Criminalité financière et
risques numériques
Myriam Quéméner , avocat général, docteur en
droit
Le cybercontexteLe cybercontexte
 Porosité entre ces 3 concepts
Cyberdéfense Domaine
Etatique , ANSSI, Livre
blanc 2013
C...
Nanterre 22 mai 2015
La cybercriminalité
 Aucune définition universelle de la
cybercriminalité n’a été admise
 Elle incl...
QUELQUES CHIFFRES
 Plus d'un milliard de fichiers volés ou compromis en
2014, soit une augmentation de près de 80 % par
r...
Cybercriminalité et typesCybercriminalité et types
d’infractionsd’infractions
Infractions pour lesquelles les Technologies...
Une délinquance transversale
 Une délinquance moins risquée
 Anonymat renforcée
 Industrialisation des attaques
 Aboli...
Nanterre 22 mai 2015
Une délinquance complexe diversifiée et organisée
 Auteurs isolés
 « Mules » , intermédiaires
 Rés...
Le cyberconstat
 Multiplication des attaques de grande ampleur (Bercy,
Sony, Areva , etc)
 Importance de la fraude finan...
Des enjeux financiers et
économiques forts
 Cybertraites
 Cyberpédopornographie
 Cyberblanchiment
 Cyberracket d’entre...
De multiples cyber
rapports
Nanterre 22 mai 2015
G
  Près de 20.000 sites français ont subi des attaques
les cinq derniers jours. Une opération orchestrée
pardes groupuscul...
Transfert de l’apologie du terrorisme dans le code pénal
 L'apologie du terrorisme consiste à présenter ou commenter
favo...
Des cyberbraquages qui
n’ont rien de virtuels
Monnaies virtuelles et
cyber
 Ces transferts d’argent directement entre usagers d’une même
monnaie électronique sont, par...
Cybercontournement du
système bancaire
Cyberblanchiment
Nanterre 22 mai 2015
Cyberméthodes: du logiciel espion au botnet
Nanterre 22 mai 2015
Trading haute fréquence
 Le trading à haute fréquence représente tout de
même la moitié des échanges avec donc des
risque...
Cyberproblématiques
juridiques
 Adapter l’arsenal juridique à l’environnement
numérique
 Le droit face à une nébuleuse e...
N
Principales lois de 2000 à 2015
 Loi du 1er aout 2OOO et du 15 novembre 2001(LSQ) : principe de
conservation des donnée...
Infractions et sanctions
Qualification juridique des
faits

 accès frauduleux dans un STAD (art. 321-1 du Code pénal) ;
 maintien frauduleux dan...
Nanterre 22 mai 2015
Présentation des types d’infractions
-Collecte de données à l’insu
des personnes
-Spamming
-Phishing ...
Cyberattaque : un acte terroriste?
 article 421-1
 Modifié par LOI n°2011-266 du 14 mars 2011 - art. 18
 Constituent de...
QPC rejetée : la loi Godfrain est claire et
précise
 Dans une décision du 10 avril 2013, la Cour de
cassation a dit n’y a...
les réponses pénales : les infractionsles réponses pénales : les infractions
Les accès et maintien frauduleux dans un STAD...
La répression de vol
d’éléments immatériels
  l’article 323-3 du Code pénal par l’ajout de
l’incise : « d’extraire, de dé...
La loi du 13 novembre
2014
 La création d'une circonstance aggravante du piratage informatique commis
en bande organisée ...
La généralisation de l'enquête sous
pseudonyme à la délinquance et la
criminalité organisées.
 Le nouvel article 706-87-1...
Dispositions relatives à la procédure pénale de droit commun

 Captation de contenu informatique : l’article 57-1 CPP pr...
Captation de données
 un nouvel alinéa inséré à l’article 57-1 CPP
 prévoit désormais qu’ils « peuvent également, dans l...
 Institution d’une procédure pénale dérogatoire en matière d’atteintes
 aux systèmes de traitement automatisé de données...
Pas d’accès frauduleux
 Le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé
à l’extranet d’une agence...
Contrefaçon de logiciel
Skype
 La décompilation d’un logiciel, quand elle n’est
pas réalisée dans le cadre et les limites...
Abus de confiance
 Constitue un abus de confiance le fait, pourun salarié,
d'utiliser, au mépris de son mandat et au-delà...
Affaire Kerviel
  le « trader » a été condamné par la cour d'appel de Paris pour
trois infractions : abus de confiance, i...
Usurpation d’identité et introduction
frauduleuse de données
 TGI de Paris , 13ème chambre , 18/12/2014
( Légalis.net) , ...
 Recherche sur Google et faille de sécurité : maintien frauduleux et v
d’informations
  arrêt du 20 mai 2015, la Cour de...
Loyauté de la preuve
 Écoutes téléphoniques et respect du principe de
loyauté
 Les renseignements recueillis à l’occasio...
Politique en matière de
contrefaçon

 Seules les voies judiciaires classiques devaient être utilisées par les ayants dro...
Contrefaçon retenue pour la décompilation illicite d’un logiciel Skype
 La décompilation d’un logiciel doit strictement s...
Transfert de l’apologie du terrorisme dans le code pénal
 L'apologie du terrorisme consiste à présenter ou commenter
favo...
 La provocation au terrorisme est une incitation directe à commettre des
actes terroristes matériellement déterminés. Par...
Cyberattaques
 Tentative d’atteinte à des systèmes informatiques
réalisée dans un but malveillant.
 Objectif :vol de don...
Cyberterrorisme
 Recrutement , propagande , formation
 Vendredi 24 mai, Manuel Valls faisait part  de la "nécessité d'un...
Des cyberbraquages qui
n’ont rien de virtuels
Nanterre 22 mai 2015
Monnaies virtuelles et
cyber
 Ces transferts d’argent directement entre usagers d’une même
monnaie électronique sont, par...
Cybercontournement du
système bancaire
Nanterre 22 mai 2015
Cyberblanchiment
Nanterre 22 mai 2015
Crise et cyberéconomie
 le coût lié aux violations des données pour les
entreprises françaises serait en hausse de 11% pa...
Cyberméthodes: du logiciel espion au botnet
Nanterre 22 mai 2015
Nouveaux usages , nouvelles cybercibles
 Hausse du e- commerce
 Convergence numérique
 Développement de l’usage des rés...
Cyberproblématiques
juridiques
 Adapter l’arsenal juridique à l’environnement
numérique
 Le droit face à une nébuleuse e...
Nanterre 22 mai 2015
Principales lois de 2000 à 2015
 Loi du 1er aout 2OOO et du 15 novembre 2001(LSQ) : principe de
cons...
Responsabilité des
hébergeurs
 L'hébergeur assure, à titre gratuit ou payant, le
stockage de tout contenu (un blog, une v...
 L'hébergeur ne peut être tenu comme responsable des contenus stockés,
uniquement si :
 il a eu connaissance de l'existe...
PLATEFORMES
 Créer une nouvelle catégorie juridique pour les «
plateformes » (distincte à la fois des éditeurs et des
héb...
Infractions et sanctions
Cyberattaque : un acte terroriste?
 article 421-1
 Modifié par LOI n°2011-266 du 14 mars 2011 - art. 18
 Constituent de...
Article 411- 9 du Code
pénal
 Le fait de détruire, détériorer ou détourner tout
document, matériel, construction, équipem...
 Selon la règle 11 du manuel, "une cyber-opération
constitue un emploi de la force lorsque sa dimension
et ses effets son...
Droit pénal , social , commercial , civil, tous cyberconcernés
 Un exemple récent :

 Dans un arrêt du 16 mai 2013, la ...
QPC rejetée : la loi Godfrain est claire et
précise
 Dans une décision du 10 avril 2013, la Cour de
cassation a dit n’y a...
Droit matériel
 Les infractions
 Les circonstances aggravantes
Nanterre 22 mai 2015
Nanterre 22 mai 2015
les réponses pénales : les infractionsles réponses pénales : les infractions
Les accès et maintien fr...
 Publics concernés : administrations, opérateurs de communications électroniques et personnes mentionnées à
 l’article L...
 Notice : le décret crée un chapitre intitulé « Accès administratif aux données de connexion » au
titre IV du livre II de...
La loi du 13 novembre
2014
 La création d'une circonstance aggravante du piratage informatique commis en bande organisée
...
La généralisation de l'enquête sous
pseudonyme à la délinquance et la
criminalité organisées.
 Le nouvel article 706-87-1...
Dispositions relatives à la procédure pénale de droit commun

 Captation de contenu informatique : l’article 57-1 CPP pr...
Captation de données
 un nouvel alinéa inséré à l’article 57-1 CPP
 prévoit désormais qu’ils « peuvent également, dans l...
Quelques jurisprudences
Affaire Mathieu S / Twitter : Usurpation d’identité, publication
sur le réseau social et compétence territoriale
 Parune ...
Pas d’accès frauduleux
 Le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à
l’extranet d’une agence...
Jurisprudences: abus de
confiance
 Constitue un abus de confiance le fait, pourun
salarié, d'utiliser, au mépris de son m...
Affaire Kerviel
  le « trader » a été condamné par la cour d'appel de Paris pour
trois infractions : abus de confiance, i...
Usurpation d’identité et introduction
frauduleuse de données
 TGI de Paris , 13ème chambre , 18/12/2014
( Légalis.net) , ...
Loyauté de la preuve
 Écoutes téléphoniques et respect du principe de
loyauté
 Les renseignements recueillis à l’occasio...
Politique en matière de
contrefaçon

 Seules les voies judiciaires classiques devaient être utilisées par les ayants dro...
Convention du conseil
de l’Europe
 La Convention sur la cybercriminalité du Conseil de
l’Europe est le seul instrument in...
TEXTES Européens
 Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les
systèmes d'information et remplaç...
La dimension
européenne
 En Février 2013, la Commission a adopté une 
communication sur la stratégie de la cybersécurité
...
Renforcement contre les
cyberattaques
 la Commission a présenté en 2010 une
proposition de directive relative aux attaque...
La dimension
internationale
 La Convention sur la cybercriminalité du Conseil de l’Europe est le
seul instrument internat...
Procureur financier
 Au 25 mars, le PNF était chargé de 236
dossiers − dont 98 en enquête préliminaire,
c’est-à-dire où i...
Moyens d’investigation
 la loi du 6 décembre 2013 a renforcé la poursuite
et la répression des infractions les plus grave...
Evolution judiciaire
• Vers une juridiction spécialisée ?
• 3 - "Introduire des modifications législatives pour donner les...
Convention du conseil
de l’Europe
 La Convention sur la cybercriminalité du Conseil de
l’Europe est le seul instrument in...
Evolution en matière de protection des données personnelles
 Proposition de directive du Parlement européen et du
Conseil...
La dimension
internationale
 La Convention sur la cybercriminalité du Conseil de l’Europe est le
seul instrument internat...
 Merci de votre attention
 Des questions?
 myriam.quemener@justice.fr
Prochain SlideShare
Chargement dans…5
×

Criminalité financière et risques numériques

251 vues

Publié le

2015 myriam quéméner magistrat expert cybercriminalité
Conférences Arrow institute par conferences institute
http://conferences-institute.eu/

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
251
Sur SlideShare
0
Issues des intégrations
0
Intégrations
25
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • 1
  • 6
    6
    6
    6
    6
  • 32
    32
  • 39
    39
  • 51
  • 75
    75
  • 120
  • Criminalité financière et risques numériques

    1. 1. Criminalité financière et risques numériques Myriam Quéméner , avocat général, docteur en droit
    2. 2. Le cybercontexteLe cybercontexte  Porosité entre ces 3 concepts Cyberdéfense Domaine Etatique , ANSSI, Livre blanc 2013 Cybersécurité, Anssi , sécurité des SI , entreprises Cybercriminalité Domaine du judiciaire
    3. 3. Nanterre 22 mai 2015 La cybercriminalité  Aucune définition universelle de la cybercriminalité n’a été admise  Elle inclut les infractions informatiques (comme le piratage informatique) et les infractions dites de contenu. D'une manière générale, la cybercriminalité est définie comme l'ensemble des infractions pénales commises via les réseaux informatiques.  Tendance aujourd’hui à passer de la cybercriminalité à la cybersécurité 
    4. 4. QUELQUES CHIFFRES  Plus d'un milliard de fichiers volés ou compromis en 2014, soit une augmentation de près de 80 % par rapport à 2013.  Près de 30 % des fraudes déclarées par les sociétés françaises seraient rattachées à la cybercriminalité. Près d'un quart des entreprises auraient déjà fait l'objet d'un vol de données.
    5. 5. Cybercriminalité et typesCybercriminalité et types d’infractionsd’infractions Infractions pour lesquelles les Technologies de l’Information et de la Communication (TIC) sont l’objet même du délit Infractions pour lesquelles les nouvelles technologies sont un moyen ou un support Les technologies utilisées déterminent les infractions Infractions classiques de droit commun ( crimes et délits) Infractions liées à la télécommunication Infractions liées à la téléphonie cellulaire Infractions informatiques Infractions prévues par le code pénal Infractions prévues par des textes spécifiques (presse) CODE PENAL
    6. 6. Une délinquance transversale  Une délinquance moins risquée  Anonymat renforcée  Industrialisation des attaques  Abolition des frontières  Enquêtes techniques comportant des éléments d’extranéité  Nomadisme , convergence numérique augmente les risques numériques
    7. 7. Nanterre 22 mai 2015 Une délinquance complexe diversifiée et organisée  Auteurs isolés  « Mules » , intermédiaires  Réseaux mafieux  Hacktivistes  Cybersoldats 10 JUIN 2013
    8. 8. Le cyberconstat  Multiplication des attaques de grande ampleur (Bercy, Sony, Areva , etc)  Importance de la fraude financière  Fuite d’informations personnelles  Divulgations de données personnelles provenant de systèmes d’information français compromis  Attaques de skimming avec la vente de cartes de paiement sur Internet : la copie de pistes magnétiques ou l’enregistrement de codes avec un matériel très sophistiqué est de plus en plus fréquent.
    9. 9. Des enjeux financiers et économiques forts  Cybertraites  Cyberpédopornographie  Cyberblanchiment  Cyberracket d’entreprises  ( faux ordres de virement et cartes prépayées) Nanterre 22 mai 2015
    10. 10. De multiples cyber rapports Nanterre 22 mai 2015 G
    11. 11.   Près de 20.000 sites français ont subi des attaques les cinq derniers jours. Une opération orchestrée pardes groupuscules de hackers rassemblant des musulmans modérés comme des intégristes, dont la communication est la première arme. Nanterre 22 mai 2015
    12. 12. Transfert de l’apologie du terrorisme dans le code pénal  L'apologie du terrorisme consiste à présenter ou commenter favorablement des actes terroristes déjà commis. Par exemple, si une personne approuve un attentat.  L'apologie se distingue de la négation. La négation d'actes terroristes est lorsqu'une personne nie totalement ou partiellement ces actes sans les approuver directement. Si elle invoque un complot par exemple.  Pour être punie, l'apologie doit avoir été faite publiquement. Le caractère public des propos s'apprécie de la même manière que pour l'injure ou ladiffamation. Ainsi, des propos tenus sur un réseau social ouvert au public peuvent être réprimé 
    13. 13. Des cyberbraquages qui n’ont rien de virtuels
    14. 14. Monnaies virtuelles et cyber  Ces transferts d’argent directement entre usagers d’une même monnaie électronique sont, par nature, insaisissables car ils se situent en dehors du système financier classique.  Les Etat n’ont pas d’autorité sur ces flux de monnaies transitant par les réseaux informatiques. Afin de limiter les possibilités d’un usage frauduleux, un plafond de transaction relativement bas est habituellement imposé.  Cependant, certains créateurs de monnaies virtuelles ont décidé de  ne soumettre leur clientèle à aucune limite et, en complément, de leur garantir un anonymat total, ce qui a forcément attiré la criminalité organisée.Nanterre 22 mai 2015 10 JUIN 2013
    15. 15. Cybercontournement du système bancaire
    16. 16. Cyberblanchiment Nanterre 22 mai 2015
    17. 17. Cyberméthodes: du logiciel espion au botnet Nanterre 22 mai 2015
    18. 18. Trading haute fréquence  Le trading à haute fréquence représente tout de même la moitié des échanges avec donc des risques non négligeables de manipulation du marché. Plus qu'un risque, c'est même l'objectif du trading à haute fréquence. 90% des ordres donnés sont annulés avant même d'avoir été exécutés.  risques de manipulation de cours  Délit d’initié  
    19. 19. Cyberproblématiques juridiques  Adapter l’arsenal juridique à l’environnement numérique  Le droit face à une nébuleuse et des nuages ( données numérique dans le Cloud)  L’adaptation des procédures face à la masse de données  La preuve numérique , question fondamentale: sécuriser les procédures
    20. 20. N Principales lois de 2000 à 2015  Loi du 1er aout 2OOO et du 15 novembre 2001(LSQ) : principe de conservation des données et durée  Loi du 29.08.2002 (LOPSI)  Loi du 18 .O3.2003  Loi du 21/06/2004 (LCEN): création d’un droit de l’Internet  Loi du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité  Loi du 26 /1/2006 sur la lutte contre le terrorisme  Loi du 5 /3/2007 sur la prévention de la délinquance  La loi Hadopi ou loi Création et Internet, ou plus formellement : « Loi n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet »  Loi du 12/5/2010 sur les jeux en ligne  Loi du 14 mars 2011 LOPPSI 2  Loi du 13 novembre 2014  Etc etc  1
    21. 21. Infractions et sanctions
    22. 22. Qualification juridique des faits   accès frauduleux dans un STAD (art. 321-1 du Code pénal) ;  maintien frauduleux dans un STAD (art. 321-1 du Code pénal) ;  introduction frauduleuse de données dans un STAD (art. 323-3 du Code pénal) ;  extraction, détention, reproduction ou transmission de données dans un STAD (art. 323-3 du Code pénal, modifié par la loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme) ;  détention de programmes informatiques conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions (art. 323- 3-1 du Code pénal) ;  association de malfaiteurs informatiques (art. 323-4 du Code pénal) ;  usurpation d’identité numérique (art. 226-4-1 du Code pénal) ;  escroquerie (art. 313-1 et 313-3 du Code pénal) ;  vol d’informations (art. 311-1 du Code pénal).
    23. 23. Nanterre 22 mai 2015 Présentation des types d’infractions -Collecte de données à l’insu des personnes -Spamming -Phishing / Pharming -Usurpation d’identité / de titreInfractions traditionnelles: -Vol - Escroquerie -Abus de confiance -Atteintes aux systèmes (cf. accès et maintien frauduleux dans un STAD; déni de service) -Atteintes aux données (cf. accès et maintien frauduleux dans un STAD avec influence sur les données; défacement de sites) Diffusion de contenus illicites: -Diffamation et atteinte à l’e- réputation -Incitation à la haine raciale -Pédopornographie -Contrefaçon de marques -Contrefaçon d’œuvres -Liens commerciaux et cybersquatting - Usurpation d’identité en ligne
    24. 24. Cyberattaque : un acte terroriste?  article 421-1  Modifié par LOI n°2011-266 du 14 mars 2011 - art. 18  Constituent des actes de terrorisme, lorsqu'elles sont intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but de troubler gravement l'ordre public par l'intimidation ou la terreur, les infractions suivantes :  1° Les atteintes volontaires à la vie, les atteintes volontaires à l'intégrité de la personne, l'enlèvement et la séquestration ainsi que le détournement d'aéronef, de navire ou de tout autre moyen de transport, définis par le livre II du présent code ;  2° Les vols, les extorsions, les destructions, dégradations et détériorations, ainsi que les infractions en matière informatique définis par le livre III du présent code ;  3° Les infractions en matière de groupes de combat et de mouvements dissous définies par les articles 431-13 à 431-17 et les infractions définies par les articles 434-6 et 441-2 à 441-5 ; Nanterre 22 mai 2015
    25. 25. QPC rejetée : la loi Godfrain est claire et précise  Dans une décision du 10 avril 2013, la Cour de cassation a dit n’y avoir pas lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité posée sur l’article 323-3 du code pénal.  Dans le cadre d’une affaire de fraude informatique, un prévenu qui avait été condamné à deux mois de prison avec sursis avait posé une QPC incidente sur les infractions d’introduction et de modification frauduleuses de données dans un système de traitement automatiséNanterre 22 mai 2015 10 JUIN 2013
    26. 26. les réponses pénales : les infractionsles réponses pénales : les infractions Les accès et maintien frauduleux dans un STAD, entrave, entente en vue de 323-1 ss CP Collecte illégale de données à caractère personnel et divulgations le détournement de finalité de fichier 226-17 et ss CP Contrefaçon de bases de données L 341-1 et L 343-4 du CPI Escroquerie et Faux et usage de faux 313-1 et 441-1 ss CP La fraude à la carte bancaire L163-4 du code monétaire et financier L’usurpation d’identité en ligne 226-4-1 CP Le blanchiment 324-1 CP
    27. 27. La répression de vol d’éléments immatériels   l’article 323-3 du Code pénal par l’ajout de l’incise : « d’extraire, de détenir, de reproduire, de transmettre ». Il s’ensuit que le texte réprime désormais toute introduction, modification ou suppression frauduleuse de données d’un système automatisé de traitement (STAD), et prévoit la sanction tant de l’appropriation que de l’usage du contenu. 
    28. 28. La loi du 13 novembre 2014  La création d'une circonstance aggravante du piratage informatique commis en bande organisée au préjudice de l'État   L'article 323-4-1 du code pénal est un nouveau cas de figure de l'extension de la circonstance aggravante de bande organisée, aux atteintes aux systèmes de traitement automatisé de données (STAD) à caractère personnel mis en oeuvre par l'État.  Le texte ne présente aucun rattachement à la circonstance terroriste, même si l'idée de combattre le « cyberterrorisme » est prégnante dans les travaux parlementaires.  L'objectif de ce texte est de permette aux enquêteurs l'utilisation de moyens spéciaux d'investigation. En effet, comme le souligne le rapport de la commission du Sénat : « la justification première de cette modification est [...] moins de créer une nouvelle circonstance aggravante que de permettre l'application des procédures applicables en matière de criminalité organisée »(16). Le législateur a néanmoins préféré ne pas inclure ces nouvelles infractions aggravées dans la liste de l'article 706- 73 du code de procédure pénale afin de ne pas les soumettre à l'ensemble du régime applicable à la criminalité organisée
    29. 29. La généralisation de l'enquête sous pseudonyme à la délinquance et la criminalité organisées.  Le nouvel article 706-87-1 du code de procédure pénale consacre la généralisation de l'enquête sous pseudonyme à l'ensemble des infractions de criminalité organisée et aux nouveaux délits aggravés de l'article 323-4-1 du code pénal, lorsque ces infractions sont commises par un moyen de communication électronique. C'est un autre exemple de digression de la loi hors son champ initial qui, d'ailleurs, n'a pas échappé aux sénateurs : « sans doute, l'extension du procédé de cybersurveillance à l'ensemble des délits et des crimes relevant de la criminalité organisée dépasse en partie l'objet du texte, dans la mesure où le terrorisme ne représente qu'une partie de ces délits et de ces crimes
    30. 30. Dispositions relatives à la procédure pénale de droit commun   Captation de contenu informatique : l’article 57-1 CPP prévoyait déjà la possibilité pour les officiers de police judiciaire, au cours d'une perquisition effectuée dans les conditions de l’enquête de droit commun, d’accéder par un système informatique implanté sur les lieux où se déroule la perquisition, à des données intéressant l'enquête en cours, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial. La loi du 13 novembre 2014 offre aux enquêteurs une nouvelle possibilité d’accéder à un contenu  informatique.
    31. 31. Captation de données  un nouvel alinéa inséré à l’article 57-1 CPP  prévoit désormais qu’ils « peuvent également, dans les conditions de  perquisition prévues au présent code, accéder par un système informatique  implanté dans les locaux d'un service ou d'une unité de police ou  de gendarmerie à des données intéressant l'enquête en cours et stockées  dans un autre système informatique, si ces données sont accessibles  à partir du système initial. » Le texte précise en outre que « les officiers de police judiciaire peuvent, par tout moyen, requérir toute personne  susceptible : 1) d'avoir connaissance des mesures appliquées  pour protéger les données auxquelles il est permis d'accéder Nanterre 22 mai 2015
    32. 32.  Institution d’une procédure pénale dérogatoire en matière d’atteintes  aux systèmes de traitement automatisé de données : la loi  du 13 novembre 2014 institue, à l’article 706-72 CPP, une procédure  pénale applicable à l’infraction d’atteinte aux systèmes de traitement  automatisé de données commise en bande organisée et à l'encontre  d'un système de traitement automatisé de données à caractère personnel  mis en œuvre par l'État, prévue à l’article 323-4-1 CP. Le législateur  prévoit en effet que plusieurs des mesures dérogatoires applicables en  matière de criminalité et de délinquance organisées sont désormais  applicables à l’infraction mentionnée : opérations de surveillance, d’infiltration ,enquête sous pseudonyme, écoutes téléphoniques, sonorisations et fixations d’images, captation de données informatiques et mesures conservatoires.  Nanterre 22 mai 2015
    33. 33. Pas d’accès frauduleux  Le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à l’extranet d’une agence nationale et y avait récupéré des documents dont l’accès n’était pas sécurisé. En effet, le Tribunal a retenu que « m ê m e s’iln’e st pas né ce ssaire po ur q ue l’infractio n e xiste q ue l’accè s so it lim ité par un dispo sitif de pro te ctio n, le m aître du systè m e , (… ), e n ra iso n de la dé faillance te chniq ue , n’a pas m anife sté claire m e nt l’inte ntio n de re stre indre l’accè s aux do nné e s ré cupé ré e s (… ) aux se ule s pe rso nne s auto risé e s  ». Le prévenu a donc pu légitimement penser que les données qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système. Le Tribunal retient également que le fait d’avoir téléchargé et enregistré des fichiers informatiques sur plusieurs supports ne constituait pas une soustraction frauduleuse de la chose d’autrui, ces données étant restées disponibles et accessibles à tous sur le serveur.  Jugement du 23/4/2013 sur Legalis.net.  10 JUIN 2013
    34. 34. Contrefaçon de logiciel Skype  La décompilation d’un logiciel, quand elle n’est pas réalisée dans le cadre et les limites très stricts posés par la loi, est une contrefaçon. La Cour d’appel de Caen dans un arrêt rendu le 18 mars 2015, a fait application de ce principe en condamnant l’auteur de la décompilation et de la publication du code source du logiciel Skype.
    35. 35. Abus de confiance  Constitue un abus de confiance le fait, pourun salarié, d'utiliser, au mépris de son mandat et au-delà de la limite autorisée, les moyens techniques qui lui étaient confiés.  cass. crim., 19 mars 2014, n° 12-87.416, FP-P+B+R+I :  JurisDatan° 2014-004705 ; V. aussi Dr.pén. 2014, repère5 et comm. 79  Un arrêt de la Cour de cassation du 22 octobre 2014 confirme la condamnation pénale d’un salarié ayant détourné à des fins personnelles des milliers de fichiers confidentiels. Si le droit pénal participe à la protection du patrimoine immatériel des entreprises, l’adoption d’une charte informatique est fortement conseillée.
    36. 36. Affaire Kerviel   le « trader » a été condamné par la cour d'appel de Paris pour trois infractions : abus de confiance, introduction frauduleuse de données dans un système de traitement automatisé et faux et usage. Le pourvoi formé contre sa décision contestait ces trois condamnations par trois moyens très longuement motivés reprenant assez largement le contenu de la décision de la cour d'appel pour en contester le résultat. La chambre criminelle rejette le pourvoi sur ces trois points en invoquant succinctement l'appréciation souveraine des juges du fond sur les éléments de preuve qui leur étaient soumis.
    37. 37. Usurpation d’identité et introduction frauduleuse de données  TGI de Paris , 13ème chambre , 18/12/2014 ( Légalis.net) , affaire du «  faux site «  de Rachida Dati  226-4-1 du CP  323-3 du CP
    38. 38.  Recherche sur Google et faille de sécurité : maintien frauduleux et v d’informations   arrêt du 20 mai 2015, la Cour de cassation confirme le raisonnement de la cour d’appel de Paris qui avait condamné pour maintien frauduleux et vol l’internaute qui, via une recherche complexe sur Google, avait découvert des documents confidentiels sur un extranet et les avait communiqués à un tiers. Pour la Cour, celui qui avait pris Bluetouff comme pseudo « s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire ». Elle a donc estimé que la cour d’appel, qui a caractérisé les délits en tous leurs éléments, a justifié sa décision. 
    39. 39. Loyauté de la preuve  Écoutes téléphoniques et respect du principe de loyauté  Les renseignements recueillis à l’occasion d’écoutes téléphoniques sont réguliers dès lors qu’ils ont été obtenus sans actes positifs de l’autorité publique susceptibles de caractériserun stratagème constituant un procédé déloyal.  Crim. 14 avr. 2015, F-P+B, n° 14-87.914  Crim. 14 avr. 2015, FS-P+B, n° 14-88.515
    40. 40. Politique en matière de contrefaçon   Seules les voies judiciaires classiques devaient être utilisées par les ayants droit à la suite de la découverte d'une contrefaçon sur le réseau Internet, que ce principe ne devait pas connaître d'aménagements dès lors que le contenu illicite en cause réapparaîtrait sur le réseau (après avoir déjà entraîné une première condamnation des responsables). Il n'est donc pas envisagé de créer une autorité administrative indépendante qui aurait pour mission de suivre dans le temps l'exécution des décisions de justice en ce domaine et de mettre un terme à la pratique des sites dits miroirs. Ce suivi quant à l'effectivité du prononcé de mesures de blocage devrait, pour Madame la ministre, être suffisamment garanti par le recours aux procédures de référé prévues par le Code de procédure civile.   Madame la ministre a annoncé que le suivi des signalements sur la plateforme PHAROS (Plateforme d'harmonisation, d'analyse, de recoupement, et d'orientation des signalements) serait renforcé à l'avenir (https : //www. Inte rne t-s ig nale m e nt. g o uv. fr). Cette plateforme est intégrée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication. Le signalement effectué par l'internaute (qui peut rester anonyme) a pour effet de déclencher une enquête. En pratique, en cliquant sur un bouton « SIGNALER » il est possible à l'internaute de faire connaître le caractère illicite de certains contenus ou comportements observés sur la toile. Il faut que ce soit un contenu public de l'Internet, c'est-à-dire auquel tout internaute peut accéder, depuis un site Internet, un blog ou même un forum. Il est précisé que les signalements mensongers pourront faire l'objet de sanctions ultérieures.          Min. Culture et Communication, communiqué, 11 mars 2015, Stratégie du Gouvernement concernant la lutte contre le piratage des oeuvres sur Internet : http://www.gouvernement.fr/ministre/fleur-pellerin
    41. 41. Contrefaçon retenue pour la décompilation illicite d’un logiciel Skype  La décompilation d’un logiciel doit strictement se limiter aux fins d’interopérabilité, faute de quoi elle constitue un acte de contrefaçon. CA Caen, ch. corr., 18 mars 2015, S.O. c/ Skype Ltd et Skype Software SARL, En l’espèce, le prévenu avait réussi à décompiler les codes sources du logiciel Skype qu’il avait par la suite publiés sur un blog dans un article appelé « Skype’s biggest secret revealed ». Il y affirmait avoir trouvé « l’algorythme Skype d’expansion de clé de cryptage RC4, traduit en langage informatique C et pleinement réutilisable » et le rendait disponible au public en renvoyant vers un lien contenant la décompilation.
    42. 42. Transfert de l’apologie du terrorisme dans le code pénal  L'apologie du terrorisme consiste à présenter ou commenter favorablement des actes terroristes déjà commis. Par exemple, si une personne approuve un attentat.  L'apologie se distingue de la négation. La négation d'actes terroristes est lorsqu'une personne nie totalement ou partiellement ces actes sans les approuver directement. Si elle invoque un complot par exemple.  Pour être punie, l'apologie doit avoir été faite publiquement. Le caractère public des propos s'apprécie de la même manière que pour l'injure ou ladiffamation. Ainsi, des propos tenus sur un réseau social ouvert au public peuvent être réprimé  Nanterre 22 mai 2015
    43. 43.  La provocation au terrorisme est une incitation directe à commettre des actes terroristes matériellement déterminés. Par exemple, viser tel lieu ou telle personnalité. Par le contexte, la volonté de leur auteur et les termes choisis, de tels propos visent à convaincre d'autres personnes de commettre de tels actes. Il s'agit d'une incitation à commettre des actes dans le futur et non d'une approbation d'actes déjà commis.  Il n'est pas nécessaire que de tels propos aient été tenus devant un large public. Des propos lisibles par quelques amis sur un réseau social ou prononcés lors d'une réunion privée peuvent être réprimés. 
    44. 44. Cyberattaques  Tentative d’atteinte à des systèmes informatiques réalisée dans un but malveillant.  Objectif :vol de données (secrets militaires, diplomatiques ou industriels, données personnelles, bancaires, etc.), de détruire, endommager ou altérerle fonctionnement normal de dispositifs informatiques, de prendre le contrôle de processus informatiques, ou de tromperles dispositifs d’authentification pour effectuerdes opérations illégitimes.  Elles peuvent constituer des infractions pénales donc la justice est concernée
    45. 45. Cyberterrorisme  Recrutement , propagande , formation  Vendredi 24 mai, Manuel Valls faisait part  de la "nécessité d'une action internationale de très haut niveau" dans la lutte contre le terrorisme sur Internet. "La Direction centrale du renseignement intérieur aura des moyens supplémentaires pour agir [...]  Le renseignement doit s'adapter à un terrorisme qui évolue très rapidement" a ajouté le ministre de l'Intérieur.  En savoir plus sur  http://www.lexpress.fr/actualite/monde/cyberterrorisme-l-etat-va-toujours-plus-lentement-que-les-terroristes_1250707.html#5K08A   Nanterre 22 mai 2015
    46. 46. Des cyberbraquages qui n’ont rien de virtuels Nanterre 22 mai 2015
    47. 47. Monnaies virtuelles et cyber  Ces transferts d’argent directement entre usagers d’une même monnaie électronique sont, par nature, insaisissables car ils se situent en dehors du système financier classique.  Les Etat n’ont pas d’autorité sur ces flux de monnaies transitant par les réseaux informatiques. Afin de limiter les possibilités d’un usage frauduleux, un plafond de transaction relativement bas est habituellement imposé.  Cependant, certains créateurs de monnaies virtuelles ont décidé de  ne soumettre leur clientèle à aucune limite et, en complément, de leur garantir un anonymat total, ce qui a forcément attiré la criminalité organisée.Nanterre 22 mai 2015 10 JUIN 2013
    48. 48. Cybercontournement du système bancaire Nanterre 22 mai 2015
    49. 49. Cyberblanchiment Nanterre 22 mai 2015
    50. 50. Crise et cyberéconomie  le coût lié aux violations des données pour les entreprises françaises serait en hausse de 11% par rapport à 2012. Cela représenterait un montant particulièrement conséquent de 2,86 millions d’euros par incident contre 2,55 millions d’euros en 2011 selon le rapport. Nanterre 22 mai 2015
    51. 51. Cyberméthodes: du logiciel espion au botnet Nanterre 22 mai 2015
    52. 52. Nouveaux usages , nouvelles cybercibles  Hausse du e- commerce  Convergence numérique  Développement de l’usage des réseaux sociaux  Explosion des appareils mobiles se connectant aux réseaux d'entreprise multipliant les risques de perte de données et rend la gestion de la sécurité beaucoup plus compexe.
    53. 53. Cyberproblématiques juridiques  Adapter l’arsenal juridique à l’environnement numérique  Le droit face à une nébuleuse et des nuages ( données numérique dans le Cloud)  L’adaptation des procédures face à la masse de données  La preuve numérique , question fondamentale: sécuriser les procédures Nanterre 22 mai 2015
    54. 54. Nanterre 22 mai 2015 Principales lois de 2000 à 2015  Loi du 1er aout 2OOO et du 15 novembre 2001(LSQ) : principe de conservation des données et durée  Loi du 29.08.2002 (LOPSI)  Loi du 18 .O3.2003  Loi du 21/06/2004 (LCEN): création d’un droit de l’Internet  Loi du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité  Loi du 26 /1/2006 sur la lutte contre le terrorisme  Loi du 5 /3/2007 sur la prévention de la délinquance  La loi Hadopi ou loi Création et Internet, ou plus formellement : « Loi n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet »  Loi du 12/5/2010 sur les jeux en ligne  Loi du 14 mars 2011 LOPPSI 2  Loi du 13 novembre 2014  Etc etc 1
    55. 55. Responsabilité des hébergeurs  L'hébergeur assure, à titre gratuit ou payant, le stockage de tout contenu (un blog, une vidéo...) pour le mettre à disposition du public via internet. Ce n'est qu'un intermédiaire technique et il ne choisit pas de mettre en ligne tel ou tel contenu. Il n'a pas la connaissance, ni le contrôle des contenus stockés. Et ce, même si son logo figure sur la page web où se trouve le contenu (dans le cas d'une vidéo par exemple).  Un réseau social, parce qu'il stocke des textes, des images ou des vidéos, peut être considéré comme un hébergeur.  Nanterre 22 mai 2015
    56. 56.  L'hébergeur ne peut être tenu comme responsable des contenus stockés, uniquement si :  il a eu connaissance de l'existence de ces contenus,  ces contenus présentent un caractère manifestement illicite, c'est-à-dire constituant une violation évidente d'une règle de droit,et s'il n'a pas agi promptement pour retirer ces contenus dès qu'il en a eu connaissance.Les hébergeurs ne sont pas soumis à une obligation générale de surveiller les contenus stockés. Ils ne doivent agir que lorsqu'on leur signale tel ou tel contenu précis.  Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique : article 6 : Responsabilité des hébergeurs  Loi n°82-652 du 29 juillet 1982 sur la communication audiovisuelle : article 93-3 : Nanterre 22 mai 2015
    57. 57. PLATEFORMES  Créer une nouvelle catégorie juridique pour les « plateformes » (distincte à la fois des éditeurs et des hébergeurs) qui proposent des services de classement ou de référencement de contenus, biens ou services mis en ligne par des tiers ; les soumettre à une obligation de loyauté envers leurs utilisateurs (les non professionnels dans le cadre du droit de la consommation et les professionnels dans le cadre du droit de la concurrence).   Etude annuelle du Conseil d’Etat 2014
    58. 58. Infractions et sanctions
    59. 59. Cyberattaque : un acte terroriste?  article 421-1  Modifié par LOI n°2011-266 du 14 mars 2011 - art. 18  Constituent des actes de terrorisme, lorsqu'elles sont intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but de troubler gravement l'ordre public par l'intimidation ou la terreur, les infractions suivantes :  1° Les atteintes volontaires à la vie, les atteintes volontaires à l'intégrité de la personne, l'enlèvement et la séquestration ainsi que le détournement d'aéronef, de navire ou de tout autre moyen de transport, définis par le livre II du présent code ;  2° Les vols, les extorsions, les destructions, dégradations et détériorations, ainsi que les infractions en matière informatique définis par le livre III du présent code ;  3° Les infractions en matière de groupes de combat et de mouvements dissous définies par les articles 431-13 à 431-17 et les infractions définies par les articles 434-6 et 441-2 à 441-5 ; Nanterre 22 mai 2015
    60. 60. Article 411- 9 du Code pénal  Le fait de détruire, détériorer ou détourner tout document, matériel, construction, équipement, installation, appareil, dispositif technique ou système de traitement automatisé d'informations ou d'y apporter des malfaçons, lorsque ce fait est de nature à porter atteinte aux intérêts fondamentaux de la nation, est puni de quinze ans de détention criminelle et de 225 000 euros d'amende.  Lorsqu'il est commis dans le but de servir les intérêts d'une puissance étrangère, d'une entreprise ou organisation étrangère ou sous contrôle étranger, le même fait est puni de vingt ans de détention criminelle et de 300 000 euros d'amende.  Nanterre 22 mai 2015
    61. 61.  Selon la règle 11 du manuel, "une cyber-opération constitue un emploi de la force lorsque sa dimension et ses effets sont comparables aux opérations non cyber atteignant le seuil de l’emploi de la force". Le manuel se réfère aux critères de la dimension et des effets constitutifs d’une agression armée prohibée en droit international énoncés dans l’arrêt  Affaire de s activité s m ilitaire s e t param ilitaire s au Nicarag ua de la Cour International de Justice de 1986. Nanterre 22 mai 2015
    62. 62. Droit pénal , social , commercial , civil, tous cyberconcernés  Un exemple récent :   Dans un arrêt du 16 mai 2013, la Cour de cassation a considéré qu’une boîte de courriers électroniques ne comportant pas le nom de l’entreprise, utilisée à la fois pour un usage professionnel et personnel, est présumée professionnelle, dès lors qu’elle est mise à disposition par l’employeur.  En conséquence, a-t-elle rappelé, les messages non identifiés comme personnels peuvent être ouverts par l’employeur en dehors de la présence du salarié. Elle casse et annule la décision de la cour d’appel de Pau qui avait considéré que le constat d’huissier portant sur la messagerie d’un salarié en son absence était une preuve illicite. Dans le cadre d’une affaire de détournement de clientèle et de concurrence déloyale, la société La Metallerie qui avait des soupçons sur son ex-technico-commercial avait fait réaliser un constat d’huissier de sa boîte emails, pendant sa période de préavis. L’adresse électronique ne comportait pas le nom de la société mais les nom et prénom du salarié suivi de @orange.fr. Elle était consultable depuis la page d’accueil du site de l’entreprise sur laquelle figurait une icône au nom de l’employé. Nanterre 22 mai 2015 10 JUIN 2013
    63. 63. QPC rejetée : la loi Godfrain est claire et précise  Dans une décision du 10 avril 2013, la Cour de cassation a dit n’y avoir pas lieu de renvoyer au Conseil constitutionnel la question prioritaire de constitutionnalité posée sur l’article 323-3 du code pénal.  Dans le cadre d’une affaire de fraude informatique, un prévenu qui avait été condamné à deux mois de prison avec sursis avait posé une QPC incidente sur les infractions d’introduction et de modification frauduleuses de données dans un système de traitement automatiséNanterre 22 mai 2015 10 JUIN 2013
    64. 64. Droit matériel  Les infractions  Les circonstances aggravantes Nanterre 22 mai 2015
    65. 65. Nanterre 22 mai 2015 les réponses pénales : les infractionsles réponses pénales : les infractions Les accès et maintien frauduleux dans un STAD, entrave, entente en vue de 323-1 ss CP Collecte illégale de données à caractère personnel et divulgations le détournement de finalité de fichier 226-17 et ss CP Contrefaçon de bases de données L 341-1 et L 343-4 du CPI Escroquerie et Faux et usage de faux 313-1 et 441-1 ss CP La fraude à la carte bancaire L163-4 du code monétaire et financier L’usurpation d’identité en ligne 226-4-1 CP Le blanchiment 324-1 CP
    66. 66.  Publics concernés : administrations, opérateurs de communications électroniques et personnes mentionnées à  l’article L. 34-1 du code des postes et des communications électroniques, personnes mentionnées aux 1 et 2 du I de  l’article 6 de la loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.  Objet : procédure applicable à l’accès, au titre de la sécurité nationale, de la sauvegarde des éléments essentiels  du potentiel scientifique et économique de la France ou de la prévention du terrorisme, de la criminalité et de la  délinquance organisées et de la reconstitution ou du maintien de groupements dissous, aux données de connexion  détenues par les opérateurs de télécommunications électroniques.  Entrée en vigueur : le texte entre en vigueur le 1er janvier 2015. Nanterre 22 mai 2015
    67. 67.  Notice : le décret crée un chapitre intitulé « Accès administratif aux données de connexion » au titre IV du livre II de la partie réglementaire du code de la sécurité intérieure. Il définit les données de connexion pouvant être recueillies et dresse la liste des services dont les agents individuellement désignés et dûment habilités peuvent  demander à accéder  Les agents ainsi que celles de désignation de la personnalité qualifiée placée auprès du Premier ministre à laquelle sont soumises les demandes d’accès en temps différé. Il précise également les modalités de présentation des demandes d’accès en temps différé comme en temps réel, de conservation de ces demandes ainsi que de décision.  En cas de décision favorable, il prévoit les conditions de transmission et de conservation des données recueillies. Il fixe les modalités de sécurité ainsi que celles du suivi général et du contrôle du dispositif par la commission. Enfin, l’indemnisation des coûts supportés par les opérateurs de communications électroniques, les fournisseurs d’accès à Internet et les hébergeurs lors de la mise en œuvre de la procédure est prévue. Le décret se substitue, en s’en inspirant, aux dispositions jusqu’alors prévues aux articles R. 10-15 à R. 10-21 du code des postes et des communications électroniques et à celles du chapitre II du décret no 2011-219 du 25 février 2011. Nanterre 22 mai 2015
    68. 68. La loi du 13 novembre 2014  La création d'une circonstance aggravante du piratage informatique commis en bande organisée au préjudice de l'État   L'article 323-4-1 du code pénal est un nouveau cas de figure de l'extension de la circonstance aggravante de bande organisée, aux atteintes aux systèmes de traitement automatisé de données (STAD) à caractère personnel mis en oeuvre par l'État.  Le texte ne présente aucun rattachement à la circonstance terroriste, même si l'idée de combattre le « cyberterrorisme » est prégnante dans les travaux parlementaires.  L'objectif de ce texte est de permette aux enquêteurs l'utilisation de moyens spéciaux d'investigation. En effet, comme le souligne le rapport de la commission du Sénat : « la justification première de cette modification est [...] moins de créer une nouvelle circonstance aggravante que de permettre l'application des procédures applicables en matière de criminalité organisée »(16). Le législateur a néanmoins préféré ne pas inclure ces nouvelles infractions aggravées dans la liste de l'article 706-73 du code de procédure pénale afin de ne pas les soumettre à l'ensemble du régime applicable à la criminalité organisée Nanterre 22 mai 2015
    69. 69. La généralisation de l'enquête sous pseudonyme à la délinquance et la criminalité organisées.  Le nouvel article 706-87-1 du code de procédure pénale consacre la généralisation de l'enquête sous pseudonyme à l'ensemble des infractions de criminalité organisée et aux nouveaux délits aggravés de l'article 323-4-1 du code pénal, lorsque ces infractions sont commises par un moyen de communication électronique. C'est un autre exemple de digression de la loi hors son champ initial qui, d'ailleurs, n'a pas échappé aux sénateurs : « sans doute, l'extension du procédé de cybersurveillance à l'ensemble des délits et des crimes relevant de la criminalité organisée dépasse en partie l'objet du texte, dans la mesure où le terrorisme ne représente qu'une partie de ces délits et de ces crimesNanterre 22 mai 2015
    70. 70. Dispositions relatives à la procédure pénale de droit commun   Captation de contenu informatique : l’article 57-1 CPP prévoyait déjà la possibilité pour les officiers de police judiciaire, au cours d'une perquisition effectuée dans les conditions de l’enquête de droit commun, d’accéder par un système informatique implanté sur les lieux où se déroule la perquisition, à des données intéressant l'enquête en cours, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial. La loi du 13 novembre 2014 offre aux enquêteurs une nouvelle possibilité d’accéder à un contenu  informatique.
    71. 71. Captation de données  un nouvel alinéa inséré à l’article 57-1 CPP  prévoit désormais qu’ils « peuvent également, dans les conditions de perquisition prévues au présent code, accéder par un système informatique implanté dans les locaux d'un service ou d'une unité de police ou  de gendarmerie à des données intéressant l'enquête en cours et stockées dans un autre système informatique, si ces données sont accessibles à partir du système initial. » Le texte précise en outre que « les officiers de police judiciaire peuvent, par tout moyen, requérir toute personne susceptible : 1) d'avoir connaissance des mesures appliquées pour protéger les données auxquelles il est permis d'accéder
    72. 72. Quelques jurisprudences
    73. 73. Affaire Mathieu S / Twitter : Usurpation d’identité, publication sur le réseau social et compétence territoriale  Parune ordonnance rendue le 4 avril 2013, le juge des référés du Tribunal de grande instance de Paris a condamné la société Twitter à communiquerà la victime d’une usurpation de son identité l’ensemble des éléments d’identification de l‘auteurdu faux profil.  En l‘espèce, le demandeura découvert qu’un profil avait été créé avec son nomsurle réseau social Twitter. I  il a saisi la juridiction des référés pourque soit supprimé ce faux profil et qu’il lui soit communiqué tous les éléments d’identification de l’auteur.   http://www.village-justice.com/articles/Affaire-Mathieu-TWITTER-Usurpation,14594.html#2   Nanterre 22 mai 2015 10 JUIN 2013
    74. 74. Pas d’accès frauduleux  Le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à l’extranet d’une agence nationale et y avait récupéré des documents dont l’accès n’était pas sécurisé. En effet, le Tribunal a retenu que « m ê m e s’il n’e st pas né ce ssaire po ur q ue l’infractio n e xiste q ue l’accè s so it lim ité par un dispo sitif de pro te ctio n, le m aître du systè m e , (… ), e n raiso n de la dé faillance te chniq ue , n’a pas m anife sté claire m e nt l’inte ntio n de re stre indre l’accè s aux do nné e s ré cupé ré e s (… ) aux se ule s pe rso nne s auto risé e s  ». Le prévenu a donc pu légitimement penser que les données qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système. Le Tribunal retient également que le fait d’avoir téléchargé et enregistré des fichiers informatiques sur plusieurs supports ne constituait pas une soustraction frauduleuse de la chose d’autrui, ces données étant restées disponibles et accessibles à tous sur le serveur.  Jugement du 23/4/2013 sur Legalis.net.  Nanterre 22 mai 2015
    75. 75. Jurisprudences: abus de confiance  Constitue un abus de confiance le fait, pourun salarié, d'utiliser, au mépris de son mandat et au- delà de la limite autorisée, les moyens techniques qui lui étaient confiés.  cass. crim., 19 mars 2014, n° 12-87.416, FP- P+B+R+I : JurisData n° 2014-004705 ; V. aussi  Dr. pén. 2014, repère 5 et comm. 79
    76. 76. Affaire Kerviel   le « trader » a été condamné par la cour d'appel de Paris pour trois infractions : abus de confiance, introduction frauduleuse de données dans un système de traitement automatisé et faux et usage. Le pourvoi formé contre sa décision contestait ces trois condamnations par trois moyens très longuement motivés reprenant assez largement le contenu de la décision de la cour d'appel pour en contester le résultat. La chambre criminelle rejette le pourvoi sur ces trois points en invoquant succinctement l'appréciation souveraine des juges du fond sur les éléments de preuve qui leur étaient soumis. Nanterre 22 mai 2015
    77. 77. Usurpation d’identité et introduction frauduleuse de données  TGI de Paris , 13ème chambre , 18/12/2014 ( Légalis.net) , affaire du «  faux site «  de Rachida Dati  226-4-1 du CP  323-3 du CP
    78. 78. Loyauté de la preuve  Écoutes téléphoniques et respect du principe de loyauté  Les renseignements recueillis à l’occasion d’écoutes téléphoniques sont réguliers dès lors qu’ils ont été obtenus sans actes positifs de l’autorité publique susceptibles de caractériserun stratagème constituant un procédé déloyal.  Crim. 14 avr. 2015, F-P+B, n° 14-87.914  Crim. 14 avr. 2015, FS-P+B, n° 14-88.515Nanterre 22 mai 2015
    79. 79. Politique en matière de contrefaçon   Seules les voies judiciaires classiques devaient être utilisées par les ayants droit à la suite de la découverte d'une contrefaçon sur le réseau Internet, que ce principe ne devait pas connaître d'aménagements dès lors que le contenu illicite en cause réapparaîtrait sur le réseau (après avoir déjà entraîné une première condamnation des responsables). Il n'est donc pas envisagé de créer une autorité administrative indépendante qui aurait pour mission de suivre dans le temps l'exécution des décisions de justice en ce domaine et de mettre un terme à la pratique des sites dits miroirs. Ce suivi quant à l'effectivité du prononcé de mesures de blocage devrait, pour Madame la ministre, être suffisamment garanti par le recours aux procédures de référé prévues par le Code de procédure civile.   Madame la ministre a annoncé que le suivi des signalements sur la plateforme PHAROS (Plateforme d'harmonisation, d'analyse, de recoupement, et d'orientation des signalements) serait renforcé à l'avenir (https : //www.Inte rne t-sig nale m e nt.g o uv. fr). Cette plateforme est intégrée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication. Le signalement effectué par l'internaute (qui peut rester anonyme) a pour effet de déclencher une enquête. En pratique, en cliquant sur un bouton « SIGNALER » il est possible à l'internaute de faire connaître le caractère illicite de certains contenus ou comportements observés sur la toile. Il faut que ce soit un contenu public de l'Internet, c'est-à- dire auquel tout internaute peut accéder, depuis un site Internet, un blog ou même un forum. Il est précisé que les signalements mensongers pourront faire l'objet de sanctions ultérieures.          Min. Culture et Communication, communiqué, 11 mars 2015, Stratégie du Gouvernement concernant la lutte contre le piratage des oeuvres sur Internet : http://www.gouvernement.fr/ministre/fleur-pellerin Nanterre 22 mai 2015
    80. 80. Convention du conseil de l’Europe  La Convention sur la cybercriminalité du Conseil de l’Europe est le seul instrument international contraignant concernant la question de cybercriminalité. Elle sert de lignes directrices pour tout pays élaborant une législation exhaustive en matière de cybercriminalité, mais aussi de cadre pour la coopération internationale contre la cybercriminalité parmi les Etats Parties.
    81. 81. TEXTES Européens  Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d'information et remplaçant la décision-cadre 2005/222/JAI du Conseil. - L'Union européenne se montre inquiète face au risque d'attaques terroristes menées sur les réseaux pour déstabiliser un État et à la sophistication croissante des attaques déjà menées contre les systèmes d'information (notamment par la mise en oeuvre de réseaux zombies, qui permettent la prise de contrôle à distance d'un nombre important d'ordinateurs afin de les activer, à l'insu de leurs utilisateurs, pour lancer une attaque de grande ampleur). La directive 2013/40/UE tend à l'harmonisation des législations des États membres s'agissant des infractions à instituer en la matière, telles que l'accès illégal à un système d'information, l'atteinte illégale à l'intégrité d'un système, l'atteinte illégale à l'intégrité des données et l'interception illégale. La directive invite les États membres à prévoir en la matière des peines d'emprisonnement et / ou d'amende. La France dispose déjà d'un socle répressif non négligeable dans les articles 323-1 à 323-7 du Codepénal. Les États membres ont jusqu'au 4 septembre 2015 pour transposer la directive.
    82. 82. La dimension européenne  En Février 2013, la Commission a adopté une  communication sur la stratégie de la cybersécurité   qui décrit la vision de l'UE sur la façon de renforcer la sécurité dans le cyberespace et énonce les mesures à prendre.  Nanterre 22 mai 2015
    83. 83. Renforcement contre les cyberattaques  la Commission a présenté en 2010 une proposition de directive relative aux attaques visant les systèmes d'  . La principale nouveauté de la proposition est la criminalisation de l'usage, la production et la vente d'outils (aujourd'hui surtout connu comme «botnets») à commettre des attaques contre des systèmes d'information. 
    84. 84. La dimension internationale  La Convention sur la cybercriminalité du Conseil de l’Europe est le seul instrument international contraignant concernant la question de cybercriminalité. Elle sert de lignes directrices pour tout pays élaborant une législation exhaustive en matière de cybercriminalité, mais aussi de cadre pour la coopération internationale contre la cybercriminalité parmi les Etats Parties.  La Convention est complétée par le Protocole additionnel relatif à l'incrimination d'actes de nature raciste et xénophobe commis par le biais de systèmes informatiques.
    85. 85. Procureur financier  Au 25 mars, le PNF était chargé de 236 dossiers − dont 98 en enquête préliminaire, c’est-à-dire où il a directement la charge de la conduite des enquêtes. Depuis sa création, il a directement ouvert 85 enquêtes préliminaires et 19 informations judiciaires. Sur les six dossiers qu’il a renvoyés devant un tribunal aujourd’hui jugés, seule l’affaire de fraude fiscale visant l’héritière de Nina Ricci, dont le jugement a été prononcé lundi 13 avril, lui est revenu. Les cinq autres ont été traités par le parquet de Paris.
    86. 86. Moyens d’investigation  la loi du 6 décembre 2013 a renforcé la poursuite et la répression des infractions les plus graves et complexes en matière économique et fiscale : renforcement des pouvoirs d'enquête avec la possibilité d'utiliser des techniques spéciales d'enquête, création d'un renversement de la charge de la preuve en matière de blanchiment, protection renforcée des lanceurs d'alerte, amélioration des dispositions relatives à la coopération internationale en matière de saisies et de confiscations."
    87. 87. Evolution judiciaire • Vers une juridiction spécialisée ? • 3 - "Introduire des modifications législatives pour donner les moyens à l'ANSSI d'exercer ses missions et instituer un pôle juridictionnel spécialisé à compétence nationale pour réprimer les atteintes graves aux systèmes d'information".  ( Rapport Bockel) • Vers un pôle numérique étoffé? • Vers des formations pluridisciplinaires obligatoires Nanterre 22 mai 2015
    88. 88. Convention du conseil de l’Europe  La Convention sur la cybercriminalité du Conseil de l’Europe est le seul instrument international contraignant concernant la question de cybercriminalité. Elle sert de lignes directrices pour tout pays élaborant une législation exhaustive en matière de cybercriminalité, mais aussi de cadre pour la coopération internationale contre la cybercriminalité parmi les Etats Parties.
    89. 89. Evolution en matière de protection des données personnelles  Proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, et à la libre circulation de ces données  . Nanterre 22 mai 2015
    90. 90. La dimension internationale  La Convention sur la cybercriminalité du Conseil de l’Europe est le seul instrument international contraignant concernant la question de cybercriminalité. Elle sert de lignes directrices pour tout pays élaborant une législation exhaustive en matière de cybercriminalité, mais aussi de cadre pour la coopération internationale contre la cybercriminalité parmi les Etats Parties.  La Convention est complétée par le Protocole additionnel relatif à l'incrimination d'actes de nature raciste et xénophobe commis par le biais de systèmes informatiques.
    91. 91.  Merci de votre attention  Des questions?  myriam.quemener@justice.fr

    ×