Les retardataires sont nombreux. Face aux menaces du cyber-monde, les états ont des arsenaux législatifs sous-développés. C'est le constat dressé par le rapport effectué en 2000 par le cabinet britannique Mc Connell International. La France, l'Italie et la Norvège n'auraient modifié aucun de leurs textes de loi et paraissent se reposer sur des textes plus anciens ou plus généraux, pour le moins inadaptés. Les Philippines, bousculées par l'affaire du virus "I love You", ont revu toutes leurs dispositions et s'avèrent aujourd'hui le pays le mieux équipé dans la lutte contre la cybercriminalité.

Le cabinet britannique a demandé aux différents gouvernements de lui faire parvenir leurs derniers textes législatifs concernant les dix catégories de crimes classées dans les 4 domaines suivants:

Les crimes et délits en rapport avec les données:

* L'interception de ces dernières au cours de leur transmission

* Leur modification

* Leur vol pur et simple.

Concernant les réseaux:

* L'interférence, dont les attaques de déni de service (DOS)

* Le sabotage (modification ou destruction du système)

Les crimes d'accès concernent:

* Les entrées illicites sur un réseau privé

* L'introduction de virus.

Les crimes et délits annexes:

* L'aide ou l'assistance apportées à un pirate dans l'exercice de son méfait

* Des cambriolages assistés par ordinateur

* Des escroqueries assistées par ordinateur.

Sur les 52 pays étudiés par Mc Connell, 8 ont révisé leurs textes dans 6 à 9 de ces catégories: derrière les Philippines, on trouve les Etats-Unis et le Japon, puis l'Australie et l'Inde, car dans ce domaine, les lacunes juridiques ne trahissent pas forcément un manque de moyens et inversement.

10 pays ensuite disposent de moyens législatifs pour poursuivre les auteurs de trois à cinq types d'attaques: ce sont par exemple l'Espagne et le Canada.

33 pays sont au nombre des grands retardataires du classement, n'ont pas mis leur législation à jour et "ne peuvent poursuivre l'auteur d'un crime informatique".

En effet, dans certains pays, l'accès non autorisé n'est pénalisé qu'en cas d'intention de nuire. Dans d'autres, le vol de données n'est répréhensible que dans les cas où ces données concernent la religion ou la santé d'un individu.

Les pénalités associés aux jugements divergent beaucoup également, s'étendant de la simple sommation à de longues peines de prison pour un même cyber-délit.

L'intérêt de cette enquête réalisée en 2000 est de donner un aperçu global des mesures prises contre la cybercriminalité. Des évolutions ont suivi et notamment la prise de conscience de la nécessité d'un consensus international pour aboutir à la normalisation la plus étendue possible dans la façon de gérer ces affaires.

Si l'harmonisation des lois au niveau européen paraît une suite logique du processus engagé par l'Union, le cadre mondial apparaît autrement plus complexe quant à la convergence de ces dispositions.

La France est une bonne illustration de la catégorie des "retardataires". A ce propos, Thomas-Xavier Martin, consultant-expert du groupe Nulladies et appartenant au groupe d'experts de la Commission Européenne, spécialiste de la cybercriminalité, donnait son avis sur la question le 22 janvier dernier sur Powow.net.

Selon lui, la loi Informatique et Libertés de 1978 représentait une avancée majeure. Elle avait été adoptée à la suite d'un scandale à propos de l'indexation des fichiers du fisc sur les numéros de sécurité sociale. A l'époque donc, la France était l'avant-garde. Depuis, elle n'a aujourd'hui toujours pas transcrit en droit communautaire la directive européenne sur les libertés publiques et l'informatique, elle-même directement issue de la loi française. La France est extrêmement en retard sur les pays de l'Union. Néanmoins, notre expert pense que les deux éléments juridiques suivants seront les prochains progrès que nous seront contraints de faire en matière de protection des libertés publiques.

Il s'agira d'abord d'adopter une loi de type américain comme le Freedom Information Act qui autorise les citoyens, les organes de presse et d'autres entités à obtenir du gouvernement la publication de certains documents. Ce sera la mort du secret défense et du document caché. Le gouvernement pourra classifier un certain nombre de documents mais devra fixer une limite à partir de laquelle ils seront publics: il suffira alors de faire une demande pour en avoir communication.

La France en a déjà un embryon avec la commission d'accès aux documents administratifs, mais c'est insuffisant. Cette loi permettra donc d'accéder beaucoup plus facilement à un certain nombre de choses comme les fiches de renseignements généraux.

La deuxième mesure qui s'imposera sera l'obligation faite à ceux qui constituent un fichier d'en avertir les individus qui y sont recensés, de leur soumettre la liste des données, et de leur demander l'autorisation de continuer à les y faire figurer. A ce sujet T-X. Martin pense qu'il est inacceptable de voir comment on peut, en France, se retrouver victime de gens qui font du marketing et de la vente par correspondance. Ce sont pour lui des infractions à la vie privée qui montrent combien notre législation est lacunaire en la matière.

Mais reprenons la chronologie de notre armature législative. En 1988, la loi Godfrain établissait les sanctions correspondant à chaque délit informatique particulier
http://www.admi.net/jo.JUSX8700198L.html

Aujourd'hui, avec le projet de LSI ou loi sur la "société de l'information", la France tente de rattraper son retard.

http://www.transfert.net/fr/dossiers/dossier.cfm?idx_dossier=43

Mais le projet est plutôt mal accueilli par ceux qui sont aussi les détracteurs du projet de convention européenne.

http://www.iris.sgdg.org/info-debat/comm-lsi0201.html

Ils lui reprochent notamment de laisser une trop grande marge de manœuvre à l'administration, puisque d'innombrables décrets sont censés préciser le flou des dispositions, ainsi que les vélléités du ministère de l'Intérieur à vouloir accorder des pouvoirs de saisie, sans condition sur la gravité de l'infraction suspectée, à l'autorité administrative, et non pas uniquement à l'autorité judiciaire.

Le principal grief qu'ils adressent au projet est de vouloir instaurer une justice privée, rendue par des intermédiaires techniques, sur la base de leur propre évaluation subjective du caractère "manifestement illicite" d'un contenu hébergé.

Le projet européen. L'urgence a enfin décidé les pays européens à collaborer pour être plus efficaces.

La coopération internationale est une procédure de longue haleine: les travaux de la commission ont débuté en mai 1997 et ont déjà donné lieu à 25 projets potentiels. A l'issue des travaux qui doivent prendre fin avant 2002, les représentants des 41 états membres du Conseil ratifieront le traité, ainsi que les Etats-Unis, le Japon, le Canada et l'Afrique du Sud, qui ont actuellement un statut d'observateur auprès de l'organisation et seront également invités à signer et ratifier le texte à la rédaction duquel ils sont associés.

La dernière version en cours est celle que l'on peut trouver sur le site du Conseil de l'Europe sous le titre: "Créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité".

La Commission a annoncé la création d'un forum européen qui regroupera les autorités chargées de l'application des lois, des fournisseurs de services, des opérateurs de réseaux, des associations de consommateurs et des autorités chargées de la protection des données. En relation avec ce forum, la Commission a mis à disposition de tous une communication liée à ses débats sur le futur traité: e-Europe 2002, en faveur de la sécurité et de la confiance, est une sorte de cahier des charges que le traité à venir devra respecter et auquel chacun a pu réagir jusqu'au 23 mars dernier

http://europa.eu.int/ISPO/eif/InternetPoliciesSite/Crime/CrimeCommEN.html

Ces mesures visaient à rendre transparentes des délibérations qui auparavant n'avaient pas bonne presse: le projet du Conseil de l'Europe était flou, la cyber-criminalité mal définie, on prétendait que les mesures répressives qui se dessinaient risquaient de donner aux forces de police tous les moyens imaginables pour fouiller dans nos octets (téléperquisitions, c'est-à-dire fouille à distance des ordinateurs suspects, extension de la notion de crime informatique, à savoir l'assimilation à un criminel de toute personne sans autorisation à un système, l'extension de la durée de conservation des données de connexion des internautes par les fournisseurs d'accès…).

Ces publications et forums sur les orientations du projet de la Commission via Internet ont donc eu pour rôle d'ouvrir et d'éclaircir les débats. Mais certains opposants au projet comme l'IRIS dénoncent cette tentative de capturer le débat public et de légitimer une loi à travers le concept flou de "corégulation".

http://www.iris.sgdg.org/info-debat/comm-fdi0401.html

L'assemblée a donc adopté un avis qui reconnaît que "la lutte contre la criminalité cybernétique constitue un enjeu de toute première importance au regard du développement des nouvelles technologies que cette forme de criminalité peut entraver". Ce projet enjoint aux Etats d'ériger en infractions pénales un certain nombre de pratiques relatives à l'usage des réseaux, telles que les accès illégaux, la falsification de données, la diffusion de virus ou les atteintes à la propriété intellectuelle.

Il fixe également des règles pour la conservation et le stockage des données afin de permettre un contrôle éventuel, par les autorités compétentes, des opérations et des messages informatiques susceptibles de constituer des délits.

Si ce projet du Conseil de l'Europe va constituer le premier document international contraignant dans ce domaine, il est loin de faire l'unanimité parmi les internautes.

Le développement des cyberpoliciers accompagne l'évolution des arsenaux législatifs contre la cybercriminalité.

Dans de nombreux pays aujourd'hui, les nouveaux stages de formation que reçoivent les policiers sont des ateliers où l'on s'entraîne à combattre les hackers

http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=2599

En novembre dernier, des cyberpoliciers de 26 pays européens se sont réunis en novembre pour améliorer les méthodes d'investigation des enquêteurs spécialisés, élaborer un guide des meilleures pratiques en la matière dans le domaine des nouvelles technologies et permettre une plus grande efficacité de la coopération policière dans la lutte contre la cybercriminalité.

Aux Etats-Unis par exemple, le National Infrastructure Protection Center (NIPC), le "bras armé" du FBI en matière de cyberdélinquance, vient d'annoncer la mise en place d'un programme baptisé InfraGard. Il est déjà testé depuis plusieurs mois dans l'Etat de Cleveland et 500 entreprises y participent. L'identité de celles-ci n'a pas été révélée pour des questions de sécurité. A travers ce programme, l'agence de sécurité américaine cherche à jeter les bases d'une collaboration efficace avec des sociétés du secteur public et privé. Une collaboration fondée sur l'échange de bons procédés: en contrepartie d'informations précises fournies sur les hackers aux entreprises, le FBI attend que ces dernières lui signalent les intrusions -ou les tentatives d'intrusion- dont elles sont victimes.

Page d'accueil

Haut de page

Page suivante