dark web dédié à la circulation de biens et données illicites, même s’il nous semble surprenant que le Conseil constitutionnel n’ait émis aucune protestation sur un délit obstacle dont l’imputation est assez indirecte. Il apparaît par ailleurs surprenant que ces délits soient positionnés dans le chapitre relatif aux atteintes aux systèmes de traitement automatisé de données (STAD) dans la mesure où le comportement ne se réfère à aucune atteinte à la propriété numérique.

2) Le délit d’intermédiation ou de séquestre pour faciliter la cession de produits illicites

Est puni des mêmes peines, « le fait de proposer, par l’intermédiaire de ces plateformes ou au soutien de transactions qu’elles permettent, des prestations d’intermédiation ou de séquestre qui ont pour objet unique ou principal de mettre en œuvre, de dissimuler ou de faciliter les opérations ».

Ce second délit consiste à incriminer ici à titre autonome le blanchiment de l’infraction d’administration illicite, en sanctionnant finalement tout type d’intermédiation qui aurait pour seul but de dissimuler la circulation de ces produits ou données illicites.

Il est à noter que les deux délits sont punis de dix ans d’emprisonnement et de 500 000 euros d’amende lorsqu’ils sont commis en bande organisée.

Par ailleurs, dans la mesure où l’article 4 de la LOPMI intègre ces deux nouveaux délits à la liste de l’article 706-73-1 du Code de procédure pénale (C. proc. pén., art. 706-73-1, 12° N° Lexbase : L6561MG4), il en ressort non seulement que le recours aux techniques spéciales d’enquêtes est permis, mais également que les juridictions interrégionales spécialisées (JIRS) et la juridiction nationale de lutte contre la criminalité organisée (JUNALCO) disposent d’une compétence concurrente pour traiter de ces nouvelles infractions, sous réserve qu’elles présentent un critère de grande ou de très grande complexité (C. proc. pén., art. 706-75 N° Lexbase : L0563LTZ).

La circulaire précitée précise à ce titre que « la JUNALCO doit pouvoir bénéficier d’une remontée d’informations pertinente par le mécanisme de la double information qui doit être mise en œuvre à son profit par les offices centraux et services à compétence nationale ainsi que par les JIRS, à la lumière des critères supra énoncés » [6].

B. L’augmentation de la répression des atteintes aux systèmes de traitement automatisé de données (STAD)

1) Augmentation du quantum des peines prévues à l’article 323-1 du Code pénal

Le législateur, pour la troisième fois depuis 1988, date de la création des atteintes aux systèmes de traitement automatisé de données (STAD), augmente significativement la répression de ces infractions, ayant pour objectif de lutter plus efficacement contre les cyberattaques dont l’amplification a été rappelée en propos introductif.

Il élève ainsi à trois ans d’emprisonnement et 100 000 euros d’amende (contre deux ans et 60 000 euros), les délits d’accès et de maintien dans un STAD, portant à cinq ans et 150 000 euros d’amende (contre trois ans et 100 000 euros) la peine lorsqu’il en est résulté une altération ou une modification de données. Lorsque les infractions sont commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à sept ans d’emprisonnement et à 300 000 euros d’amende (contre cinq ans et 150 000 euros).

La LOPMI calque ainsi les peines du délit d’accès sur les autres délits d’entrave, considéré jusqu’à présent plus graves et a pour effet domino d’augmenter la contrainte au stade des investigations aux délits punis d’au moins trois ans.

2) Généralisation de la circonstance aggravante de bande organisée

Le nouvel article 323-4-1 du Code pénal N° Lexbase : L6509MG8 étend la circonstance de bande organisée à l’ensemble des atteintes à un STAD, portant ainsi la peine à dix ans d’emprisonnement et 300 000 euros d’amende.

La prévision de cette circonstance était jusqu’alors limitée aux seules atteintes commises sur les systèmes étatiques.

Cela a donc pour conséquence d’intégrer à l’article 706-73-1 du Code de procédure pénale (1°) tous les délits d’atteintes à un système de traitement automatisé de données à la délinquance organisée dans la mesure où ils seraient commis en bande organisée.

3) Création d’une circonstance aggravante de mise en danger d’autrui à l’occasion d’une atteinte à un STAD

Prenant acte du fait que les cyberattaques visent régulièrement des établissements de santé [7] (hôpitaux, centres de recherche médicale, EPHAD, etc.), la LOPMI introduit une nouvelle disposition qui prend en compte les conséquences désastreuses pour la santé de patients subissant une suspension temporaire de l’activité médicale et entraînant un retard de prise en charge, voire un arrêt des soins (transfert de patients, arrêt des systèmes monitoring, arrêt des systèmes de numéros d’urgences, etc.)

Aussi, le nouvel article 323-4-2 du Code pénal N° Lexbase : L6510MG9 introduit une nouvelle circonstance aggravante de mise en danger d’autrui appliquée aux STAD et dispose que « lorsque les infractions prévues aux articles 323-1 à 323-3-1 [du Code pénal] ont pour effet d’exposer autrui à un risque immédiat de mort ou de blessures de nature à entraîner une mutilation ou une infirmité permanente ou de faire obstacle aux secours destinés à faire échapper une personne à un péril imminent ou à combattre un sinistre présentant un danger pour la sécurité des personnes, la peine est portée à dix ans d’emprisonnement et à 300 000 euros d’amende ».

Alors que dans le délit de risque causé à autrui de l’article 223-1 du Code pénal N° Lexbase : L3399IQX aurait parfaitement pu trouver à s’appliquer de façon autonome dans un cas d’exposition immédiat à un risque de mort ou de blessures et se cumuler avec les délits d’atteinte aux STAD, le législateur fait le choix de la sévérité en créant une telle circonstance aggravante, puisque la peine encourue est portée à dix ans d’emprisonnement et 300 000 euros d’amende.

Sur le modèle des infractions involontaires qui peuvent également être aggravées par la mise en danger, il doit être précisé que si le danger redouté se produit, les infractions matérielles d’homicide ou de violences, involontaires, voire volontaires selon le contexte, pourront s’appliquer et se cumuler aux atteintes aux STAD.

La circulaire d’application de la LOPMI en date du 2 février 2023 apporte des précisions importantes sur la compétence des juridictions selon le type d’attaque dès lors que la circonstance aggravante de mise en danger de la vie d’autrui aura vocation à être retenue [8]. Prenant appui sur les dépêches du 10 mai 2017 [9] et du 9 juin 2021 [10] elle distingue :

• les attaques commises au moyen d’un dispositif de type rançongiciel qui entraînera une centralisation du traitement judiciaire par la juridiction parisienne [11] ;
• les attaques commises sans rançongiciel relèveront des compétences concurrentes des juridictions locales, des juridictions interrégionales spécialisées (JIRS) et du tribunal judiciaire de Paris qui s’articuleront en fonction de la nature et du degré de complexité de l’affaire (nombre d’auteurs ou de victimes, technicité des moyens employés, mode opératoire mis en place, dimension nationale ou transnationale des faits, importance du préjudice, etc.).

4) La compétence du tribunal statuant à juge unique pour les atteintes à un STAD

Dans une optique de simplification du droit et d’une forme de rapidité et de certitude de la sanction, la LOPMI modifie la liste des infractions prévues par l’article 398-1 du Code de procédure pénale N° Lexbase : L6549MGN et étend ainsi le champ de compétence de la procédure de jugement correctionnel à juge unique prévue par l’article 398 du Code de procédure pénale N° Lexbase : L0539LT7 aux délits d’accès et de maintien frauduleux dans un STAD prévus au premier alinéa de l’article 323-1 du Code pénal N° Lexbase : L6507MG4.

Logiquement, cette extension a pour autre conséquence de permettre au procureur de la République d’orienter ces infractions vers la procédure simplifiée de l’ordonnance pénale [12], notamment en cas de simple « piratage d’un compte de messagerie électronique ou d’un réseau social » [13], lorsque la personnalité de l’auteur, l’ampleur du préjudice ou la qualité de la victime le justifieront.

© Reproduction interdite, sauf autorisation écrite préalable