docudoo

Une coopération insuffisante

Plan

Titre I : Une coopération insuffisante

 

Chapitre I : Au niveau européen

 

Section 1 : La stratégie européenne de lutte contre la cybercriminalité

 

  • 1 : Pour une harmonisation des dispositions répressives internationales
  1. L’intérêt d’une harmonisation
  2. La portée de l’harmonisation

 

  • 2 : Pour une collaboration renforcée des services
  1. La « Conservation rapide de données informatiques stockées » et l’« Injonction de produire »
  2. La « Perquisition et saisie de données informatiques stockées »
  3. La « Collecte en temps réel de données informatiques »

 

Section 2 : Bilan de la cyberstratégie européenne

 

  • 1 : Un bilan mitigé
  1. Bilan positif en termes de coopération
  2. Les limites à l’effectivité de la coopération

 

  • 2 : Une réponse européenne inefficace
  1. L’insuffisance des organismes européens
  2. Un degré d’engagement différent selon les pays

 

Chapitre II : Au niveau international

 

Section 1 : Les initiatives au niveau mondial

 

  • 1 : Les initiatives sous l’égide de l’ONU
  1. La cybersécurité au sein de l’OTAN
  2. Les insuffisances des actions de l’OTAN

 

  • 2 : Les initiatives au sein de l’OTAN
  1. Les limites des SMSI
  2. Le sommet mondial de la société de l’information, SMSI

 

Section 2 : Le défaut de consensus, frein à la coopération internationale

 

  • 1 : La diversité des politiques nationales
  1. Des politiques américaines et chinoises plus agressives
  2. Une politique européenne modérée

 

  • 2 : Les divergences dans la politique internationale de lutte contre la cybercriminalité
  1. Le manque de confiance entre les Etats
  2. La souveraineté des Etats

TITRE I :

UNE COOPERATION INSUFFISANTE

 

 

Les nations unies avaient  jugé qu’Internet méritait une rencontre solennelle des chefs d’État et de gouvernement, un sommet qui s’est déroulé en deux temps. D’abord, un premier volet a été organisé à Genève en décembre 2003 pour le premier volet de ce Sommet mondial sur la société de l’information[1] organisé par l’Union internationale des télécommunications[2]. Néanmoins,  rien de véritablement concret n’a pu en ressortir. Le sommet s’apparentait davantage à un défilé de gouvernants d’États plus ou moins démocratiques qui se sont succédé à la tribune pour vanter les mérites de la société de l’information, même si nombre d’entre eux étaient loin de laisser pratiquer ce libre exercice de l’information sur leur territoire ; ce décalage flagrant affaiblissait d’autant la portée d’une telle réunion.

Le second volet organisé à Tunis, en novembre 2005 avait le même effet. L’une des principales avancées a été la constitution d’un Forum sur la gouvernance de l’Internet[3] qui réunit les parties prenantes : associations d’utilisateurs, États, groupes de pression et entreprises. On retrouvait  des géants industriels tels AT&T, Cisco Systems ou encore l’allemand Siemens comme partenaires soutenant cet organisme international. Le sommet s’orientait sur un débat des politiques publiques permettant la sécurisation de l’internet.

Sans être un lieu de prise de décision immédiate, le sommet constituait bien un terrain d’influence à part entière, comportant de nombreux groupes de travail et de réunions plénière ; en 2009 à Charm el-Cheikh (Égypte) ou en septembre 2010 à Vilnius (Lituanie). Mais malgré la déclaration faite en février 2010 par le directeur général de L’UIT lors du Forum de Davos d’édicter un traité international interdisant la « cyberguerre », l’ONU n’est pas un acteur de la cybersécurité à l’échelle mondiale.

Les États membres du G8[4] se sont penchés sur la cybermenace. Lors d’une rencontre des ministres de l’Intérieur et de la Justice de cette organisation informelle qui s’est tenue les 9 et 10 décembre 1997, les participants ont mis en place un réseau de correspondants, dit 24/7[5]. Ces équipes sont à même de communiquer entre elles sept jours sur sept, 24 heures sur 24, afin de réagir le plus rapidement possible aux menaces de cyberattaque. Dès 1997, les ministres des huit pays les plus riches du monde réalisaient déjà les difficultés de la sécurité des informations sur internet[6].

Mais la coopération internationale doit faire face aux divergences juridiques des droits nationaux malgré un aspect mondial de la criminalité, sur des différences normatives en matière d’analyse des ordinateurs qui fragilisent les enquêtes transnationales, sur les délais d’action souvent trop longs pour permettre de traiter en temps suffisant des affaires, alors que les délinquants sont particulièrement mobiles et réactifs.

C’est bien la volonté politique qui fait défaut et non l’absence d’une vision claire de la situation. Le cabinet Deloitte[7] mentionnait le témoignage d’un procureur canadien obligé de patienter entre six et neuf mois avant d’obtenir des réponses à ses questions quand il sollicite un homologue étranger, une réaction tardive qui profite aux délinquants avec la volatilité des technologiques numériques[8].

La plateforme européenne tente également de mettre en place les outils nécessaires pour la cybersécurité. Le Conseil de l’Europe s’est efforcé d’obtenir l’adhésion d’Etats qui ne sont pas membres de l’Organisation à des conventions internationales telles que la Convention sur la cybercriminalité, la Convention sur la protection des enfants contre l’exploitation et les abus sexuels ou encore la Convention pour la prévention du terrorisme.

Comme l’a déclaré le Chancelier allemand de l’époque, M. Gerard SCHRÖDER au mois d’octobre 2000, « la criminalité sur internet est un problème mondial (…) qui nécessite des mesures mondiales, un travail international mieux coordonné et surtout, des normes minimales obligatoires ». Seul un effort coordonné permettra de neutraliser les cybercriminels. Aux efforts entrepris par l’ensemble des nations, est venu se greffer l’action de l’Union européenne qui, dès 1996 a créé un comité d’experts chargés de la cybercriminalité. C’est ainsi que pour faire face à ces nouveaux enjeux, le comité des ministres du Conseil de l’Europe, le 8 novembre 2001 a adopté une Convention sur la cybercriminalité, ouverte à la signature des États membres à Budapest le 23 novembre 2001 à l’occasion de la Conférence internationale sur la cybercriminalité

Sur le papier, les Vingt-Sept pays signataires de la convention sont parés pour la guerre numérique. En effet, ils disposent, depuis 2004, d’une Agence européenne chargée de la sécurité des réseaux et de l’information, l’ENISA[9]. Mais celle-ci n’a jamais reçu les moyens réels de se développer, ni de travailler sur le fond des dossiers. Basée à Héraklion en Crète, les maigres financements[10] de l’agence ne lui permettent une activité répondant aux menaces. À l’issue d’un lobbying intensif, l’ENISA a été prolongée au moins jusqu’au 13 mars 2012.

L’Agence a publié quelques rapports ; par exemple, en 2010, des publications relatives aux réseaux sociaux, aux jeux en ligne et au Web 2.0. Une décision-cadre du Conseil européen du 16 mars 2005 invite l’Union à mettre en place des « outils et des procédures efficaces » pour lutter contre les attaques visant les systèmes d’information. Néanmoins, la transposition en droit national tarde à se réaliser.

Aucune organisation transnationale établie n’a pu ou su asseoir son autorité sur les thématiques relatives à Internet ou à la cybersécurité. Il n’existe pours lors qu’un patchwork institutionnel qui tente de répondre à ces enjeux d’avenir. Si de nombreuses organisations internationales se sont tour à tour saisies de la question d’Internet, notamment en matière de cybersécurité, aucune approche réellement coordonnée n’en est sortie.

Les cybercriminels continuent à profiter des failles des systèmes internationaux qui présentent une insuffisance de forces réellement contraignantes de ces dispositifs. Ainsi, nous relaterons les insuffisances dont font preuves les dispositions établies en Europe (Chapitre I) mais également les lacunes que le système international doit réellement surmonter (Chapitre II).

 

 

 

CHAPITRE I : INSUFFISANCE AU NIVEAU EUROPEEN

 

En marge des réunions du G8, se poursuivaient les discussions pour l’adoption du projet de Convention sur la cybercriminalité sur lequel travaillaient. Outre les représentants des quarante et un pays membres du Conseil de l’Europe, ceux des États-Unis, du Canada, de l’Afrique du Sud, du Japon et du Mexique étaient également présents. Le projet final de Convention a été préparé par le Comité d’experts sur la criminalité dans le cyberespace (PC-CY) et adopté par le Comité européen pour les problèmes criminels (C.D.P.C.), lors de la 50è session plénière des 18 et 22 juin 2001[11].

La convention sur la « cybercriminalité» vise à harmoniser les différentes législations nationales afin de faciliter la lutte contre la délinquance liée à l’informatique ; piratage et atteintes à la propriété intellectuelle, pédophilie, etc. Adopté par le Comité des ministres et ratifié par les assemblées législatives nationales, la Convention est le premier Traité international sur les infractions pénales commises par l’intermédiaire d’Internet et d’autres réseaux informatiques. Accompagne également la convention un rapport explicatif destiné à aider les lecteurs à mieux comprendre la portée et le contenu des dispositions de la convention[12].

Quantité d’infractions sont susceptibles d’être commises contre un système informatique ou par le biais d’un tel système, spécialement de l’Internet : accès frauduleux à un système automatisé de données, falsification ou suppression de ces données, publicité mensongère, contrefaçon, diffamation, diffusion d’images pornographiques, incitation à la haine raciale. Certaines de ces infractions sont visées par deux instruments internationaux adoptés au sein du Conseil de l’Europe[13] : la « convention sur la cybercriminalité », adoptée à Budapest le 23 novembre 2001[14] et le « Protocole additionnel à la convention sur la cybercriminalité relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques, adopté à Strasbourg le 28 janvier 2003[15].

Ces deux instruments sont les principaux outils de lutte contre la cybercriminalité dont dispose l’Europe. Ils constituent une avancée majeure dans la prise de conscience des menaces informatiques sur internet. Néanmoins, une prise de conscience sans action réelle ne peut suffire. Afin d’effectuer le bilan de cyberstratégie européenne (Section 2), il convient dès lors de revenir sur la stratégie européenne de lutte contre la cybercriminalité (Section 1).

 

 

Section 1 : La stratégie européenne de lutte contre la cybercriminalité

Nombreuses infractions ont été identifiées, susceptibles d’être commises contre un système informatique ou par le biais d’un tel système, spécialement de l’Internet[16]. Deux instruments internationaux adoptés au sein du Conseil de l’Europe incriminent certaines de ces infractions: la Convention sur la cybercriminalité[17], adoptée à Budapest le 23 novembre 2001[18] et le Protocole additionnel[19] à la convention sur la cybercriminalité relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques », adopté à Strasbourg le 28 janvier 2003[20].

La convention et le protocole additionnel constituent les principaux instruments de lutte contre la cybercriminalité. Ayant pour objectif l’harmonisation des incriminations nationales, les deux textes imposent aux États contractants d’ériger en infraction pénale un certain nombre de faits ou d’actes que l’on peut regrouper en deux catégories : les infractions informatiques proprement dites, qui portent atteinte aux biens, systèmes et données informatiques eux-mêmes, et les infractions classiques qui sont commises par le biais ou à l’aide d’un système informatique, à savoir les messages, images ou sons illicites véhiculés par un tel système[21].

En revanche, aucune harmonisation des sanctions n’a été voulue par ces instruments : ils se contentent d’exiger des États parties qu’ils fixent, à l’encontre des personnes physiques, des « sanctions effectives, proportionnées et dissuasives, comprenant des peines privatives de liberté »[22], et, à l’encontre des personnes morales tenues pour responsables, des « sanctions ou (…) mesures pénales ou non pénales effectives, proportionnées et dissuasives, comprenant des sanctions pécuniaires »[23]

La stratégie européenne se concrétise par l’harmonisation des dispositions répressives (§1), mais également par le renforcement de la collaboration des services spécialisés (§2).

 

 

  • 1 : Pour une harmonisation des dispositions répressives internationales

La convention de Budapest a pour objectif principal, énoncé dans le préambule, de poursuivre « une politique pénale commune destinée à protéger la société de la criminalité dans le cyberespace, notamment par l’adoption d’une législation appropriée et l’amélioration de la coopération internationale».

La convention prévoit un chapitre sur les « Mesures à prendre au niveau national» et classe les infractions en fonction de leur nature. Sur les cinq titres du chapitre, les quatre premiers visent les infractions contre la confidentialité, l’intégrité et la disponibilité des données et systèmes informatiques, les infractions informatiques, les infractions se rapportant au contenu et enfin, les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes. La convention définit un système informatique comme «tout dispositif isolé ou ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d’u programme, un traitement automatisé de données». Les infractions doivent revêtir un caractère intentionnel et sans droit.

Les données informatiques correspondent à « toute représentation de faits, d’informations ou de concepts sous une forme qui se prête à un traitement informatique, y compris un programme de nature à faire en sorte qu’un système informatique exécute une fonction».

Le législateur français est déjà intervenu en 1988, avec la loi dite « Godfrain»[24], pour répertorier les infractions commises dans le cadre d’un système de traitement automatisé de données, dans l’accès et le maintien frauduleux, l’entrave au fonctionnement, l’introduction frauduleuse et la falsification de données[25]. Alain Bensoussan définissait le système de traitement automatisé de données comme « l’ensemble des éléments physiques et des programmes employés pour le traitement de données, ainsi que des réseaux assurant la communication entre les différents éléments du système informatique. Il en est ainsi des ordinateurs, mais également des périphériques d’entrée/sortie et des terminaux d’accès à distance ainsi que de tous vecteurs de transmission de données tels que des réseaux de télécommunications»[26].

 

 

  1. L’intérêt d’une harmonisation

La nécessité de définir des qualifications juridiques minimales est née du danger qui résidait dans le fait qu’un État ne disposant pas de telles incriminations minimales devienne un véritable paradis informationnel par défaut de prévision expresse. Le premier objet de la convention de Budapest a été de définir les qualifications juridiques minimales devant être prévues par les États membres.

Cette notion de qualification minimale présente l’intérêt d’harmoniser les efforts des services répressifs et de permettre la poursuite de l’auteur de faits répréhensifs, quel que puisse être son état de résidence. Diverses familles d’infractions ont donc été définies. Elles ont pour objectif de prévoir les différents types d’infractions constatées ou pressenties

Les infractions contre la confidentialité, l’intégrité et la disponibilité des données et systèmes informatiques sont de cinq types : l’accès illégal à tout ou partie d’un système informatique, l’interception illégale de données informatiques, effectuée par des moyens techniques, lors de transmissions non publiques, à destination, en provenance ou à l’intérieur d’un système informatique, l’atteinte à l’intégrité des données informatiques, l’atteinte à l’intégrité du système et les abus de dispositifs.

Quant aux infractions dites « informatiques», elles recouvrent la falsification informatique et la fraude informatique. Sont ainsi incriminés, l’introduction, l’altération, l’effacement ou la suppression de données informatiques, engendrant des données non authentiques, lorsqu’elles sont utilisées à des fins légales comme si elles étaient authentiques. De même qu’est incriminée toute atteinte au fonctionnement d’un système informatique dans l’intention d’obtenir sans droit un bénéfice économique quelconque. On comprend la teneur de ces dispositions, au regard de la reconnaissance de l’équivalence de l’écrit électronique à l’écrit papier, avec la directive du 13 décembre 1999 sur les signatures électroniques[27].

Les infractions se rapportant au contenu portent sur la pornographie enfantine. Sont ainsi incriminées toutes les productions, mises à disposition, diffusions ou détentions d’images de pornographie enfantine concernant des mineurs de dix-huit ans, voire de seize ans, en fonction du droit interne de chaque État. Cette disposition, très attendue, a une portée plus symbolique que juridique dans la mesure où rares sont les États qui n’ont pas adopté de règles relatives à la protection des mineurs.

Enfin, les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes définies par chaque législation visent des actes commis délibérément, à l’échelle commerciale et au moyen d’un système informatique. Sont ainsi incriminés les droits protégés, par la Convention universelle sur le droit d’auteur révisée à Paris le 24 juillet 1971, la Convention de Berne pour la protection des œuvres littéraires et artistiques, de l’Accord sur les aspects commerciaux des droits de propriété intellectuelle, le Traité de l’O.M.P.I. sur la propriété intellectuelle, la Convention de Rome. En France, de telles dispositions n’entraîneront pas de bouleversement juridique dans la mesure où la victime d’une contrefaçon a le choix entre la voie civile et pénale. Par contre, pour ce qui est des droits voisins – appelés « droits connexes» dans la Convention – certains aménagements devront être prévus.

 

 

  1. La portée de l’harmonisation

Sont notamment prévues la conservation rapide de données informatiques, l’injonction de produire des données informatiques, la perquisition et saisie de données informatiques stockées, la collecte en temps réel des données relatives au trafic ainsi que l’interception de données relatives au contenu.

Par ailleurs, la loi sur la société de l’information prévoit notamment, la répression des délits informatiques en alourdissant les sanctions pénales prévues par la loi Godfrain. De plus, est réprimé le fait d’offrir, de céder ou de mettre à disposition un programme informatique conçu pour commettre les infractions déjà prévues par cette loi. Une disposition analogue avait été prévue dans le projet de convention du conseil de l’Europe, avant d’être abandonnée, l’assimilation de logiciels de sécurité informatique à des outils de piratage étant inadaptée.

La Convention demande à ce que les États membres adoptent des mesures législatives et autres, nécessaires pour instaurer les pouvoirs et procédures aux fins d’enquêtes ou de procédures pénales spécifiques. Ainsi, les autorités compétentes doivent pouvoir perquisitionner et saisir les informations relatives à l’infraction liée à l’utilisation de l’informatique. En France, des dispositions pénales permettent déjà de saisir toute type d’information dans le cadre d’une enquête judiciaire. Le projet de la loi sur la société de l’information devrait modifier les articles 56 et 97 du Code de procédure pénale en complétant le concept de «documents» par celui de « données informatiques» et le concept de « pièces» par celui d’ « informations» et en prévoyant la saisie ou la copie de données informatiques, avec possibilité pour l’autorité judiciaire de demander à ce que tout organisme compétent communique une version « en clair» de données chiffrées.

De même, les autorités compétentes pourront collecter les données relatives au trafic et intercepter les données relatives au contenu, soit directement, soit en obligeant le fournisseur de services. Ainsi, chaque pays devra prévoir un système d’interception, ce qui en France existe déjà puisque l’autorité judiciaire peut procéder par voie de réquisition auprès des opérateurs téléphoniques qui doivent alors fournir les données de connexion et s’agissant du contenu des communications, les dispositions sur la législation sur les écoutes téléphoniques à vocation à s’appliquer.

 

 

  • 2 : Pour une collaboration renforcée des services

Les États signataires  de la convention de Budapest s’engagent à mener des enquêtes et à mettre en œuvre des moyens coercitifs sur leur territoire, pour le compte d’une partie requérante, du moment que les infractions poursuivies tombent sous le coup de la Convention. En effet, dès le préambule, la convention prévoit « qu’une lutte bien menée contre la cybercriminalité requiert une coopération internationale en matière pénale, rapide et efficace ».

Par ailleurs, la Convention a pour but de compléter les conventions existantes du Conseil de l’Europe sur la coopération en matière pénale ainsi que les traités similaires, autres, conclus entre les États membres du Conseil de l’Europe et d’autres États, «en vue de rendre plus efficaces les enquêtes et procédures pénales portant sur des infractions pénales en relation avec des systèmes et données informatiques, ainsi que de permettre la collecte des preuves électroniques d’une infraction pénale» .

Le chapitre III de la Convention relative à la coopération internationale, invite les parties à collaborer, «dans la mesure du possible les unes avec les autres, aux fins d’investigations ou de procédures concernant les infractions pénales liées à des systèmes et données informatiques ou pour recueillir les preuves sous forme électroniques d’une infraction pénale». Ainsi, est prévu, l’extradition, pour les infractions pénales, définies dans la convention et punissables, pour les deux États concernés, par une peine privative de liberté, pour une période maximale d’au moins un an ou par une peine plus sévère. Ainsi, il sera désormais possible d’obtenir une extradition auprès d’un pays membre de la Convention si une incrimination est prévue à la Convention et alors même que l’État n’a pas conclu d’accord bilatéral de coopération judiciaire d’extradition.

De même, les États sont invités à s’accorder une entraide « la plus large possible aux fins d’investigations ou de procédures». En cas d’urgence, il leur est donné la possibilité de solliciter une entraide pas des moyens rapides de communication, comme le fax ou le courrier électronique, dont la sécurité et l’authentification doivent être assurés. De plus, il leur est permis de communiquer des informations obtenues dans le cadre d’enquêtes et qui pourraient aider un État partie à la Convention à engager ou mener ses propres enquêtes ou procédures. En l’absence d’accords internationaux applicables en matière d’entraide ou d’arrangement, la Convention prévoit la désignation d’une ou plusieurs autorités centrales ayant pour mission d’envoyer les demandes d’entraide, d’y répondre, de les exécuter ou de les transmettre aux autorités compétentes, pour exécution.

En tout état de cause, ces demandes ou communication peuvent se faire par l’intermédiaire de l’Organisation internationale de police criminelle (Interpol). Des dispositions spécifiques ont été prévues, dans le cadre d’entraide, en matière de mesures provisoires et de pouvoirs d’investigation ainsi que dans celui du réseau 24/7 – point de contact joignable, à tout moment, afin d’assurer la fourniture d’une assistance immédiate pour les investigations concernant les infractions pénales ou pour recueillir les preuves sous forme électronique d’une infraction pénale.

L’organisation internationale de la police criminelle (Interpol) a développé l’échange d’informations entre représentants des polices, alors qu’Europol gère les bases d’informations contribuant à la coordination des actions policières. En 1997, Interpol, réuni à Salonique, s’est attaché à examiner le problème de la pornographie enfantine a sur Interner, pour soulever les difficultés posées par la coopération policière. En France, a été mis en œuvre un fichier des empreintes génétiques, pour lutter contre les auteurs de crimes sexuels[28].

 

 

  1. La « Conservation rapide de données informatiques stockées »[29] et l’« Injonction de produire »[30]

Il s’agit ici de créer une obligation légale pour les opérateurs privés de conserver les données susceptibles de constituer des preuves en matière pénale, notamment en termes de données de connexion pour les fournisseurs d’accès et les hébergeurs de sites web. Afin de prévenir toute atteinte aux principes des libertés publiques que peut entraîner toute mesure de sauvegarde de données individuelles par des sociétés privées, l’article 17 renvoie à l’application des articles 14 et 15 de la Convention qui soumet une telle pratique aux principes issus de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales du Conseil de l’Europe de 1950, ainsi que de la législation et de la jurisprudence des nations en la matière.

Ce principe de « proportionnalité » entre atteinte aux droits de l’Homme et sécurité des citoyens peut toutefois entraîner de graves atteintes aux libertés publiques dans une période qui est davantage marquée par le tout sécuritaire que par la recherche de la liberté.

Un autre problème posé par l’application de ces articles est le surcoût financier pour les opérateurs privés qu’entraîne la sauvegarde systématique des données de connexion. L’internaute va-t-il lui-même contribuer financièrement, par la hausse de son abonnement ou des connexions Internet à son propre « flicage » par son opérateur ?

 

 

  1. La « Perquisition et saisie de données informatiques stockées »[31]

Il s’agit ici de définir textuellement les conditions de la perquisition en milieu informatique ainsi que le formalisme de leur saisie, notamment en reconnaissant l’existence de la preuve numérique. Devant les problèmes posés par la mise en place d’une perquisition à distance, la Convention se borne à définir les conditions de la perquisition physique, c’est-à-dire effectuée par un agent qui se déplace sur les lieux d’opérations. Là encore, l’adéquation entre libertés de l’Homme et technique sécuritaire s’avérait délicate à trouver. Les rédacteurs de la Convention ont sagement préféré renoncer à ouvrir le champ à un Internet par trop « policé ».

 

 

  1. La « Collecte en temps réel de données informatiques »[32]

Ce troisième axe de la Convention traite de la question des interceptions de données, notamment en environnement Internet ou de télécommunications. Les données ainsi prélevées en temps réel sont de deux natures différentes selon qu’elles soient relatives au trafic ou au contenu. Les données relatives au trafic, telles que définies par l’article 1, désignent toutes données ayant trait à une communication passant par un système informatique, produites par ce dernier en tant qu’élément de la chaîne de communication, avec indication des informations suivantes : origine, destination, itinéraire, heure et date, taille et durée de la communication ou type de service.

Quant aux données relatives au contenu, non définies par la Convention, elles désignent le contenu informatif de la communication, c’est-à-dire le sens de la communication ou le message ou l’information ainsi transmis. Cette distinction est importante, même si certains États n’opèrent aucune différence entre ces deux formes de données pouvant être collectées par les services de police. Nous pouvons nous montrer circonspect quant aux procédures qui seront mises en place par les États signataires de cette Convention, notamment sur ce point particulier. Le monde « libertaire » d’Internet peut rapidement devenir l’outil qui manquait aux régimes dictatoriaux pour asseoir leur domination sur le peuple.

 

 

Section 2 : Bilan de la cyberstratégie européenne

Au-delà de ces instruments juridiques mis en œuvre par l’Europe, il est intéressant de voir quelles sont les mesures concrètes pour lutter contre la cybercriminalité. En bref, l’Europe a établi des programmes de recherche afin de cerner le phénomène afin de mieux le combattre. Mais plus concrètement, Europol a contribué largement à instaurer des organes de coopération européenne.

Pourtant, malgré l’instauration de ces organes et le développement de programmes, le bilan reste mitigé (§1). En effet, les chiffres démontrent que les initiatives adoptées jusqu’à présent n’ont su réduire les attaques et les crimes liés à l’informatique, une action européenne inefficace (§2).

 

 

  • 1 : Un bilan mitigé

Nous pouvons affirmer que l’adoption des instruments juridiques est une prise de conscience de l’utilité d’une harmonisation, mais surtout d’une coopération essentielle. Pourtant, au-delà de cette prise de conscience, le bilan reste mitigé.

 

 

  1. Bilan positif en termes de coopération

La troisième section de la Convention de Budapest concerne l’entraide judiciaire entre les États signataires qui n’ont pas renoncé à leurs compétences territoriales et à la cyberpolice universelle que tentait d’imposer les États-Unis. Alors que la Convention prévoit au préalable que l’ensemble des conventions d’entraide judiciaire et d’extradition pourront être étendues aux domaines d’infractions qu’elles définissent.

 

 

  1. La coopération judiciaire de l’union européenne

Depuis les années 1970, des travaux ont été lancés entre les États membres des Communautés européennes ou de l’Union européenne pour tenter de simplifier et d’accélérer les mécanismes de coopération judiciaire pénale tels qu’ils fonctionnaient dans les cadres préexistants de coopération, entre autres celui du Conseil de l’Europe.

Parmi les premiers efforts entrepris dans ce sens on relèvera cinq conventions de coopération judiciaire pénale élaborées par le groupe CPE-coopération judiciaire-affaires pénales. Si certaines d’entre elles sont entrées en vigueur entre quelques États membres[33], leur impact dans la pratique reste pourtant limité.

Les améliorations les plus tangibles ont été introduites par la voie :

–           de certaines dispositions de la convention d’application de l’accord de Schengen de 1990 ;

–           et par le biais de quelques instruments conclus au sein de l’Union européenne dans le cadre du 3e pilier du traité, principalement par la convention du 10 mars 1995 relative à la procédure simplifiée d’extradition entre les États membres de l’Union européenne[34] et celle du 27 septembre 1996 relative à l’extradition entre les États membres de l’Union européenne[35], par l’action commune 98/427/JAI du 29 juin 1998 relative aux bonnes pratiques d’entraide judiciaire en matière pénale[36] et par la convention du 29 mai 2000 relative à l’entraide judiciaire en matière pénale[37] et son protocole du 16 octobre 2001[38].

 

 

  1. Les améliorations en termes de coopération

La Convention du 29 mai 2000 relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne revêt une grande importance pour la pratique[39]. À la date du 1er mai 2009, elle a été ratifiée et est actuellement en vigueur dans quasiment tous les États membres, entre autres en France[40] et en Belgique[41]. Son champ géographique a été étendu à l’Islande et à la Norvège puisque certaines de ses dispositions ont été considérées comme « développant l’acquis Schengen » et que les autres leur ont été étendues par le biais d’un accord extérieur de l’Union européenne signé le 19 décembre 2003 sur la base des articles 24 et 38 du TUE[42].

La portée spatiale de la convention a encore été étendue davantage par le biais du deuxième protocole à la convention d’entraide du Conseil de l’Europe du 8 novembre 2001 qui en est quasiment la copie conforme, à l’exception de quelques dispositions qui n’ont pas été reprises, parmi lesquelles celles sur l’interception des télécommunications. Cette extension des dispositions de la convention de l’Union européenne de 2000 par le biais d’un Protocole du Conseil de l’Europe témoigne de ce que la coopération judiciaire améliorée n’est pas spécifique à l’Union européenne mais est exportable vers des États tiers.

Cette applicabilité peut probablement s’expliquer par le fait qu’elle demeure encore, par certains aspects en tout cas, relativement traditionnelle. Elle apporte toutefois des améliorations non négligeables.

Cette convention n’opère pas une véritable rupture avec les conventions d’entraide préexistantes. Elle ne s’y substitue pas : elle ne fait que les compléter. Elle apparaît d’autant moins en rupture avec les conventions précédentes qu’elle ne supprime pas les motifs principaux de refus de l’entraide : elle laisse par exemple subsister le motif permettant de refuser une demande si elle est de nature à porter atteinte à la souveraineté, à la sécurité, à l’ordre public ou à d’autres intérêts essentiels du pays requis.

Comparée aux conventions classiques, elle marque toutefois un approfondissement de l’entraide. Sans prétendre à l’exhaustivité, nous envisagerons ses progrès les plus significatifs en les classant en quatre catégories : généralisation des contacts directs, atténuation de la règle classique locus regit actum, insertion de dispositions relatives au délai et modernisation de l’entraide pour l’adapter aux nouvelles technologies.

La convention de 2000 comporte une série de dispositions qui adaptent l’entraide aux nouvelles technologies. De la sorte, et par comparaison avec la convention européenne d’entraide de 1959, la convention de 2000 diversifie le nombre d’actes d’enquête pour lesquels l’entraide judiciaire est expressément organisée. À cet égard, on se référera notamment aux dispositions relatives aux auditions par vidéoconférence[43], aux auditions de témoins et d’experts par téléconférence[44] et aux interceptions des télécommunications. Ces dernières dispositions sur les interceptions sont particulièrement intéressantes.

L’interception des télécommunications était déjà couverte, comme l’ensemble de l’obtention de la preuve, par les instruments généraux d’entraide judiciaire. Mais c’est la première fois qu’un instrument européen organise des règles d’entraide spécifiques relatives aux interceptions de télécommunications. Ces dispositions sont toutefois extrêmement complexes et difficiles à comprendre en raison des multiples distinctions opérées.

Des règles d’entraide différentes sont en effet prévues en fonction de quatre hypothèses distinctes déterminées principalement en fonction du lieu où se trouve la cible de l’interception et de la question de savoir si l’assistance technique d’un autre État – celui où se trouve la cible de l’interception ou un autre État encore – est ou n’est pas nécessaire. La convention distingue, par ailleurs, deux systèmes techniques pour l’exécution concrète de l’interception : le premier, destiné à devenir la règle, est celui de la transmission immédiate, c’est-à-dire en temps réel, des communications interceptées aux autorités requérantes ; dans le second, qui devrait devenir l’exception, les communications sont d’abord enregistrées puis transmises ultérieurement. Les règles d’entraide applicables divergent selon le système appliqué. Si certaines d’entre elles demeurent fort traditionnelles, d’autres apparaissent beaucoup plus novatrices.

Il n’existe pas d’évaluation de la pratique de l’entraide en cette matière mais il semble que toutes les potentialités offertes par la convention de 2000 ne sont pas encore exploitées ; pour ce faire, des aménagements techniques importants sont nécessaires. Ainsi par exemple, nombreux sont les États qui ne sont pas encore techniquement en mesure de recourir au système en temps réel, système que promeut pourtant la convention en question[45].

 

 

  1. L’effectivité d’Eurojust

Dernier né des acteurs européens permanents de la coopération judiciaire, Eurojust a été créée par la décision du Conseil du 28 février 2002 . Eurojust a été renforcée suite à la modification de la décision de 2002 par celle du 16 décembre 2009. Malgré ce renforcement, il ne s’agit pas d’un organe européen supranational mais, comparé aux magistrats de liaison et au RJE, d’un acteur « plus intégré ».

Tandis que les magistrats de liaison sont essentiellement des acteurs de la coopération bilatérale, Eurojust est, pour sa part, une structure multilatérale. Par ailleurs, par rapport à la logique de travail en réseau du RJE, la création d’une unité judiciaire permanente et centralisée constitue aussi un approfondissement de l’intégration européenne dans le secteur pénal.

Si Eurojust ne constitue pas encore un organe européen supranational, il le deviendra peut-être un jour. Cette perspective a en tout cas été ouverte d’abord par le traité constitutionnel et ensuite par le traité de Lisbonne. Via un règlement européen, un Parquet européen peut être institué à partir d’Eurojust. Le règlement en question doit être adopté à l’unanimité mais, comparé au traité constitutionnel, l’article 86 TFUE comporte un nouvel alinéa sur les coopérations renforcées en la matière, alinéa qui facilite le recours à une telle coopération renforcée en cas de blocage.

Eurojust peut demander aux États membres d’initier une JIT[46]. Si au départ, rien n’était prévu expressément dans les textes légaux quant à une éventuelle participation d’Eurojust aux JIT, une telle participation est désormais non seulement mentionnée dans le modèle d’accord mais aussi dans la décision du 16 décembre 2009 sur le renforcement d’Eurojust.

Ainsi, aux termes du nouvel article 9 septies, « Les membres nationaux ont le droit de participer aux équipes communes d’enquête (…) en ce qui concerne leur propre État membre, y compris à la création de ces équipes. Cependant, les États membres peuvent subordonner la participation du membre national à l’accord de l’autorité nationale compétente. Les membres nationaux, ou leurs adjoints ou assistants, sont invités à participer à toute équipe commune d’enquête concernant leur État membre et bénéficiant d’un financement communautaire au titre des instruments financiers applicables. Chaque État membre détermine si le membre national participe à une équipe commune d’enquête en qualité d’autorité nationale compétente ou au nom d’Eurojust ».

Deux solutions sont donc possibles : soit un membre national d’Eurojust participe comme autorité nationale d’un des États faisant partie de l’équipe, ce dans le respect des compétences et pouvoirs qui sont les siens dans son droit interne, soit le membre national d’Eurojust participe comme représentant d’Eurojust. Les pouvoirs du représentant d’Eurojust devraient dans ce second cas se limiter à l’échange d’informations. L’autorisation de sa présence durant la réalisation de mesures d’enquête est incertaine.

La participation d’Eurojust devrait s’imposer dans la plupart des cas, vu qu’une équipe commune d’enquête implique forcément une affaire dans laquelle des efforts accrus de coordination s’imposent. Une telle participation peut être utile par exemple sur le plan logistique, en raison de l’expérience du fonctionnement d’équipes communes d’enquête ou encore pour faire le lien avec d’autres affaires. Un certain nombre d’informations doit par ailleurs être transmis à Eurojust concernant les équipes communes d’enquête

 

 

  1. L’entraide judiciaire au sein du Conseil de l’Europe

 

  1. Evolution dans la procédure d’extradition et l’entraide judiciaire

Il sera possible pour un État signataire de la Convention de procéder à une extradition, en matière d’infractions informatiques, alors même qu’il n’est pas signataire d’une convention expresse d’extradition classique. En effet, à la condition que l’incrimination dans les deux pays concernés se voit infligé une peine minimum d’un an d’emprisonnement, il sera possible de viser dans la demande d’extradition l’infraction informatique qui peut n’être que connexe à l’infraction principale.

Cette procédure devrait connaître une utilisation importante puisque de plus en plus d’infractions sont commises ou tentées à l’aide des supports informatiques. De surcroît, afin de permettre un traitement plus rapide des dossiers, les États signataires s’engagent à mettre en place une autorité compétente pour les extraditions en la matière, même si la voie diplomatique reste d’application.

L’entraide judiciaire a aussi fait l’objet d’un traitement nouveau par la Convention afin de permettre une plus grande rapidité dans son exécution. Un ensemble de mesures tenant compte du caractère volatile de la preuve numérique a été prévu afin d’améliorer l’entraide judiciaire. Ainsi, le texte prévoit notamment, sous certaines conditions, la possibilité d’une communication directe entre les autorités judiciaires, la mise en place d’une autorité centrale dans chaque État signataire chargée de répondre spécifiquement aux demandes d’entraide et pouvant utiliser pour ce faire le canal Interpol, ainsi que la possibilité pour les autorités judiciaires de chaque État signataire de communiquer spontanément ces informations.

Cependant, nous pouvons noter les limites de ce texte qui ne prévoit pas les conditions minimales de mise en place de ces dispositions en terme de délais, ni de moyens utilisés. Ce premier texte international en la matière s’est heurté à l’écueil constitué par le principe de territorialité des États qui ne veulent pas renoncer à leur liberté d’action et à leurs compétences nationales en matière de politique pénale. Ainsi, il reste intéressant de présenter l’évolution du droit positif français.

 

 

  1. La mise en place du réseau 24/7 et l’accès transfrontière à des données stockées

L’article 35 de la convention de Budapest impose à chaque État contractant de « désigner un point de contact joignable vingt-quatre heures sur vingt-quatre, sept jours sur sept » afin d’ « assurer une assistance immédiate pour des investigations concernant les infractions pénales liées à des systèmes et à des données informatiques ou pour recueillir les preuves sous forme électronique d’une infraction pénale ».  Dans cette optique, la France a désigné comme point de contact l’Office central de lutte contre la criminalité liée aux techniques de l’information et de la communication[47].

L’assistance ainsi prévue consiste notamment à apporter des conseils techniques, à conserver les données conformément aux articles 29 et 30, à recueillir des preuves, à localiser les suspects, à apporter des informations juridiques[48]. Bien entendu, les points de contact des divers États peuvent correspondre entre eux « selon une procédure accélérée »[49].

L’article 32 dans le chapitre « Coopération internationale » permet à chaque partie, « sans l’autorisation d’une autre Partie », d’accéder, d’une part, « à des données informatiques stockées accessibles au public, quelle que soit la localisation géographique de ces données », et, d’autre part, « à des données informatiques stockées situées dans un autre État, à condition d’obtenir le consentement légal et volontaire de la personne légalement autorisée à lui divulguer ces données au moyen d’ « un système informatique »[50].

 

 

  1. Les limites à l’effectivité de la coopération

La Convention du Conseil de l’Europe sur la cybercriminalité adoptée, à Budapest en 2001 a réalisé une avancée essentielle avec l’entraide judiciaire, le gel provisoire des données informatiques stockées dans les Etats-parties qui est opéré en urgence comme reposant sur des points de contact nationaux, disponibles 24h/24. Ces dispositions ont également été relayées par la Directive adoptée par l’Union européenne en juillet 2013 s’agissant des attaques contre les systèmes d’information.

Mais encore faut-il que cette entraide judiciaire soit effective. En effet, la coopération rencontre encore des difficultés, liées notamment à la lourdeur du processus d’abord, mais également à l’hétérogénéité des conditions de l’entraide.

 

 

  1. Difficultés dans le rapprochement des législations

La première initiative européenne a été le rapprochement des législations. Néanmoins, ce rapprochement souffre de difficultés. La plupart des sources directes de rapprochement adoptées au sein de l’Europe concernent le droit pénal matériel ; et, au sein de celui-ci, c’est surtout la définition de certaines infractions qui a fait l’objet d’attention tandis que les sanctions ont, pour leur part, été nettement moins harmonisées. Quant au droit pénal procédural, il a été largement négligé.

Le rapprochement et son développement sont pourtant nécessaires, non pas pour eux-mêmes, mais bien pour parvenir à réaliser les objectifs que les États membres de l’Union se sont fixés. Comme nous avons tenté de le démontrer ailleurs[51], le rapprochement se révèle en effet indispensable à la mise sur pied d’un véritable espace de liberté, de sécurité et de justice. C’est ce dont témoignent les « fonctions auxiliaires » de l’harmonisation, c’est-à-dire son rôle de soutien à la coopération judiciaire et aux acteurs européens et, d’autre part, ses fonctions autonomes, c’est-à-dire indépendantes de la coopération et des acteurs.

En ce qui concerne ses fonctions auxiliaires, le rapprochement des législations de droit pénal tant matériel que procédural est indispensable au bon fonctionnement des mécanismes de coopération. C’est vrai pour la coopération classique et améliorée, surtout si l’on songe au rapport entre rapprochement de la définition des infractions, d’une part, et exigence du double incrimination, d’autre part.

Mais c’est également et même davantage vrai pour le principe de la reconnaissance mutuelle. Certes, celui-ci a atténué l’exigence de la double incrimination mais, dès son lancement, il est apparu que la confiance réciproque en constituerait la véritable clé de voûte. Le rapprochement n’en a pris paradoxalement que plus d’importance.

Il est en effet nécessaire à la réalisation et à la légitimité de la confiance mutuelle que suppose la reconnaissance mutuelle. L’harmonisation a aussi un rôle essentiel à jouer en rapport avec les acteurs judiciaires mis sur pied : le réseau judiciaire européen, Eurojust ou les équipes communes d’enquêtes fonctionneront logiquement d’autant mieux que les droits pénaux matériels et procéduraux des États membres seront semblables. La compréhension, le climat de confiance et donc les contacts entre les personnes travaillant au sein de ces enceintes ou équipes seront naturellement plus aisés si les règles qu’ils connaissent sont proches.

Bien qu’il soit davantage encore controversé en cette matière, le rapprochement a aussi des fonctions autonomes à remplir. Il se révèle tout d’abord nécessaire à une lutte efficace contre la criminalité. La diversité des droits pénaux substantiels mais aussi procéduraux affecte en effet l’efficacité de la lutte contre la criminalité. La criminalité organisée sait tirer parti des divergences existantes et exploiter les systèmes identifiés comme les moins efficaces de sorte que ceux-ci font office de sanctuaire ou safe haven. Elle sait d’autant mieux les exploiter qu’elle a désormais à disposition des moyens techniques et informatiques qui lui permettent de choisir à distance, c’est-à-dire sans déplacement physique, le lieu de commission de certains types d’infractions.

À supposer même que les criminels ignorent cette hétérogénéité des droits procéduraux, ou qu’ils ne l’exploitent pas, elle leur profitera indirectement puisque la complexité du traitement de la criminalité transfrontalière qui en découle est de nature à freiner les enquêtes, poursuites, etc. Ainsi, tandis que la criminalité profite de la perméabilité croissante des frontières résultant de la mondialisation, qu’elle exploite les nouveaux moyens de communication et les nouvelles technologies afin de commettre des infractions et d’en blanchir le produit, les professionnels de la justice sont, quant à eux, bien souvent dépassés par les divergences qui les éloignent ou les opposent, ralentissent les procédures, etc. Par ailleurs, dans certains secteurs, le rapprochement des législations pénales s’avère également nécessaire au fonctionnement, voire à l’existence même de l’Union européenne.

Il est en effet certaines formes de criminalité qui sont directement dirigées contre ses intérêts : il s’agit de l’ « eurocriminalité » et, en particulier, des fraudes contre les intérêts financiers de l’Union. Le rapprochement a encore d’autres fonctions autonomes à remplir. Deux d’entre elles méritent tout particulièrement d’être mentionnées. Il s’agit, d’une part, de contribuer à l’engagement pris par l’Union de respecter et protéger les droits de l’homme et les libertés fondamentales.

Cette contribution implique d’améliorer la position des individus concernés par le procès pénal, y compris celle des inculpés ou des condamnés en approfondissant le rapprochement des procédures pénales, et notamment des garanties procédurales. Il s’agit, d’autre part, de donner plus de corps à la libre circulation des personnes et de bâtir un sentiment commun de justice.

Les actuelles divergences entre les droits internes des États membres et la complexité qui en découle mettent les justiciables européens dans l’embarras. Si les règles pénales sont déjà difficilement accessibles aux justiciables au plan national, cet accès est encore bien plus malaisé lorsqu’elles s’inscrivent dans le contexte d’un contentieux transfrontalier. Le justiciable européen ne peut pas connaître vingt-sept systèmes juridiques.

Tous les instruments adoptés sont en outre marqués par d’importantes limites, qui en affectent le contenu. Nombreuses sont en effet leurs dispositions qui laissent aux États membres une vaste marge de manœuvre. Bien souvent, les textes en question sont formulés de telle sorte que les États membres puissent conserver leurs dispositions nationales inchangées. C’est donc à raison que certains ont parlé d’ « harmonisation en trompe l’œil »[52]. Divers éléments expliquent les déséquilibres et limites.

D’une part, le rapprochement constitue le point de cristallisation des tensions quant à la conception du rôle de l’Union européenne dans le secteur pénal. Il s’agit de l’aspect plus sensible des efforts menés par l’Union pour bâtir un espace pénal européen. C’est dans ce secteur que les réticences des États sont les plus fortes : chacun considère en effet que son droit pénal est le meilleur qui soit et résiste quand il s’agit de le modifier. Ces résistances particulières se manifestent lorsqu’il s’agit de rapprocher les contours des incriminations, elles sont plus puissantes quand il s’agit des sanctions et s’intensifient encore quand les travaux touchent aux procédures.

D’autre part, le rapprochement est également entravé par l’état actuel du traité. À cet égard, outre les caractéristiques institutionnelles et décisionnelles du troisième pilier, la formulation plutôt étroite des dispositions du traité consacrées expressément au rapprochement, et principalement la lettre de l’article 31 e), n’est pas de nature à contribuer au développement de l’harmonisation des législations pénales. Elle constitue, au contraire, un excellent argument aux mains de ses opposants. La situation devrait s’améliorer si le traité de Lisbonne entre en vigueur. Les articles 82 et 83 TFUE confèrent en effet une base légale plus large et surtout plus claire aux travaux de rapprochement.

 

 

  1. La lourdeur du processus d’entraide

Cette lourdeur du processus fait en sorte que l’entraide n’ait lieu que pour les infractions de masse à faible préjudice. Chaque juridiction définit des seuils en fonction de son plan de charge et de ses priorités. Mais même lorsqu’il est décidé de recourir à l’entraide, la simple préparation de la demande et sa traduction nécessitent des délais parfois incompatibles avec le maintien à disposition des données gelées. Des difficultés organisationnelles peuvent également être relevées. En effet, le ministère public peine à spécialiser des magistrats à cet égard.

Bon nombre des Etats sont également incapable de fournir une réponse rapide et satisfaisante face aux demandes d’entraide pénale qui leur sont adressées. La raison en est  l’inflation générale des demandes d’entraide. Si ces difficultés ne sont pas surmontées, la lutte contre la cybercriminalité ne pourra avoir que des résultats très limités.

 

 

  1. L’hétérogénéité des conditions de l’entraide

Les conditions fixées à l’entraide, malgré l’incitation de la Convention précitée, ne prennent guère en compte les contraintes de la lutte contre la cybercriminalité, sauf pour certains types d’infractions qui font, en général, l’unanimité[53]. Ces contraintes sont s’accentuent davantage lorsque la demande concerne un Etat en dehors de l’Europe. En effet, le Bureau de l’entraide pénale internationale[54] a eu à traiter 136 dossiers depuis 2009, hors Europe et concernant les seules infractions qualifiées par la loi de cybercriminalité, concernant principalement les Etats unis.

Cette hétérogénéité se retrouve aussi dans la durée légale de conservation, extraordinairement. Cette dernière varie selon les Etats, quand bien même l’Europe aurait fixé par directive une durée minimale. Nombreux Etats, même européens refusent de fixer des durées de conservation quelles qu’elles soient. Toutes ces dissidences et cette hétérogénéité permet au cybercriminel d’échapper aux actions judiciaires.

 

 

  • 2 : Une réponse européenne inefficace

L’Europe continue à être la cible de cybercriminalité. Il en est ainsi en 2011 avec les attaques contre le marché européen du carbone. « L’Union européenne a un rôle important à jouer en matière de protection des systèmes d’information car une grande partie des normes relatives à ce domaine relèvent de ses compétences »[55].

Outre l’harmonisation initiée par le Conseil de l’Europe, l’Union européenne a également adopté des mesures en vue de réduire les effets de la cybercriminalité. En 2005, la commission européenne a élaborée la stratégie i2010 : « une société de l’information pour la croissance et l’emploi ». En 2010, la commission publie la communication « Une stratégie numérique pour l’Europe » qui rappelle les enjeux liés aux systèmes d’information et la nécessité d’une politique européenne de cybersécurité.

Malgré ces initiatives, la réponse européenne reste  insuffisante. En effet, la disparité de stratégies et de moyens entre les Etats membres en matière de capacités  militaires de cyberdéfense pourrait nécessiter un travail de concertation et une recherche de compromis. Avec une dizaine d’années d’existence des règlements, les éléments nécessaires à la protection ne sont pas encore mis en place. Ainsi, le CERT-EU en est encore au stade probatoire et la culture de cybersécurité reste peu répandue hors des services spécialisés.

 

 

  1. L’insuffisance des organismes européens

Six directions rattachées à la Commission européenne sont impliquées dans la lutte contre la cybercriminalité. Il en est ainsi de la DG INFSO[56] qui mène les travaux sur les enjeux de sécurité, de la DG Justice[57] et la DG Home[58] pour les affaires intérieures, de la DG ENTR[59] pour les entreprises et les industries, de la DG HR[60] pour les ressources humaines et de la DG JRC[61] pour le Centre commun de recherche. Complètent également les actions de la commission celles du Secrétariat général du Conseil et le Service Européen des Actions Extérieures[62] ainsi que le parlement.

D’autres organismes européens ont également été érigés afin de renforcer la sécurité de l’Europe, l’EDPS[63] qui constitue le Contrôleur européen des données personnelles et l’autorité indépendante en matière de protection des données, elle a été créée par la directive 2001/45. Mais il y a surtout l’ENISA et l’EUROPOL qui constituent les piliers de la cybersécurité européenne.

 

 

  1. La faiblesse de l’ENISA[64]

L’ENISA est une agence de régulation créée par la Commission en mars 2004 dans le but de développer à travers l’Europe la culture en sécurité des systèmes d’information pour une période de 5 ans. Elle a ensuite été prolongée jusqu’en septembre 2013 avec un mandat identique par décision du Parlement et du Conseil.

L’ENISA est dédiée la sécurité des systèmes d’information. Pour ce faire, l’agence conseille la Commission et les Etats membres dans tous les domaines relevant de la sécurité de l’information et des réseaux.  Son Conseil d’Administration est formé des représentants des Etats membres et de la Commission. Elle est étroitement impliquée dans la mise en œuvre des politiques communautaires en matière de cybersécurité et de cyberdéfense.

L’ENISA a une période d’action limitée à cinq ans initialement. Cette limitation démontre déjà l’insuffisance des actions entreprises ou projetées en Europe. Mais l’ENISA, outre cette période limitée, ne dispose également que d’un champ d’action limité à la recommandation du Conseil et de la Commission ou du Parlement. Une évaluation réalisée sur l’agence en 2007 a conclu à une insuffisance des activités de l’ENISA pour « atteindre le niveau élevé d’impact et de valeur ajouté espéré ».

 

 

  1. EUROPOL

Europol a été créé en 1992 par le Traité de l’Union pour traiter les renseignements relatifs aux activités criminelles en Europe. Si initialement il a été un bureau, Europol est aujourd’hui une agence européenne par décision du Conseil européen Justice et Affaires intérieures en avril 2009.

Une large partie des activités de l’agence est orientée vers la gestion et l’échange d’informations très sensibles relatives à toutes sortes de fraudes. Le département des capacités assure la disponibilité des moyens nécessaires en termes de communications sécurisées. Europol constitue depuis 2002 le principal pôle européen de lutte contre la cybercriminalité avec un centre dédié aux fonctions opérationnelles telles que le signalement en ligne des délits observés sur Internet.

 

 

  1. Un degré d’engagement différent selon les pays

 

 

  1. Un bon exemple des Pays bas

Certains Etats démontrent le déploiement de toutes leurs énergies afin de faire aboutir à une politique européenne de défense en matière de cybercriminalité. Tel est par exemple le cas des Pays bas qui contribuent activement aux efforts européens mais également de ceux de l’OTAN. Les Pays bas soutiennent le calendrier de l’Union Européenne pour la sécurité stratégique, mais également la politique de cyber défense de l’OTAN avec le forum sur la gouvernance Internet.

Les Pays bas militent pour une ratification généralisée de la convention de Budapest sur la cybercriminalité et mettent en œuvre une coopération effective dans le cadre de réponses opérationnelles entre membres du CERT et pour renforcer le IWWN[65].

 

 

  1. Une réactivité moindre d’une large partie des Etats européens

L’Allemagne ne fait pas preuve d’autant d’enthousiasme pour appuyer le développement d’une coopération. En effet, c’est le ministère fédéral de l’intérieur qui sert de relais dans les négociations européennes et internationales alors qu’il s’agit d’un dossier interministériel. L’Allemagne n’a pas tenu à transposer la directive européenne 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

La Commission européenne a été amenée à engager contre l’Allemagne une procédure en manquement devant la Cour de Justice de l’Union Européenne en 2012. Le cadre juridique allemand est plus restrictif que celui de la France ou des Pays bas. En tout cas, il sera moins  favorable à l’efficacité des enquêtes, générant de difficultés dans l’exécution des demandes d’entraide ou CRI émanant des autres juridictions.

Malgré la ratification de la convention sur la cybercriminalité en 2010, l’Espagne tarde également à prendre les mesures nécessaires afin d’aboutir à une coopération suffisante. En effet, L’article 16 de la convention, concernant la transmission à la justice des données informatiques ou téléphoniques par les opérateurs privés, n’as toujours pas fait l’objet de transposition dans la législation interne espagnole, ce qui rend une demande d’entraide difficile avec les autres Etats

Nombreux pays européens, bien qu’ayant adhéré à la convention du conseil de l’Europe sur la cybercriminalité, ne témoignent pas d’une forte enthousiasme, non seulement dans une politique d’harmonisation, mais surtout dans la coopération internationale. Nombreux sont les efforts qui restent à effectuer en Europe.

CHAPITRE II : AU NIVEAU INTERNATIONAL

 

 

Etats-Unis[66], ou encore le Royaume uni[67] ont fait depuis déjà plusieurs années de la cybersécurité une priorité nationale. Des dispositifs importants ont été mis en œuvre par ces Etats pour lutter contre les attaques informatiques. Mais la cybercriminalité a pour spécificité de s’affranchir des frontières. Tous les Etats sont concernés par la cybercriminalité. La gravité des dégâts causés par la cybercriminalité justifie la coopération des Etats.

L’adoption de la convention de Budapest et l’intérêt porté par cet instrument par des Etats non européens témoignent de la nécessité d’une coopération renforcée afin de combattre la cybercriminalité. Plusieurs organisations multilatérales ont également mis l’accent sur la sécurité des systèmes d’information, notamment l’OTAN dont les débats s’orientent davantage vers la cyberdéfense.

Si la Chine et la Russie défendent fermement la régulation des systèmes d’information, d’autres Etats plus libéraux comme  le Pays bas ou la Suède estime que le cyberespace est et doit rester avant tout un espace de liberté. En 2009, la Chine et la Russie ont proposé une résolution aux Nations-Unies afin d’adopter un code de conduite de sécurité de l’information. Cette initiative n’a pourtant pas abouti. En effet, la résolution des deux pays étaient davantage considérés comme une intrusion et une limitation de la liberté d’expression que d’une résolution de régulation.

Les Chefs d’Etat et de gouvernements, les responsables politiques, dénoncent tous le fléau de la cybercriminalité et proposent des actions concertées entre tous les Etats. Néanmoins, les mesures et les initiatives jusque-là adoptées sont très éparses et ne permettent pas de consolider une véritable coopération et une harmonisation des actions. Malgré une telle nécessité, les difficultés surgissent dans les dialogues. Les grandes puissances actuelles n’arrivent pas à trouver le consensus nécessaire pour asseoir une politique commune, un défaut de consensus (Section 2) gouverne les initiatives internationales (Section 1).

 

 

Section 1 : Les initiatives au niveau mondial

Plusieurs initiatives ont été déployées depuis les années 1980. Plusieurs résolutions ont ainsi été adoptées au niveau des nations unies et de l’UIT (§1). D’autres organisations comme l’OCDE ou l’OTAN ont également initié la règlementation des activités via internet et essayé de diminuer la cybercriminalité (§2).

 

 

  • 1 : Les initiatives sous l’égide de l’ONU

En 2001, la World Federation of Scientists avait évoqué l’idée d’un « ordre universel sur le cyberespace », relayée par la publication de l’Institut des Nations Unies pour la formation et la recherche. La World Federation of Scientists recommande qu’en raison de son caractère universel, les Nations Unies devraient diriger les activités intergouvernementales sur le fonctionnement et la protection du cyberespace.

La commission du désarmement et de la sécurité internationale de l’Assemblée générale des Nations Unies avait adopté plusieurs résolutions sur les technologies de l’information et la question de la sécurité. La difficulté à laquelle devait faire face l’organisation a été de trouver un consensus entre les Etats. Les Etats-Unis ont adopté des mesures, des stratégies de cyberattaques unilatérales, s’inscrivant en-dehors de tout cadre légitimant ces actions, des actions qui nuisent aux démarches des nations unies.

L’ONU a décidé de confier à l’UIT[68] l’ensemble des questions inhérentes à la gouvernance de l’Internet et surtout de la cybercriminalité et de la gestion des technologies de l’information et de la communication.  L’UIT a déjà organisé plusieurs sessions en 2003 et 2005 afin de définir un cadre international pour réglementer le cyberespace et a dans ce but formé une commission d’experts gouvernementaux depuis 2008.

En 2010, lors du Forum économique mondial de Davos, le Secrétaire général de l’UIT, Hamadou Touré suggère l’adoption d’un traité international sur la cybersécurité axé autour de  trois principes : la mise en place d’une politique de cyberdéfense par chaque Etat, l’interdiction d’abriter des cyberterroristes et le renoncement à toute action offensive contre un autre Etat[69]. Si la Chine et la Russie, ainsi que la majeure partie des pays en voie de développement ont adhéré à cette proposition, Les pays occidentaux ont été plus réticents. En effet, ces derniers ne reconnaissent pas à l’UIT un rôle que dans l’aide au développement de capacités nationales en matière de cybersécurité, notamment pour les pays en voie de développement.

L’ONU reste impuissante dans le domaine de la sécurisation cybernétique, Nicolas Arpagian, directeur scientifique du cycle « Sécurité Numérique » à l’Institut National des Hautes Etudes de la Sécurité et de la Justice[70], conclut que « l’ONU n’est pas un acteur de la cybersécurité à l’échelle mondiale »[71].

 

 

  1. Le sommet mondial de la société de l’information, SMSI

Le forum né du travail entre l’UIT et ONU a été appelé Sommet Mondial de la Société de l’Information et s’est déroulé en deux phases. La première phase s’est tenue à Genève du 10 au 12 décembre 2003 pour l’adoption d’une déclaration de principe et un plan d’action. La seconde qui s’est déroulée à Tunis en novembre 2005, visait à approfondir les thèmes liés au développement. Cette seconde phase permettait également une première évaluation des actions mises en œuvre depuis le Sommet de Genève.

Il ressort du SMSI de Genève qu’ « (…) Une culture globale de la cybersécurité doit être encouragée, développée et mise en oeuvre en coopération avec tous les partenaires et tous les organismes internationaux compétents(…) »[72], et qu’« (…) Il est nécessaire d’éviter que les ressources et les technologies de l’information soient utilisées à des fins criminelles ou terroristes, tout en respectant les droits de l’homme (…) »[73].

L’Agenda de Tunis issue du SMSI de 2005 insiste plus particulièrement sur la question de la cybersécurité à plusieurs reprises « (…)nous nous engageons à assurer la stabilité et la sécurité de l’Internet en tant que ressource mondiale et à garantir la nécessaire légitimité de sa gouvernance, sur la base de la participation pleine et entière de toutes les parties prenantes… »[74]. « (…) Nous cherchons à instaurer un climat de confiance et de sécurité pour l’utilisation des TIC. (…) Nous réaffirmons qu’une culture mondiale de la cybersécurité doit être encouragée, développée et mise en œuvre en collaboration avec toutes les parties prenantes comme défini par l’Assemblée générale des Nations Unies dans sa Résolution 57/239 (…) »[75].

« (…) Nous affirmons que les mesures prises pour garantir la stabilité et la sécurité de l’Internet et pour lutter contre la cybercriminalité et le spam doivent respecter la vie privée et la liberté d’expression (…) »[76]. « (…) Nous affirmons qu’il est nécessaire de trouver un terrain d’entente sur les questions se rapportant à la sécurité de l’Internet et d’accroître la coopération (…) »[77].

L’Agenda de Tunis a également proposé l’organisation d’un Forum sur la Gouvernance de l’Internet[78] afin d’aborder « (…) des questions de politique publique relatives aux principaux éléments de la gouvernance de l’Internet afin de contribuer à la viabilité, à la robustesse, à la sécurité, à la stabilité et au développement de l’Internet (…) »[79].

Le premier IGF a été organisé à Athènes du 30 octobre au 2 novembre 2006. Ont été abordées les questions de la sécurité, l’authentification et d’identification. Le besoin d’une coopération internationale pour une gouvernance plus efficace en matière de sécurité a été débattu lors de ce forum.

Le second IGF s’est déroulé en novembre 2007 à Rio de Janeiro et s’orientait vers l’aspect législatif de la problématique de la sécurité sur Internet. Il en ressortait que les législations nationales sont assez prévoyantes en matière d’infractions commises sur Internet mais elles ne doivent pas aller néanmoins jusqu’à une « hyper-réglementation »; l’importance d’une coopération internationale constituait une fois de plus un sujet capital et elle a été examinée lors de ce Forum sous l’angle des entraves rencontrées à son application.

Deux autres forums ont eu lieu du 3 au 6 décembre 2008 en Inde et du 15 au 18 novembre 2009 en Egypte. Le dernier forum qui s’est tenu en Egypte à Sharm el Sheik tentait d’obtenir un consensus sur la protection et la sécurité de l’enfant sur internet, la pénalisation de la vente en ligne de médicaments contrefaits ou encore à renforcer la protection et le respect des droits de l’homme et de la démocratie sur Internet.

 

 

  1. Les limites des SMSI

On peut noter des insuffisances importantes dans les travaux préparés par l’UIT. Une première insuffisance peut être relevée sur la valeur contraignante des déclarations et de l’ensemble des textes élaborés dans le cadre des SMSI. En effet, les déclarations issues des SMSI et des quatre IGF n’ont aucune valeur juridique contraignante. Ces textes n’ont qu’un impact limité, et ne disposent que d’une valeur politique et médiatique. Aucune sanction n’est prévue en cas de violation des principes dégagés par ces textes.

La Chine avait vivement critiquée cette absence de contraintes lors de du 4ème IGF se déroulant en Egypte et insistait sur la mise en place d’une organisation multilatérale de l’Internet sur le modèle de l’Organisation des Nations Unies. Soulignons également la position des Etats unis, aussi bien au sein des rares institutions « internationales » en matière de gouvernance de l’Internet, tel que l’ICANN[80], que dans la cadre des SMSI ou des forums mondiaux sur la gouvernance de l’Internet. En effet, ces derniers sont plus soucieux de défendre leurs propres intérêts que de trouver des solutions concrètes en matière de cybercriminalité.

Bien qu’ayant approuvé en 2001 la Convention et ses protocoles additionnels réglementant la cybercriminalité, les États-Unis se sont opposés le 15 novembre 2002 à un avenant condamnant les actes à motivation raciste et xénophobe, un protocole qui visait la diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques, ainsi que les menaces et l’insulte à motivation raciste et xénophobe, la négation, la minimisation grossière, l’approbation ou la justification du génocide ou des crimes contre l’humanité. Les Etats-Unis ont tout simplement refusé d’adhérer à ce protocole sous le prétexte de la violation de la liberté d’expression consacré par le 1er amendement de la Constitution américaine.

Nombreux sont encore les sites de groupes terroristes hébergés aux Etats-Unis. Mais protégés par le principe du « freedom of speech », ces sites sont néanmoins surveillés étroitement[81].

De nombreuses difficultés pèsent sur les acteurs de la gouvernance de l’Internet qui visent à mettre en place un véritable cadre international harmonisé de lutte contre la cybercriminalité. Il est en effet impossible d’imposer les mêmes critères permettant à tous les Etats « l’instauration d’un climat de confiance et de sécurité pour l’utilisation des TIC » contenue dans la déclaration du SMSI à Tunis en 2005. Une coopération entre pays développés et pays sous-développés est nécessaire en terme d’investissement en matière de formation, d’aides techniques, mise en place d’un réseau d’entraide entre autorités policières.

Des considérations géopolitique, sociologique, historique peuvent également avoir un impact sur la mise en place d’un véritable cadre harmonisé de lutte contre la cybercriminalité. On assiste par exemple à une réticence des Etats africains à adopter des règles, principes, programmes, qui sont considérés comme une nouvelle colonisation  sous la forme cybernétique imposée par les Etats occidentaux.

 

 

  • 2 : Les initiatives au sein de l’OTAN

L’OCDE avait déjà, dès 1992, mis en garde contre les cyberattaques pouvant mettre en péril les systèmes d’information. L’OSCE[82] a formé un comité cybersécurité afin de travailler à la sécurisation du cyberespace même si l’initiative s’apparente davantage à un forum d’échange entre Etats plus qu’un groupe professionnel.

La convention de Budapest adoptée le 23 novembre 2001 est le premier traité international définissant la cybercriminalité et porte sur les crimes touchant aux droits d’auteurs, à la fraude, à la pédopornographie et à la sécurité des réseaux. La convention a été ratifiée par 35 pays membre de l’UE et par les Etats unis.  La Russie et la Chine n’ont pas entendu adhérer à cet instrument.

En 2011, le G8 a inscrit pour la première fois la question d’Internet à l’ordre du jour de son sommet. Les discussions portaient notamment sur l’impact d’Internet sur la croissance économique et sur les droits de l’homme dans le contexte des printemps arabes. La déclaration issue du sommet de Deauville a rappelé l’importance de l’ouverture et de la transparence pour un Internet libre mais aussi la nécessité de règles pour encadrer le cyberespace et éviter les dérives menaçant la vie privée et la propriété intellectuelle. La vigilance et la coopération internationale ont été jugées essentielles pour faire face à la cybercriminalité. Malgré l’affirmation de cette volonté, aucune disposition n’en ressortira.

La question de la cybersécurité a également été traitée dès 2002 par l’OTAN dans la déclaration finale du sommet de Prague qui appelle l’organisation à renforcer ses défenses contre les cyberattaques.

 

 

  1. La cybersécurité au sein de l’OTAN

L’OTAN dispose d’une structure spécifique : le centre technique de la capacité OTAN de réaction aux incidents informatiques[83]. Le centre NCIRC s’occupe de l’ensemble des systèmes d’information de l’OTAN en centralisant la gestion des cyberattaques à l’encontre de l’OTAN.

Depuis 2007, l’OTAN a pris conscience de la nécessité de renforcer la lutte contre la cyberciminalité et de préparer la défense de ses membres contre toute cyberattaque. En avril 2008, l’OTAN s’est doté d’une protection des systèmes d’information et a également créé un centre d’excellence sur la cyberdéfense, situé à Tallinn en Estonie, et une autorité de contrôle de la cyberdéfense[84]. C’est la CDMA qui organise la défense et gère les crises cyber tandis que le centre d’excellence  prépare les travaux portant sur les enjeux et les perspectives des attaques informatiques.

Le sommet de Lisbonne de novembre 2010[85] a mis en place un nouveau concept stratégique en déclarant la cyberdéfense comme nouvelle mission de l’OTAN et qui a permis l’adoption d’une politique spécifique de l’OTAN en matière de cybersécurité ainsi qu’un plan d’action pour faire face aux attaques informatiques afin de renforcer la sécurité des systèmes d’information de l’OTAN.

La politique de cybersécurité de l’OTAN est une politique globale et prévoit la protection des réseaux informatiques en détectant en amont les menaces de cyberattaques et de limitation des effets des attaques informatiques. Une formation, des tests de vulnérabilité et des exercices communs sont également organisés afin de renforcer les capacités de réponse. L’OTAN se fixe pour objectif de porter assistance à l’un de ses membres en cas d’attaque informatique par la répartition des compétences entre l’OTAN et les Etats membres. Ces initiatives permettent une coordination des politiques de cybersécurité.

 

 

  1. Les insuffisances des actions de l’OTAN

En avril 2010, plusieurs attaques attribuées au groupe Anonymous ont visé l’OTAN, piratant par tant l’ordinateur personnel du Secrétaire général de l’OTAN. Cette attaque au sein même de l’organisation démontre les failles du système. L’organisation de la cyberdéfense n’est pas encore opérationnelle de manière permanente ni de manière intégrale, un objectif de couverture intégrale et permanente qui a été rappelé lors du sommet de Chicago de mai 2012. On estime que cet objectif ne pourra être réalisé que dans quelques années.

L’article 5 du traité de Washington, à l’origine de l’OTAN, prévoit une clause de défense mutuelle. La question est de savoir si une attaque informatique correspond à la définition de « l’attaque armée ». Dans le cas d’une réponse affirmative, quelles mesures peuvent être adoptées. En effet, conviendrait-il de répondre par des mesures militaires ? Aucun élément de réponse ne peut pourtant être apporté pour l’heure.

L’OTAN est également appelée à coopérer avec d’autres instances internationales, notamment l’Union européenne, mais également avec les gouvernements. En 2011, un accord coopération et de coordination technique a pu être signé entre l’Organisation et la France pour les échanges d’informations. L’accord prévoit également une assistance en cas de crise, ou encore des tests de résilience des systèmes d’information. Cette forme de coopération n’est pourtant pas parfaite. En effet, pendant longtemps, la France avait une activité très limitée dans la cybersécurité de l’organisation. Une telle absence nuit à une politique commune pour faire face activement et efficacement aux cyberattaques.

 

 

Section 2 : Le défaut de consensus, frein à la coopération internationale

Plusieurs initiatives ont pu être proposées et adoptées. Mais ces initiatives sont dans une large mesure des initiatives unilatérales. Les Etats unis, principaux victimes des attaques informatiques, ont orienté leur politique vers la lutte contre la cybercriminalité. Le pentagone avait publié en 2011 la stratégie « Cyber 3.0 »  afin de renforcer les mesures traditionnelles de protection du réseau. Plusieurs agences et départements ont été créés par le gouvernement pour déclarer la guerre à la cybercriminalité.

Tout comme les Etats unis, d’autres grandes puissances comme le Royaume uni et l’Allemagne, ont également une politique nationale de lutte contre la cybercriminalité. L’aspect national de ces politiques ne permet pourtant pas de combattre efficacement le phénomène, l’aspect transfrontalier des crimes informatiques nécessite le déploiement d’actions communes des Etats, des initiatives au niveau mondial mais il existe de nombreuses divergences dans la politique de lutte contre la cyberciminalité (§2). Les politiques nationales de lutte sont également très diverses (§1), ce qui peut limiter la coopération.

 

 

  • 1 : La diversité des politiques nationales

Tous les Etats ont déjà pris conscience du danger que représentent certaines activités sur internet et de la nécessité d’un encadrement de ces dernières. Mais les Etats disposent chacun de politiques propres et qui ne sont pas toujours propices à une coopération à l’échelle mondiale.

 

 

  1. Des politiques américaines et chinoises plus agressives

Les Etats unis disposent de tous les moyens humains et matériels nécessaires afin de contrôler les activités sur internet. La Chine quant à elle est une fervente partisane d’un contrôle restreint d’internet.

 

 

  1. Une politique américaine offensive

C’est en 1998 que commence la politique cybernétique américaine avec la signature d’un décret, par le Président Bill Clinton qui prévoit « la protection des infrastructures de base des Etats-Unis »[86]. Le National Infrastructure Protection Centre (NIPC) a ainsi été créée pour mener les activités de lutte contre la cybercriminalité.

Ce seront ensuite les attentats du 11 septembre 2001 qui vont obliger les différentes parties de l’administration américaine à collaborer afin d’unifier les efforts dans cette lutte avec la naissance du département de la Sécurité intérieure.

Un état-major spécial pour la défense numérique va par la suite être créé, et fédérer tous les services de l’armée liées à la cybersécurité. Cette organisation a été constituée en 2010 grâce à l’impulsion du Président Obama qui accorde une importance particulière à la cybersécurité. « la menace cybernétique est l’un des plus importants défis auxquels doivent faire face les Etats-Unis, en matière économique et au regard de la sécurité nationale » et que « la prospérité de l’Amérique au XXIe siècle passera par la cybersécurité »[87].

La sécurité numérique obtiendra un investissement considérable. En 2011, le Pentagone a reçu 105 millions de dollars supplémentaires par rapport au budget de l’année précédente pour renforcer la politique de cybersécurité. En 2013, le budget de la cybersécurité dépassera les 10 milliards de dollars. Pourtant, malgré ces investissements, la politique américaine de cybersécurité nécessite une meilleure coordination entre les départements de la défense et de la sécurité intérieure ou encore entre les agences de l’Etat et le secteur privé.

Les autorités américaines prévoient régulièrement des simulations d’attaques et révèlent publiquement les attaques dont elles sont victimes, une mesure de publicité qui vise à sensibiliser sur le danger permanent des cyberattaques. L’administration américaine mise ainsi sur une réactivité des acteurs gouvernementaux pour prévenir et faire face à la cybercriminalité.

 

 

  1. Une politique chinoise introvertie

Les systèmes d’information sont sous la surveillance du ministère de la Sécurité d’Etat chinoise, le Gonganbu. La politique cybernétique chinoise est sous l’égide du 3e département de l’armée populaire de Chine qui est dotée d’un centre de recherche, l’Information Engineering University de Zhengzhou. L’EUZ produit des logiciels de cyberguerre pour l’armée.

La politique chinoise de cybersécurité se caractérise par une « très forte imbrication public-privé »[88]. Huawei, l’entreprise chinoise de télécommunication qui a été créé en 1988 par un ancien officier de l’APL, Ren Zhengfei, compte parmi ses dirigeants de nombreux anciens des services de sécurité chinois. Le quartier-général des communications du gouvernement[89] avait même désigné l’entreprise chinoise comme une menace pour la sécurité informatique du Royaume-Uni lorsque l’entreprise chinoise était chargée de mener une opération de modernisation du réseau Internet de British Telecom.

Le réseau est contrôlé en Chine par deux sociétés, le China Netcom au Nord et le China Telecom au Sud qui appliquent un filtrage dit du « Bouclier d’or » depuis 2000. Ce programme filtre les sites et les messages électroniques à partir d’une liste de termes suspects.

 

 

  1. Une politique européenne modérée

La Chine a prévu une politique de contrôle quasi totale des activités sur internet. Les Etats unis ont également adopté plusieurs mesures, militaires, pour faire face à la cybercriminalité. Les politiques des Etats européens sont moins agressifs.

 

 

  1. La politique de cybersécurité en Allemagne

Le gouvernement allemand a fondé en 1991 l’Office fédéral de la sécurité des technologies de l’information[90] qui sera depuis une loi du 20 août 2009 rattaché au Ministère de l’Intérieur.  L’Office emploie actuellement 560 personnes avec un budget annuel de 80 millions d’euros.

Le BSI n’ayant pas l’autorité interministérielle, il est appelé à coopérer avec les Länder pour remplir ses fonctions. L’office entretient également de bonnes relations avec les entreprises des secteurs stratégiques afin d’obtenir de meilleures collaboration de la part de ces dernières, ce qui en fait le point fort de la politique allemande de cybersécurité.

En 2010, les attaques informatiques ont généré un déficit de 61,5 millions d’euros à l’économie allemande, une augmentation inquiétante qui a conduit le gouvernement allemand à adopter une nouvelle stratégie en matière de cybersécurité.  En 2011, une nouvelle politique vise à renforcer les capacités de défense avec la création d’un centre national de lutte contre la cybermenace[91]. Ce dernier coordonne les mesures de défense et de protection contre les cyberattaques, sous la direction du BSI, avec l’aide de  l’office de  protection de la Constitution, de  l’office fédéral pour la protection des populations et l’assistance en cas de catastrophe.

Le centre national évalue la nature et l’origine des attaques mais c’est le BSI qui reste le maître d’œuvre de la politique de cybersécurité. En effet, ce dernier dispose des compétences techniques pour apporter des réponses efficaces attaques. Des activités de recherche et développement sont menées au sein du BSI afin de fournir des logiciels de protection afin de surveiller de façon continue les flux de données des ordinateurs de l’administration fédérale et d’agir promptement contre les menaces d’attaques. Le système de filtrage adopté a priori ne touche que les ordinateurs de l’administration et nullement les ordinateurs de particuliers.

La nouvelle politique de cybersécurité allemande a également fondé un Conseil national de sécurité cybernétique[92], une plateforme qui rassemble des représentants de la Chancellerie fédérale, des ministères[93], des Länder et des entreprises privées afin de définir les politiques à adopter en matière de cybersécurité qui met l’accent sur la coopération entre les différentes instances administratives et les acteurs économiques.

Les services allemands disposent du plan « Kritis »[94] adopté en 2007qui prévoit une déclaration obligatoire au BSI en cas d’attaque informatique, des contacts réguliers entre les entreprises d’un secteur stratégique et le BSI et une surveillance accrue du BSI sur les secteurs stratégiques. Une infrastructure de communication entre administrations fédérales[95] permet de proposer des services unifiés à toute l’administration fédérale et fournit une aide précieuse pour le contrôle du BSI.

 

 

  1. Une politique française lacunaire

Selon le rapport du Sénat, « la situation de la France au regard de la menace provenant des attaques informatiques reste encore insatisfaisante »[96]. Cette lacune s’explique principalement par un manque de moyens et d’effectifs pour atteindre les objectifs fixés. En effet, même si l’effectif est passé de 120 en 2009 à 250 en 2012, cela reste nettement inférieur aux effectifs anglais et allemands qui disposent entre 500 et 700 personnes.

Le budget français réservé à la cybercriminalité reste également insuffisant. Il est passé de 45 millions d’euros en 2009 à 75 millions d’euros en 2012, loin de l’objectif des 90 millions d’euros. Ces lacunes rendent difficile le travail d’information, de conseil et de lutte contre les cyberattaques et conduit notamment l’ANSSI à restreindre  ses actions.

L’ANSSI ne bénéficie pas non plus de l’autorité nécessaire pour assurer l’application uniforme au sein des administrations des règles inhérentes à la sécurité des systèmes d’information. En effet, certaines branches de l’administration ne sécurisent pas leurs systèmes d’information, estimant que ce n’est pas une priorité et qu’un projet de renforcement serait une « contrainte inutile et coûteuse »[97]. Les moyens mis en œuvre par l’administration sont tout simplement insuffisants pour faire prévenir et freiner les attaques informatiques.

 

 

  • 2 : Les divergences dans la politique internationale de lutte contre la cybercriminalité

La Chine et la Russie ont toujours tenté de limiter la portée des moyens de communication jusqu’à internet. Leur politique s’oriente naturellement vers une forte régulation afin d’endiguer la cybercriminalité. Les pays occidentaux considèrent cette position d’atteinte à la liberté d’expression, même s’ils sont conscients des conséquences d’un espace d’excès de liberté que constitue le cyberespace.

Il existe dès lors une réelle opposition entre les acteurs internationaux. Cette divergence ne s’oriente pas seulement envers les républiques populaires. En effet, une divergence est également perceptible, même entre les pays occidentaux. Des mesures prises par les Etats unis sont souvent considérés comme des initiatives unilatérales qui heurtent les principes du droit international et qui sortent de tout cadre juridique.

Un manque de confiance, une priorité à la souveraineté nationale, ce sont les principales sources de ces divergences qui empêchent l’aboutissement concret d’une coopération internationale.

 

 

  1. Le manque de confiance entre les Etats

Un manque de confiance est facilement perceptible entre les acteurs internationaux. Certains Etats considèrent d’ailleurs internet comme un moyen d’imposer l’impérialisme occidental, et surtout américain. « Internet appartient au monde anglo-saxon »[98] et une « extension virtuelle des Etats unis ». Comment ainsi établir un dialogue avec une telle vision de départ ?

 

 

  1. L’empreinte occidentale d’internet

Malgré un rééquilibrage amorcé à la suite des sommets mondiaux sur la société de l’information (SMSI), il n’en demeure pas moins que l’influence occidentale en général, et celle des États-Unis en particulier, reste prédominante sur le fonctionnement du Réseau. D’abord pour des raisons techniques et historiques, puisqu’il a été inventé en 1969 par des informaticiens américains, dans le cadre d’un programme militaire de défense[99]. Ces derniers lui ont donné un format, une configuration, des appellations[100], un mode de gestion nécessairement imprégnés de la culture anglo-saxonne, jusqu’à imposer l’alphabet latin pour la rédaction des noms de domaine[101], ou à éliminer les accents, mal gérés par des serveurs largement anglophones.

Malgré la montée des revendications concernant l’installation d’une « gouvernance mondiale de l’Internet », la gestion du Réseau reste encore largement centralisée, au bénéfice des États-Unis. C’est ainsi que, comme l’observent MM. Benhamou et Sorbier, ses concepteurs l’ont longtemps fait dépendre de treize « serveurs-racines » qui alimentent les milliers de serveurs-relais à travers le monde, dont dix situés aux États-Unis et deux en Europe[102].

C’est ainsi également que la gestion, hautement stratégique, du système de gestion des noms de domaines qui conditionne l’accessibilité des ressources en ligne et permet le développement du Réseau, reste largement aux mains de l’ICANN, organisme de droit californien placé sous la responsabilité du département du commerce américain[103].

À l’expiration de la convention liant l’ICANN au gouvernement américain, en 2009, un appel d’offres avait été passé par la NTIA pour ouvrir le système de gestion à d’autres acteurs. Mais les termes du marché ont eu pour objet et pour effet de dissuader les concurrents de l’ICANN, finalement reconduite dans ses fonctions[104], permettant aux États-Unis de rester maîtres de la « racine » d’Internet, de contrôler ses extensions et ou de suspendre certains noms de domaines[105].

Quant aux autres organes de régulation, ils restent souvent dominés par les puissances occidentales, comme c’est le cas du W3C[106], sous autorité américaine, européenne et japonaise. Aux aspects techniques et politiques s’ajoute le poids de holdings américaines qui incarnent les valeurs d’un capitalisme triomphant et pèsent sur le développement d’un Réseau qui porte la croissance économique américaine, entretenant son rattachement au monde anglo-saxon.

Enfin, en 2013, les révélations de l’informaticien Edward Snowden ont permis d’entrevoir que le Réseau serait également, grâce aux ramifications précédemment rappelées, instrumentalisé par les agences de renseignement américaines dans le cadre de la lutte contre le terrorisme et la criminalité, mais également à des fins de stratégies diplomatiques et de guerre économique[107].

Une telle influence occidentale dans le monde cybernétique est de nature à limiter la confiance mutuelle des Etats. Toute mesure risque d’être perçue comme une tentative de contrôle des Etats occidentaux, et plus spécifiquement des Etats unis. On estime en effet que ces mesures favorisent davantage les intérêts américains, plus qu’une régulation mondiale de l’internet.

 

 

  1. La résistance à toute régulation sous la forme occidentale

Sur le plan constitutionnel, dans la mesure où cette technologie se trouve également instrumentalisée par les partisans d’un « constitutionnalisme global »[108] fondé sur l’universalisation des modes d’organisation des collectivités humaines, elle suscite la méfiance voire l’hostilité de certains États. Se prévalant du principe d’autonomie constitutionnelle, ces derniers revendiquent la licéité et la légitimité de leur résistance aux influences du Réseau en matière politique et constitutionnelle, rappelant qu’il n’y a pas, sur le plan international, de « consensus sur le contenu de la notion de démocratie et encore moins sur sa conception occidentale »[109].

Est ainsi mise en cause l’universalité des principes de l’État de droit, du libéralisme politique et des principes de gouvernement inventés en Grèce et diffusés en Amérique du Nord et en Europe, promus comme la seule forme légitime d’organisation du pouvoir. Ces réticences rejoignent celles, bien connues, qui touchent à l’universalisation de la conception occidentale des droits de l’homme et du citoyen, au nom d’un relativisme culturel qui postule le respect des différences culturelles, la prise en compte du pluralisme des civilisations et des systèmes juridiques, doctrines dont on connaît aussi les limites et les dangers[110].

Les mêmes principes qui sont valorisés sur le net, après avoir été consacrés au sein du Conseil de l’Europe, de l’ONU et des principales organisations internationales, sous l’influence des puissances occidentales qui travaillent activement à exporter dans les pays en développement un mode de développement démocratique inspiré d’une culture et d’une histoire qui, pour leur être largement commune, leur reste propre[111].

Or ce sont les mêmes États occidentaux, derrière les États-Unis, qui sont à l’origine du développement du réseau Internet, ce qui en fait un véhicule particulièrement adapté à la promotion d’une « théorie générale du droit constitutionnel » dont l’universalisation programmée est parfois perçue comme une nouvelle forme d’impérialisme. Internet contribuerait ainsi au mouvement de standardisation à l’œuvre, fondé « sur la réappropriation par l’idéologie mondiale des canons du droit constitutionnel initiés par l’occident » dans un contexte où les instances internationales tendent à « faire du libéralisme transnational et si possible du capitalisme libéral démocratique le seul modèle de développement futur »[112].

Cette forme de résistance face à toute forme de régulation occidentale est de nature à agrandir l’écart entre les acteurs internationaux, empêchant la contribution à une harmonisation, et par tant à toute coopération entre eux.

 

 

  1. L’affrontement des puissances

Internet est également devenu un terrain d’affrontement entre les grandes puissances. De nombreux bras de fer peuvent être perçus dans le monde virtuel, empêchant naturellement le développement de toute coopération entre les Etats. Cette cyberguerre existe entre les Etats unis et la Chine, entre les Etats unis et la Russie, mais également entre les Etats unis et les pays européens.

Le New York Times, le Wall Street Journal et CNN, des quotidiens américains ont déclaré avoir été victimes d’une série de cyberattaques en désignant la Chine comme responsable principale. La cause de ces attaques auraient été notamment des révélations publiées sur la fortune du Premier ministre chinois. La société privée informatique Mandiant accuse la Chine d’être l’instigateur de ces attaques par le biais de hackers afin d’espionner les Etats-Unis. Selon ladite société, l’APT1  serait le second bureau du troisième département de l’état-major de l’armée de libération populaire, une unité dont l’objet serait l’intelligence économique et l’espionnage industriel afin d’atteindre les firmes stratégiques américaines.

Cette accusation a été réfutée par la Chine . Le Président américain Barack Obama a néanmoins pointé du doigt le gouvernement chinois d’être à l’origine d’attaques régulière contre les Etats unis, des attaques destinées à saisir les secrets technologiques des entreprises américaines. Toutefois, le Président américain a précisé qu’  « il y a une grande différence entre le fait qu’ils soient engagés dans de l’espionnage informatique ou des cyber-attaques et une vraie guerre » .

Cette accusation est mutuelle. En effet, de son côté, le gouvernement chinois accuse son homologue américain d’être l’instigateur d’attaques visant des sites gouvernementaux chinois, notamment celui du ministère de la Défense.

 

 

  1. La souveraineté des Etats

Le contrôle des ressources Internet représente un enjeu majeur pour la souveraineté des États, ce qui pousse certains d’entre eux à revendiquer un mode de gestion multilatéral permettant de rendre aux États leur souveraineté numérique ou tout au moins de confier les missions stratégiques de l’ICANN à une instance internationale, éventuellement placée sous l’égide de l’ONU.

Tel fut l’enjeu de la Conférence mondiale des télécommunications internationales tenue à Dubaï en décembre 2012, où les négociations entre 193 États et 800 entités du secteur privé portèrent, une nouvelle fois mais sans succès, sur l’installation d’un contrôle international d’Internet confié à l’Union internationale des télécommunications, et sur la reconnaissance du « droit souverain et égal de chaque État à réguler ses télécommunications »[113].

 

 

  1. La résistance à l’influence d’internet

Certains États, parmi les plus autoritaires, sont conduits à déclarer ouvertement la guerre au Réseau, au risque de se marginaliser et de figurer sur la liste des « ennemis d’Internet » réactualisée chaque année par « Reporters Sans Frontières »[114]. Plus nombreux sont les États qui ont entrepris, moins frontalement, d’en encadrer l’influence.

Divers moyens existent à cette fin, qu’ils soient d’ordre pratique, technique ou juridique. Sur le plan pratique d’abord, le ralentissement des opérations de câblage, ou l’augmentation du coût de l’équipement et de la facturation des abonnements peuvent constituer un moyen facile de limiter l’accès au Réseau dans les pays en voie de développement. Sur le plan technique ensuite, le contrôle d’un serveur national par lequel doivent transiter toutes les communications pour sortir sur le Réseau permet aux autorités étatiques d’en réguler l’utilisation.

Les moyens d’action, assumés publiquement ou non, sont bien connus : censure, indisponibilité de certains sites, ralentissement ou blocage de l’accès à certains contenus[115], contrôle sur les fournisseurs d’accès locaux, recours aux procédés de traçages des internautes, aux témoins de connexions et aux logiciels espions[116], décryptage des courriers électroniques comprenant certains mots-clefs susceptibles de déstabiliser le régime, de « heurter la moralité publique », ou de « corrompre les valeurs et traditions » de l’État concerné.

Le gouvernement thaïlandais a été épinglé en 2008 pour avoir bloqué l’accès à plus de 2 300 sites accusés d’offenser la monarchie ou de « menacer le bon ordre  ». La Turquie a été également auteur de telles mesures, dont la Haute instance de la télécommunication  a décidé, en 2011, de communiquer aux hébergeurs et fournisseurs d’accès une liste de 138 mots-clés censurés. Soucieux des risques de déstabilisation politique, le parti communiste Vietnamien contrôle également, directement ou indirectement la quinzaine de fournisseurs d’accès, qui pratiquent au besoin le blocage DNS afin de neutraliser l’accès à certains sites, tandis que « l’activisme politique » des blogueurs est sévèrement réprimé.

Sur le plan juridique, il est possible pour les Etats d’adapter la législation nationale pour permettre la répression d’abus et de faits dommageables commis sur Internet, lesquels peuvent être déférés aux tribunaux nationaux s’il est établi qu’ils ont été commis, ou ont produit un dommage, sur le territoire étatique, ce qui leur permet de poursuivre devant les juridictions nationales les fournisseurs d’accès, les hébergeurs de sites ou les utilisateurs eux-mêmes s’ils peuvent être identifiés.

C’est ainsi que loin d’être une zone de non droit, Internet se retrouve soumis aux feux croisés des législations nationales et des réglementations supranationales, fixant des limites à la liberté d’expression, protégeant la vie privée ou les droits d’auteurs, ou réglementant le commerce, la publicité ou les jeux en ligne.

C’est également par la voie législative que, parmi les États soucieux de préserver l’identité de leur système politique, social et culturel, le Venezuela a, en 2010, encadré l’usage d’internet afin d’y interdire tout contenu de nature à déstabiliser le système politique issu de la révolution bolivarienne[117].

La Russie a adopté, sur un fondement similaire, en 2012, une loi permettant aux autorités d’établir des « listes noires » de sites indésirables[118]. On remarque ici que de telles restrictions légales, donc décidées unilatéralement par les États, peuvent porter atteinte au principe de neutralité du Net. Or ce principe, essentiel, vise précisément à garantir l’égalité de traitement de tous les flux de données, la liberté et la rapidité d’accès de tout utilisateur à tous les contenus, services, applications et ressources disponibles, contre toute tentation des États de développer des techniques de gestion discriminatoire du trafic[119].

 

 

  1. La souveraineté numérique

Internet peut affaiblir les États qui perdent progressivement le contrôle, au profit de leurs peuples, reliés à la communauté internationale des internautes. Il en résulte un espace de liberté, où les conditions d’exercice de certains droits individuels et collectifs sont à la fois renouvelées et renforcées.

Garantissant la liberté d’information, de communication, d’expression[120], favorisant la liberté de réunion, de manifestation, ou le droit à l’instruction, contribuant à la promotion de valeurs universalistes, Internet est une chance pour les droits humains. Sa liberté est un acquis des peuples démocratiques[121].

Mais la liberté n’exclut pas un contrôle, actuellement organisé sous la forme mécanismes d’autorégulation, largement confiée au secteur privé et à la société civile (techniciens, usagers, réunis dans des groupes de travail souvent informels tels, par exemple, l’Internet Engineering Task Force, dans le cadre d’une « multilevel governance » et d’un multi partenariat[122] qui reposent largement sur des organismes encore insuffisamment ouverts.

Cette régulation apparaît nécessaire, de même que le principe d’une gouvernance de l’Internet, sans préjudice de la liberté qui demeure la règle. Ceci afin d’harmoniser les pratiques, accompagner les nouvelles extensions du Réseau, lutter contre la cybercriminalité, protéger la vie privée des citoyens, limiter la marchandisation des échanges et des données personnelles, réussir la transition vers « l’Internet des objets », valoriser le multilinguisme, lutter contre la désinformation et contre le spamming, assurer la sécurité des États, ou encore déjouer d’éventuelles tentatives de manipulation ou d’attaque dirigées contre des régimes démocratiques.

 

Ce sont en fait les caractéristiques de cette gouvernance qui, selon les cas, encouragent ou servent de prétexte aux États pour revendiquer la reprise de contrôle de leur « souveraineté numérique » : elle serait insuffisamment multilatérale, démocratique et transparente, et confierait la fonction de normalisation à des organismes ou à des groupes informels dont la légitimité et l’indépendance, ne sont pas suffisamment garantis.

L’adaptation et le rééquilibrage de ces modes de gouvernance ayant été plusieurs fois différés, il en résulte une problématique politique et diplomatique majeure, génératrice de tensions occasionnant d’improbables alliances de circonstances (Russie, Chine, Émirats arabes unis pour une régulation étatique d’Internet)[123].

Les phénomènes de résistance des États se multiplient, certains d’entre eux y trouvant même prétexte à la prise de mesures extrêmes allant jusqu’à menacer l’ouverture et l’unicité du Réseau, augmentant le risque de « partition du Web » ou de « ségrégation digitale »[124]. Dans le même temps, certaines puissances montantes, telles la Chine ou l’Inde, qui représentent à elles deux, en 2013, 675 millions d’internautes[125], préparent la contre-attaque en développant des logiciels dont la technologie pourrait bientôt égaler et concurrencer celle proposée et défendue par les techniciens américains et occidentaux.

Dans ce contexte, les conditions de la gouvernance de l’Internet apparaissent bien comme une des clefs de la pérennisation du Réseau contre le développement de résistances, voir contre le risque de sa « balkanisation ». L’attitude de nombreux États, qui met en péril l’universalité et la liberté du Réseau, perdrait en effet tout sens et légitimité en cas de rééquilibrage de la gouvernance d’Internet. Cette évolution a d’ailleurs été largement amorcée cette dernière décennie. Sa poursuite est désormais conditionnée par le sacrifice, demandé aux États-Unis, d’une renonciation au contrôle de la technologie Internet, prix à payer pour préserver son essence universaliste.

Il ne s’agit pas, cependant, d’en revenir à un multilatéralisme qui favoriserait, sur un mode intergouvernemental, la maîtrise du Réseau par les États. La gouvernance mondiale d’Internet pourrait en revanche être assurée par une organisation transnationale, fondée sur la coopération des États et leur adhésion consentie à des principes communs, mais aussi sur la participation renforcée de la société civile et du secteur privé. Le modèle multi-acteurs, privilégié depuis la naissance du Réseau, gage de son bon fonctionnement et de sa liberté, serait ainsi préservé, tandis que le poids des corporatismes, de la logique de marché et de la technique, difficilement mesurable dans le cadre de l’autorégulation, pourrait être limité grâce à des processus normatifs mieux définis et plus transparents.

L’idée n’est pas neuve : tel est bien, on le sait, l’objet des débats menés lors du Sommet mondial pour la société de l’information en 2003 puis en 2005, qui aura au moins permis d’élaborer une déclaration de principes concernant l’élaboration des règles, pratiques, normes, procédures et programmes relatifs à l’utilisation et au développement d’Internet.

Ces débats ont été prolongés récemment à l’occasion du 7e forum pour la gouvernance de l’Internet organisé sous l’égide des Nations unies, en coopération avec l’OSCE et l’UNESCO, à Bakou en novembre 2012. Ils ont également interféré dans la révision du règlement des télécommunications internationales lors du Sommet de l’Union internationale des télécommunications, tenu à Dubaï en décembre 2012, qui aurait dû permettre aux représentants des 193 États parties d’actualiser les principes généraux garantissant la libre circulation des informations dans le monde.

L’échec cuisant de ce sommet est justement résulté de l’incapacité des États à trouver un accord sur le rôle à donner aux États dans le fonctionnement du Web, face à l’offensive du camp des interventionnistes[126]. Ceux-ci, on le sait, contestent notamment la mainmise américaine sur la gestion de la racine des noms de domaine, et sont parvenus à inscrire dans la version révisée du RTI que « tous les gouvernements devraient avoir égalité de rôle et de responsabilité dans la gouvernance internationale de l’Internet »[127].

Mais la logique essentiellement intergouvernementale proposée par des États prompts à la censure ne peut qu’inquiéter, ce qui explique le refus de 55 de signer le texte final au nom de la défense de la liberté de l’Internet. À charge pour le prochain sommet de parvenir à un accord sur une nouvelle réglementation internationale des télécommunications… Dans cette perspective, si elle fait partie des « 55 nonistes », la France est appelée à clarifier sa position. La ministre de l’Économie numérique a d’ailleurs été interpellée sur le sens de ses déclarations et sur les propositions du gouvernement « en matière de gouvernance de l’Internet », et concernant « la façon dont il compte influencer ce débat au niveau international »[128].

La gouvernance d’Internet devient ainsi une question politique majeure, dont le traitement marquerait une première étape vers l’établissement d’une constitution de l’Internet : Les Nations unies, le Conseil de l’Europe, de même que diverses organisations non gouvernementales et associations travaillent activement à l’élaboration des principes fondamentaux qui pourraient être proposés aux États et aux autres parties concernées[129].

 

 

Conclusion du Titre I :

 

 

La Convention du Conseil de l’Europe sur la cybercriminalité reste jusqu’à ce jour le seul instrument juridique qui fédère le plus d’Etats. L’Union européenne, l’OTAN, l’OCDE ont également établi une stratégie de lutte contre la cybercriminalité. Les stratégies s’orientent surtout vers l’harmonisation des législations nationales en termes d’incriminations. Les sanctions ont, quant à elles, été un peu délaissé.

La dimension transnationale d’internet, et par tant de la cybercriminalité, nécessite la coopération de tous les acteurs, et notamment les Etats. Pourtant, c’est cette coopération nécessaire qui reste la plus difficile à établir. Les engagements des Etats ne sont pas les mêmes. En effet, si le Pays bas par exemple démontre son enthousiasme, d’autres Etats européens sont moins enclin à une collaboration étroite.

Cette lacune transparait, non seulement au niveau européen, mais également au niveau mondial. Si les travaux réalisés sous l’égide des nations unies démontrent l’importance d’une lutte à l’échelle internationale, force est de constater que la coopération reste très sommaire. La raison en est principalement un consensus difficile à établir entre les Etats. La vision même des Etats est de nature à freiner toute forme efficace de coopération.

Accentue également les difficultés les bras de fer qui continue de sévir entre les grandes puissances. Parallèlement à la cybersécurité, nous assistons à une cyberguerre, notamment entre les Etats unis et la Chine qui continuent à s’accuser mutuellement. Ces diverses positions démontrent le faussé qu’il existe entre la nécessité d’une coopération internationale et l’effectivité de celle-ci.

 

 

Bibliographie

 

  • « Internet et souveraineté, « La gouvernance de la société de l’information », Politique étrangère, 2006, p. 4.
  • Amirmokri, Islam et les droits de l’homme : l’islamisme, le droit international et le modernisme islamique, 2004, Presse université Laval
  • ARPAGIAN (N.), La cybersécurité, PUF, coll. Que sais-je?,  2010
  • Ba Mohammed (N.), « Internationalisation du droit constitutionnel et standards démocratiques », in L’internationalisation du droit constitutionnel, AIDC, Recueil des cours, vol. XVI,
  • Bensoussan (A), « Informatique, télécoms, internet», Éd. Fr. Lefebvre, 2è éd. 2001, nos 2511 et s
  • Chevallier-Govers (C.), « La Charia et le pluralisme juridique en Malaisie à l’épreuve de l’État et de l’état de droit », RDP, 2011
  • David (E.) Éléments de droit pénal international et européen : Bruxelles, Bruylant, 2009
  • Deloitte, Report on cybercrime in Canada, Canadian Association of Police Boards, 2008
  • Falque-Pierrotin (I.), Internet, enjeux juridiques, La documentation française, 1997.
  • Fellous (G.), Les droits de l’homme : Une universalité menacée, La Documentation française, 2010
  • Flore (D), Une justice pénale européenne après Amsterdam : JTDE 1999, p. 122 et 123
  • Huet, « Vers l’émergence d’un principe de légitimité démocratique en droit international », RTDH, 1er juin 2006, n° 67
  • Jaber (A), Les infractions commises sur Internet : L’Harmattan, 2009
  • Jacob (P.), « La gouvernance de l’Internet du point de vue du droit international public », AFDI, LVI, 2010, p. 547
  • Nocetti (J), « Internet, gouvernance et démocratie », Politique étrangère, vol. 76, no 4, 2011
  • De Schutter, « Universalité des Droits de l’Homme et mondialisation : la question des « valeurs asiatiques » », in Th. Marrès et Paul Servais (éd.), Droits humains et valeurs asiatiques. Un dialogue possible ?, Rencontre Orient-Occident, Academia-Bruylant, Louvain-la-Neuve, 2002
  • Pradel (J.), Corstens (G.) et Vermeulen (G.), Droit pénal européen : Dalloz, 3e éd. 2009, n° 239 s
  • Rapport du  Sénat, Jean-Marie BOCKEL, n° 681 (2011-2012) – 18 juillet 2012
  • Salmon (J.), « Vers l’adoption d’un principe de légitimité démocratique ? », À la recherche du nouvel ordre mondial (dir. O. Corten), ed. Complexe, 1993
  • Tchikaya (B.), Les infractions relatives aux télécom-munications, à l’information et à l’Internet, in Droit international pénal ss dir. Ascencio (H), Decaux et Pellet (A) : Pedone, 2e éd. 2012
  • Tim Wu, « Network Neutrality, Broadband Discrimination », Journal of Telecommunications and High Technology Law, vol. 2, 2003
  • Tusseau (G.), La science du droit dans la globalisation, Bruylant, 2012.

 

[1] www.itu.intl/wsis/index-fr.html

[2] UIT, l’agence spécialisée de l’ONU

[3] http://intgovforum.org/cms

[4] Allemagne, Canada, États-Unis, France, Italie, Japon, Royaume-Uni, Russie

[5] High Tech Crime Point of Contact Network

[6]www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/Documents/Points%20of%20Contact/24%208%20Communique_en.pdf

[7] Deloitte, Report on cybercrime in Canada, Canadian Association of Police Boards, 2008

[8] Id

[9] www.enisa.europa.eu

[10] 8 millions d’euros de budget annuel

[11] Projet final de Convention sur la cybercriminalité, préparé par le Comité P.C.-C.Y. et adopté par le Comité européen pour les problèmes criminels (C.D.P.C.), Version n° 28 révisée, texte disponible sur le site du Conseil de l’Europe : http://conventions.coe.int

[12] http://conventions.coe.int/Treaty/EN/Reports/Html/185.htm

[13] David (E.) Éléments de droit pénal international et européen : Bruxelles, Bruylant, 2009, p. 1432. – Jaber, (A.) Les infractions commises sur Internet, L’Harmattan, 2009. – Tchikaya (B.), Les infractions relatives aux télécom-munications, à l’information et à l’Internet, in Droit international pénal ss dir. Ascencio (H), Decaux et Pellet (A) : Pedone, 2e éd. 2012, p. 445

[14] Entrée en vigueur en France le 1er mai 2006 : Journal Officiel 24 Mai 2006 ; à la date du 30 mai 2014, elle liait trente-sept membres du Conseil ainsi que l’Australie, les États-Unis, le Japon, Maurice et la République dominicaine

[15] Entré en vigueur en France le 1er mai 2006 : Journal Officiel 27 Mai 2006 ; à la date du 30 mai 2014, il liait vingt États membres du Conseil

[16] Il y aurait eu, dans le monde, 550 000 000 de victimes d’« attaques » en 2011

[17] À la date du 30 mai 2014, elle liait trente-sept membres du Conseil ainsi que l’Australie, les États-Unis, le Japon, Maurice et la République dominicaine

[18] Entrée en vigueur en France le 1er mai 2006 : Journal Officiel 24 Mai 2006

[19] À la date du 30 mai 2014, il liait vingt États membres du Conseil

[20] Entré en vigueur en France le 1er mai 2006 : Journal Officiel 27 Mai 2006

[21]Distinction entre « Cybercriminalité, criminalité de la communication » et « Cybercriminalité, criminalité par la communication » , voir A. Jaber, Les infractions commises sur Internet : L’Harmattan, 2009

[22] Conv., art. 13-1, auquel renvoie l’article 8 du protocole

[23] Conv., art. 13-2, auquel renvoie l’article 8 du protocole

[24] Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique, J.O. du 6 janvier 1988, p. 231 (Gaz. Pal., Rec. 1988, légis. p. 74)

[25] Voir notamment Bensoussan (A), « Informatique, télécoms, internet», Éd. Fr. Lefebvre, 2è éd. 2001, nos 2511 et s

[26] Id, n°2512

[27] Directive 1999/93/C.E. du 13 décembre 1999 sur un cadre commun pour les signatures électroniques, J.O.C.E. (L.) 13 du 19 janvier 2000, p. 12.

[28] Décret n°2000-413 du 18 mai 2000 modifiant le Code de procédure pénale et relatif au fichier national automatisé des empreintes génétiques et au service central de préservation des prélèvements biologiques, J.O. du 19 mai 2000, p. 7544

[29] Convention de Budapest, Chapitre II, Section II, Titre 2, articles 16 et 17

[30] Id, Ch. II, Section II, Titre 4, article 18

[31] Conv. Ch. II, Section II, Titre 4, article 19

[32] Conv. Ch. II, Section II, Titre 5, articles 20 et 21

[33] (entre autres celle du 26 mai 1989 relative à la simplification et à la modernisation des modes de transmission des demandes d’extradition

[34] Conv. 10 mars 1995 : Journal Officiel des communautés européennes 30 Mars 1995 s.

[35] Conv. 27 sept. 1996 : Journal Officiel des communautés européennes 23 Octobre 1996 s.

[36] Action commune 98/427/JAI, 29 juin 1998 : Journal Officiel des communautés européennes 7 Juillet 1998 s.

[37] Conv. 29 mai 2000 : Journal Officiel des communautés européennes 12 Juillet 2000 s.

[38] Prot. 16 oct. 2001 : Journal Officiel des communautés européennes 21 Novembre 2001 s.

[39] Journal Officiel des communautés européennes 12 Juillet 2000

[40] L. n° 2005-287, 30 mars 2005 autorisant l’approbation de la convention relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne : Journal Officiel 31 Mars 2005

[41] L. 11 mai 2005 portant assen-timent à la convention de 2000 et à son protocole de 2001 : MB 22 juin 2005

[42] Journal Officiel de l’union européenne 29 Janvier 2004 s.

[43] Art. 10 de ladite convention

[44] Art. 11

[45] V. A. Weyembergh et S. de Biolley, The EU Mutual Legal Assistance convention of 2000 and the Interception of Telecommunications : European Journal of Law Reform 2006, vol. 8, n° 2/3, p. 285 s.

[46] Joint investigation team, il rassemble, pour une période limitée et dans un but bien défini, des enquêteurs de plusieurs États membres. Il s’agit donc d’une équipe « plurinationale » mise sur pied ponctuellement, pour effectuer des enquêtes pénales dans un ou plusieurs État membres qui créent l’équipe

[47] 11 rue des Saussaies, 75008 Paris

[48] Au niveau des services de police : Rapp. explicatif, n° 298, pour faire échec à une attaque : Rapp. explicatif, n° 300, sur « les conditions juridiques préalables à l’octroi d’une coopération informelle ou officielle » : Rapp. explicatif, n° 299

[49] V. aussi, au niveau de l’Union européenne, le Centre européen de lutte contre la cybercriminalité, qui siège à La Haye dans les locaux de l’Office européen de police : Dr. pén. 2013, alerte 11 ; Le Monde, Géo et politique, 24-25 févr. 2013

[50] Cass. crim., 6 nov. 2013, n° 12-87.130 : Bull. crim. 2013, n° 217, l’arrêt qu’« ait été recueillie la preuve du stockage des données sur le territoire de cet autre État » ; voir également Pradel (J.), Corstens (G.) et Vermeulen (G.), Droit pénal européen : Dalloz, 3e éd. 2009, n° 239 s

[51] Weyembergh (A.), L’harmonisation des législations : conditions de l’espace pénal européen et révélateur de ses tensions : Bruxelles, éd. de l’Université de Bruxelles, 2004

[52] D. Flore, Une justice pénale européenne après Amsterdam : JTDE 1999, p. 122 et 123

[53] Il en est ainsi de la pédopornographie, le terrorisme ou la protection des droits d’auteur

[54] B.E.P.I., Direction des affaires criminelles et des grâces, ministère de la Justice

[55] Rapport du  Sénat, Jean-Marie BOCKEL, n° 681 (2011-2012) – 18 juillet 2012, p.62

[56] http://ec.europa.eu/dgs/information_society/directory/pdf/organi_en.pdf

[57] http://ec.europa.eu/justice/about/files/organisation_chart_en.pdf

[58] http://ec.europa.eu/dgs/home-affairs/chart/docs/organigramme_fr.pdf

[59] http://ec.europa.eu/enterprise/dg/files/org_chart_fr.pdf

[60] http://ec.europa.eu/dgs/human-resources/documents/hr_chart_fr.pdf

[61] http://ec.europa.eu/dgs/jrc/downloads/jrc_orga_fr.pdf

[62] http://www.libertysecurity.org/IMG/pdf/EU_Commission_Organizational_Chart_DG_External_Relations.pdf

[63]http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/DataProt/Legislation/Reg_45-2001_FR.pdf

[64] European Network and Information Security Agency installée à Heraklion, en Crète

[65] International watch and Warning network

[66] Le Président Barack Obama s’est fortement investi la cybersécurité et en a fait l’une des priorités de son mandat. Dans son discours du 29 mai 2009,. « Remarks by the President on securing our nation’s cyberinfrastructure », il déclare que « la menace cybernétique est l’un des plus importants défis auxquels doivent faire face les Etats-Unis, en matière économique et au regard de la sécurité nationale » et que « la prospérité de l’Amérique au XXIe siècle dépendra de la cybersécurité »

[67] L’ancien ministre de la défense M. Liam Fox a déclaré en juin 2011 : « Une bataille incessante est menée contre nous, jour après jour », « nos systèmes sont pris pour cible par des criminels, des services de renseignement étrangers et d’autres personnes malveillantes qui veulent espionner notre personnel, endommager notre système et voler des informations ». « Il n’y a pas de ligne Maginot dans le cyberespace. Notre propriété intellectuelle nationale dans le secteur des industries de défense et de sécurité est à la merci de pillage systématique », Departement of Defense, mai 2012, BBC News du 08/05/2012, AFP du 18/05/2012

[68] Union Internationale de Télécommunications

[69] ARPAGIAN (N.), La cybersécurité, PUF, coll. Que sais-je?,  2010, p. 23

[70] INHESJ

[71] .ARPAGIAN, La cybersécurité, PUF, coll. Que sais-je?,  2010, p. 81

[72] Déclaration issue du SMSI de Genève, art 35

[73] Id, art 36

[74] Agenda deTunis issue du SMSI de 2005, art.31

[75] Id, art.35

[76] Id, art.42

[77] Id, art.45

[78] Internet Government Forum -IGF

[79] Agenda deTunis, art.72

[80] L’Internet Corporation for Assigned Names and Numbers (ICANN) est un organisme privé à but non lucratif créé en 1998, relevant du droit californien et dirigé par un directoire de 21 membres.

[81] C’est le cas par exemple de sites soutenus par le Hamas ou des FARC

[82] Organization for Security and Cooperation in Europe

[83] Nato computer incident response capability ou NCIRC

[84] Cyber Defense Management Authority – CDMA

[85] http://www.ssi.gouv.fr/fr/ssi/la-ssi-dans-le-monde/organisation-du-traite-de-l-atlantique-nord-otan/

[86] .Nicolas ARPAGIAN, La cybersécurité, PUF, coll. Que sais-je?,  2010, p. 110

[87] Id, p.5

[88] Id, p.115

[89] Governement Communications Headquarters (GCHQ), le service de renseignements électronique du gouvernement britannique

[90] Le Bundesamt für Sicherheit in der Informationstechnik (BSI)

[91] Le Cyber Abwehrzentrum

[92] Le Cybersicherheitsrat

[93] Notamment les ministères des Affaires étrangères, Défense, Intérieur, Justice, Economie et Finances

[94] Le plan a été créé afin d’assurer la protection des secteurs stratégiques (transports, énergie, télécommunications, banques et assurances, eau, les matières dangereuses)

[95] L’Informationverbund Berlin Bonn -IVBB

[96] Rapport du  Sénat, Jean-Marie BOCKEL, n° 681 (2011-2012) – 18 juillet 2012, p.82

[97] Id, p.84

[98] Falque-Pierrotin (I.), Internet, enjeux juridiques, La documentation française, 1997, p. 93.

[99] Réseau Arpanet

[100] Hypertext Transfer Protocol » (HTTP) pour assurer la liaison de l’utilisateur au serveur, ou à l’HyperText Markup Language (HTML) concernant la structuration du contenu des pages

[101] Cette Exclusivité a été cependant levée récemment par décision de l’ICANN en octobre 2009, permettant théoriquement l’enregistrement d’adresses rédigées en caractères chinois, japonais, arabes ou cyrilliques

[102] « Internet et souveraineté, La gouvernance de la société de l’information », Politique étrangère, 2006, p. 4.

[103] National Telecommunications and Information Administration – NTIA

[104] Jusque 2015, mission reconductible de gérer et de coordonner le système de noms de domaine (DNS) de premier niveau (génériques et nationaux), mission jusqu’alors confiée à l’IANA (Internet Assigned Numbers Authority)

[105] « L’Icann garde la gestion de la “racine du Net” », Le Monde, 5 juillet 2012

[106] Créé en 1994, le « Word Wide Web Consortium » regroupe près de 400 entreprises partenaires chargées de fixer les normes techniques des technologies les plus courantes afin d’assurer leur compatibilité. Ses bureaux sont répartis dans le monde, mais sa gestion relève du MIT américain, de l’European Research Consortium for Informatics and Mathematics (ERCIM) et de l’Université Keio à Tokyo.

[107] Révélations de l’existence de programmes classés secret-défense dont le Programme PRISM, créé en 2007, qui permet la surveillance par le FBI et la NSA des internautes

[108] Tusseau (G.), La science du droit dans la globalisation, Bruylant, 2012, p. 185.

[109] Salmon (J.), « Vers l’adoption d’un principe de légitimité démocratique ? », À la recherche du nouvel ordre mondial (dir. O. Corten), ed. Complexe, 1993, p. 81

[110] Fellous (G.), Les droits de l’homme : Une universalité menacée, La Documentation française, 2010 ; O. de Schutter, « Universalité des Droits de l’Homme et mondialisation : la question des « valeurs asiatiques » », in Th. Marrès et Paul Servais (éd.), Droits humains et valeurs asiatiques. Un dialogue possible ?, Rencontre Orient-Occident, Academia-Bruylant, Louvain-la-Neuve, 2002, pp. 23-43 ; V. Amirmokri, Islam et les droits de l’homme : l’islamisme, le droit international et le modernisme islamique, 2004, Presse université Laval ; Chevallier-Govers (C.), « La Charia et le pluralisme juridique en Malaisie à l’épreuve de l’État et de l’état de droit », RDP, 2011, p. 219

[111] Huet, « Vers l’émergence d’un principe de légitimité démocratique en droit international », RTDH, 1er juin 2006, no 67, p. 547

[112] Ba Mohammed (N.), « Internationalisation du droit constitutionnel et standards démocratiques », in L’internationalisation du droit constitutionnel, AIDC, Recueil des cours, vol. XVI, p. 163.

[113] Voir proposition de la Russie, de la Chine et des Emirats arabes unis visant à permettre aux 193 États membres de l’UIT d’obtenir le droit de gérer le nommage, le numérotage, l’adressage et les ressources d’identification nécessaires aux télécommunications internationales sur leur territoire

[114] En 2012, il s’agissait notamment de l’Arabie Saoudite, le Bahrein, le Belarus, la Birmanie, la Chine, la Corée du nord, Cuba, l’Iran, l’Ouzbékistan, la Syrie, le Turkménistan, le Vietnam

[115] « Les ennemis d’Internet », rapport de Reporters sans frontière pour la liberté de l’information, publié le 13 mars 2012, cf. http://12mars.rsf.org/i/Rapport_Ennemis_Internet_2012.pdf

[116] Notamment par le biais des cookies, web bugs

[117] « Le Venezuela définit des contenus prohibés sur internet », à propos de la loi adoptée par le parlement vénézuélien le 20 décembre 2010, Le Monde, 21 décembre 2010

[118] La loi sur le web en vigueur depuis novembre 2012 permet au pouvoir exécutif de créer un registre d’adresses IP bloquées sans décision préalable de justice, justifié par la protection de l’enfance

[119] Tim Wu, Professeur à l’Université de Columbia, « Network Neutrality, Broadband Discrimination », Journal of Telecommunications and High Technology Law, vol. 2, 2003, p. 141

[120] Résolution sur « le droit à la liberté d’expression sur Internet » adoptée par le Conseil des droits de l’homme de l’ONU du 6 juillet 2012 ; Reconnaissance d’« Internet comme composante de la liberté d’expression »

[121] Article du New York Times le 4 janvier 2012 intitulé « Internet access is not a human right »

[122] Jacob (P.), « La gouvernance de l’Internet du point de vue du droit international public », AFDI, LVI, 2010, p. 547

[123] J. Nocetti, « Internet, gouvernance et démocratie », Politique étrangère, vol. 76, no 4, 2011

[124] Rapport RSF, « Les ennemis d’Internet », 2012, op. cit

[125] www.internetworldstats.com/top20.htm

[126] Notamment la Chine, les Émirats arabes unis ou la Russie

[127] Traité sur la gouvernance d’Internet signé le 14 décembre 2012

[128] Question écrite no 14930 de M. Hervé Féron (SRC) au ministre des PME, de l’innovation et de l’économie numérique, relative à l’attitude de la France à la conférence de Dubaï, publiée au JO le 01/01/2013, p. 53.

[129] Notamment l’association Human Rights First, créée en 1978 et basée à New York, et ses programmes « Netizen project » ou « Global Network Initiative (GNI) »

Nombre de pages du document intégral:61

24.90

Retour en haut