La commission des lois et la commission des affaires européennes du Sénat, réunies conjointement le 9 juillet 2020, ont adopté le rapport d’information de Sophie Joissains et Jacques Bigot sur la lutte contre la cybercriminalité. L’arsenal législatif existant devrait permettre de lutter efficacement contre la cybercriminalité. En revanche, les poursuites restent insuffisantes. Au programme, un renforcement des poursuites et une collaboration plus étroite avec le futur parquet européen.

Périmètre de la cybercriminalité

La cybercriminalité est une délinquance protéiforme, dont l’actualité fournit des exemples quotidiens (“rançongiciels”, contenus frauduleux et trafics divers en ligne, en particulier sur le dark web, “hameçonnage”, etc.) qui concernent tant les entreprises ou les administrations que les particuliers. Son ampleur reste difficile à évaluer car les plaintes et signalements sont loin d’être systématiques. Elle représente néanmoins une menace croissante en raison de la place grandissante qu’occupe le numérique dans nos économies et nos sociétés.

Arsenal législatif suffisant

L’arsenal législatif existant devrait permettre de lutter efficacement contre la cybercriminalité. En revanche, les poursuites restent insuffisantes. Si les services de police et de gendarmerie, ainsi que les services judiciaires, ont acquis une grande compétence technique, ils restent sous-dotés. La section compétente du parquet de Paris ne compte que trois magistrats. Le rapport prône un renforcement de la cybersécurité par des actions de prévention et de formation.

Coopération policière et judiciaire internationale incontournable

Les efforts entrepris à l’échelle nationale pour combattre la cybercriminalité se heurtent aussi à son caractère transnational : les victimes se trouvent en France, mais les cyberdélinquants sont souvent à l’étranger. Une coopération policière et judiciaire internationale est donc indispensable. Il y a cependant trop de lenteur et la commission rogatoire internationale n’a pas démontré sa pleine efficacité. La convention de Budapest du Conseil de l’Europe a néanmoins permis d’harmoniser les outils d’entraide judiciaire.

L’Union européenne a pris la mesure de la menace : la lutte contre la cybercriminalité figure parmi ses priorités. Celle-ci fait l’objet d’une réglementation qui s’est progressivement enrichie et fait partie du champ de compétences des agences Europol et Eurojust.

Pour aller plus loin, il est proposé que la lutte contre la cybercriminalité fasse partie des missions du futur Parquet européen. La proposition de résolution européenne adoptée par la commission des affaires européennes invite ainsi à engager une réflexion sur l’intérêt et les modalités d’une telle extension de compétences du Parquet européen.

Liste des principales recommandations

Ont été formulées, les principales propositions suivantes :

• Mieux connaître le phénomène de la cybercriminalité en modernisant les outils statistiques de la police et de la justice et en encourageant les signalements et dépôts de plainte
• Renforcer les moyens des services enquêteurs spécialisés dans la lutte contre la cybercriminalité
• Augmenter considérablement les moyens de la section du parquet de Paris spécialisée dans la lutte contre la cybercriminalité et consolider le réseau de référents cyber dans les parquets locaux
• Approfondir les liens entre les services enquêteurs, l’autorité judiciaire et les acteurs privés du numérique afin de favoriser une meilleure connaissance mutuelle et de faciliter les investigations
• Sensibiliser l’opinion publique, notamment les plus jeunes, aux enjeux de la cybersécurité, grâce à des campagnes d’information et en mobilisant l’éducation nationale
• Élaborer dans les meilleurs délais un cadre réglementaire européen relatif à la preuve numérique (durée de conservation des données, accès aux preuves hébergées à l’étranger) compatible avec les règles relatives à la protection des données personnelles
• Inviter l’ensemble des États membres de l’Union européenne à utiliser pleinement les outils de coopération policière et judiciaire Europol et Eurojust et renforcer l’implication d’Europol dans la lutte contre la cybercriminalité par de nouveaux outils techniques et par la création d’un laboratoire d’innovation
• Inciter l’ensemble des États membres à ratifier la convention de Budapest sur la cybercriminalité et conclure les négociations sur le deuxième protocole additionnel à cette convention afin de rendre l’entraide judiciaire internationale plus efficace
• Veiller à ce que le futur partenariat entre l’Union européenne et le Royaume-Uni instaure une coopération étroite dans les domaines de la cybersécurité et de la lutte contre la cybercriminalité
• Poursuivre la réflexion sur un éventuel élargissement, à long terme, des compétences du Parquet européen à la lutte contre la cybercriminalité.

Quid d’Europol ?  

Pour rappel, l’Agence de l’Union européenne pour la coopération des services répressifs, plus connue sous le nom d’Europol, et dont le siège se trouve à La Haye, est régie par un règlement modifié en 2016, entré en vigueur le 1er mai 2017. Elle constitue le principal instrument de coopération des différents services répressifs des États membres (police, douanes, services de l’immigration). La direction centrale de la police judiciaire (DCPJ) du ministère de l’intérieur est le point de contact national avec Europol, sous la forme de l’Unité nationale Europol (UNE). Le rôle de l’agence est d’améliorer l’efficacité de ces services nationaux en facilitant leur coopération en matière de prévention et de lutte contre le terrorisme, de cybercriminalité, de trafic de drogue et d’autres formes graves de criminalité internationale. Pour autant, Europol n’est en rien un « FBI européen ».

Bien qu’Europol ne dispose pas de pouvoir d’action coercitive, et ne puisse donc pas procéder à des arrestations ou à des perquisitions, ses compétences opérationnelles s’étendent progressivement. Par exemple, l’acte du Conseil du 28 novembre 2002 a permis à Europol de participer à des équipes communes d’enquête et de demander aux États membres d’ouvrir des enquêtes pénales.

Europol a également accru ses capacités d’analyse, par exemple avec la création, en janvier 2013, du Centre européen de lutte contre la cybercriminalité (EC3), chargé notamment de l’évaluation de la menace que représente la criminalité organisée sur Internet. Ce centre comporte deux niveaux : le premier conduit des réflexions stratégiques, en lien avec des partenaires privés tels que des banques, des entreprises de télécommunications ou numériques, et le second présente une dimension opérationnelle autour de quatre entités : cyberattaques (déni de service, rançons sur Internet, attaques de réseaux, etc.), fraudes (distributeurs automatiques de billets, vol de données sur Internet, fraudes à la carte bancaire, etc.), pédopornographie et atteintes aux mineurs, et darkweb (entité transversale créée récemment). Chacune de ces entités comporte des experts nationaux et traite les plaintes reçues des autorités nationales.