Les implications informatiques de la dernière loi de lutte contre le terrorisme

Publié le 17/11/2014 - CIO Online - E. Papin

Depuis le 11 septembre 2001, l’usage que les organisations terroristes peuvent faire de l’internet préoccupe les pouvoirs publics. 2014 a été marquée par les révélations sur le prosélytisme djihadiste qui peut se développer sur les réseaux sociaux. Internet est donc un enjeu de sécurité publique à différents titres : il est tout à la fois une source de contenus délictueux – contre la propagation desquels les pouvoirs publics entendent lutter – et un moyen d’investigation à la disposition des autorités de police.

L’arsenal législatif en la matière ne cesse de se développer et de se complexifier. Les lois sur le sujet se succèdent avec une belle régularité : la loi du 15 novembre 2001 relative à la sécurité quotidienne, loi du 23 janvier 2006 relative à la lutte contre le terrorisme, la loi du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure, sont toutes venues modifier le code de procédure pénal pour intégrer ce média bien particulier qu’est internet.

Le dernier texte en date est la loi du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme. Si ce texte comprend de nombreuses dispositions sans rapport avec internet, plusieurs articles concernent le réseau et plus généralement les systèmes d’information.

Le filtrage de l’internet pour lutter contre l’apologie et la provocation au terrorisme

Le législateur français flirte depuis longtemps avec la volonté de trouver dans les FAI le relais efficace de la lutte contre les contenus illicites que véhicule l’internet, particulièrement la pédopornographie et le terrorisme. Mais le blocage de sites internet sur simple décision administrative et sans décision préalable d’un juge suscite des réserves logiques dans une société démocratique où la liberté de communication et d’expression doit être garantie.

C’est la loi relative aux jeux en ligne du 12 mai 2010 qui a initié le processus. Celle-ci prévoit que le président de l’autorité de régulation des jeux en ligne (ARJEL) peut saisir le président du tribunal de grande instance de Paris afin qu’il soit ordonné aux FAI de bloquer l’accès aux sites de jeux en ligne non autorisés en France. 49 sites ont déjà été bloqués.

La LOPPSI 2 du 14 mars 2011 a ensuite instauré la possibilité pour l’autorité administrative d’enjoindre aux FAI de bloquer l’accès aux sites pédopornographiques (article 6-I 7 de la loi du 21 juin 2004 tel que modifié par la loi du 14 mars 2011). Mais cette faculté, bien que validée par le Conseil constitutionnel dans sa décision du 10 octobre 2011, est à l’origine de nombreuses résistances, parmi lesquelles celle des FAI qui pointent la relative inefficacité du filtrage et son coût, mais également celle du Gouvernement lui-même ! En effet, le décret d’application nécessaire à l’effectivité de l’article 6-I 7 a été enterré par le Gouvernement…

Peut-être va-t-il resurgir car, dans ce pas de deux que danse le législateur avec le filtrage de l’internet, la loi du 13 novembre 2014 vient de mettre à l’ordre du jour le blocage par les FAI de l’accès aux sites faisant l’apologie du terrorisme.

L’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique est aujourd’hui complété d’un article 6-I qui prévoit un dispositif de filtrage applicable tant en matière de terrorisme que de pédopornographie.

L’autorité administrative doit d’abord demander à l’éditeur du contenu ou à l’hébergeur du site de retirer les contenus en cause. Elle en informe simultanément les FAI. En l’absence de retrait de ces contenus dans un délai de vingt-quatre heures, l’autorité administrative peut notifier aux FAI la liste des « adresses électroniques des services de communication au public en ligne », comprendre les URL, des pages qui doivent être bloquées. Les FAI doivent alors empêcher sans délai l’accès à ces adresses.

Lorsque l’éditeur du site en cause n’est pas identifiable conformément à la loi française, ce qui sera pour ainsi dire toujours le cas car ces sites sont rarement hébergés en France, l’administration peut demander directement aux FAI le filtrage, sans notification préalable à l’éditeur.

Dans le but honorable d’instaurer une forme de contrôle à cette « censure » de l’internet, le législateur a prévu que les demandes de retrait devront être transmises à une « personnalité qualifiée », désignée en son sein par la CNIL. Ce « sage » a la mission de s’assurer « de la régularité des demandes de retrait ». S’il constate une irrégularité, il peut à tout moment recommander à l’autorité administrative de mettre fin au filtrage. Si l’autorité administrative ne suit pas cette recommandation, la personnalité qualifiée pourra saisir la juridiction administrative compétente, en référé ou sur requête.

Il s’agit donc de remettre le juge dans la boucle du contrôle du filtrage… mais sans le remettre tout à fait.

Les FAI ne sont pas les seuls acteurs de l’internet convoqués à la lutte contre la diffusion des messages terroristes et pédopornographiques : les moteurs de recherche peuvent également se voir notifier, selon la même procédure, des URL à déréférencer.

Last, but not least… les modalités d’application de cette procédure seront précisées par décret, notamment la compensation des surcoûts justifiés résultant des obligations mises à la charge des opérateurs. Si ce décret est aussi long à venir que celui précédemment attendu de la LOPPSI 2, au-delà des effets d’annonce, le dispositif restera lettre morte.

Renforcement des moyens d’investigations pour la police judiciaire

La nouvelle loi vient compléter les pouvoirs de perquisition des OPJ sur les systèmes informatiques.

La loi du 18 mars 2003 pour la sécurité intérieure a conféré aux officiers de police judiciaire et, sous leur responsabilité, aux agents de police judiciaire le droit d’accéder aux systèmes informatiques implantés sur les lieux où se déroule une perquisition. Ce faisant, OPJ et APJ peuvent accéder aux données stockées dans lesdits systèmes mais aussi dans un autre système informatique, dès lors que celui-ci est accessible à distance à partir du système initial.

Ce dispositif présentait la contrainte pour les OPJ de devoir effectuer leurs investigations sur le système d’instant dans les locaux mêmes où se déroule la perquisition. Le nouvel article 57-1 du Code de procédure pénal permet maintenant aux enquêteurs d’accéder au système « distant » depuis les locaux de leurs propres services disposant ainsi des conditions optimales pour recueillir et exploiter les données. Il s’agit donc d’une forme de « perquisition » à distance.

L’article 19 de la nouvelle loi étend également le champ d’application des enquêtes dites « sous pseudonyme ». La loi a ponctuellement permis à des agents spécifiquement habilités d’enquêter en ligne, sous pseudonyme, afin de recueillir des preuves d’infractions commises sur ou par l’intermédiaire du réseau. Les enquêteurs sont alors irresponsables pénalement et peuvent ainsi échanger des contenus illicites avec les personnes qui sont la cible de leurs investigations. Toutefois, les enquêteurs ne doivent pas inciter à la commission d’un délit ou d’un crime. La possibilité de réaliser des enquêtes en ligne sous pseudonyme est maintenant étendue à l’ensemble des délits et crimes relevant de la criminalité organisée.

Le vol de données informatiques consacré

L’infraction pénale qui protège principalement la propriété est le vol, ainsi défini par l’article 311-1 du code pénal : « Le vol est la soustraction frauduleuse de la chose d’autrui ». Le substantif « chose » est-il suffisamment accueillant pour rendre compte de la soustraction d’un élément incorporel comme des données ou une information ?

La jurisprudence de la cour de cassation était encore à ce jour hésitante sur cette question. Lorsque la soustraction de l’information s’opère pas le biais de la soustraction d’un bien corporel, qui en est le support, la jurisprudence a confirmé depuis longtemps que l’on était bien en présence de l’élément matériel du vol. Après le vol par photocopie, la cour de cassation a reconnu le vol par reproduction de disquettes. La cour de cassation a enfin reconnu le vol d’information, sans reproduction, dans le fait qu’un salarié ait permis à un tiers concurrent de prendre connaissance, à son domicile, de documents de l’entreprise qui l’embauche. Un nouveau pas vers le vol d’informations avait été franchi par la cour de cassation dans un arrêt du 4 mars 2008. Dans cette espèce, le vol de fichiers informatiques avait été réalisé par copie des fichiers sur support syquest depuis le serveur où ils étaient stockés. A aucun moment le détenteur légitime des fichiers n’avait été dépossédé, même temporairement, desdits fichiers, y compris pendant le temps des opérations de reproduction.

L’évolution vers la reconnaissance du « vol » de données vient de se terminer avec la loi du 13 novembre 2014 et la modification qu’elle apporte à l’article 323-3 du code pénal. L’infraction consacrée ne figure pas dans les dispositions du code relatives au vol mais a été intégrée dans le chapitre relatif aux diverses atteintes aux systèmes d’information.

L’article 323-3 punissait notamment le fait de « supprimer » ou de « modifier » frauduleusement les données d’un système d’information. Aux actions réprimées, la loi vient d’ajouter le fait « d’extraire, de détenir, de reproduire et de transmettre frauduleusement » ces données. Ainsi, l’appropriation frauduleuse d’une donnée informatique devient maintenant indubitablement un délit puni de cinq ans d’emprisonnement et de 75 000 euros d’amende.

Autres publications