Si Internet a permis à des millions de personnes d'accéder à d'innombrables informations, son développement a également engendré une nouvelle forme de délinquance : la cybercriminalité.

Qu'est-ce que la cybercriminalité ?

Forum international sur la cybercriminalité

Forum international sur la cybercriminalité.

© www.defense.gouv.fr

Agrandir l'image

Selon la Commission européenne, le terme "cybercriminalité" englobe trois catégories d'activités criminelles :

- les formes traditionnelles de criminalité, telles que la fraude et la falsification informatiques (escroqueries, fausses cartes de paiement, etc.)

- la diffusion de contenus illicites par voie électronique (par exemple, ceux ayant trait à la violence sexuelle exercée contre des enfants ou à l'incitation à la haine raciale).

- les infractions propres aux réseaux électroniques, c'est-à-dire les attaques visant les systèmes d'information, le déni de service et le piratage.

Les acteurs économiques sont des cibles de choix pour la cybercriminalité, mais les administrations publiques ou les citoyens ne sont pas plus à l'abri. Aux Etats-Unis, le Pentagone a enregistré à lui seul, en 2001, plus de 22 000 agressions électroniques contre ses systèmes et le FBI a recensé 5 000 infrastructures "extrêmement vulnérables" à la criminalité informatique capable "de déstabiliser l'économie entière d'un pays", selon Ronald L. Dick, directeur du Centre de la protection des infrastructures nationales. Le point commun de ces catégories d'infractions est que celles-ci peuvent être commises à grande échelle et que la distance géographique entre le lieu où l'acte délictueux est effectué et ses effets, peut être considérable.

La fraude et l'escroquerie en ligne prennent de plus en plus d’ampleur. En 2001, des groupes organisés en Ukraine et Russie ont piraté plus de 40 sites américains, détournant les numéros d'au moins un million de cartes de crédit. De Moscou à Tokyo en passant par Lausanne ou Paris, la police spécialisée semble dépassée par cette criminalité galopante qui profite des failles des systèmes informatiques. D'après le Conseil de l'Europe, la fraude sur les cartes de crédit s'élève à quelque 400 millions de dollars par an et les dégâts causés par les attaques de virus à près de 12 milliards de dollars.

La lutte contre la cybercriminalité

Le caractère transfrontalier de ce nouveau type d’activités criminelles appelle à un renforcement de la coopération et de la coordination internationales.

La Convention sur la cybercriminalité

Dès le 23 novembre 2001, les pays membres du Conseil de l’Europe et leurs partenaires (Etats-Unis, Canada, Japon, Afrique du Sud) ont adopté à Budapest une Convention sur la cybercriminalité. Cette dernière, entrée en vigueur le 1er juillet 2004, constitue la première convention pénale à vocation universelle destinée à lutter contre le cybercrime. Ce texte constitue une réponse globale aux crimes commis sur et à travers les réseaux informatiques. Elle poursuit trois objectifs :

- harmoniser les législations des Etats signataires en matière de cybercriminalité : à cette fin, la Convention établit des définitions communes de certaines infractions pénales commises par le biais des réseaux informatiques.

- compléter ces législations, notamment en matière procédurale : afin d’améliorer la capacité des services de police à mener en temps réel leurs investigations et à collecter des preuves sur le territoire national avant qu’elles ne disparaissent.

- améliorer la coopération internationale, notamment en matière d’extradition et d’entraide répressive.

42 États sont signataires mais seuls 14 États ont procédé à sa ratification fin 2007.

Le protocole additionnel à la Convention sur la cybercriminalité

Ouvert à la signature en janvier 2003, le Protocole additionnel à la Convention sur la cybercriminalité demande aux Etats de criminaliser la diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques. Ce Protocole élargit donc le champ d’application de la Convention afin de couvrir également les infractions de propagande raciste ou xénophobe commises via les réseaux informatiques. Il prévoit, par ailleurs, de faciliter l’extradition des contrevenants à l’intérieur de l’espace européen, ainsi que de favoriser l’entraide judiciaire pour la répression de ces agissements.

La création de l’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA)

L'ENISA a été établie par l’Union européenne en 2004 dans l’optique de garantir aux utilisateurs un plus haut degré de sécurité, les violations des réseaux de communication prenant de l'ampleur. Située en Crète, elle fonctionne comme un centre d'expertise pour les États membres, les institutions de l'UE et les entreprises. L’agence a pour mission de :

- prêter assistance et fournir des conseils à la Commission et aux États membres sur les questions liées à la sécurité des réseaux et de l'information ;

- recueillir et analyser les données relatives aux incidents liés à la sécurité en Europe et aux risques émergents ;

- promouvoir des activités d'évaluation et de gestion des risques afin d'améliorer la capacité de faire face aux menaces pesant sur la sécurité de l'information ;

- renforcer la coopération entre les différents acteurs du secteur de la sécurité de l’information ;

- suivre l'élaboration des normes pour les produits et services en matière de sécurité des réseaux et de l'information.

Le programme européen Safer Internet Plus

Proposé par la Commission européenne en mars 2004, le programme pluriannuel Safer Internet Plus (2005-2008), succédant au plan d'action Safer Internet (1999-2004), est doté d’un budget de 45 millions d’euros afin de lutter contre les contenus internet illicites et préjudiciables et de promouvoir une utilisation plus sûre d'internet et des nouvelles technologies en ligne, particulièrement pour les enfants. Le nouveau programme voit son champ d’application élargi à d’autres médias, comme les supports vidéos, et est explicitement conçu pour combattre le racisme et les communications électroniques commerciales non sollicitées (spam). Les activités menées au titre du programme sont réparties selon quatre lignes d'action :

- lutte contre les contenus illicites : des lignes téléphoniques d'urgence ("hotlines") ont été créées pour permettre au public de signaler les contenus illicites et transmettre les informations à l'organisme qui est en mesure d'agir (fournisseur de service internet ou police, par exemple) ;

- traitement des contenus non désirés et préjudiciables : le programme finance des mesures technologiques qui permettent aux utilisateurs de limiter le volume de ces contenus et de gérer les spams reçus, ainsi que de mettre au point de meilleurs filtres ;

- promotion d'un environnement plus sûr : afin de renforcer l'autorégulation du secteur, la Commission met à la disposition des organismes nationaux de corégulation ou d'autorégulation le "Forum pour un Internet plus sûr" pour favoriser l'échange d'expériences ;

- sensibilisation : les actions de sensibilisation visent les différentes catégories de contenus illicites, non désirés et préjudiciables et prennent également en compte les questions connexes telles que la protection des consommateurs, la protection des données et la sécurité des informations et des réseaux (virus, spams, etc.).

La protection des données personnelles

Logo de la CNIL

CNIL (Commission nationale de l’informatique et des libertés)

Agrandir l'image

A l'origine, internet servait principalement à relier des chercheurs en informatique. La circulation des documents ne posait donc aucun problème de confidentialité et les données étaient acheminées en clair sur le réseau. Mais, l'ouverture d'internet à un usage commercial a modifié les comportements. Des informations confidentielles circulant sur les liaisons, la sécurité des communications est devenue une préoccupation importante des internautes et des entreprises. Tous cherchent à se protéger contre une utilisation frauduleuse de leurs données ou contre des intrusions malveillantes dans les systèmes informatiques.

Le vol d’informations privées

La facilité des intrusions ou divulgations de données à caractère personnel est apparue comme une menace pour la vie privée, les libertés individuelles et publiques. La question est aujourd'hui particulièrement préoccupante du fait du développement du commerce électronique qui se fonde notamment sur un  "marché" des données personnelles : celles-ci sont en effet des outils de marketing permettant au commerçant de fidéliser son client en lui proposant un service sur mesure déduit de l'analyse de son comportement sur le réseau. Ainsi, les annonceurs publicitaires ont recours à des spyware ou logiciels espions, installés sur l'ordinateur à l'insu de l'utilisateur, qui collectent des informations sur l'internaute ou ses habitudes de connexion.

Un autre phénomène mettant en danger la protection des données personnelles des internautes se développe actuellement : le phishing ou hameçonnage. Il s'agit d'un courrier électronique qui persuade l'utilisateur de révéler des données personnelles sensibles par usurpation d'identité en imitant un site internet censé représenter une véritable société. Le courrier électronique non sollicité a donc cessé d'être une simple nuisance et devient peu à peu une activité de nature frauduleuse. En effet, les "polluposteurs" louent ou vendent désormais à des sociétés, aux fins de prospection, les listes d'adresses électroniques qu'ils ont récoltées.
Il n'existe pas de parade absolue garantissant l'échec des tentatives de vol d'informations sur internet mais des outils technologiques se développent comme les pare-feu, le cryptage des données, les outils de filtrage du courrier électronique ou encore les services de signalement des "pollupostages" par les internautes.

Législation et conventions internationales

Du point de vue législatif, la lutte contre la collecte et le traitement déloyaux de données à caractère personnel débute avec l’adoption par la France, de la "loi relative à l'informatique, aux fichiers et aux libertés" [PDF, 560 Ko] du 6 janvier 1978, qui institue la Commission nationale de l'informatique et des libertés (CNIL), autorité chargée de veiller à la protection des données personnelles et de la vie privée. Dans ce cadre, la CNIL vérifie que la loi est respectée en contrôlant les applications informatiques, prononce des sanctions, établit des normes et propose au gouvernement des mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques.

Puis en 1981, le Conseil de l’Europe élabore la "Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel" qui reste à ce jour, dans ce domaine, le seul instrument juridique contraignant sur le plan international, à vocation universelle, ouverte donc à l'adhésion de tout pays y compris non membre du Conseil de l'Europe. Cette Convention définit un certain nombre de principes pour que les données soient collectées et utilisées de façon loyale et licite. Ainsi, elles ne peuvent être collectées que dans un but précis et ne peuvent être utilisées de manière incompatible avec ce but ; elles doivent être exactes, proportionnées à cet objectif et conservées uniquement pendant le délai nécessaire à sa réalisation. Le texte établit, en outre, le droit d'accès et de rectification de la personne concernée et exige une protection spéciale pour les données sensibles (notamment celles concernant l'appartenance religieuse, les opinions politiques ainsi que les données génétiques ou médicales).

Dans le droit fil de cette Convention du Conseil de l’Europe, l’Union européenne a adopté en octobre 1995 la directive 95/46/CE qui constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Celle-ci met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne. Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données. Tous les Etats membres ont maintenant transposé la directive. Néanmoins, les actions entreprises au sein de l'UE restent encore insuffisantes pour faire face aux menaces que représentent le pourriel, les espiogiciels et les logiciels malveillants. Internet étant un réseau mondial, la Commission européenne souhaite développer le dialogue et la coopération avec les pays tiers concernant la lutte contre ces menaces et les activités criminelles qui y sont associées.

Le droit de propriété intellectuelle

Logo : OMPI (Organisation mondiale de la propriété intellectuelle)

La multiplication des possibilités de diffuser des contenus culturels sur internet conduit à une remise en cause généralisée du droit d’auteur. De nombreux agents économiques, notamment à travers les sites internet, les réseaux pair à pair (peer-to-peer) ou les blogs, utilisent des contenus protégés par la propriété intellectuelle en s’exonérant de toute autorisation des auteurs. Ces pratiques, de plus en plus courantes, répandent dans l’opinion publique l’idée d’une culture gratuite. Le phénomène est observable au niveau mondial et présente des risques majeurs pour les auteurs et leurs ayants droit et, plus largement, pour l’industrie culturelle.

Le pair à pair (peer-to-peer)

Depuis 1999, l'utilisation des réseaux d'échange de fichiers de pair-à-pair (P2P) est de plus en plus importante. Ces réseaux facilitent considérablement la mise en commun et le partage de ressources numérisées de toute nature (fichiers textes, audio, vidéo et logiciels) entre plusieurs individus sans transiter par un serveur central. Mais, si les réseaux P2P rendent possible la diffusion légale d'œuvres non protégées à une échelle mondiale, ils peuvent également être le vecteur de la copie et du recel illicites de contenus auxquels s'appliquent le droit d'auteur. Certains fichiers peuvent, en outre, contrevenir à des dispositions pénales (racisme, pédo-pornographie, etc…).

L’action internationale

Ce commerce de produits contrefaits et piratés se développant, l’Organisation mondiale de la propriété intellectuelle (OMPI) a mis en place, en 2004, des conférences régulières dans le cadre du Congrès mondial sur la lutte contre la contrefaçon et le piratage, en partenariat avec Interpol et l’Organisation mondiale des douanes (OMD). Ces rencontres ont pour objectif de réunir de hauts responsables du secteur public et des dirigeants d'entreprise afin de mettre en commun leurs expériences, de développer des stratégies concrètes en matière d’application des droits et d’élaborer des recommandations et des programmes internationaux pour lutter contre cette forme de criminalité qui menace le développement économique et la sécurité des consommateurs, et en réduire les effets.

Les solutions pour lutter contre la contrefaçon et le piratage

Au-delà des dispositions répressives, d’autres solutions sont à l’étude :

Le contrôle d’accès

Les systèmes numériques de gestion des droits (les Digital Right Management Systems, DRMS) permettent de distribuer des œuvres en ligne selon des usages contrôlés : achat d’un titre musical, possibilité de le copier une ou deux fois, de le lire, de le faire passer d’un ordinateur à un baladeur, de le prêter. Grâce aux DRMS peut en effet être envisagée la mise en place d’offres légales en ligne. Le marché de la vente en ligne de musique a décollé en 2004 mais reste marginal par rapport au niveau des échanges en P2P (le volume des fichiers payants téléchargés représenterait moins de 5% du nombre des fichiers téléchargés gratuitement. Mais le droit exclusif protégé par des DMRS ne semble pas pouvoir s’imposer de manière unique dans la mesure où il ne tient pas compte des caractéristiques particulières des réseaux (systèmes d’échanges fondés sur le principe de parité et pas seulement mode de distribution).

La licence légale

La possibilité d’appliquer un système de licences légales donnant accès librement aux œuvres moyennant une compensation financière versée aux ayants droit a également été envisagée. Mais, si l’un des avantages de cette solution consiste à prendre acte d’une pratique sociale massivement répandue en la légalisant tout en assurant une rémunération aux titulaires des droits, ce modèle présente cependant de nombreux inconvénients. Quel taux de taxe envisager afin de récolter des sommes suffisantes ? Quelles catégories de contenus doivent être concernées ? Comment répartir les fonds récoltés ? Comment assurer la viabilité de telles solutions au-delà des décisions prises par quelques Etats ?

A cette solution publique difficile à mettre en pratique répondent des formes de transferts privés qui connaissent un certain succès, dans lesquelles les productions culturelles sont utilisées comme produit d'appel. C'est l'exemple d'Apple, qui, grâce à l'écoute de son site iTunes Music Store, commercialise ses baladeurs numériques Ipod.

Le libre accès

La mise à disposition gratuite d'œuvres avec le consentement de leurs auteurs répond à une logique prenant pour référence le mouvement du logiciel libre. Parce que le consentement des auteurs est requis, il s'agit de modèles très différents de ceux des réseaux ou des sites qui exploitent des contenus sans l'accord des titulaires des droits, s'exposant ainsi à des poursuites pour violation de la propriété intellectuelle. De nouveaux outils juridiques d'abord testés dans l'univers du logiciel se sont répandus dans le domaine culturel : les licences de type Creative commons constituent des tentatives pour donner aux auteurs un cadre juridique contractuel complémentaire au droit d'auteur afin de leur permettre de partager leurs œuvres sans en perdre le contrôle.

Le cas de la France, la loi DADVSI

En adoptant le 1er août 2006 la loi relative au droit d’auteur et aux droits voisins dans la société de l’information (DADVSI), la France a transposé la directive européenne du 22 mai 2001 sur le droit d’auteur. Lors du débat parlementaire, deux positions autour des pratiques de téléchargement se sont opposées : celle favorable à l'instauration d'une licence globale, qui a été rejetée par les parlementaires au grand dam de nombreux internautes, des associations de consommateurs et de certaines sociétés d’interprètes, et celle défendue avec succès par les organisations d’auteurs, de producteurs et des industriels de la culture, qui préfèrent limiter les exceptions au droit d’auteur, renforcer la protection technique et juridique des œuvres et sanctionner les pratiques illicites. Les opposants à la licence globale estiment que la rémunération issue d’un système de licence globale ne couvrirait pas les investissements réalisés et jugent donc ce système menaçant pour la création.

Ainsi, le texte légalise les dispositifs de protection anti-copie pour les auteurs et les ayants droit qui diffusent leur œuvre sur internet. Ces dispositifs sont définis comme étant "des mesures techniques efficaces (brouillage, cryptage, application d’un code d’accès, etc...) destinées à empêcher ou limiter les utilisations non autorisées par le titulaire d’un droit". Il s’agit de la légalisation des DRMS. Le principe de l’exception pour copie privée (possibilité de copier une œuvre pour son usage personnel) est reconnu mais des sanctions sont prévues en cas de contournement des mesures techniques anti-contrefaçon. La loi prévoit la création d’une Autorité de régulation des mesures techniques (ARMT) qui sera chargée de veiller à la garantie de la copie privée et à l’interopérabilité des mesures techniques de protection, c’est-à-dire de s’assurer qu’elles n’empêchent pas de lire les œuvres légalement acquises sur différents types de support. Elle fixera également le nombre de copies privées autorisées et tranchera les litiges entre les consommateurs et les ayants droit (auteurs, interprètes, etc.). Enfin, le téléchargement et la mise à disposition de fichiers soumis au droit d’auteur depuis un logiciel d’échange "pair à pair" étaient considérés comme des contraventions dans le projet de loi et le texte prévoyait des sanctions graduées allant de 38 à 150 euros. Saisi par des députés, le Conseil constitutionnel, dans sa décision du 27 juillet 2006, les a requalifiés comme des délits de contrefaçon, ce qui autorise des peines allant jusqu’à 3 ans d’emprisonnement et 300 000 euros d’amende.

Protecteurs des créateurs et de leurs rémunérations, les droits de propriété intellectuelle dans la société de l’information sont l’objet de polémiques, pris entre l’objectif de financement de la création et de la protection de la valeur de celle-ci et l’objectif d’accès du plus grand nombre aux œuvres de l’esprit, qui prévalait dans la définition de la société de l'information.

En novembre 2007, un accord est signé en France par l’État, les professionnels de l’audiovisuel, du cinéma, de la musique et les fournisseurs d’accès à internet, sur la base du rapport de la mission confiée à Denis Olivennes, président de la FNAC. Intitulé "Le développement et la protection des oeuvres culturelles sur les nouveaux réseaux", le texte du rapport prévoit notamment l'installation d'une autorité administrative chargée de superviser la lutte contre le téléchargement pirate.

Mis à jour le 03/11/2011

 

Autres contenus apparentés

Ressources complémentaires

Le centre de documentation

Un espace de consultation sur l'information légale et citoyenne.

Ouvert à tous, 29 Quai Voltaire, Paris 7ème

En savoir plus

Le centre d'information Europe Direct

Partez à la découverte de l'Union Européenne : actualité, législation, actions, brochures gratuites, informations et conseils.

Ouvert à tous, 29 Quai Voltaire, Paris 7ème

En savoir plus

 

Pub [Publicité]