Un rapport sur la cybercriminalité issu d’un groupe de travail interministériel a formulé 55 propositions qui visent à mieux protéger les internautes. Certaines d’entre elles seront bientôt appliquées par les ministres concernés.
Le procureur général de la Cour d’appel de Riom, Marc Robert, a remis son rapport en présence de Christiane Taubira, garde des Sceaux, Arnaud Montebourg, ministre de l’Economie, Bernard Cazeneuve, ministre de l’Intérieur et Axelle Lemaire. Dans ce rapport de 277 pages auxquelles il faut ajouter 207 pages d’annexes, le procureur établit une liste de mesures visant à « protéger les internautes ». En voici un aperçu :
Créer un centre d’alerte et une délégation interministérielle à la lutte contre la cybercriminalité
L’une des mesures phares de ce rapport visant à la protection des internautes serait la création d’un « CERT » (Computer emergency response team) français à destination du grand public mais aussi des PME. Il aurait pour mission d’inciter à un rapprochement entre plusieurs initiatives non étatiques (Signal Spam, Phishing Initiative…), tout en aidant les victimes de cybercriminels à se diriger vers les bonnes plate-forme.
De plus, une délégation interministérielle à la lutte contre la cybercriminalité jouerait un rôle d’interface avec le secteur privé et spécialement les intermédiaires du net. Cette délégation aurait la possibilité de sanctionner administrativement en cas de non-respect des obligations légales. Cette délégation mettrait également à exécution les décisions de retrait, de déréférencement, de blocage. Il s’agirait en fait d’une autorité médiatrice, une sorte de police du web, qui aurait pour rôle d’examiner les signalements de contenus illicites auxquels ont refusé de donner suite les hébergeurs. Par exemple, si un internaute dénonce un contenu qu’il juge illicite mais que son propriétaire n’agit pas, le médiateur pourra être saisi par les particuliers et prendre les mesures nécessaires pour faire cesser l’infraction notifiée, et la surveiller de sorte qu’elle ne réapparaisse pas. Ce service se voudrait simple et gratuit.
Le procureur recommande d’aggraver les peines en cas d’atteintes aux systèmes de traitement automatisé de données (STAD).
Il souhaite la création d’une peine spécifique réprimant l’envoi de spams, qu’il considère comme du harcèlement.
Il suggère d’incriminer spécifiquement le vol de biens immatériels afin de protéger le secret des affaires.
Il voudrait refaire naître lla peine de suspension de l’accès à internet. Comme ce fut le cas pour Hadopi, cette peine serait « assortie de l’interdiction de souscrire, pendant la même période, un autre contrat portant sur un service de même nature auprès de tout opérateur ». Dans le cadre de Hadopi, la peine de suspension avait été en partie supprimée par décret. Elle n’a jamais appliquée.
Marc Robert propose que l’utilisation d’un réseau de communication électronique devienne une circonstance aggravante dans le cadre de tout délit d’usurpation d’identité. Ainsi, en cas de délit d’usurpation d’identité numérique, la peine encourue pourrait être doublée voire même multipliée par sept.
Cyber-café, hot spots Wi-Fi
Le rapport demande à ce que des contrôles « surprises » soient effectués dans les cyber-cafés afin de vérifier que ces établissements respectent bien la réglementation (à propos de la conservation des données d’identification notamment).
Il est également proposé de lancer une grande campagne de sensibilisation à destination des nombreux propriétaires de hot spots publics (gares, collectivités territoriales, commerces, etc.) sur cette réglementation que eux aussi doivent respecter, ainsi que sur les moyens de s’y plier.
Les intermédiaires du net
Le rapport estime nécessaire « de redéfinir un cadre global adapté aux obligations de ces prestataires », la loi de 2004 sur la confiance dans l’économie numérique générant trop de « difficultés » selon lui.
Les intermédiaires actifs doivent être responsables : le magistrat considère que ceux-ci doivent être déclarés irresponsables lorsqu’ils jouent un rôle passif dans les données stockées ou transmises, ou quand ils respectent leurs obligations en matière de données personnelles, d’identification des auteurs des contenus illicites, ou en matière de prévention et de mise d’un terme des activités illicites.
Il faudrait également obliger les moteurs de recherche, les hébergeurs, les FAI à détecter préventivement les infractions les plus graves. Ces infractions sont notamment l’apologie des crimes contre l’humanité, l’incitation à la haine raciale, la pornographie enfantine, l’incitation à la violence et les atteintes à la dignité humaine.
Marc Robert recommande d’inciter les hébergeurs à une obligation de réponse à ceux qui sollicitent le retrait d’un contenu. Cependant, dans ce cas ou en cas de silence, un internaute aurait la capacité de saisir l’agence de régulation aux fins de médiation. « Ce n’est qu’au terme de ce processus, qu’une action civile ou pénale serait susceptible d’être engagée ».
L’agence de régulation aura la possibilité de notifier les hébergeurs ou les FAI, dans le respect du principe de subsidiarité, de l’existence d’un contenu manifestement illicite. Cette autorité centralisera et notifiera également les demandes de retrait, d’inaccessibilité, de référencement, de blocage des noms de domaine, des contenus pédopornographiques, ou encore dans le cadre du droit à l’oubli et enfin les demandes de retrait étendue dans un temps limité (blocage contre les sites miroirs). Ces obligations, de moyen, seront arbitrées par la future délégation interministérielle.
Le blocage des sites ne doit être décidé que par un juge, sauf pour la pédopornographie.
Une compétence territoriale
Lorsqu’un délit ou un crime punissable d’un emprisonnement sera commis sur les réseaux, ce sont les juridictions françaises qui devront le juger s’il vise une personne physique ou morale de nationalité française. Ainsi, ces crimes ou délits seront réputés avoir été commis en France même s’ils sont orchestrés depuis l’étranger. Ce sera donc le parquet ou la juridiction du lieu de résidence de la personne physique ou du siège social de l’entreprise qui marquera la compétence.
Le rapport souhaite que le droit de perquisition soit étendu « à tout lieu privatif où se trouvent des objets ou données informatiques utiles à la manifestation de la vérité ». Il veut aussi autoriser explicitement la saisie d’ordinateurs, tablettes, smartphones, etc., mais aussi des supports sans transport sur les lieux de l’infraction..
Veille policière
En dehors de toute enquête, il est proposé d’autoriser les policiers à utiliser librement un pseudonyme afin d’accéder à des espaces publics, mais soumis à identification (forums, réseaux sociaux…). Marc Robert estime qu’il faudrait généraliser la possibilité de réaliser des enquêtes sous pseudonyme à tous les crimes et délits punis d’une peine d’emprisonnement et commis par le biais d’Internet. Alors que cette faculté est aujourd’hui assez restreinte (pour la pédopornographie notamment), le magistrat considère qu’il faudrait l’étendre dès lors que trois conditions seraient réunies : que seuls des officiers ou agents de police judiciaire appartenant à un service spécialisé soient habilités à procéder ainsi ; que l’enquête soit limitée dans le temps, et son renouvellement soumis à la décision du procureur de la République ; que « la traçabilité des opérations soit assurée ».
De plus, alors qu’il n’est aujourd’hui pas possible que de « pré-porter plainte » sur Internet, le rapport réclame l’instauration d’une plateforme ne nécessitant pas que la victime supposée se rende au commissariat ou à la gendarmerie. Ce type de processus ne serait opportun selon le magistrat que dans certains cas spécifiques : infractions commises via Internet, cyber-escroqueries et atteintes aux biens.
Droit à l’oubli et cyber-escroquerie
Le rapport prend position en faveur d’un droit à l’effacement de toute donnée diffusée sur Internet et concernant une personne de moins de 18 ans (qu’elle soit publiée par lui-même ou par un tiers). Le juge des enfants pourrait ainsi être saisi de telles demandes de suppression de liens ou bien d’informations au sens large, dans les moteurs, réseaux sociaux, etc.
Marc Robert recommande de surcroît la création d’une plate-forme centralisée pour le traitement des cyber-escroqueries. Dans ce cadre général, il serait possible de déclarer en ligne ces faits sans convocation et audition de la victime par le service d’enquête. Un logiciel d’analyse des plaintes permettrait de faire des rapprochements afin d’identifier les faits relevant d’une même action criminelle.
S’agissant des infractions aux cartes de paiements, celles-ci seraient accompagnées d’une obligation de dénonciation par le système bancaire. Ces informations centralisées permettraient une meilleure lutte contre ces faits délictueux.
Police des noms de domaine
Marc Robert souhaite que le contrôle de l’attribution d’un nom de domaine (identité et domiciliation) soit renforcé, et épaulé par une obligation de mise à jour en cas de déménagement. En cas de fausse déclaration, tous les services de l’État intéressé pourraient réclamer la suppression d’un nom de domaine. Il veut également que l’État puisse surveiller les flux d’enregistrement sans frais, en obligeant à la production gratuite des listes de nom de domaine correspondant à certains mots clefs. L’État aurait également plus de facilités pour lever l’anonymat. Les noms de domaine litigieux (violation du droit etc.) pourraient être transmis à l’État « afin d’éviter tout nouveau dépôt ».