Le Conseil de l'Europe s'est penché sur la difficulté de récupération des preuves électroniques nécessaires à la poursuite des cybercrimes, dans un environnement international dont la complexité s'est récemment accrue du fait du recours aux infrastructures en « cloud ». Le groupe de travail chargé de cette question vient de rendre un rapport intermédiaire, qui situe le problème et propose des pistes de réflexion.

Des sanctions marginales

Face à l'inflation galopante des méfaits de toute nature sur le net, le nombre des infractions recherchées et punies est très marginal. Le cybercrime prend de multiples visages, et touche indifféremment les personnes et les entreprises. Il peut être purement financier, lorsqu'il s'agit de détourner des données de carte bancaire ou d'ordonner de faux virements. Il est économique ou politique lorsqu'il s'agit d'infiltrer et d'espionner des entreprises ou des institutions. Il est criminel lorsque les prises de contact au travers du net sont un prélude à une atteinte aux personnes, notamment des mineurs, ou servent des trafics en tous genre.

Les cybercriminels ont prix le train du Cloud

La poursuite des cybers infractions nécessite de pouvoir disposer rapidement de certaines informations : identité des auteurs, données de connexion, contenu des messages. Dès que l'infraction a un caractère international, son investigation par les services spécialisés suppose une coopération entre États.

C'est là que le bât blesse une première fois, car les dispositions actuelles en matière d'assistance judiciaire mutuelle sont à peu près totalement inefficaces. Les délais de réponses entre États sont de l'ordre de 6 à 24 mois, ce qui est radicalement incompatible avec les exigences de rapidité d'une poursuite sur le net.

Mais ce n'est pas tout. Là où le bât blesse une seconde fois est que les cybercriminels ont pris le train du « cloud computing », qui permet d'utiliser des infrastructures en réseau où l'information est répartie entre des serveurs distants, localisés dans des territoires lointains.

Quelle juridiction compétente?

Du coup, le rapport du Conseil de l'Europe se perd en conjectures : à quel État faut-il adresser la requête d'information si le siège social du fournisseur de l'infrastructure est dans un pays, et les données fractionnées et localisées dans d'autres ? Quelles sera la juridiction compétente pour juger l'infraction : celle où se situe les données litigieuses ? Ou celles de leur auteur ? Ou celles du fournisseur de service ? Peut-on raisonnablement envisager de contraindre les États à adopter des législations contraignantes pour que les fournisseurs techniques fournissent rapidement les informations demandées ?

L'indispensable coopération

Face à tant de questions, peu de réponses. Est-il réaliste de songer à mettre en place au niveau de l'Europe un instrument législatif de plus ? Tout délinquant un peu sophistiqué, et ils le sont, va s'arranger pour se soustraire à la zone d'influence européenne pour mener à bien ses affaires. Le pouvoir de contrainte sur le net n'est pas aux mains des États Européens, et il faut prendre garde à ne pas confondre le pouvoir régalien que s'accorde un État pour « espionner » les uns et les autres, dont on fait grand cas en ce moment, avec les informations dont devraient pouvoir disposer très rapidement les juridictions d'un pays pour défendre ses ressortissants victimes de cybercrimes. Ces informations sont en grande partie aux mains des fournisseurs du net, la plupart américains, et il ne peut y avoir de justice efficace au niveau de chaque État que s'ils acceptent de coopérer. Ils le feront peut-être un jour, selon leurs propres règles, et s'ils y trouvent leur intérêt...

www.irenard-avocat.com