Criminalité financière et risques numériques

Criminalité financière et
risques numériques
Myriam Quéméner , avocat général, docteur en
droit

Le cybercontexteLe cybercontexte
 Porosité entre ces 3 concepts
Cyberdéfense Domaine
Etatique , ANSSI, Livre
blanc 2013
Cybersécurité, Anssi ,
sécurité des SI ,
entreprises
Cybercriminalité
Domaine du
judiciaire

Nanterre 22 mai 2015
La cybercriminalité
 Aucune définition universelle de la
cybercriminalité n’a été admise
 Elle inclut les infractions informatiques
(comme le piratage informatique) et les
infractions dites de contenu. D'une
manière générale, la cybercriminalité est
définie comme l'ensemble des infractions
pénales commises via les réseaux
informatiques.
 Tendance aujourd’hui à passer de la
cybercriminalité à la cybersécurité


QUELQUES CHIFFRES
 Plus d'un milliard de fichiers volés ou compromis en
2014, soit une augmentation de près de 80 % par
rapport à 2013.
 Près de 30 % des fraudes déclarées par les sociétés
françaises seraient rattachées à la cybercriminalité.
Près d'un quart des entreprises auraient déjà fait
l'objet d'un vol de données.

Cybercriminalité et typesCybercriminalité et types
d’infractionsd’infractions
Infractions pour lesquelles les Technologies
de l’Information et de la Communication
(TIC) sont l’objet même du délit
Infractions pour lesquelles les nouvelles
technologies sont un moyen ou un
support
Les technologies utilisées déterminent les infractions Infractions classiques de droit commun ( crimes et
délits)
Infractions liées à la
télécommunication
Infractions liées à la
téléphonie cellulaire
Infractions
informatiques
Infractions prévues
par le code pénal
Infractions prévues par
des textes spécifiques
(presse)
CODE
PENAL

Une délinquance transversale
 Une délinquance moins risquée
 Anonymat renforcée
 Industrialisation des attaques
 Abolition des frontières
 Enquêtes techniques comportant des éléments
d’extranéité
 Nomadisme , convergence numérique augmente
les risques numériques

Une délinquance complexe diversifiée et organisée
 Auteurs isolés
 « Mules » , intermédiaires
 Réseaux mafieux
 Hacktivistes
 Cybersoldats
10 JUIN 2013

Le cyberconstat
 Multiplication des attaques de grande ampleur (Bercy,
Sony, Areva , etc)
 Importance de la fraude financière
 Fuite d’informations personnelles
 Divulgations de données personnelles provenant de
systèmes d’information français compromis
 Attaques de skimming avec la vente de cartes de
paiement sur Internet : la copie de pistes
magnétiques ou l’enregistrement de codes avec un
matériel très sophistiqué est de plus en plus
fréquent.

Des enjeux financiers et
économiques forts
 Cybertraites
 Cyberpédopornographie
 Cyberblanchiment
 Cyberracket d’entreprises
 ( faux ordres de virement et cartes prépayées)

De multiples cyber
rapports
G

 Près de 20.000 sites français ont subi des attaques
les cinq derniers jours. Une opération orchestrée
pardes groupuscules de hackers rassemblant des
musulmans modérés comme des intégristes, dont
la communication est la première arme.

Transfert de l’apologie du terrorisme dans le code pénal
 L'apologie du terrorisme consiste à présenter ou commenter
favorablement des actes terroristes déjà commis. Par exemple,
si une personne approuve un attentat.
 L'apologie se distingue de la négation. La négation d'actes
terroristes est lorsqu'une personne nie totalement ou
partiellement ces actes sans les approuver directement. Si elle
invoque un complot par exemple.
 Pour être punie, l'apologie doit avoir été faite publiquement. Le
caractère public des propos s'apprécie de la même manière
que pour l'injure ou ladiffamation. Ainsi, des propos tenus sur
un réseau social ouvert au public peuvent être réprimé


Des cyberbraquages qui
n’ont rien de virtuels

Monnaies virtuelles et
cyber
 Ces transferts d’argent directement entre usagers d’une même
monnaie électronique sont, par nature, insaisissables car ils se
situent en dehors du système financier classique.
 Les Etat n’ont pas d’autorité sur ces flux de monnaies transitant
par les réseaux informatiques. Afin de limiter les possibilités
d’un usage frauduleux, un plafond de transaction relativement
bas est habituellement imposé.
 Cependant, certains créateurs de monnaies virtuelles ont décidé
de
 ne soumettre leur clientèle à aucune limite et, en complément, de
leur garantir un anonymat total, ce qui a forcément attiré la
criminalité organisée.Nanterre 22 mai 2015
10 JUIN 2013

Cybercontournement du
système bancaire

Cyberblanchiment

Cyberméthodes: du logiciel espion au botnet

Trading haute fréquence
 Le trading à haute fréquence représente tout de
même la moitié des échanges avec donc des
risques non négligeables de manipulation du
marché. Plus qu'un risque, c'est même l'objectif
du trading à haute fréquence. 90% des ordres
donnés sont annulés avant même d'avoir été
exécutés.
 risques de manipulation de cours
 Délit d’initié

Cyberproblématiques
juridiques
 Adapter l’arsenal juridique à l’environnement
numérique
 Le droit face à une nébuleuse et des nuages
( données numérique dans le Cloud)
 L’adaptation des procédures face à la masse de
données
 La preuve numérique , question fondamentale:
sécuriser les procédures

N
Principales lois de 2000 à 2015
 Loi du 1er aout 2OOO et du 15 novembre 2001(LSQ) : principe de
conservation des données et durée
 Loi du 29.08.2002 (LOPSI)
 Loi du 18 .O3.2003
 Loi du 21/06/2004 (LCEN): création d’un droit de l’Internet
 Loi du 9 mars 2004 portant adaptation de la justice aux évolutions
de la criminalité
 Loi du 26 /1/2006 sur la lutte contre le terrorisme
 Loi du 5 /3/2007 sur la prévention de la délinquance
 La loi Hadopi ou loi Création et Internet, ou plus formellement : « Loi
n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection
de la création sur internet »
 Loi du 12/5/2010 sur les jeux en ligne
 Loi du 14 mars 2011 LOPPSI 2
 Loi du 13 novembre 2014
 Etc etc
 1

Qualification juridique des
faits

 accès frauduleux dans un STAD (art. 321-1 du Code pénal) ;
 maintien frauduleux dans un STAD (art. 321-1 du Code pénal) ;
 introduction frauduleuse de données dans un STAD (art. 323-3 du Code
pénal) ;
 extraction, détention, reproduction ou transmission de données dans
un STAD (art. 323-3 du Code pénal, modifié par la loi n°2014-1353
du 13 novembre 2014, renforçant les dispositions relatives à la lutte
contre le terrorisme) ;
 détention de programmes informatiques conçus ou spécialement
adaptés pour commettre une ou plusieurs des infractions (art. 323-
3-1 du Code pénal) ;
 association de malfaiteurs informatiques (art. 323-4 du Code pénal) ;
 usurpation d’identité numérique (art. 226-4-1 du Code pénal) ;
 escroquerie (art. 313-1 et 313-3 du Code pénal) ;
 vol d’informations (art. 311-1 du Code pénal).

Présentation des types d’infractions
-Collecte de données à l’insu
des personnes
-Spamming
-Phishing / Pharming
-Usurpation d’identité / de
titreInfractions
traditionnelles:
-Vol
- Escroquerie
-Abus de confiance
-Atteintes aux systèmes (cf.
accès et maintien frauduleux
dans un STAD; déni de service)
-Atteintes aux données (cf. accès
et maintien frauduleux dans un
STAD avec influence sur les
données; défacement de sites)
Diffusion de contenus
illicites:
-Diffamation et atteinte à l’e-
réputation
-Incitation à la haine raciale
-Pédopornographie
-Contrefaçon de marques
-Contrefaçon d’œuvres
-Liens commerciaux et
cybersquatting
- Usurpation
d’identité en
ligne

Cyberattaque : un acte terroriste?
 article 421-1
 Modifié par LOI n°2011-266 du 14 mars 2011 - art. 18
 Constituent des actes de terrorisme, lorsqu'elles sont intentionnellement
en relation avec une entreprise individuelle ou collective ayant pour
but de troubler gravement l'ordre public par l'intimidation ou la
terreur, les infractions suivantes :
 1° Les atteintes volontaires à la vie, les atteintes volontaires à l'intégrité
de la personne, l'enlèvement et la séquestration ainsi que le
détournement d'aéronef, de navire ou de tout autre moyen de
transport, définis par le livre II du présent code ;
 2° Les vols, les extorsions, les destructions, dégradations et
détériorations, ainsi que les infractions en matière informatique
définis par le livre III du présent code ;
 3° Les infractions en matière de groupes de combat et de mouvements
dissous définies par les articles 431-13 à 431-17 et les infractions
définies par les articles 434-6 et 441-2 à 441-5 ;

QPC rejetée : la loi Godfrain est claire et
précise
 Dans une décision du 10 avril 2013, la Cour de
cassation a dit n’y avoir pas lieu de renvoyer au
Conseil constitutionnel la question prioritaire de
constitutionnalité posée sur l’article 323-3 du code
pénal.
 Dans le cadre d’une affaire de fraude informatique, un
prévenu qui avait été condamné à deux mois de
prison avec sursis avait posé une QPC incidente
sur les infractions d’introduction et de modification
frauduleuses de données dans un système de
traitement automatiséNanterre 22 mai 2015
10 JUIN 2013

les réponses pénales : les infractionsles réponses pénales : les infractions
Les accès et maintien frauduleux dans un STAD, entrave,
entente en vue de 323-1 ss CP
Collecte illégale de données à caractère personnel et
divulgations le détournement de finalité de fichier 226-17
et ss CP
Contrefaçon de bases de données L 341-1 et L 343-4 du CPI
Escroquerie et Faux et usage de faux 313-1 et 441-1 ss CP
La fraude à la carte bancaire L163-4 du code monétaire et
financier
L’usurpation d’identité en ligne 226-4-1 CP
Le blanchiment 324-1 CP

La répression de vol
d’éléments immatériels
 l’article 323-3 du Code pénal par l’ajout de
l’incise : « d’extraire, de détenir, de reproduire,
de transmettre ». Il s’ensuit que le texte réprime
désormais toute introduction, modification ou
suppression frauduleuse de données d’un
système automatisé de traitement (STAD), et
prévoit la sanction tant de l’appropriation que
de l’usage du contenu.


La loi du 13 novembre
2014
 La création d'une circonstance aggravante du piratage informatique commis
en bande organisée au préjudice de l'État
 L'article 323-4-1 du code pénal est un nouveau cas de figure de l'extension
de la circonstance aggravante de bande organisée, aux atteintes aux
systèmes de traitement automatisé de données (STAD) à caractère
personnel mis en oeuvre par l'État.
 Le texte ne présente aucun rattachement à la circonstance terroriste, même
si l'idée de combattre le « cyberterrorisme » est prégnante dans les
travaux parlementaires.
 L'objectif de ce texte est de permette aux enquêteurs l'utilisation de moyens
spéciaux d'investigation. En effet, comme le souligne le rapport de la
commission du Sénat : « la justification première de cette modification
est [...] moins de créer une nouvelle circonstance aggravante que de
permettre l'application des procédures applicables en matière de
criminalité organisée »(16). Le législateur a néanmoins préféré ne pas
inclure ces nouvelles infractions aggravées dans la liste de l'article 706-
73 du code de procédure pénale afin de ne pas les soumettre à
l'ensemble du régime applicable à la criminalité organisée

La généralisation de l'enquête sous
pseudonyme à la délinquance et la
criminalité organisées.
 Le nouvel article 706-87-1 du code de procédure pénale consacre
la généralisation de l'enquête sous pseudonyme à l'ensemble
des infractions de criminalité organisée et aux nouveaux délits
aggravés de l'article 323-4-1 du code pénal, lorsque ces
infractions sont commises par un moyen de communication
électronique. C'est un autre exemple de digression de la loi
hors son champ initial qui, d'ailleurs, n'a pas échappé aux
sénateurs : « sans doute, l'extension du procédé de
cybersurveillance à l'ensemble des délits et des crimes
relevant de la criminalité organisée dépasse en partie l'objet du
texte, dans la mesure où le terrorisme ne représente qu'une
partie de ces délits et de ces crimes

Dispositions relatives à la procédure pénale de droit commun

 Captation de contenu informatique : l’article 57-1 CPP prévoyait
déjà la possibilité pour les officiers de police judiciaire, au
cours d'une perquisition effectuée dans les conditions de
l’enquête de droit commun, d’accéder par un système
informatique implanté sur les lieux où se déroule la
perquisition, à des données intéressant l'enquête en cours, dès
lors que ces données sont accessibles à partir du système
initial ou disponibles pour le système initial. La loi du 13
novembre 2014 offre aux enquêteurs une nouvelle possibilité
d’accéder à un contenu
 informatique.

Captation de données
 un nouvel alinéa inséré à l’article 57-1 CPP
 prévoit désormais qu’ils « peuvent également, dans les conditions de
 perquisition prévues au présent code, accéder par un système informatique
 implanté dans les locaux d'un service ou d'une unité de police ou
 de gendarmerie à des données intéressant l'enquête en cours et stockées
 dans un autre système informatique, si ces données sont accessibles
 à partir du système initial. » Le texte précise en outre que « les officiers de police judiciaire
peuvent, par tout moyen, requérir toute personne
 susceptible : 1) d'avoir connaissance des mesures appliquées
 pour protéger les données auxquelles il est permis d'accéder

 Institution d’une procédure pénale dérogatoire en matière d’atteintes
 aux systèmes de traitement automatisé de données : la loi
 du 13 novembre 2014 institue, à l’article 706-72 CPP, une procédure
 pénale applicable à l’infraction d’atteinte aux systèmes de traitement
 automatisé de données commise en bande organisée et à l'encontre
 d'un système de traitement automatisé de données à caractère personnel
 mis en œuvre par l'État, prévue à l’article 323-4-1 CP. Le législateur
 prévoit en effet que plusieurs des mesures dérogatoires applicables en
 matière de criminalité et de délinquance organisées sont désormais
 applicables à l’infraction mentionnée : opérations de surveillance, d’infiltration ,enquête sous pseudonyme,
écoutes téléphoniques, sonorisations et fixations d’images, captation de données informatiques et
mesures conservatoires.


Pas d’accès frauduleux
 Le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé
à l’extranet d’une agence nationale et y avait récupéré des
documents dont l’accès n’était pas sécurisé. En effet, le Tribunal a
retenu que « m ê m e s’iln’e st pas né ce ssaire po ur q ue l’infractio n
e xiste q ue l’accè s so it lim ité par un dispo sitif de pro te ctio n,
le m aître du systè m e , (… ), e n ra iso n de la dé faillance te chniq ue , n’a
pas m anife sté claire m e nt l’inte ntio n de re stre indre l’accè s aux
do nné e s ré cupé ré e s (… ) aux se ule s pe rso nne s auto risé e s ». Le
prévenu a donc pu légitimement penser que les données qu’il a
récupérées étaient en libre accès et qu’il pouvait parfaitement se
maintenir dans le système. Le Tribunal retient également que le fait
d’avoir téléchargé et enregistré des fichiers informatiques sur
plusieurs supports ne constituait pas une soustraction frauduleuse
de la chose d’autrui, ces données étant restées disponibles et
accessibles à tous sur le serveur.
 Jugement du 23/4/2013 sur Legalis.net.

10 JUIN 2013

Contrefaçon de logiciel
Skype
 La décompilation d’un logiciel, quand elle n’est
pas réalisée dans le cadre et les limites très
stricts posés par la loi, est une contrefaçon. La
Cour d’appel de Caen dans un arrêt rendu le
18 mars 2015, a fait application de ce principe
en condamnant l’auteur de la décompilation
et de la publication du code source du logiciel
Skype.

Abus de confiance
 Constitue un abus de confiance le fait, pourun salarié,
d'utiliser, au mépris de son mandat et au-delà de la
limite autorisée, les moyens techniques qui lui étaient
confiés.
 cass. crim., 19 mars 2014, n° 12-87.416, FP-P+B+R+I :
JurisDatan° 2014-004705 ; V. aussi Dr.pén. 2014,
repère5 et comm. 79
 Un arrêt de la Cour de cassation du 22 octobre 2014
confirme la condamnation pénale d’un salarié
ayant détourné à des fins personnelles des milliers
de fichiers confidentiels. Si le droit pénal participe
à la protection du patrimoine immatériel des
entreprises, l’adoption d’une charte informatique
est fortement conseillée.

Affaire Kerviel
 le « trader » a été condamné par la cour d'appel de Paris pour
trois infractions : abus de confiance, introduction frauduleuse
de données dans un système de traitement automatisé et faux
et usage. Le pourvoi formé contre sa décision contestait ces
trois condamnations par trois moyens très longuement motivés
reprenant assez largement le contenu de la décision de la cour
d'appel pour en contester le résultat. La chambre criminelle
rejette le pourvoi sur ces trois points en invoquant
succinctement l'appréciation souveraine des juges du fond sur
les éléments de preuve qui leur étaient soumis.

Usurpation d’identité et introduction
frauduleuse de données
 TGI de Paris , 13ème chambre , 18/12/2014
( Légalis.net) , affaire du « faux site « de
Rachida Dati
 226-4-1 du CP
 323-3 du CP

 Recherche sur Google et faille de sécurité : maintien frauduleux et v
d’informations
 arrêt du 20 mai 2015, la Cour de cassation confirme
le raisonnement de la cour d’appel de Paris qui
avait condamné pour maintien frauduleux et vol
l’internaute qui, via une recherche complexe sur
Google, avait découvert des documents
confidentiels sur un extranet et les avait
communiqués à un tiers. Pour la Cour, celui qui
avait pris Bluetouff comme pseudo « s’est
maintenu dans un système de traitement
automatisé après avoir découvert que celui-ci
était protégé et a soustrait des données qu’il a
utilisées sans le consentement de leur
propriétaire ». Elle a donc estimé que la cour
d’appel, qui a caractérisé les délits en tous leurs
éléments, a justifié sa décision.

Loyauté de la preuve
 Écoutes téléphoniques et respect du principe de
loyauté
 Les renseignements recueillis à l’occasion d’écoutes
téléphoniques sont réguliers dès lors qu’ils ont été
obtenus sans actes positifs de l’autorité publique
susceptibles de caractériserun stratagème
constituant un procédé déloyal.
 Crim. 14 avr. 2015, F-P+B, n° 14-87.914
 Crim. 14 avr. 2015, FS-P+B, n° 14-88.515

Politique en matière de
contrefaçon

 Seules les voies judiciaires classiques devaient être utilisées par les ayants droit à la suite de la découverte d'une contrefaçon sur le
réseau Internet, que ce principe ne devait pas connaître d'aménagements dès lors que le contenu illicite en cause réapparaîtrait
sur le réseau (après avoir déjà entraîné une première condamnation des responsables). Il n'est donc pas envisagé de créer une
autorité administrative indépendante qui aurait pour mission de suivre dans le temps l'exécution des décisions de justice en ce
domaine et de mettre un terme à la pratique des sites dits miroirs. Ce suivi quant à l'effectivité du prononcé de mesures de
blocage devrait, pour Madame la ministre, être suffisamment garanti par le recours aux procédures de référé prévues par le
Code de procédure civile.

 Madame la ministre a annoncé que le suivi des signalements sur la plateforme PHAROS (Plateforme d'harmonisation, d'analyse, de
recoupement, et d'orientation des signalements) serait renforcé à l'avenir (https : //www. Inte rne t-s ig nale m e nt. g o uv. fr). Cette
plateforme est intégrée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la
communication. Le signalement effectué par l'internaute (qui peut rester anonyme) a pour effet de déclencher une enquête. En
pratique, en cliquant sur un bouton « SIGNALER » il est possible à l'internaute de faire connaître le caractère illicite de certains
contenus ou comportements observés sur la toile. Il faut que ce soit un contenu public de l'Internet, c'est-à-dire auquel tout
internaute peut accéder, depuis un site Internet, un blog ou même un forum. Il est précisé que les signalements mensongers
pourront faire l'objet de sanctions ultérieures.








 Min. Culture et Communication, communiqué, 11 mars 2015, Stratégie du Gouvernement concernant la lutte contre le piratage des
oeuvres sur Internet : http://www.gouvernement.fr/ministre/fleur-pellerin

Contrefaçon retenue pour la décompilation illicite d’un logiciel Skype
 La décompilation d’un logiciel doit strictement se limiter aux fins
d’interopérabilité, faute de quoi elle constitue un acte de
contrefaçon. CA Caen, ch. corr., 18 mars 2015, S.O. c/ Skype
Ltd et Skype Software SARL, En l’espèce, le prévenu avait
réussi à décompiler les codes sources du logiciel Skype qu’il
avait par la suite publiés sur un blog dans un article appelé
« Skype’s biggest secret revealed ». Il y affirmait avoir trouvé
« l’algorythme Skype d’expansion de clé de cryptage RC4,
traduit en langage informatique C et pleinement réutilisable »
et le rendait disponible au public en renvoyant vers un lien
contenant la décompilation.

Transfert de l’apologie du terrorisme dans le code pénal
 L'apologie du terrorisme consiste à présenter ou commenter
favorablement des actes terroristes déjà commis. Par exemple,
si une personne approuve un attentat.
 L'apologie se distingue de la négation. La négation d'actes
terroristes est lorsqu'une personne nie totalement ou
partiellement ces actes sans les approuver directement. Si elle
invoque un complot par exemple.
 Pour être punie, l'apologie doit avoir été faite publiquement. Le
caractère public des propos s'apprécie de la même manière
que pour l'injure ou ladiffamation. Ainsi, des propos tenus sur
un réseau social ouvert au public peuvent être réprimé


 La provocation au terrorisme est une incitation directe à commettre des
actes terroristes matériellement déterminés. Par exemple, viser tel
lieu ou telle personnalité. Par le contexte, la volonté de leur auteur et
les termes choisis, de tels propos visent à convaincre d'autres
personnes de commettre de tels actes. Il s'agit d'une incitation à
commettre des actes dans le futur et non d'une approbation d'actes
déjà commis.
 Il n'est pas nécessaire que de tels propos aient été tenus devant un
large public. Des propos lisibles par quelques amis sur un réseau
social ou prononcés lors d'une réunion privée peuvent être réprimés.


Cyberattaques
 Tentative d’atteinte à des systèmes informatiques
réalisée dans un but malveillant.
 Objectif :vol de données (secrets militaires,
diplomatiques ou industriels, données
personnelles, bancaires, etc.), de détruire,
endommager ou altérerle fonctionnement
normal de dispositifs informatiques, de prendre
le contrôle de processus informatiques, ou de
tromperles dispositifs d’authentification pour
effectuerdes opérations illégitimes.
 Elles peuvent constituer des infractions pénales
donc la justice est concernée

Cyberterrorisme
 Recrutement , propagande , formation
 Vendredi 24 mai, Manuel Valls faisait part de la "nécessité d'une action internationale de très haut
niveau" dans la lutte contre le terrorisme sur Internet. "La Direction centrale du renseignement
intérieur aura des moyens supplémentaires pour agir [...]
 Le renseignement doit s'adapter à un terrorisme qui évolue très rapidement" a ajouté le ministre de
l'Intérieur.
En savoir plus sur
http://www.lexpress.fr/actualite/monde/cyberterrorisme-l-etat-va-toujours-plus-lentement-que-les-terroristes_1250707.html#5K08A


Des cyberbraquages qui
n’ont rien de virtuels

Cybercontournement du
système bancaire

Crise et cyberéconomie
 le coût lié aux violations des données pour les
entreprises françaises serait en hausse de 11% par
rapport à 2012. Cela représenterait un montant
particulièrement conséquent de 2,86 millions
d’euros par incident contre 2,55 millions d’euros en
2011 selon le rapport.

Nouveaux usages , nouvelles cybercibles
 Hausse du e- commerce
 Convergence numérique
 Développement de l’usage des réseaux sociaux
 Explosion des appareils mobiles se connectant
aux réseaux d'entreprise multipliant les risques
de perte de données et rend la gestion de la
sécurité beaucoup plus compexe.

Cyberproblématiques
juridiques
 Adapter l’arsenal juridique à l’environnement
numérique
 Le droit face à une nébuleuse et des nuages
( données numérique dans le Cloud)
 L’adaptation des procédures face à la masse de
données
 La preuve numérique , question fondamentale:
sécuriser les procédures

Principales lois de 2000 à 2015
 Loi du 1er aout 2OOO et du 15 novembre 2001(LSQ) : principe de
conservation des données et durée
 Loi du 29.08.2002 (LOPSI)
 Loi du 18 .O3.2003
 Loi du 21/06/2004 (LCEN): création d’un droit de l’Internet
 Loi du 9 mars 2004 portant adaptation de la justice aux évolutions
de la criminalité
 Loi du 26 /1/2006 sur la lutte contre le terrorisme
 Loi du 5 /3/2007 sur la prévention de la délinquance
 La loi Hadopi ou loi Création et Internet, ou plus formellement : « Loi
n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection
de la création sur internet »
 Loi du 12/5/2010 sur les jeux en ligne
 Loi du 14 mars 2011 LOPPSI 2
 Loi du 13 novembre 2014
 Etc etc
1

Responsabilité des
hébergeurs
 L'hébergeur assure, à titre gratuit ou payant, le
stockage de tout contenu (un blog, une vidéo...)
pour le mettre à disposition du public via internet.
Ce n'est qu'un intermédiaire technique et il ne
choisit pas de mettre en ligne tel ou tel contenu. Il
n'a pas la connaissance, ni le contrôle des contenus
stockés. Et ce, même si son logo figure sur la page
web où se trouve le contenu (dans le cas d'une
vidéo par exemple).
 Un réseau social, parce qu'il stocke des textes, des
images ou des vidéos, peut être considéré comme
un hébergeur.


 L'hébergeur ne peut être tenu comme responsable des contenus stockés,
uniquement si :
 il a eu connaissance de l'existence de ces contenus,
 ces contenus présentent un caractère manifestement illicite, c'est-à-dire
constituant une violation évidente d'une règle de droit,et s'il n'a pas agi
promptement pour retirer ces contenus dès qu'il en a eu
connaissance.Les hébergeurs ne sont pas soumis à une obligation
générale de surveiller les contenus stockés. Ils ne doivent agir que
lorsqu'on leur signale tel ou tel contenu précis.
 Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique : article 6 :
Responsabilité des hébergeurs
 Loi n°82-652 du 29 juillet 1982 sur la communication audiovisuelle : article 93-3 :

PLATEFORMES
 Créer une nouvelle catégorie juridique pour les «
plateformes » (distincte à la fois des éditeurs et des
hébergeurs) qui proposent des services de
classement ou de référencement de contenus,
biens ou services mis en ligne par des tiers ; les
soumettre à une obligation de loyauté envers leurs
utilisateurs (les non professionnels dans le cadre
du droit de la consommation et les professionnels
dans le cadre du droit de la concurrence).
 Etude annuelle du Conseil d’Etat 2014

Article 411- 9 du Code
pénal
 Le fait de détruire, détériorer ou détourner tout
document, matériel, construction, équipement,
installation, appareil, dispositif technique ou
système de traitement automatisé d'informations ou
d'y apporter des malfaçons, lorsque ce fait est de
nature à porter atteinte aux intérêts fondamentaux
de la nation, est puni de quinze ans de détention
criminelle et de 225 000 euros d'amende.
 Lorsqu'il est commis dans le but de servir les intérêts
d'une puissance étrangère, d'une entreprise ou
organisation étrangère ou sous contrôle étranger, le
même fait est puni de vingt ans de détention
criminelle et de 300 000 euros d'amende.


 Selon la règle 11 du manuel, "une cyber-opération
constitue un emploi de la force lorsque sa dimension
et ses effets sont comparables aux opérations non
cyber atteignant le seuil de l’emploi de la force". Le
manuel se réfère aux critères de la dimension et des
effets constitutifs d’une agression armée prohibée en
droit international énoncés dans l’arrêt
Affaire de s activité s m ilitaire s e t param ilitaire s au Nicarag ua
de la Cour International de Justice de 1986.

Droit pénal , social , commercial , civil, tous cyberconcernés
 Un exemple récent :

 Dans un arrêt du 16 mai 2013, la Cour de cassation a considéré qu’une boîte de courriers
électroniques ne comportant pas le nom de l’entreprise, utilisée à la fois pour un usage
professionnel et personnel, est présumée professionnelle, dès lors qu’elle est mise à
disposition par l’employeur.
 En conséquence, a-t-elle rappelé, les messages non identifiés comme personnels peuvent être
ouverts par l’employeur en dehors de la présence du salarié. Elle casse et annule la
décision de la cour d’appel de Pau qui avait considéré que le constat d’huissier portant sur
la messagerie d’un salarié en son absence était une preuve illicite.
Dans le cadre d’une affaire de détournement de clientèle et de concurrence déloyale, la
société La Metallerie qui avait des soupçons sur son ex-technico-commercial avait fait
réaliser un constat d’huissier de sa boîte emails, pendant sa période de préavis. L’adresse
électronique ne comportait pas le nom de la société mais les nom et prénom du salarié suivi
de @orange.fr. Elle était consultable depuis la page d’accueil du site de l’entreprise sur
laquelle figurait une icône au nom de l’employé.
10 JUIN 2013

Droit matériel
 Les infractions
 Les circonstances aggravantes

les réponses pénales : les infractionsles réponses pénales : les infractions
Les accès et maintien frauduleux dans un STAD, entrave,
entente en vue de 323-1 ss CP
Collecte illégale de données à caractère personnel et
divulgations le détournement de finalité de fichier 226-17
et ss CP
Contrefaçon de bases de données L 341-1 et L 343-4 du CPI
Escroquerie et Faux et usage de faux 313-1 et 441-1 ss CP
La fraude à la carte bancaire L163-4 du code monétaire et
financier
L’usurpation d’identité en ligne 226-4-1 CP
Le blanchiment 324-1 CP

 Publics concernés : administrations, opérateurs de communications électroniques et personnes mentionnées à
 l’article L. 34-1 du code des postes et des communications électroniques, personnes mentionnées aux 1 et 2 du I de
 l’article 6 de la loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
 Objet : procédure applicable à l’accès, au titre de la sécurité nationale, de la sauvegarde des éléments essentiels
 du potentiel scientifique et économique de la France ou de la prévention du terrorisme, de la criminalité et de la
 délinquance organisées et de la reconstitution ou du maintien de groupements dissous, aux données de connexion
 détenues par les opérateurs de télécommunications électroniques.
 Entrée en vigueur : le texte entre en vigueur le 1er janvier 2015.

 Notice : le décret crée un chapitre intitulé « Accès administratif aux données de connexion » au
titre IV du livre II de la partie réglementaire du code de la sécurité intérieure. Il définit les
données de connexion pouvant être recueillies et dresse la liste des services dont les
agents individuellement désignés et dûment habilités peuvent
 demander à accéder
 Les agents ainsi que celles de désignation de la personnalité qualifiée placée auprès du Premier
ministre à laquelle sont soumises les demandes d’accès en temps différé. Il précise
également les modalités de présentation des demandes d’accès en temps différé comme en
temps réel, de conservation de ces demandes ainsi que de décision.
 En cas de décision favorable, il prévoit les conditions de transmission et de conservation des
données recueillies. Il fixe les modalités de sécurité ainsi que celles du suivi général et du
contrôle du dispositif par la commission. Enfin, l’indemnisation des coûts supportés par les
opérateurs de communications électroniques, les fournisseurs d’accès à Internet et les
hébergeurs lors de la mise en œuvre de la procédure est prévue. Le décret se substitue, en
s’en inspirant, aux dispositions jusqu’alors prévues aux articles R. 10-15 à R. 10-21 du code
des postes et des communications électroniques et à celles du chapitre II du décret no
2011-219 du 25 février 2011.

La loi du 13 novembre
2014
 La création d'une circonstance aggravante du piratage informatique commis en bande organisée
au préjudice de l'État
 L'article 323-4-1 du code pénal est un nouveau cas de figure de l'extension de la circonstance
aggravante de bande organisée, aux atteintes aux systèmes de traitement automatisé de
données (STAD) à caractère personnel mis en oeuvre par l'État.
 Le texte ne présente aucun rattachement à la circonstance terroriste, même si l'idée de
combattre le « cyberterrorisme » est prégnante dans les travaux parlementaires.
 L'objectif de ce texte est de permette aux enquêteurs l'utilisation de moyens spéciaux
d'investigation. En effet, comme le souligne le rapport de la commission du Sénat : « la
justification première de cette modification est [...] moins de créer une nouvelle circonstance
aggravante que de permettre l'application des procédures applicables en matière de criminalité
organisée »(16). Le législateur a néanmoins préféré ne pas inclure ces nouvelles infractions
aggravées dans la liste de l'article 706-73 du code de procédure pénale afin de ne pas les
soumettre à l'ensemble du régime applicable à la criminalité organisée

La généralisation de l'enquête sous
pseudonyme à la délinquance et la
criminalité organisées.
 Le nouvel article 706-87-1 du code de procédure pénale consacre
la généralisation de l'enquête sous pseudonyme à l'ensemble
des infractions de criminalité organisée et aux nouveaux délits
aggravés de l'article 323-4-1 du code pénal, lorsque ces
infractions sont commises par un moyen de communication
électronique. C'est un autre exemple de digression de la loi
hors son champ initial qui, d'ailleurs, n'a pas échappé aux
sénateurs : « sans doute, l'extension du procédé de
cybersurveillance à l'ensemble des délits et des crimes
relevant de la criminalité organisée dépasse en partie l'objet du
texte, dans la mesure où le terrorisme ne représente qu'une
partie de ces délits et de ces crimesNanterre 22 mai 2015

Captation de données
 un nouvel alinéa inséré à l’article 57-1 CPP
 prévoit désormais qu’ils « peuvent également, dans les conditions de
perquisition prévues au présent code, accéder par un système
informatique implanté dans les locaux d'un service ou d'une unité de
police ou
 de gendarmerie à des données intéressant l'enquête en cours et stockées
dans un autre système informatique, si ces données sont accessibles à
partir du système initial. » Le texte précise en outre que « les officiers de
police judiciaire peuvent, par tout moyen, requérir toute personne
susceptible : 1) d'avoir connaissance des mesures appliquées pour
protéger les données auxquelles il est permis d'accéder

Affaire Mathieu S / Twitter : Usurpation d’identité, publication
sur le réseau social et compétence territoriale
 Parune ordonnance rendue le 4 avril 2013, le juge des référés du
Tribunal de grande instance de Paris a condamné la société Twitter
à communiquerà la victime d’une usurpation de son identité
l’ensemble des éléments d’identification de l‘auteurdu faux profil.
 En l‘espèce, le demandeura découvert qu’un profil avait été créé avec
son nomsurle réseau social Twitter. I
 il a saisi la juridiction des référés pourque soit supprimé ce faux profil
et qu’il lui soit communiqué tous les éléments d’identification de
l’auteur.

http://www.village-justice.com/articles/Affaire-Mathieu-TWITTER-Usurpation,14594.html#2

10 JUIN 2013

Pas d’accès frauduleux
 Le Tribunal correctionnel de Créteil a relaxé une personne qui a accédé à
l’extranet d’une agence nationale et y avait récupéré des documents dont
l’accès n’était pas sécurisé. En effet, le Tribunal a retenu que « m ê m e s’il
n’e st pas né ce ssaire po ur q ue l’infractio n e xiste q ue l’accè s so it lim ité par un
dispo sitif de pro te ctio n, le m aître du systè m e , (… ), e n raiso n de la dé faillance
te chniq ue , n’a pas m anife sté claire m e nt l’inte ntio n de re stre indre l’accè s aux
do nné e s ré cupé ré e s (… ) aux se ule s pe rso nne s auto risé e s ». Le prévenu a
donc pu légitimement penser que les données qu’il a récupérées étaient en
libre accès et qu’il pouvait parfaitement se maintenir dans le système. Le
Tribunal retient également que le fait d’avoir téléchargé et enregistré des
fichiers informatiques sur plusieurs supports ne constituait pas une
soustraction frauduleuse de la chose d’autrui, ces données étant restées
disponibles et accessibles à tous sur le serveur.
 Jugement du 23/4/2013 sur Legalis.net.


Jurisprudences: abus de
confiance
 Constitue un abus de confiance le fait, pourun
salarié, d'utiliser, au mépris de son mandat et au-
delà de la limite autorisée, les moyens techniques
qui lui étaient confiés.
 cass. crim., 19 mars 2014, n° 12-87.416, FP-
P+B+R+I : JurisData n° 2014-004705 ; V. aussi
Dr. pén. 2014, repère 5 et comm. 79

Affaire Kerviel
 le « trader » a été condamné par la cour d'appel de Paris pour
trois infractions : abus de confiance, introduction frauduleuse
de données dans un système de traitement automatisé et faux
et usage. Le pourvoi formé contre sa décision contestait ces
trois condamnations par trois moyens très longuement motivés
reprenant assez largement le contenu de la décision de la cour
d'appel pour en contester le résultat. La chambre criminelle
rejette le pourvoi sur ces trois points en invoquant
succinctement l'appréciation souveraine des juges du fond sur
les éléments de preuve qui leur étaient soumis.

Loyauté de la preuve
 Écoutes téléphoniques et respect du principe de
loyauté
 Les renseignements recueillis à l’occasion d’écoutes
téléphoniques sont réguliers dès lors qu’ils ont été
obtenus sans actes positifs de l’autorité publique
susceptibles de caractériserun stratagème
constituant un procédé déloyal.
 Crim. 14 avr. 2015, F-P+B, n° 14-87.914
 Crim. 14 avr. 2015, FS-P+B, n° 14-88.515Nanterre 22 mai 2015

Politique en matière de
contrefaçon

 Seules les voies judiciaires classiques devaient être utilisées par les ayants droit à la suite de la découverte d'une contrefaçon sur le réseau Internet, que ce
principe ne devait pas connaître d'aménagements dès lors que le contenu illicite en cause réapparaîtrait sur le réseau (après avoir déjà entraîné une
première condamnation des responsables). Il n'est donc pas envisagé de créer une autorité administrative indépendante qui aurait pour mission de
suivre dans le temps l'exécution des décisions de justice en ce domaine et de mettre un terme à la pratique des sites dits miroirs. Ce suivi quant à
l'effectivité du prononcé de mesures de blocage devrait, pour Madame la ministre, être suffisamment garanti par le recours aux procédures de référé
prévues par le Code de procédure civile.

 Madame la ministre a annoncé que le suivi des signalements sur la plateforme PHAROS (Plateforme d'harmonisation, d'analyse, de recoupement, et
d'orientation des signalements) serait renforcé à l'avenir (https : //www.Inte rne t-sig nale m e nt.g o uv. fr). Cette plateforme est intégrée à l'Office central de
lutte contre la criminalité liée aux technologies de l'information et de la communication. Le signalement effectué par l'internaute (qui peut rester
anonyme) a pour effet de déclencher une enquête. En pratique, en cliquant sur un bouton « SIGNALER » il est possible à l'internaute de faire
connaître le caractère illicite de certains contenus ou comportements observés sur la toile. Il faut que ce soit un contenu public de l'Internet, c'est-à-
dire auquel tout internaute peut accéder, depuis un site Internet, un blog ou même un forum. Il est précisé que les signalements mensongers pourront
faire l'objet de sanctions ultérieures.








 Min. Culture et Communication, communiqué, 11 mars 2015, Stratégie du Gouvernement concernant la lutte contre le piratage des oeuvres sur Internet :
http://www.gouvernement.fr/ministre/fleur-pellerin

Convention du conseil
de l’Europe
 La Convention sur la cybercriminalité du Conseil de
l’Europe est le seul instrument international
contraignant concernant la question de
cybercriminalité. Elle sert de lignes directrices pour
tout pays élaborant une législation exhaustive en
matière de cybercriminalité, mais aussi de cadre
pour la coopération internationale contre la
cybercriminalité parmi les Etats Parties.

TEXTES Européens
 Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les
systèmes d'information et remplaçant la décision-cadre 2005/222/JAI du
Conseil. - L'Union européenne se montre inquiète face au risque
d'attaques terroristes menées sur les réseaux pour déstabiliser un État et
à la sophistication croissante des attaques déjà menées contre les
systèmes d'information (notamment par la mise en oeuvre de réseaux
zombies, qui permettent la prise de contrôle à distance d'un nombre
important d'ordinateurs afin de les activer, à l'insu de leurs utilisateurs,
pour lancer une attaque de grande ampleur). La directive 2013/40/UE
tend à l'harmonisation des législations des États membres s'agissant des
infractions à instituer en la matière, telles que l'accès illégal à un système
d'information, l'atteinte illégale à l'intégrité d'un système, l'atteinte illégale
à l'intégrité des données et l'interception illégale. La directive invite les
États membres à prévoir en la matière des peines d'emprisonnement et /
ou d'amende. La France dispose déjà d'un socle répressif non négligeable
dans les articles 323-1 à 323-7 du Codepénal. Les États membres ont
jusqu'au 4 septembre 2015 pour transposer la directive.

La dimension
européenne
 En Février 2013, la Commission a adopté une
communication sur la stratégie de la cybersécurité
qui décrit la vision de l'UE sur la façon de
renforcer la sécurité dans le cyberespace et
énonce les mesures à prendre.

Renforcement contre les
cyberattaques
 la Commission a présenté en 2010 une
proposition de directive relative aux attaques visant les systèmes d'
. La principale nouveauté de la proposition est la
criminalisation de l'usage, la production et la vente
d'outils (aujourd'hui surtout connu comme
«botnets») à commettre des attaques contre des
systèmes d'information.

La dimension
internationale
 La Convention sur la cybercriminalité du Conseil de l’Europe est le
seul instrument international contraignant concernant la
question de cybercriminalité. Elle sert de lignes directrices pour
tout pays élaborant une législation exhaustive en matière de
cybercriminalité, mais aussi de cadre pour la coopération
internationale contre la cybercriminalité parmi les Etats Parties.
La Convention est complétée par le Protocole additionnel
relatif à l'incrimination d'actes de nature raciste et xénophobe
commis par le biais de systèmes informatiques.

Procureur financier
 Au 25 mars, le PNF était chargé de 236
dossiers − dont 98 en enquête préliminaire,
c’est-à-dire où il a directement la charge de la
conduite des enquêtes. Depuis sa création, il a
directement ouvert 85 enquêtes préliminaires
et 19 informations judiciaires. Sur les six dossiers
qu’il a renvoyés devant un tribunal aujourd’hui
jugés, seule l’affaire de fraude fiscale visant
l’héritière de Nina Ricci, dont le jugement a
été prononcé lundi 13 avril, lui est revenu. Les
cinq autres ont été traités par le parquet de
Paris.

Moyens d’investigation
 la loi du 6 décembre 2013 a renforcé la poursuite
et la répression des infractions les plus graves
et complexes en matière économique et
fiscale : renforcement des pouvoirs d'enquête
avec la possibilité d'utiliser des techniques
spéciales d'enquête, création d'un
renversement de la charge de la preuve en
matière de blanchiment, protection renforcée
des lanceurs d'alerte, amélioration des
dispositions relatives à la coopération
internationale en matière de saisies et de
confiscations."

Evolution judiciaire
• Vers une juridiction spécialisée ?
• 3 - "Introduire des modifications législatives pour donner les moyens à l'ANSSI
d'exercer ses missions et instituer un pôle juridictionnel spécialisé à
compétence nationale pour réprimer les atteintes graves aux systèmes
d'information".
( Rapport Bockel)
• Vers un pôle numérique étoffé?
• Vers des formations pluridisciplinaires
obligatoires

Evolution en matière de protection des données personnelles
 Proposition de directive du Parlement européen et du
Conseil relative à la protection des personnes
physiques à l’égard du traitement des données à
caractère personnel par les autorités compétentes
à des fins de prévention et de détection des
infractions pénales, d’enquêtes et de poursuites en
la matière, ou d'exécution de sanctions pénales, et
à la libre circulation de ces données
 .

 Merci de votre attention
 Des questions?
 myriam.quemener@justice.fr

Criminalité financière et risques numériques

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (6)

En vedette

En vedette (6)

Similaire à Criminalité financière et risques numériques

Similaire à Criminalité financière et risques numériques (20)

Plus de Arrow Institute

Plus de Arrow Institute (20)

Criminalité financière et risques numériques

Notes de l'éditeur