Prêt depuis le mois de février 2014, le rapport Marc Robert sur la cybercriminalité a été remis lundi dernier au gouvernement, en présence notamment de la secrétaire d’Etat chargée du Numérique Axelle Lemaire. Grand public, professionnels, Etat : il formule 55 longues recommandations. Extraits choisis.
Ce rapport sur la cybercriminalité, commandé par quatre ministères (Justice, Economie, Intérieur et Numérique), et nommé « Protéger les internautes », a été mené par un groupe de travail, présidé par le procureur général près la cour d’appel de Riom, Marc Robert. Ce groupe de travail, composé entre autres d’avocats généraux à la Cour de cassation, de responsables du ministère public, de policiers, de gendarmes et de douaniers, propose une stratégie globale de lutte contre la cybercriminalité.
Le rapport, ambitieux (plus de 480 page en tout), formule pas moins de 55 recommandations visant une réponse répressive plus efficace aux nouvelles méthodes des cyberdélinquants.
Une tentative de définition
Le rapport tente dans un premier temps de donner une définition de la cybercriminalité, difficile à établir tant elle varie entre les pays, les organisations, les conventions et autres directives.
Tentant de combler les manques des uns et des autres, le rapport propose cette définition: « La cybercriminalité regroupe toutes les infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement Internet. » Avant d’ajouter « Ceci étant, la portée d’une telle définition est toute relative et, essentiellement, d’ordre pédagogique, car elle ne saurait avoir une vocation juridique ; en outre, dans un domaine qui se caractérise par son caractère transnational et l’importance que revêtent les accords internationaux, seule une définition commune au plan mondial serait véritablement opérationnelle. »
Passée cette définition, le rapport se concentre sur 3 aspects que l’on pourrait résumer en trois mots: prévention, formation et action.
Une prévention active
Retenons en ce qui concerne la prévention, que le rapport recommande une plus grande implication de l’Etat par des campagnes de sensibilisation, la création d’un 17 de l’Internet ouvert au grand public et la réalisation systématique d’études de risque précédant toute nouvelle ouverture de services dans les domaines réglementés. Le rapport préconise également l’éducation au numérique à l’école. En ce qui concerne les professionnels, le rapport souhaite les inciter à « instaurer un cahier des charges pour les établissements, publics ou privés, offrant l’accès à Internet – en arrêtant contractuellement ou en définissant en tant que de besoin les obligations préventives à respecter par le commerce en ligne, les opérateurs – notamment les fournisseurs d’accès mais aussi les plates-formes de téléchargement -, les vendeurs d’appareils numériques, sous peine d’une mise en cause financière. ». Il souhaite également que les professionnels soient incités à créer des CERT, centres d’alerte et de réaction aux attaques informatiques.
Une meilleure formation des agents répressifs
Côté formation, le rapport déplore le manque de connaissances des acteurs répressifs (policiers, gendarmes, magistrats…) – la formation des magistrats reposant uniquement sur le volontariat par exemple. Le rapport envisage quatre niveaux de formations pour les enquêteurs et les magistrats, ces formations devant être continues, ce qui n’est pas le cas aujourd’hui.
Niveau 1 : sensibilisation de tous les acteurs répressifs à la cybercriminalité.
Niveau 2 : formation d'acteurs référents « cybercriminalité », ayant vocation à être répartis au sein des services territoriaux non spécialisés dans la lutte contre la cybercriminalité.
Niveau 3 : formation d'acteurs spécialistes « cybercriminalité » pour les services et juridictions ayant une compétence spécifique dans ce domaine.
Niveau 4 : aux trois niveaux précédents, il faut ajouter un niveau plus fort d’expertise pour les services hautement spécialisés.
Une délégation interministérielle de lutte
Marc Robert souhaite la création d’un Délégation interministérielle à la lutte contre la cybercriminalité, placée directement sous la responsabilité du Premier ministre. Elle aurait trois missions.
-
Définir puis impulser une stratégie d’ensemble, en synergie avec les autorités compétentes de cyberdéfense et de sécurité des systèmes d’information.
-
Assurer, en liaison avec le ministère de la Justice, la mise à jour des instruments normatifs dans une perspective d’harmonisation, de mise en cohérence et de plus grande efficacité.
-
Définir les conditions nécessaires à une meilleure appréhension tant des menaces que de la réalité de cette délinquance, par le biais d’un observatoire ayant pour mission de définir les objectifs de nature statistique en y associant la recherche.
La création d’une plate-forme centralisée pour le traitement des cyber-escroqueries
Compte-tenu de l’inefficacité du traitement de ces infractions en fonction du lieu du dépôt de plainte, le rapport propose « de substituer au système actuel un traitement centralisé par une plateforme nationale de l’ensemble des escroqueries réalisées via Intranet, les usurpations de carte bancaire relevant toutefois d’un traitement spécifique. » Les plaintes seraient formulées en ligne et donneraient lieu à la délivrance d’un accusé de réception automatisé, sans convocation ni audition de la victime par le service d’enquête.
Une peine de suspension du droit d’accès à Internet pour les crimes sexuels touchant des mineurs
Prévue par la loi HADOPI pour la protection du droit d’auteur, « une telle peine paraît tout à fait pertinente lorsque des crimes ou délits graves sont commis au moyen d’un réseau de communications électroniques », avance le rapport. « Il est ainsi préconisé de l’ériger en peine complémentaire pour les infractions commises par un tel moyen et mettant en péril un mineur soit sous la forme de propositions sexuelles, soit par le biais de la pédopornographie, soit au titre des atteintes sexuelles », précise le rapport.
Un dispositif Schengen pour la cybercriminalité
En matière de coopération internationale, le rapport souhaite maintenir l’obligation, pour les prestataires techniques, de stockage des informations dont ils disposent, et étendre sur le plan international cette obligation.
Mais le rapport propose surtout de définir un dispositif “Schengen” de coopération simplifiée en matière de cybercriminalité, pour l’obtention des données de contenu comme pour la mise à exécution des décisions propres à mettre un terme à des activités ou contenus illégaux via Internet.
Enfin, il préconise de mener, au plan international, une action résolue contre les cyberparadis, par le biais de l’adoption de normes minimales, voire d’un processus de sanction.