32 1 247KB
SEMINAIRE DE FORMATION SUR LA CYBERCRIMINALITE
Thème : Le traitement juridique de la cybercriminalité : aspects nationaux, régionaux et internationaux.
Module 1 : Introduction générale à la cybercriminalité La modernisation des infractions: les cyber infractions
M. Papa Assane TOURE Magistrat Conseiller Technique au Ministère de la Justice Docteur en Droit Privé et Sciences Criminelles Expert en Cyberdroit
1
INTRODUCTION GENERALE A LA CYBERCRIMINALITE Le développement moderne des technologies de l’information et de la communication (TIC) constitue, de nos jours, un tournant majeur de la civilisation humaine1. Mais, l’essor contemporain des réseaux numériques a entrainé l’apparition d’une nouvelle forme de criminalité charriée par les premières lueurs de la société sénégalaise de l’information, appelée « cybercriminalité ». Le cyberespace est devenu criminogène. En effet,
l’espace dématérialisé
qu’offrent les TIC, notamment Internet, est de plus en plus le lieu virtuel de commission de divers agissements répréhensibles2. L’attaque dont a été victime le site officiel du Gouvernement du Sénégal3 en mai 2001 de la part d’un pirate informatique se disant membre de la « Hack Army »4 ainsi les actes sabotage informatique par cheval de Troie dirigés contre le site d’information en ligne nettali.com en janvier 20085, ont fini de convaincre de l’expansion de la cybercriminalité au Sénégal. Le phénomène cybercriminel est difficile à conceptualiser. Cette difficulté d’appréhension conceptuelle tient en partie au fait qu’il ne fait l’objet d’aucune définition légale6. C’est certainement la raison pour laquelle il y a en doctrine une diversité de conceptions de la cybercriminalité. Mais, il est possible de retenir un modèle conceptuel du phénomène cybercriminel résultant des travaux du onzième congrès des Nations Unies pour la prévention du crime et la justice pénale du 18 au 25 avril 2005. Selon les conclusions du congrès, l’infraction informatique recouvre : « tout comportement interdit par la législation et/ou par la jurisprudence qui: a) est dirigé contre les technologies de calcul électronique et de communication elles-mêmes; b) fait intervenir l'utilisation de technologies numériques pour la commission de l'infraction; et c) suppose l'utilisation incidente d'ordinateurs pour la commission d'autres infractions »7. Il s’agit ainsi des comportements infractionnels qui supposent l’implication des technologies numériques (systèmes, logiciels, données informatiques, cartes bancaires, Internet etc.) dans le processus criminel soit objet soit comme moyen de commission d’infractions. La cybercriminalité présente des particularités criminologiques certaines. En effet, il est devenu classique de la présenter sous les traits d’une délinquance marquée essentiellement par l’immatérialité
1
P.DANDJINOU, « Les nouvelles technologies de l’information et de la communication (T.I.C) et les objectifs du Millénaire pour le développement en Afrique », in « l’Afrique et les objectifs du Millénaire pour le développement en Afrique », P.N.U.D 2003, p. 552 2 W. CAPELLER, « Un net pas très net », in « l’immatériel et le droit », Arch. phil. dr, n° 143, p. 167 ; M. QUEMENER et J. FERRY, Cybercriminalité. Défi mondial, 2e édition, Economica, 2009, p. 1 ; M.QUEMENER, « Cybercriminalité : aspects stratégiques et juridiques », in « De la cybercriminalité à la cyberguerre », Rev.Déf.nat.séc.coll, mai 2008, p. 23 3 http://www.gouv.sn 4 V. « Le site Web du Gouvernement attaqué par un hacker », in Batik, Osiris, n° 22, mai 2001, p. 4 5 Ch. Mb. GUISSE, « Sabotage et destruction du site Nettali.com : le parquet aux trousses d’un « cheval de Troie » : http://www.osiris.sn/article3464.html 6 En ce sens, M. QUEMENER et Y.CHARPENEL, Cybercriminalité ; Droit pénal appliqué, Economica, Paris, 2010, p. 7, n° 27. 7 Onzième Congrès des Nations Unies pour la prévention du crime et le traitement des délinquants, Bangkok, 18-25 avril2005, disponible sur http : //www. un.org/ events /11thcongress /docs /bkkcp15f.pdf
2
de son objet8, la « transnationalité » de sa nature, la fugacité de ses contenus ainsi que par l’anonymat de ses acteurs. Ces spécificités de la cybercriminalité ont vite favorisé un brouillage des repères des mécanismes traditionnels d’appréhension de la criminalité. Les réponses traditionnelles du système pénal, conçues et élaborées pour un environnement matérialisé et national, se sont vite révélées inadaptées pour saisir la délinquance de l’âge du numérique9. Ces difficultés d’appréhension juridique de la cybercriminalité dans l’ordre pénal ont été aggravées par la rigueur des méthodes d’interprétation pénale postulant une interprétation stricte de la loi pénale. Les principales infractions pénales à la disposition des juges et des douaniers conçues pour la répression de formes classiques de criminalité se sont souvent révélées inadaptées au traitement de la cybercriminalité. Pourtant, à l’image de l’espace terrestre maritime ou aérien, le cyberespace n’est pas une zone de non droit et ne saurait être rebelle à toute activité régulatrice de ses contenus10. Dans ce contexte de mutations de l’ordre pénal, il a paru nécessaire pour l’architecture pénale du Sénégal d’apporter des réponses adaptées à la cybercriminalité, en vue de conjurer le développement de paradis numériques préjudiciables à l’éclosion d’une société de l’information sécurisée. Les pouvoirs publics sénégalais ont, dès janvier 2005, entrepris, un vaste chantier juridique de réforme ayant donné naissance à plusieurs textes de loi, dont la loi n° 2008-11 du 25 janvier 2008 portant sur la cybercriminalité qui a été intégré au Code pénal et au Code de procédure pénale et la loi n° 2008-41 du 20 août 2008 sur la cryptologie et son décret d’application n°2010-1209 du 13 septembre 2010. Récemment, le nouveau code des douanes adopté a pris en charge certains aspects de la cybercriminalité dans les activités de la douane. Ce texte a été marqué par l’érection de certaines cyberinfractions en délits douaniers de la troisième classe (art. 392 du code des douanes) et l’érection de la contrefaçon en en délits douanier de la première classe (article 390 du code des douanes). Ce nouveau texte a également innové en mettant à disposition des douaniers de nouvelles techniques d’investigation dans l’environnement électronique (saisie électronique et infiltration) Au plan régional, la CEDEAO a adopté une directive du 19 août 2011portant lutte contre la cybercriminalité ayant pour objet de l’harmonisation des législations pénales des Etats Membres.
8
M.VIVANT, « L’immatériel, nouvelle frontière pour un nouveau millénaire », J.C.P, éd.G, 2000, I. 193 ; P. SIRINELLI et M. VIVANT, De l’irrésistible ascension de l’immatériel, R.L.D.I, n°1, janvier 2005, p. 3 9 En ce sens, A CISSE, « Quel cadre juridique pour le Sénégal ? Éléments de synthèse », Séminaire « Informatique et libertés, quel cadre juridique pour le Sénégal ? » A.D.I.E, Dakar 29 et 30 août 2005 ; ND. DIOUF, « La procédure pénale à l’épreuve des nouvelles technologies de l’information », Rev. Ass. sén. dr. pén, n° 5, 6,7 et 8, 1997-1998, p.13 ; P.A TOURE, « L’audit des normes applicables à la cybercriminalité », Communication, Séminaire, « Informatique et libertés, quel cadre juridique pour le Sénégal ? », ADIE, Dakar, 29 et 30 août 2005. 10 Ph. AMBLARD, Régulation de l’Internet, l’élaboration des règles de conduite par le dialogue internormatif, Facultés Universitaires Notre Dame de la Paix de Namur, Bruyant, Bruxelles, 2004, p. 1 3
La loi uniforme de l’UEMOA du 3 septembre 2008 relative à la répression des infractions en matière de chèque, de carte bancaire et autres instruments et procédés électroniques de paiement a prévu un dispositif de répression des fraudes portant sur les instruments électroniques de paiement. Dans le cadre de l’OAPI, l’Annexe VII de l’Accord relatif à la création d’une Organisation Africaine de la Propriété Intellectuelle (OAPI) conclu à Bangui le 02 mars 1977, modifiée en 1999, a procédé à une extension du champ des œuvres protégeables au titre du droit d’auteur aux programmes d’ordinateur et aux bases de données. Plus récemment, la 23e session ordinaire de la conférence de l’Union africaine tenue le 27 juin 2014 à Malabo ( Guinée équatoriale) a adopté la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel. Cette convention comporte un chapitre III consacré à la promotion de la cybersécurité et à la lutte contre la cybercriminalité. A l’échelle internationale il n’existe pas encore une convention au niveau des Nations Unies consacrée à la lutte contre le cybercrime. Mais, le Conseil de l’Europe a adopté la Convention de Budapest sur la cybercriminalité du 23 novembre 2001 ouverte à l’adhésion des Etats non membres du Conseil de l’Europe. Il s’agit alors du premier traité international contre le phénomène de la cybercriminalité. Au Sénégal, comme dans les instances internationales, la gouvernance de la lutte contre la cybercriminalité est passée par l’articulation d’un véritable mouvement de modernisation des infractions pénales11. Les rédacteurs de la loi du 25 janvier 2008 sur la cybercriminalité et du nouveau code des douanes ont eu pour souci de dissiper le malaise des autorités judiciaires et des agents de l’administration douanière, par la création d’incriminations nouvelles spécifiques aux TIC en vue de combler les vides juridiques constatés dans la législation pénale (I) et par l’adaptation des incriminations classiques aux dites technologies (II)
I.
L’adoption d’incriminations nouvelles spécifiques aux TIC
L’essor contemporain de la révolution numérique a généré l’apparition de nouveaux « biens » caractérisés par leur immatérialité qualifiés par la doctrine de « biens informationnels »12 ou de « biens informatiques »13. Il s’agit notamment des systèmes informatiques, des données informatiques, des logiciels des bases de données, des réseaux informatiques.
11
Sur toute cette question, P. A. TOURE, Le traitement de la cybercriminalité devant le juge : l’exemple du Sénégal, l’Harmattan, 2014, p. 284 et s 12 M.VIVANT, « A propos des biens informationnels », J .C.P, 1984, éd. G. I. 3132. 13 J.DEVEZE, « Le vol des biens informatiques », J.C.P. 1985, I ,3210 ; J-P. BUFFELAN-LANORE, « La protection des biens informatiques », P.A, 6 juillet 1990, n° 81. 4
Sous l’angle de l’analyse pénale, lorsque ces nouvelles valeurs sont la cible d’actions criminelles, au moyen de procédés nouveaux (accès frauduleux, diffusion de virus etc.), il en résultait un vide juridique dans l’arsenal pénal sénégalais14 Le comblement de ces vides juridiques s’est articulé autour de la protection pénale des systèmes informatiques (A) et de la protection pénale des données informatiques (B) et de la répression des infractions informatiques (C). A. La protection pénale des systèmes informatiques Dans la société contemporaine de l’information, les systèmes informatiques, lieux de traitement de l’information, occupent une place stratégique dans la vie sociale et économique. Au Sénégal, la plupart des entreprises et des administrations publiques fonctionnent à l’aide de systèmes, voire de réseaux électroniques garantissant l’interconnexion entre plusieurs systèmes. Aussi, sont-ils l’objet de manipulations et de diverses cyberattaques15. Au Sénégal la loi n° 2008-11 du 25 janvier 2008 portant sur la cybercriminalité et le nouveau code des douanes ont envisagé une protection pénale générale des systèmes informatiques. Il importera d’abord de cerner les contours de cette notion de système informatique (1) avant d’analyser les atteintes au système informatique (2)
1. La notion de système informatique Le concept de « système informatique » appelé « système d’information », est une notion très large. Le nouveau code des douanes assure une protection pénale aux « systèmes informatiques douaniers » sans les définir. Selon l’article 431-7 du Code pénal issu de la loi sur la cybercriminalité, on entend par système informatique : « tout dispositif isolé ou non, tout ensemble de dispositifs interconnectés assurant en tout ou partie, un traitement automatisé de données en exécution d’un programme ». Cette approche du système est conforme aux définitions données à cette notion par la convention de Budapest sur la cybercriminalité du 23 novembre 2001 et par la Directive de la CEDEAO du 19 août 2011 portant lutte contre la cybercriminalité. Le système informatique douanier peut être assimilé à un dispositif de traitement de données servant au fonctionnement du service public douanier. A cet égard, le système GAINDE peut être considéré comme un système informatique douanier. Le système peut être un ordinateur pris isolément, d’un terminal de paiement électronique, d’un smatphone, ou d’un réseau informatique (intranet)
14
M. THIOBANE, « Le paradis pénal du cyberspace » : www.osiris.sn/article2085.html ; H.D. NDIAYE,« Législation en matière d’Internet : c’est le désert total dans notre pays » : www.osiris.sn 15 S. DE MAUPEOU, « De la vulnérabilité à la crise des systèmes d’information », in « la criminalité numérique », Cah. Séc, 2008, n° 6, Doc. fr, p. 122. 5
Récemment, dans l’affaire « Pneumeca » jugée par le tribunal régional hors Classe de Dakar le 18 septembre 200916 les juges ont assimilé un ordinateur pris isolément à un système informatique au sens de la loi. La même qualification a été donnée à un terminal de paiement électronique installée dans un bijouterie en vue de faciliter les transactions17 et au site web « leral.net »18 Dans l’affaire « David America », il a été jugé d’un distributeur automatique de billets mis en place par la banque le Crédit du Sénégal constitue une partie du système bancaire19 Le contexte contemporain est marqué l’apparition d’une délinquance des réseaux et l’utilisation par les hackers de techniques très perfectionnées leur permettant de « zigzaguer » à l’intérieur des systèmes ou entre différents systèmes transnationaux. Les juges sénégalais ont ainsi eu l’occasion de considérer que le réseau de transfert électronique d’argent dit « Wari » géré par la société Cellular system international20 ainsi que le réseau électronique de l’agence de voyage Delta permettant de faire des réservations électroniques au profit de clients21 peuvent être assimilés à des systèmes informatiques au sens légal du terme. Les auteurs contemporains s’accordent pour reconnaître à l’Internet ( le réseau des réseaux) la qualification de système informatique22. En théorie, il n’est pas nécessaire que le système informatique soit muni d’un dispositif de sécurité pour bénéficier de la protection pénale. Mais, en pratique, la présence d’un dispositif de sécurité (mot de passe, dispositif de cryptologie etc.) constitue un moyen pour le juge d’établir la preuve de l’élément moral des différentes atteintes aux systèmes informatiques 2. Les atteintes au système informatique La législation sénégalaise et les textes internationaux protègent la confidentialité et l’intégrité des systèmes informatiques qui constituent autant de valeurs nouvelles du cyberespace. a. Les atteintes à la confidentialité des systèmes informatiques La confidentialité des systèmes informatiques est garantie par deux infractions : l’accès frauduleux et le maintien dans un système informatique. L’accès frauduleux à un système informatique « hacking » ou piratage informatique est érigé en cyberinfraction par l’article 431-8 Code pénal du Sénégal. L’article 392 du code des douanes incrimine l’accès frauduleux à un système informatique douanier. Ces textes sanctionnent: « quiconque aura accédé ou tenté d’accéder frauduleusement à tout ou partie d’un système informatique… » 16
V. T.R.H.C Dakar, n° 4241/ 09 du 18 septembre 2009, Affaire Pneuméca, jugement inédit TRHC Dakar, 2e Ch. Corr., 21 janvier 2010, Affaire Fulgence BAHI, jugement inédit. 18 T.R.H.C Dakar, n° 458 du 04 juin 2013, affaire Leral.net, inédit 19 T.R.H.C Dakar, n° 1087 du 22 mars 2011, affaire América DAVID, inédit 20 T.R.H.C Dakar, du 17 avril 2012, affaire du système WARI, inédit 21 T.R.H.C Dakar, n° 4423 du 20 décembre 2011, affaire Eric Donys SIMEU et autres, inédit 22 A. HOLLANDE et X.LINANT DE BELLEFONDS, Pratique du droit de l’informatique, Logiciels, Systèmes Internet, 6eédition, Delmas, 2008, p. 350 ; E. DREYER, Droit pénal spécial, Ellipses, 2008, p. 365. 6 17
Un jugement du tribunal régional de Dakar du 18 septembre 200923 a eu l’occasion de proposer une définition précise de l’accès à un système. Selon le tribunal : «l’accès frauduleux à un système consiste à une intrusion, une pénétration par une personne dans le système sans y être autorisé, à l’aide de manipulations ou de manœuvres quelconques, c'est-à-dire à l’établissement d’une communication avec le système (…) » Il peut s’agir d’un forcement d’un dispositif de sécurité, de l’utilisation d’un code d’accès ou d’une adresse Internet obtenue par fraude ou même à l’aide d’un programme espion. Il a été jugé que constitue l’infraction le fait pour le collaborateur d’une société spécialisée dans la vente de pneumatiques d’accéder aux données de l’ordinateur du directeur commercial de ladite société à son insu, avant de se faire envoyer dans sa propre boîte électronique des informations commerciales24 . Dans l’affaire Eric Donys SIMEU jugée le 20 décembre 2011, le tribunal régional Hors Classe de Dakar25 a déclaré une personne coupable d’accès frauduleux à un système informatique pour avoir pénétré dans le réseau informatique de l’agence de voyage Delta, avant de procédé frauduleusement à des réservations de billets Dakar-Atlanta-Dakar moyennant le versement de la somme de 1.600.000 francs CFA. Récemment, un jugement du 17 avril 2012 du tribunal régional hors classe de Dakar, rendu à propos de l’affaire « Wari », a condamné pour accès frauduleux à un système, un ancien salarié de la société gérant le système « Wari » qui s’est introduit dans ce système avant de procéder à des transferts frauduleux d’argent au profit d’un de ses amis. Le maintien frauduleux dans un système est prévu par l’article 431-9 Code pénal sénégalais et par l’article 392 du code des douanes. Ce texte sanctionne « quiconque se maintient ou aura tente de se maintenir frauduleusement dans tout ou partie d’un système informatique». Le législateur réprime le fait pour un individu non habilité, d’avoir accédé par hasard ou par erreur à un système ou bénéficiant d’une autorisation de connexion limitée dans le temps, de se maintenir dans le système au lieu d’interrompre sa connexion. Dans un arrêt de la Cour de Cassation française du 3 octobre 200726, un salarié avait reçu, au cours de sa période d’essai, un code confidentiel permettant de se connecter gratuitement à une banque de données commerciales. La haute juridiction a jugé qu’il avait commis le délit de maintien frauduleux dans un système informatique, en utilisant pendant plus de deux ans ce code qui n’est accessible qu’aux personnes autorisées alors qu’il avait quitté l’entreprise27
23
T.R.H.C Dakar, n° 4241 du 18 septembre, affaire Pneuméca précitée. V. T.R.H.C Dakar, n° 4241/ 09 du 18 septembre 2009, jugement précité. 25 T.R.H.C Dakar, n° 4423 du 20 décembre 2011, affaire Eric Donys SIMEU et autres, inédit 26 Cass.crim. 3 octobre 2007 ; Dr. pén, décembre 2007, comm, p. 37, n° 158 27 M. LECARDONNEL, « Utilisation d’un code d’accès au-delà de la période autorisé : maintien frauduleux », Expertises, Janvier 2008, Doct, p. 26 7 24
b. Les atteintes à l’intégrité des systèmes informatiques Les infractions portant atteinte à l’intégrité des systèmes sont prévues par l’article 431-10 Code pénal sénégalais et par l’article 392 du code des douanes. Ces textes assurent aux systèmes d’information une protection similaire à celle dont bénéficient les biens corporels classiques contre les destructions, dégradations et dommages. Aux termes de ce texte : « quiconque aura entravé ou faussé ou aura tenté d’entraver ou de fausser le fonctionnement d’un système informatique sera puni d’un emprisonnement d’un (1) an à cinq (5) ans et d’une amende de 5.000.000 à 10.000.000 francs ». Cette infraction protège surtout les systèmes contre les infections informatiques qui sont programmes destinés à perturber le fonctionnement ou à détruire les éléments indispensables à leur fonctionnement normal (virus, vers informatiques, chevaux de Troie etc.). Au Sénégal, dans le courant du mois de janvier 2008, le site d’information nettali.com a subi des actes de sabotage informatique, à la suite de la diffusion d’un cheval de Troie envoyé depuis son forum de discussion, ce qui a occasionné pendant un certain temps l’indisponibilité de son serveur28. L’entrave est un comportement réalisé au moyen d’actions positives, ayant pour résultat d’empêcher l’aboutissement du traitement informatique29. L’entrave suppose une action positive à l’exclusion de simples abstentions. Un arrêt de la Cour d’Appel de Paris du 15 mars 1994 a condamné pour entrave au fonctionnement du système informatique une personne qui avait introduit une bombe logique dans le système d’une entreprise dans le but de garantir le paiement de redevances de maintenance30. Le « mail bombing », consistant à un envoi massif de courriers à un serveur, peut constituer une entrave au fonctionnement du système informatique, s’il a pour effet de perturber son fonctionnement31. Un jugement du tribunal de grande instance du Mans du 7 novembre 2003 a déclaré coupable du délit d'entrave au fonctionnement d'un système de traitement automatisé de données, une personne qui avait envoyé en masse des mails par le biais de fausses adresses électroniques à une société en saturant ses boites électroniques32 L’action de fausser le fonctionnement du système constitue une action sur le système informatique qui, sans empêcher son fonctionnement, lui fait produire un résultat différent de ce qui était escompté33. On peut citer les chevaux de Troie, comme forme d’action de fausser le fonctionnement du système. A l’image de la légende relatant la prise de Troie par les grecs, cette technique frauduleuse consiste à insérer un programme apparemment inoffensif dans un système qui sera exécuté comme
28
Ch. Mb. GUISSE, « Sabotage et destruction du site Nettali.com : Le parquet aux trousses d’un cheval de Troie » : http://www.osiris.sn/article3464.html 29 J. P. BUFFULAN, « Les nouveaux délits informatiques », Expertises, n° 104, 1988, p. 101. 31
D. FOREST, « Nouvel éclat de jurisprudence sur le mail bombing », Expertises, mai 2007, p. 187. T.G.I Mans 7 novembre 2003, Gaz. Pal. 18-20 juillet 2004, p. 4, obs. E. Barby; V. dans le même sens T.G.I Paris 24 mai 2002, disponible http://www.juriscom.net; dans le même sens, TGI Nanterre, 8 juin 2006, Expertises, mai 2007, p. 187. 33 M. VIVANT (dir.), Lamy droit de l’informatique et des réseaux, Lamy SA, 2009, p. 1934, n° 3281 8 32
partie intégrante du programme. Elle permet de modifier de façon imperceptible, soit le système d’exploitation, soit le programme lui-même34.
c. Les atteintes à la disponibilité des systèmes informatiques Ces atteintes ont pour siège l’article 431-11 Code pénal et l’article 392 du code des douanes qui incriminent quiconque aura frauduleusement, introduit ou tenté d’introduire frauduleusement des données dans un système informatique L’introduction est opération technique consistant à incorporer des caractères magnétiques nouveaux dans un système35. Elle peut avoir des effets non négligeables dans le système puisqu’elle peut se traduire par un changement d’état du système informatique. Dans le jugement rendu par le tribunal de grande instance de Paris le 25 février 2000 dans l’affaire dite Humpich, le prévenu, après avoir pénétré frauduleusement dans le système de traitement automatisé du GIE Cartes Bancaires, avait inséré sur des cartes bancaires de nouvelles données aptes à le tromper. Le tribunal a jugé que ces manœuvres consomment le délit d’introduction frauduleuse de données dans un système36.
B. La protection pénale des données informatiques Le droit pénal sénégalais a entrepris de conceptualiser la notion de donnée informatique (1) avant de décliner les différentes atteintes aux données (2).
1. Le concept de donnée informatique Le nouveau code des douanes n’a pas défini la notion de données informatique. Mais, l’article 1e du Code des douanes a une approche très large de la notion de « document » considéré comme « tout support où des données sont enregistrées ou inscrites et qui peut être lu ou compris par une personne ou par un système informatique ou par un autre dispositif »37. En droit pénal commun, la
«donnée informatisée» désigne « toute représentation de faits,
d'informations ou de concepts sous une forme qui se prête à un traitement informatique »38. La donnée informatique est la représentation numérisée de l’information, c'est-à-dire l’information ayant fait l’objet d’un traitement informatique. Il ne s’agit que d’un support électronique de l’information, en tant que message porteur de signification destiné à être communiqué (une information peut avoir pour support le papier ou la pierre ou le papyrus). Sous ce rapport, toute donnée informatique est une information, mais toute information n’est pas forcément une donnée électronique.
34
M.QUEMENER et J.FERRY, Cybercriminalité. Défi mondial, 2e édition, Economica, 2009, p.2 M. VIVANT (dir.), Lamy droit de l’informatique et des réseaux, Lamy SA, 2009, p. 1934, n° 3285. 36 T.G.I Paris, 13e Ch. 25 février 2000, affaire Humpich, Expertises, Avril 2000, p. 112. 37 V. art. 1e du Code des douanes 38 V. article 431-7 Code pénal sénégalais 35
9
La donnée informatique peut se présenter sous forme d’image, de vidéo, de fichier ou de son, l’essentiel est qu’elle doit avoir une forme numérique.
2. Les atteintes aux données informatiques. Les infractions relatives aux données informatiques s’articulent autour des atteintes à leur confidentialité et des atteintes à leur intégrité. a. Les atteintes à la confidentialité des données informatiques La confidentialité des données est garantie par le délit d’interception frauduleuse de données informatisées prévu par l’article 431-12 Code pénal sénégalais et par l’article 392 du code des douanes conçu par référence au délit classique de violation du secret des correspondances écrites39. Ce texte réprime le fait d’intercepter frauduleusement des données informatiques par des moyens techniques lors de leur transmission non publique à destination en provenance ou à l’intérieur d’un système informatique. Cette infraction garantit le secret des données électroniques lors de leur transmission, conformément à l’article 13 de la Constitution sénégalaise du 7 janvier 2001 consacrant le principe du secret des correspondances électroniques. Le tribunal de grande instance de Paris a déjà, par un jugement du 2 novembre 200040 , admis que le courrier électronique, qui relève de la correspondance privée, est couvert par le principe du secret des correspondances dans les conditions du droit commun41. Mais, pour être sanctionnée, l’interception doit être effectuée sans droit. En effet, certains impératifs liés à la sécurité nationale et à l’ordre public ont incité le législateur à habiliter les autorités judiciaires à collecter des données relatives au contenu de communications. C’est du moins ce qui ressort de l’article 677-38 du Code de procédure pénale issu de la loi du 25 janvier 2008 portant sur la cybercriminalité. Ce texte permet au juge d’instruction et aux officiers de police judiciaire, si les nécessités de l’information l’exigent, d’utiliser les moyens techniques appropriés pour collecter ou enregistrer en temps réel, les données relatives au contenu de communications.
b. Les atteintes à l’intégrité des données informatiques. L’article 431-13 Code pénal sénégalais et l’article 392 du Code des douanes incriminent l’endommagement, l’altération, la modification la détérioration, l’effacement frauduleux de données informatiques.
39
V. art. 167 du Code pénal sénégalais. T.G.I Paris 2 novembre 2000, J.C.P, édit. G, 2000, n° 49, Actualité, p. 2219 ; Gaz. Pal. 6-7 décembre 2000, p. 49 ; D. 2000, Inf. Rap. p. 286 ; Expertises, décembre 2000, p. 369 ; Adde L. RAPP, « Secret des correspondances et courriers électroniques », D. 2000, n° 41, Point de vue, p. III. 41 En ce sens, V. « Le secret des correspondances est applicable aux messages électroniques », D. 2000, Inf. Rap. p. 286 ; X. BUFFET DELMAS et F.BITAN, « Le courrier électronique est protégé par le secret des correspondances », Les échos, 4 décembre 2000, p. 63 10 40
Il résulte de ces textes qu’il n’est pas nécessaire que les données informatiques soient contenues dans le système d’information. Ces atteintes recoupent des techniques de fraude comme la gomme, le tripatouillage ou le maquillage de données électroniques. Dans l’affaire de la société « Kajas » jugée par la quatrième Chambre Correctionnelle du tribunal régional Hors classe de Dakar le 21 juin 201242, une jeune femme licenciée par la société « Kajas » a été déclarée coupable de détérioration frauduleuse de données informatiques au sens de l’article 431-13 du code pénal. La prévenue, qui venait d’être licenciée, avait supprimé de son ordinateur portable de service des données relatives à la gestion de la société à une époque où le conseil d’administration devait se tenir. C. Les infractions informatiques Les infractions informatiques visent la falsification et la fraude informatique. La falsification informatique Cette infraction consiste à produire ou à fabriquer un ensemble de données numérisées par l’introduction, l’effacement ou la suppression frauduleuse de données informatiques stockées, traitées ou transmises par un système informatique, engendrant des données contrefaites, dans l’intention qu’elles soient prises en compte ou utilisées à des fins légales comme si elles étaient originales43. L’adoption de cette incrimination spécifique était devenue une nécessité en ce que les enregistrements et traces informatiques ne pouvaient être assimilés à de l’écrit au sens du droit commun du faux. Cette infraction protège l’authenticité des données informatiques, à l’image du faux du droit commun. Par exemple ce délit peut consister à modifier frauduleusement des clauses relatives au prix de vente dans un contrat électronique liant des parties. Avant l’adoption de la loi sur la cybercriminalité, la première chambre correctionnelle du tribunal régional de Dakar dans l’affaire de la Direction du Traitement Automatique de l’Information (D.T.A.I) jugée le 5 septembre 200844, avait admis la possibilité d’un faux portant sur les fichiers informatiques de gestion des logements conventionnés commis par des agents de la D.T.A.I. Il faut préciser que l’usage des données contrefaites, réprimé par l’article 431-15 du code pénal, n’a pas été érigé en délit douanier par le nouveau Code des douanes. La fraude informatique L’article 431-1 du Code pénal du Sénégal sanctionne « quiconque aura obtenu frauduleusement, pour soi-même ou pour autrui, un avantage quelconque, par l’introduction, l’altération, l’effacement ou la suppression de données informatisées ou par toute forme d’atteinte au fonctionnement d’un système informatique ».
42
T.R.H.C Dakar, 4e ch. n° 385 du 21 juin 2012, affaire de la société Kajas, inédit. V. art. 431-14 Code pénal sénégalais et article 292 du Code des douanes ; article 441-1 du nouveau Code pénal français. 44 T.R.H.C.Dakar, n° 499/ 2008 du 5 septembre 2008, affaire de la Direction du Traitement Automatique de l’Information (DTAI), jugement inédit. 11 43
Cette infraction sanctionne les manipulations informatiques réalisées en vue de porter atteinte au patrimoine d’autrui. Il s’agit d’une sorte d’escroquerie dirigée contre une machine. Le droit pénal sénégalais a incriminé une forme particulière de fraude informatique dans l’article 431-8 alinéa 2 du Code pénal et dans l’article 392 du code des douanes. Ce texte sanctionne «celui qui se procure ou tente de se procurer frauduleusement, pour soi-même ou pour autrui, un avantage quelconque en s’introduisant dans un système informatique ». Dans l’affaire Fulgence BAHI45, la deuxième chambre Correctionnelle du tribunal régional Hors Classe de Dakar a jugé que le fait pour une personne d’utiliser une carte de paiement falsifiée en accédant au terminal de paiement électronique d’une banque installé dans une bijouterie, en se faisant remettre des bijoux d’un montant de sept millions de francs CFA, constitue une fraude informatique. Le droit pénal communautaire de l’UEMOA réprime les infractions relatives aux cartes bancaires et autres instruments électroniques de paiement46 dans les articles 15 et suivants de la loi uniforme n° 2008-48 du 3 septembre 2008 relative à la répression des infractions en matière de chèque, de carte bancaire et autres instruments et procédés électroniques de paiement. Il s’agit notamment de la contrefaçon, de la falsification d’une carte bancaire ou tout autre instrument électronique de paiement, de l’usage ou la tentative d’usage d'une carte bancaire ou de tout autre instrument électronique de paiement contrefait, falsifié ou obtenu frauduleusement. Ces textes répriment également la détention ou le fait d’accepter, de recevoir un paiement au moyen d'une carte bancaire ou de tout autre instrument électronique de paiement contrefait, falsifié ou obtenu frauduleusement.
B. L’adaptation des incriminations classiques aux TIC. L’analyse de l’édifice pénal sénégalais classique a montré que lorsque les actions malveillantes ayant pour cible des composantes immatérielles des TIC (systèmes, données, fichiers, logiciels etc.) sont réalisées au moyen de procédés connus de la législation, les juridictions étaient confrontées à l’inadaptation de la plupart des instruments répressifs à leur disposition. C’est la raison pour laquelle la réforme du cadre juridique de la société de l’information a procédé à une adaptation des infractions classiques aux TIC, par une dématérialisation de l’objet des infractions contre les biens (1) et par une extension de l’objet des atteintes à la propriété intellectuelle (2) 1. La dématérialisation de l’objet des infractions contre les biens Dans une approche classique, le droit pénal sénégalais des atteintes juridiques aux biens était un corps de règles particulièrement « infecté de matérialisme »47. En effet, le Code pénal de 1964 dans sa
45
TRHC Dakar, 2e Ch. Corr., 21 janvier 2010, Affaire Fulgence BAHI, jugement inédit. W. JEANDIDIER, « Les trucages et usages frauduleux de cartes magnétiques », in 18e Congrès A.F.D.P, « Le droit criminel face aux technologies modernes de la communication », Economica, et A.D.I, 1986, p. 221. 47 G. VERMELLE, « L’immatériel et la répression », in « l’immatériel et le droit », Arch. phil dr, tome 43, p. 213. 12 46
rédaction initiale, inspiré du code pénal français de 1810, était surtout orienté vers la protection pénale de biens corporels, à l’exclusion des biens immatériels. Pourtant, l’avènement de la société de l’information a fini par hisser l’information au statut de « bien » marchand ayant une valeur stratégique très convoitée dans les rapports humains. Curieusement, le Code des douanes n’a pas envisagé d’adapter les infractions classiques aux TIC se contentant d’ériger des infractions nouvelles (atteintes aux systèmes et aux données) en délits douaniers. A l’occasion de la réforme du cadre juridique des TIC, la loi sur la cybercriminalité a esquissé une politique de protection pénale de l’information. La loi pénale incrimine le vol d’information, l’escroquerie d’information et le recel d’information.
a. Le vol d’information L’article 431-53 du Code pénal a consacré la théorie du vol d’information. Selon ce texte : « la soustraction frauduleuse d’information au préjudice d’autrui est assimilée au vol ». Désormais, il semble que les données électroniques contenues dans les serveurs peuvent être volées, à l’image des biens corporels classiques48. Avant l’entrée en vigueur de la loi sur la cybercriminalité, le jugement du 9 mai 2006 du tribunal régional Hors Classe de Dakar, dans l’affaire de la Clinique du Cap49 confirmé par l’arrêt de la Cour d’Appel du 16 avril 200750, avait déjà admis la possibilité d’un vol, par simple copiage de données électroniques stockées dans un ordinateur51. Le juge pénal sénégalais a eu l’occasion de faire application de l’article 431-53 du code pénal dans un jugement rendu par le tribunal régional de Thiès le 18 septembre 2012, à propos de l’affaire de l’Agence New Look Business. Dans cette espèce, P. Y., ingénieur informaticien, chargé du service de la clientèle de l’Agence New Look Business, avait pendant son service, copié dans sa clé USB des données de l’agence relatives aux clients et aux actes de cession. Après avoir cessé ses fonctions à ladite agence, il proposait à ses responsables la remise de la clé USB moyennant le versement de la somme de 1.500.000 francs CFA. Il a été déclaré coupable de vol par copiage des données. Mais ces décisions ne sont pas à l’abri de la critique en ce que même dans la nouvelle législation la possibilité d’un vol d’information suppose que soit établi par le juge un acte de soustraction, ce qui fait que le problème reste entier. La caractérisation d’une dépossession du titulaire des données copiées est difficile en raison de la faculté pour l’information numérisée de se retrouver dans plusieurs supports en 48
Sur cette question, P. A. TOURE, « Le vol d’information : virage ou mirage du droit pénal sénégalais ? », A paraitre. TRHC Dakar n° 1981 du 9 mai 2006, affaire de la Clinique du Cap, jugement inédit. 50 V. C A Dakar, n° 680 du 16 avril 2007, arrêt inédit. 51 Sur le débat du vol d’information, M.P LUCAS de LEYSSAC, « Une information seule est-elle seule susceptible de vol ou d’une autre atteinte juridique aux biens », D. 1985.Chron. p. 51 ; M. CHAWKRI, « Le vol d’informations : quel cadre juridique aujourd’hui ? », p. 18, disponible à l’adresse suivante : http://www.droit-tic.com/pdf/vol_information.pdf; J.DEVEZE, « Le vol des biens informatiques », JCP. 1985, I, 3210, n° 13 ; D. CIOLINO-BERG, « Vol d’information sur Internet », Comm. Com. électro. nov. 2003, p. 22. 13 49
même temps.52. C’est certainement la raison pour laquelle, les législations contemporaines tendant de plus en plus à contourner l’exigence de la soustraction, en incriminant de façon spécifique le copiage frauduleux de données informatiques.
b. L’escroquerie d’information. Cette infraction est sanctionnée par l’article 431-56 du Code pénal sénégalais. Ce texte incrimine « quiconque aura reçu des informations personnelles, confidentielles ou celles qui sont protégées par le secret professionnel, usant des manœuvres frauduleuses quelconques, soit en faisant usage de faux noms ou de fausses qualités ». L’intégration de l’information dans l’assiette du délit d’escroquerie est particulièrement intéressante puisqu’elle permet d’assurer la répression de certains comportements frauduleux comme le phishing53. Il s’agit d’une technique d'«ingénierie sociale» consistant à exploiter, non pas une défaillance informatique, mais une «faille humaine» pour soutirer des informations personnelles à des internautes en leur envoyant un courrier électronique usurpant l’identité de banques, de fournisseurs de services en ligne ou de sites marchands54. L'arnaque débute par un mail envoyé par les fraudeurs au moyen d’une usurpation de l’identité d'une entreprise (banque, site marchand, etc.). Prétextant souvent d’une mise en place d’un nouveau système de sécurité ou d’une intervention technique sur le site, les cyberescrocs invitent les clients à leur fournir des informations confidentielles55. Munis des identifiants et mots de passe ou des données personnelles ou bancaires des internautes (numéro de client, numéro de compte en banque etc.), les phishers pourront ainsi transférer directement l'argent sur un autre compte. Ainsi, le phisher est à la recherche d’informations confidentielles (mots de passe compte mail, numéro de carte bancaire, codes confidentiels etc.). c. Le recel d’information. La loi du 25 janvier 2008 portant sur la cybercriminalité a levé toute équivoque en incriminant le recel portant sur une information56. La nouvelle législation a eu le mérite de dissiper l’ambigüité qui caractérisait la jurisprudence de la première chambre correctionnelle du tribunal régional Hors Classe de Dakar. 52
En ce sens, S. DETRAZ, R. OLLARD, J-Ch. SAINT-PAUL, « Contre le vol d’information », in V. MALABAT, B. DE LAMY et M. GIACOPELLI (dir.), « La réforme du code pénal et du code de procédure pénale. Opinio doctorum », édition Dalloz, 2009, p. 107 53 Ph. BELLOIR, « La répression pénale du phishing », R.L.D.I 2005/12, n° 349, p. 30 et s.; F. DUFLOT, « Phising : les dessous de la contrefaçon », R.L.D.I 2006/1, n° 366, p. 54. 54 B. AMAUDRIC du CHAFFAUT et Th. LIMOUZIN-LAMOTHE, « Une nouvelle forme de criminalité informatique à l’épreuve de la loi : le phising », Expertises, avril 2005, p. 140 55 D. SANZ, « Un terrain nouveau d’action : la chasse aux données personnelles », in « La délinquance électronique », Problèmes politiques et sociaux, n° 953, octobre 2008, p. 47. 56 C. DE JACOBET DE NOMBEL, « Le recel d’information », Dr. pén., décembre 2008, p. 41 ; D. CHEVROTIN, « Bévue sur le caractère non recelable d’une information », Dr. Pén. mars 2001, p. 4 14
En effet, après avoir rejeté la possibilité d’un recel d’information provenant du délit de violation du secret de l’instruction dans l’affaire Madiambal DIAGNE jugée le 21 novembre 200657, les juges ont admis la possibilité d’un recel portant sur une information provenant d’un délit d’initié dans le jugement rendu 1e avril 200858. Cette dernière décision a d’ailleurs été confirmée en toutes ses dispositions par un arrêt de la Cour d’Appel de Dakar du 24 juillet 200959.Le pourvoi formé contre cette décision a été rejeté par la Cour Suprême du Sénégal dans un arrêt rendu le 1e avril 2010 au motif que le délit de recel découle de « l’appropriation d’une information illégalement communiquée »60. Ainsi, cette nouvelle infraction peut bien avoir vocation à s’appliquer à l’hébergeur qui refuserait de retirer de son serveur des informations manifestement illicites (contenus pédopornographiques ou violents).
2. L’extension de l’objet des atteintes au droit d’auteur Au Sénégal, sous l’empire de la législation antérieure, le droit d’auteur était régi par la loi n° 73-52 du 04 décembre 1973 relative à la protection du droit d’auteur. L’article 1e de cette loi considérait comme œuvres de l’esprit les œuvres classiques de l’espace physique que sont les livres, les brochures, les conférences, les allocutions, les sculptures, les œuvres cinématographiques, les œuvres d’architecture, les œuvres photographiques le folklore. Mais, ce texte ne visait pas expressément les créations informatiques à savoir les logiciels, les bases de données et les œuvres multimédia (site web, jeux vidéo…) dans son énumération certes indicative61. Mais, le Sénégal a récemment adopté la loi n° 2008-09 du 25 janvier 2008 sur les droits d’auteur et les droits voisins62, en vue de respecter ses obligations internationales et de prendre en compte l’évolution technologique. Les articles 6 et 8 de cette loi ont désormais inclus les logiciels et les bases de données dans la liste des œuvres de l’esprit protégeables. La seule condition prévue pour la protection que ces créations informatiques est qu’elles présentent un caractère d’originalité. L’originalité est définie par l’article 7 de la loi du 25 janvier 2008 sur le droit d’auteur et les droits voisins comme la marque de la personnalité de l’auteur. L’intégration des créations numériques dans les œuvres de l’esprit présente le mérite de permettre de sanctionner les atteintes dirigées contre ces œuvres sous la qualification de contrefaçon. Il en est ainsi des actes de copiage frauduleux de logiciel, d’extraction illicite de bases de données, de reproduction sans autorisation de site web.
57
V. TRHC Dakar, n° 5310 du 21 novembre 2006, affaire Madiambal DIAGNE, jugement inédit. TRHC Dakar, 1e avril 2008, jugement inédit. 59 V. CA Dakar, n° 555 du 24 juillet 2009, jugement inédit. 60 C.S du Sénégal, n° 78 du 1e avril 2010, inédit. 61 I .CAMARA, Le statut juridique de la contrefaçon des phonogrammes et œuvres littéraires et artistiques au Sénégal, E.D.J.A, Dakar, mars 1993, p. 10. 62 J.O du 10 mai 2008, p. 451. 15 58
Ainsi, dans l’affaire Pressafrik jugée par le tribunal régional Hors classe de Dakar le 19 janvier 201163, les juges ont considéré que le fait pour les sites kibar.net, galsentv.com, et seneweb.com de reproduire et de diffuser des informations du site pressafrik.com sans son autorisation et sans mentionner en liens hypertextes, la source de l’information, constitue une contrefaçon. L’article 390 du Code des douanes a innové en érigeant la contrebande et l’importation et l’exportation sans déclaration de marchandises portant atteinte à la propriété intellectuelle dont la liste est fixée par arrêté du Ministre chargé des finances en infractions douanières de la première classe. Ce texte semble s’appliquer aussi bien aux atteintes au droit d’auteur (œuvres de l’esprit) qu’à celles du droit de propriété industrielle (marques, dessins et modèles etc.)
63
TRHC Dakar, 19 janvier 2011, affaire Pressafrik, jugement inédit. 16
Thème : Le traitement juridique de la cybercriminalité : aspects nationaux, régionaux et internationaux.
Module 2 : L’amélioration des techniques d’investigation : la cyberprocédure pénale
M. Papa Assane TOURE Magistrat Conseiller Technique au Ministère de la Justice Docteur en Droit Privé et Sciences Criminelles Expert en Cyberdroit
17
INTRODUCTION La modernisation des infractions ne suffit pas à garantir l’effectivité de la répression du phénomène cybercriminel. Le dispositif de droit pénal de fond doit nécessairement se mouvoir dans un cadre processuel adéquat pour faciliter sa mise en œuvre devant les juridictions répressives. Le modèle procédural sénégalais issu de la loi n° 65-61 du 21 juillet 1965 portant Code de procédure pénale64 et du code des douanes est inspiré du système pénal français dont les contours ont été tracés par le Code de procédure pénale français. Or, les mécanismes procéduraux prévus par le code de procédure pénale sénégalais étaient essentiellement conçus pour la conduite des investigations judiciaires en vue de la découverte d’objets matériels. Or, lorsque les cyberdélinquants utilisent les réseaux électroniques à des fins délictuelles, la nature dématérialisée de l’objet de l’activité infractionnelle (données informatique, système d’information, programmes) et l’internationalité du réseau internet support des comportements cybercriminels, ne manquent pas d’entrainer un dépassement des techniques traditionnelles d’investigation judiciaire (perquisition, saisie, transport sur les lieux)65. L’avènement de la cybercriminalité au Sénégal s’est très vite accompagné de «l’inadéquation des normes d’organisation du procès pénal »66. En raison du principe de la légalité procédurale, les magistrats et les douaniers se sont retrouvés devant des difficultés pour transposer les solutions traditionnelles du système procédural aux nouveaux problèmes suscités par l’apparition des réseaux et devant l’impossibilité de recourir à de nouveaux mécanismes procéduraux en dehors des prévisions légales. Il en a résulté une certaine érosion des prérogatives du juge pénal. Par ailleurs, compte tenu de la nature planétaire de la cybercriminalité les juges, les officiers de police judiciaire et les douaniers qui sont souvent amenés à étendre leurs investigations judiciaires hors du territoire national, étaient surtout confrontés à l’absence d’un cadre international de coopération entre Etats de nature à impulser une coopération judiciaire efficace contre le cybercrime. Pour des raisons de politique criminelle compréhensibles, il a été prévu d’élaborer une « cyberstratégie d’aménagement des outils procéduraux par rapport aux technologies de l'information et de la communication », à toutes les étapes de l’instance pénale (enquête, poursuites, instruction et
64
J.O.R.S, n° 3777 du 25 août 1965, p. 1265 et s. V. Ch. MEUNIER, « La loi du 28 novembre 2000, relative à la criminalité informatique ou le droit pénal et la procédure pénale à l’ère numérique », Rev. (belge) dr.pén., 2001, p. 657 ;Ch. FERAL-SCHUHL, « La collecte de la preuve numérique en matière pénale », in Dossier « Cybercriminalité : morceaux choisis », Act.jur.pén., n° 3, mars 2009, p. 101 66 A CISSE, La réflexion sur les éléments constitutifs et avant projets de lois sur la société de l’information, Rapport Général, Séminaire « Informatique et libertés, quel cadre juridique pour le Sénégal ?», Dakar, 29 et 30 août 2005, p. 207; Nd. DIOUF, « La procédure pénale à l’épreuve des nouvelles technologies de l’information », Rev. Ass.sén.dr. pén ., n° 5, 6, 7 et 8, 1997-1998, p. 14 ; P. A TOURE, « L’audit des normes applicables à la cybercriminalité », Communication, Séminaire « Informatique et libertés, quel cadre juridique pour le Sénégal ?», Dakar, 29 et 30 août 2005, p. 117 : 18 65
jugement)67. Ainsi, l’article 2 de la loi du 25 janvier 2008 sur la cybercriminalité a inséré un nouveau titre XVI au Code de procédure pénale intitulé « de la procédure en matière d’infractions commises au moyen des technologies de l’information et da la communication » comprenant les articles 677-34 à 677-42. En droit pénal douanier, le nouveau Code des douanes a également mis à la disposition des douaniers de nouvelles techniques d’investigation dans l’environnement électronique. Il s’agit notamment de la saisie électronique (article 303 du Code des douanes) et de l’infiltration ( article 59 du Code des douanes). Dans le déroulement de l’instance pénale, l’élargissement des pouvoirs d’investigation des organes judiciaires a été recherché aussi bien dans la recherche de la preuve des cyberinfractions (A) que dans la détermination les personnes responsables dans l’environnement électronique (B)
A. La recherche de la preuve des cyberinfractions Le système répressif sénégalais a eu tendance à élargir les pouvoirs d’investigation des juges et des enquêteurs, en esquissant une politique d’instrumentalisation des TIC à des fins probatoires (1). Cependant, cette irruption de l’électronique dans le processus de collecte de la preuve pénale n’est pas sans poser le débat de valeur des éléments de preuve électronique obtenus (2). 1. Le recours aux TIC à des fins probatoires Pour restituer aux juges et enquêteurs leurs pouvoirs répressifs, les auteurs de la loi sur la cybercriminalité et du Code des douanes ont envisagé un aménagement des mécanismes probatoires classiques (a) et une institution de nouvelles techniques de recherche de preuve (b). a. L’aménagement des mécanismes probatoires classiques L’aménagement des dispositifs classiques de recherche de la preuve s’est traduit en législation par la consécration de la perquisition et de la saisie informatique. L’article 677-36 Code de procédure pénale sénégalais issu de la loi sur la cybercriminalité a élargi les prérogatives du juge en l’habilitant à opérer une perquisition dans un système informatique ou à une partie de celui-ci, lorsque des données stockées dans ce système sont utiles à la manifestation de la vérité68. Mais, si les données sont stockées dans un autre serveur situé en dehors du territoire national, elles sont recueillies par le juge d’instruction, sous réserve des conditions d'accès prévues par les engagements internationaux en vigueur (perquisition transfrontalière). Il est curieux de constater que le Code des douanes n’a pas envisagé d’intégrer dans son dispositif la perquisition informatique, alors qu’il a pourtant consacré la saisie électronique.
67
Exposé des motifs de la loi du 25 janvier 2008 portant sur la cybercriminalité. Sur cette question, Ph. BELLOIR, « L’application des règles de procédure pénale aux infractions commises sur Internet, (1e partie) », Expertises, juillet 2002, p. 258 ; également, A. BERGOENS, « Les nouveaux pouvoirs de police en matière d’investigation informatique », in Ph. SEGUR et E. LABROT (dir.), « Un monde sous surveillance ? », Collection Etudes Presses Universitaires de Perpignan, 2011, p. 156 19 68
Le dispositif pénal de la saisie, conçu pour des « objets et documents » corporels, peut difficilement être transposé au cyberespace, pour les besoins par exemple d’une procédure de diffusion d’images de pornographie enfantine69. En effet, des auteurs ont pu écrire à ce propos que la saisie requiert « la soustraction physique de l’objet visé »70. Ainsi, lorsque le juge d’instruction découvre dans un système informatique des données qui sont utiles à la manifestation de la vérité, mais que la saisie du support ne paraît pas souhaitable, l’article 677-37 Code de procédure pénale permet au magistrat instructeur ou l’officier de police judicaire de saisir les données informatiques71. L’article 303 du Code des douanes énonce que lorsque les agents des douanes découvrent dans un système informatique des données stockées qui sont utiles pour l’établissement d’une infraction douanière, mais que la saisie du support ne paraît pas possible ou souhaitable, ces données, de même que celles qui sont nécessaires pour les comprendre, sont copiées sur des supports de stockage informatique pouvant être saisis et placés sous scellés. Techniquement, la saisie se fait par copiage sur des supports physiques de stockage informatique pouvant être saisis et placés sous scellés des données utiles pour la manifestation de la vérité ainsi que celles qui sont nécessaires pour leur compréhension, dans l’hypothèse où les données saisies sont cryptées. b. L’institution de nouvelles méthodes de recherche de preuve Ces nouvelles procédures renvoient en droit positif sénégalais à la conservation rapide de données archivées et de l’interception de données relatives au contenu. La conservation rapide de données archivées. Compte tenu de l’évanescence et de la volatilité
des données informatiques qui sont souvent
nécessaires à l’enquête ou à l’instruction, l’article 677-35 du Code de procédure pénale sénégalais permet à l’autorité judiciaire de faire injonction à toute personne de conserver et de protéger l'intégrité des données en sa possession ou sous son contrôle pendant une durée de deux ans maximum. Cette mesure suppose qu’il y ait des raisons de penser que des données archivées dans un système informatique soient particulièrement susceptibles de perte ou de modification. Le gardien des données est tenu au secret professionnel. L’interception de données informatiques. L’article 677-38 du Code de procédure pénale autorise les magistrats et les enquêteurs, si les nécessités de l’enquête ou de l’information l’exigent, à utiliser les moyens techniques appropriés pour collecter ou enregistrer en temps réel, les données relatives au contenu de communications (données, vidéos, courriers électroniques, télécommunications) sur son territoire, transmises au moyen d’un 69
Nd. DIOUF, Ibid. Th. VERBIEST et E. WERY, Le droit de l’Internet et de la société de l’information. Droits européen, belge et français, Larcier, 2001, p. 34-35 : « Les articles 35 et 89 CIC n’autorisent que la saisie du support de l’information (disquette, CDRom, disque dur, ordinateur) et non des données informatiques elles-mêmes ». 71 Sur une étude détaillée de la saisie, E. CAMOUS, « Les saisies en procédure pénale : un régime juridique éparpillé », Dr. pén, n° 2, février 2010, étude, n° 5 20 70
système informatique. Le juge peut également obliger un fournisseur de services, à collecter ou à enregistrer ou à prêter aux autorités compétentes son concours et son assistance pour collecter ou enregistrer lesdites données. Le fournisseur d’accès est tenu de garder le secret. 2. La valeur des éléments de preuve électronique obtenus. Le recours aux moyens électroniques dans le processus de collecte de la preuve pénale (perquisition, saisie électronique, interception de données…) pose en procédure pénale d’une part la question de l’admissibilité de la preuve électronique en matière pénale (a) et d’autre part le problème complexe de la loyauté des preuves obtenues (b). a. L’admissibilité de la preuve électronique. Les enregistrements et traces informatiques (mail, données, images numérisées) peuvent-ils servir à prouver les infractions pénales ? Le numérique peut-il servir à forger la conviction du juge pénal ? C’est tout le débat de la recevabilité de la preuve électronique en matière pénale. En vertu de l’article 414 du Code de procédure pénale sénégalais la preuve est libre en matière pénale. Les infractions peuvent être établies par tout mode de preuve et le juge décide d’après son intime conviction. Sous ce rapport, les données informatiques (images numérisées, SMS, courriers électroniques) peuvent prouver la commission d’infractions, à la seule condition qu’elles soient discutées à l’audience. La Chambre sociale de la Cour de cassation française dans son arrêt du 23 mai 200772 s’est prononcée en faveur de la recevabilité des SMS comme éléments de preuve d’un harcèlement sexuel commis par un employeur envers son employée. L’arrêt de la Cour d’Appel de Dakar du 17 avril 2009 rendu à propos de l’affaire du navire « Lobella », a admis la preuve d’un vol en réunion commis dans un navire au moyen d’un enregistrement par système de vidéosurveillance. Cependant, pour sécuriser la preuve numérique, l’article 677-40 du Code de procédure pénale a posé le principe de l’admission de la preuve électronique en matière pénale « sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité ». Cet encadrement juridique de la preuve électronique se justifie par le caractère manipulable et volatile du numérique. b. La loyauté des éléments de preuve électronique obtenus. En procédure pénale, si la preuve est en principe libre, son administration ne l’est pas. Le principe de la loyauté de la preuve73, qui « impose à l’enquête un style », a pour objet de prohiber l’utilisation de procédés déloyaux de ruses, d’artifices ou de stratagèmes par les autorités chargées de
72
Cass.soc., 23 mai 2007, Droit et procédure 2007, n° 6, p. 339, obs. A. BOBANT ; JCP 2007, éd. G, II, 10140, note L. WEILLER. 73 B. BOULOC, « La loyauté dans la recherche des preuves », in « Problèmes contemporains de procédure pénale », Mélanges HUGUENEY, Sirey, 1964, p. 172 ; B. DE LAMY, « De la loyauté en procédure pénale brèves remarques sur l’application des règles de la chevalerie à la procédure pénale », in « Le droit pénal à l’aube du troisième millénaire », 21
l’enquête et de l’instruction74. Le recours à ces méthodes de collation des preuves est sanctionné en jurisprudence par l’irrecevabilité des indices recueillis. C’est ce qui a été décidé par un arrêt de la Cour de cassation du 9 août 200675. Dans cette espèce, un agent de la brigade des mineurs s’était connecté à un site de rencontres, en utilisant un pseudonyme et en se faisant passer pour un adolescent de quatorze ans. Par ce moyen, il était entré en contact avec une personne majeure, qui, sur sa demande, lui a adressé plusieurs photographies à caractère pornographique mettant en scène des mineurs. Par la suite, un rendez vous fut convenu avec ce dernier. Les enquêteurs se sont présentés au dit rendez vous avant d’interpeller le mis en cause. Il a été poursuivi de détention et de transmission d’images de mineurs à caractère pornographique en vue de leur diffusion. Par un arrêt du 11 mai 200676, la cour de cassation française a jugé que ce procédé porte atteinte au principe de la loyauté des preuves et au droit à un procès équitable, puisque qu’il constitue la provocation à la commission d’une infraction et la déloyauté d’un tel procédé rend irrecevable en justice les éléments de preuve obtenus par provocation77. Le problème de la loyauté de la preuve se pose surtout en matière d’infiltration. L’article 59 du nouveau code des douanes a explicitement consacré l’infiltration comme technique de recherche de la preuve des infractions douanières. L'infiltration consiste, pour un agent des douanes spécialement habilité, agissant sous la responsabilité d'un agent de hiérarchie A chargé de coordonner l'opération, à surveiller des personnes suspectées de commettre un délit douanier en se faisant passer, auprès de ces personnes, comme un de leurs coauteurs, complices ou intéressés à la fraude. L'agent des douanes est à cette fin autorisé à faire usage d'une identité d'emprunt. L'identité réelle des agents des douanes ayant effectué l'infiltration sous une identité d'emprunt ne doit apparaître à aucun stade de la procédure. Cette mesure est autorisée par le Procureur de la République lorsque les investigations le justifient et afin de constater les infractions douanières d'importation, d'exportation ou de détention de marchandises frauduleuses, d'identifier les auteurs et complices de ces infractions ainsi que ceux qui y ont participé comme intéressés au sens des articles 375 et 376 du présent code et d'effectuer les saisies prévues par le présent code. L'opération d'infiltration ne peut excéder quatre (04) mois. Mais pour préserver le principe de la loyauté de la preuve, l’article 59 du nouveau Code des douanes précise qu’à peine de nullité, les actes d’infiltration ne peuvent constituer une incitation à commettre des infractions. Mélanges offerts à Jean PRADEL, Cujas, 2006, p. 98 ; Ph. CONTE, « La loyauté de la preuve dans la jurisprudence de la chambre criminelle de la Cour de cassation : vers la solution de la quadrature du cercle ? », Dr. pén., avril 2009, p. 13 et s. 74 M. BLONDET, « Les ruses et les artifices de la police au cours de l’enquête préliminaire », J.C.P 1958, I, 1419 ; A. FAYE, « Le suspect dans les enquêtes de police », Rev.Ass.sén.dr.pén., année 2010, n° 9, p. 19 75 Cass.crim. 9 août 2006, Procédures 2006, comm. 278, obs. J. Buisson. 76 Cass.crim. 11 mai 2006, Bull. crim. , n° 132 ; D. 2006, IR, 1772 ; R.S.C 2006, p. 848, note FINIELZ 77 En ce sens, Ph. BELLOIR, « Déloyauté du stratagème et de la provocation policière dans la recherche d’une infraction sur Internet », R.L.D.I, décembre 2006, n° 22, p. 34. 22
B. Les personnes responsables des cyberinfractions La problématique de la détermination des personnes responsables et plus précisément celle de la mise en jeu de la responsabilité pénale dans le cyberespace est l’une des plus complexes du droit de la société de l’information78. Le législateur sénégalais a tenté d’apporter des éléments de réponse à cette question en prévoyant un dispositif de détermination des personnes responsables des cyberinfractions (1) et un système d’identification de ces personnes (2)
1. La détermination des personnes responsables des cyberinfractions La multiplicité des intervenants techniques dans la chaîne de diffusion de l’information en ligne (fournisseurs d’accès, d’hébergement, de contenus, fournisseurs de liens hypertextes etc.) ne permet pas de situer sans difficultés les responsabilités pénales sur les réseaux79. C’est pourquoi la loi sénégalaise sur la cybercriminalité a prévu d’aménager des mécanismes de responsabilité pénale. Cette loi a consacré le principe de la responsabilité pénale des personnes morales en matière de cybercriminalité (a) et a allégé le régime de la responsabilité pénale des intermédiaires techniques (b) a. La consécration de la responsabilité pénale des personnes morales Le législateur pénal a consacré le principe de la responsabilité pénale des personnes morales en matière de cybercriminalité. Il s’est surtout agit de prendre en compte la diversité des acteurs du cyberespace susceptibles de voir leur responsabilité engagée en raison de la commission de cyberinfractions. En effet, la plupart des intermédiaires techniques (fournisseurs d’accès et d’hébergement, moteurs de recherche etc.) sont des personnes morales. L’article 431-62 du code de procédure pénale énonce que les personnes morales sont pénalement responsables des infractions prévues par la loi sur la cybercriminalité commises pour leur compte par leurs organes ou représentants. Mais, la responsabilité des personnes morales, qui exclut l’Etat, les collectivités locales et les établissements publics, n’écarte pas celle des personnes physiques auteurs ou complices des mêmes faits. Les peines encourues par les personnes morales sont l’amende dont le taux maximum est égal au quintuple de celui prévu pour les personnes physiques, l’affichage de la décision prononcée ou la diffusion de celle-ci soit par la presse écrite soit par tout moyen de communication au public par voie électronique, la fermeture définitive ou pour une durée de cinq (5) ans au plus d’un ou de plusieurs des établissements de l’entreprise ayant servi à commettre les faits incriminés ou même la dissolution de la personne morale.
78
En ce sens, E. DERIEUX, « Internet et responsabilité (détermination des personnes responsables, éléments de jurisprudence récente) », P.A, 11 juillet 2008, n° 139, p. 7. 79 Sur ces difficultés de répartition des responsabilités, P. TRUDEL, « Les responsabilités dans le cyberespace », in « Les dimensions internationales du droit du cyberespace », UNESCO, Economica, 2000, p. 235 23
b. L’allégement de la responsabilité pénale des intermédiaires techniques. En vue d’éviter la délocalisation des serveurs des prestataires techniques résultant de la généralisation de l’engagement de leur responsabilité pénale, le droit sénégalais des transactions électroniques a envisagé d’encadrer la responsabilité des prestataires techniques de l’Internet. Le législateur a instauré au profit des intermédiaires techniques un système de responsabilité pénale conditionnelle80. L’article 3 1) de la loi sénégalaise n° 2008-08 du 25 janvier 2008 sur les transactions électroniques définit les fournisseurs d’accès Internet (FAI) comme « les personnes dont l'activité est d'offrir un accès à des services au public par le biais des technologies de l'information et de la communication». Le FAI considéré, comme un transporteur d’informations, assure en principe une fonction purement technique. Il garantit à ses clients la connexion au réseau Internet. La SONATEL Multimédia au Sénégal est le principal FAI. L’article 6 du décret n° 2008-719 du 30 juin 2008 relatif aux communications électroniques pris pour l’application de la loi n° 2008-08 du 25 janvier 2008 sur les transactions électroniques dispose que les FAI sont exonérés de leur responsabilité lorsqu’ils se contentent de jouer un rôle d’intermédiation dans la transmission de l’information « à condition : 1)
qu’ils ne sélectionnent pas le destinataire de la transmission ;
2)
qu’ils ne soient pas à l’origine de la transmission ;
3)
que les activités de transfert et de fourniture d’accès visent exclusivement à l’exécution de la
transmission ou de la fourniture d’accès ; 4)
qu’ils ne modifient pas les informations faisant l’objet de la transmission ;
5)
qu’ils exécutent une décision d’une autorité judiciaire ou administrative visant le retrait de
l’information ou l’interdiction de son accès ». La loi a posé un principe d’irresponsabilité pénale du fournisseur d’accès, s’il se limite à son rôle technique de transporteur d’informations sur le réseau81. Quant aux fournisseurs d’hébergement, ils sont définis par l’article 3 2) de la loi n° 2008-08 du 25 janvier 2008 sur les transactions électroniques comme des « personnes physiques ou morales qui assurent, même à titre gratuit, par la mise à disposition au public des biens et services, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ». L’hébergeur dispose en réalité d’un espace disque dur dans lequel il propose à ses clients, à titre onéreux souvent, d’héberger leurs sites web82.
80 L. GRUNBAUM, « L.C.E.N, Une immunité relative des prestataires de service Internet », Comm. com. électr, septembre 2004, p. 37. 81 C. CASTETS-RENARD, Droit de l’Internet, Montchrestien, édition, 2010, p. 345. 82 E. DREYER, « Interrogations sur la responsabilité pénale des fournisseurs d’hébergement », Légipresse, n° 212, juin 2004, p. 90. 24
L’article 3 3) de la loi sur les transactions électroniques a prévu un système de responsabilité conditionnelle des hébergeurs. Ils ne peuvent être déclarés pénalement responsables des contenus illicites qu’ils hébergent que dans deux cas : s’ils avaient effectivement connaissance de l'activité ou de l'information illicite (des contenus illicites par exemple) si, dès le moment où ils en ont eu connaissance, ils n’ont pas agi promptement pour retirer ces informations ou en rendre l'accès impossible. En droit positif sénégalais, l’article 7 du décret du 30 juin 2008 sur les communications électroniques a précisé qu’en cas de notification des faits litigieux, les prestataires techniques engagent leur responsabilité, s’ils laissent en ligne le contenu manifestement illicite. L’hébergeur ne peut ainsi voir sa responsabilité pénale engagée en raison des contenus hébergés que si ces contenus sont manifestement illicites (contenus de pornographie enfantine, contenus de fraude, racistes ou xénophobe etc.) La doctrine et la jurisprudence estiment que l’hébergeur déclaré peut être poursuivi du chef de complicité par fourniture de moyens ou de recel d’information83.
2. L’identification des personnes responsables des cyberinfractions Une des particularités de la cybercriminalité est l’anonymat qu’elle assure aux cyberdélinquants qui se dissimilent derrière les réseaux. Ainsi, dans un contexte de développement des nouvelles techniques d’anonymisation sur les réseaux ( wifi, wi- max etc.), l’identification des auteurs d’infractions en ligne est devenue l’une des questions les plus complexes du droit des TIC. Elle est au confluent d’enjeux juridiques et de considérations techniques qui échappent souvent aux juristes. L’article 4 de la loi sénégalaise du 25 janvier 2008 sur les transactions électroniques a mis à la charge des fournisseurs d’accès et d’hébergement une obligation de conservation de données de connexion84. Les « données de connexion » ou « données de trafic »85, par opposition aux « données de contenu », ne renseignent pas sur le contenu informatif d’un message. Ces « mouchards électroniques »86 permettent l'identification de quiconque a contribué à la création d’un contenu illicite en ligne. Par exemple, l’adresse IP, la date et l’heure de connexion ou de déconnexion, les données administratives, le nom, le prénom, l’adresse etc. sont des données de connexion. La mesure de conservation des données d’identification des créateurs de contenus en ligne constitue un formidable mécanisme d’investigation pour les autorités judiciaires. Elle concerne surtout 83
S. ALBRIEUX, « La responsabilité du fournisseur de moyens de communication électronique à l’égard des auteurs et ayants droit », R.I.D.A, juillet 2005, n° 205, p.77. 84 P. REYNAUD, « Le fournisseur d’accès et la conservation des données engendrées par les communications électroniques », Comm. com. électr, juin 2005, p. 19. 85 G. MATHIAS et A.C LORRAIN, « Données de connexion : un état des lieux ou une première tentative de démêlage de la toile législative », R.L.D.I, décembre 2005, n°11, p. 48. 86 J-F.MATTEI, « Traçabilité et responsabilité », in Ph. PEDROT (dir.), « Traçabilité et responsabilité », Economica, 2003, p. 35. 25
le magistrat instructeur chargé notamment d’identifier les personnes responsables des cyberinfractions au cours de l’information judiciaire. L’autorité judiciaire peut, conformément à l’alinéa 3 de l’article 4 de la loi n° 2008-08 du 25 janvier 2008 sur les transactions électroniques, requérir des fournisseurs d’accès et d’hébergement la communication des données ainsi conservées. Mais, au Sénégal, le décret portant application de l’article 4 de la loi sur les transactions électroniques devant déterminer la nature et les modalités de conservation des données de connexion n’est pas encore signé. Récemment, un arrêt remarqué de la Cour de Justice de l’Union européenne du 8 avril 2014 a invalidé la directive 2006/24 du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications. Le motif principal de cette décision réside dans le fait que l’ingérence massive dans la vie privée des personnes qu’autorise cette directive est disproportionnée par rapport aux objectifs de lutte contre les formes modernes de criminalité (terrorisme, cybercriminalité, criminalité organisée). Mais les hauts magistrats ont estimé que cette directive répond bien à un objectif d’intérêt général87.
87
M-L. BASILIEN-GAINCHE, « Une prohibition européenne claire de la surveillance électronique de masse », La Revue des droits de l’homme, Actualités Droits-Libertés, mis en ligne le 14 mai 2014, consulté le 30 mai 2014. URL : http://revdh.revues.org/746 26
Thème : Le traitement juridique de la cybercriminalité : aspects nationaux, régionaux et internationaux.
Module 3 : Le renforcement de la coopération internationale : le cyberdroit pénal international
M. Papa Assane TOURE Magistrat Conseiller Technique au Ministère de la Justice Docteur en Droit Privé et Sciences Criminelles Expert en Cyberdroit
27
INTRODUCTION La cybercriminalité constitue un phénomène criminel international qui ignore les balises physiques des frontières étatiques. L’internationalité88 de la criminalité informatique tient essentiellement au fait que l’internet, réseau international, est de plus en plus un moyen de commission d’infractions classiques. Cette situation est à l’origine de l’internationalisation des infractions commises via le réseau internet89. Le réseau des réseaux est un des symboles du phénomène contemporain de la mondialisation et de l’internationalisation90. Dès lors, au phénomène criminel international de la cybercriminalité, il faut une réponse de politique criminelle également internationale91. D’où la nécessité d’un renforcement de la coopération juridique (A) et judiciaire internationale contre cette nouvelle forme de délinquance (B)
A. Le renforcement de la coopération juridique internationale Le renforcement de la coopération internationale entre les Etats en matière de cybercriminalité présente le mérite de favoriser l’harmonisation des législations pénales. En Afrique, le cadre juridique de la coopération en matière de cybercriminalité est encore timide. Il se développe, en effet, des approches communautaires de coopération qui ne procèdent pas toujours d’une appréhension globale du phénomène de la cybercriminalité. Dans le cadre de l’Union Economique et Monétaire Ouest Africaine (UEMOA), la directive n° 07 du 19 septembre 2002 sur le blanchiment des capitaux, transposée au Sénégal par la loi uniforme n° 2004-09 du 6 février 2004 relative à la lutte contre le blanchiment de capitaux se propose d’harmoniser les législations des Etats en matière de blanchiment de capitaux. Cette directive est susceptible de s’appliquer aux blanchiments de capitaux réalisés dans les transactions électroniques. Par ailleurs, la loi uniforme n° 48-2008 du 3 septembre 2008 relative à la répression des infractions en matière de chèque, de carte bancaire et autres instruments et procédés électroniques de paiement a prévu un dispositif de répression des fraudes portant sur les instruments électroniques de paiement. En matière propriété Intellectuelle, l’annexe VII de l’accord relatif à la création d’une Organisation Africaine de la Propriété Intellectuelle (OAPI) conclu à Bangui le 02 mars 1977 modifiée en 1999 a
88
H. GAUDEMET-TALLON, « L’internationalité, bilan et perspectives », Rev. dr. Aff., février 2002, n° 46, p. 76 ; également, P. TRUDEL, « L’influence d’Internet sur la production du droit », in, G. CHATILLON (dir), « Le droit International de l’Internet », Bruxelles, Bruylant, 2002, p. 91. 89 J. LARRIEU, « L’internationalité et Internet », Rev.dr.Aff., février 2002, n° 46, p. 42. 90 E. LOQUIN et C. KESSEDJIAN, La mondialisation du droit, Litec, Paris, 2000, p.116. « Internet, a-t-on pu soutenir, constitue un exemple topique et assez révélateur de la mondialisation…Le monde décloisonné, virtuel, désincarné est accessible au travers de mots de passe (…) » 91 P. ARRIGO, « La cybercriminalité : vers une régulation internationale de l’Internet ? », Gaz. Pal., 14 nov. 2001, p. 35 28
étendu le champ des œuvres protégeables au titre du droit d’auteur aux programmes d’ordinateur92 et aux bases de données93. Dans l’espace de l’Afrique centrale, lors de la deuxième réunion des Ministres en charge des télécommunications et TIC des Etats membres de la CEEAC tenue à Ndjamena le 22 avril 2010, le Conseil des Ministres a chargé le Secrétaire Général de la CEEAC de préparer un texte sur la cybercriminalité. A cet égard, un Projet de loi-type CEMAC/ CEEAC sur la lutte contre la cybercriminalité a été déjà élaboré. Lors de sa 66e session tenue à Abuja (Nigéria) les 17 à 19 août 2011, le Conseil des Ministres de la CEDEAO a adopté la Directive C/DIR/1/08/11 du 19 août 2011 portant lutte contre la cybercriminalité dans l’espace de la CEDEAO. Ce texte communautaire fait obligation aux Etats membres de « coopérer à la recherche et à la constatation de toutes les infractions pénales relatives aux systèmes informatiques, ainsi qu’à la collecte de preuves sous forme électronique se rapportant à une infraction pénale » . A l’échelle continentale, lors de la conférence de l’Union Africaine tenue à Khartoum (Soudan) en septembre 2012, un projet de Convention de l’Union Africaine sur la confiance et la sécurité dans le cyberespace a été validé par les Ministres en charge de la communication et des TIC qui l’ont soumis à la Commission de l’UA pour adoption. Ce texte constituera le premier juridique africain de lutte contre la cybercriminalité. La 23e session ordinaire de la conférence de l’Union africaine tenue le 27 juin 2014 à Malabo (Guinée équatoriale) a adopté la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel. Cette convention comporte un chapitre III consacré à la promotion de la cybersécurité et à la lutte contre la cybercriminalité. Le modèle communautaire de coopération contre le cybercrime est intéressant mais il serait inefficace s’il devait être exclusif. En effet, la cybercriminalité n’est pas un phénomène criminel africain mais une criminalité transnationale94. La négociation de l’instrument juridique de lutte contre la cybercriminalité doit se faire à l’échelle internationale. Pourtant, les Nations Unies ont surtout développé une approche non contraignante de coopération qui se traduit par l’adoption de recommandations, d’un manuel de prévention de lutte contre la cybercriminalité en 1994 et l’organisation de congrès sur le traitement de la cybercriminalité.
92
V. art. 5 de l’annexe VII de l’Accord relatif à la création d’une Organisation Africaine de la Propriété Intellectuelle (OAPI) 93 V. art. 6 de l’annexe VII de l’Accord relatif à la création d’une Organisation Africaine de la Propriété Intellectuelle (OAPI) 94 En ce sens, P. A. TOURE, « La cybercriminalité dans les législations communautaires intégrées en Afrique », in “ La criminalité d’affaires dans les législations communautaires intégrées en Afrique”, Formation des Magistrats, Avocats, et Responsables des Officiers de Police Judiciaire des services d’Interpol, ERSUMA, Porto Novo, 3 septembre 2013, p. 12 29
L’Assemblée Générale des Nations Unies a adopté le 15 novembre 2000 la convention de Palerme du 12 décembre 2000 contre la criminalité transnationale organisée qui n’est pas spécifique à la répression de la cybercriminalité. Lors du douzième congrès des Nations Unies pour la prévention du crime et la justice pénale tenu à Salvador (Brésil) du 12 au 19 avril 201095, certaines délégations ont même proposé d’adoption d’une convention internationale sur la cybercriminalité. Mais pour l’heure, il n’existe pas une convention internationale sur la cybercriminalité à l’échelle des Nations Unies. Le Conseil de l’Europe a adopté le 23 novembre 2001 la convention de Budapest sur la cybercriminalité qui constitue le premier instrument juridique international de lutte contre la cybercriminalité96. En effet, cette convention est ouverte à l’adhésion des Etats non membres du Conseil de l’Europe qui n’ont même pas participé à sa rédaction. C’est pourquoi des pays comme le Canada, l’Afrique du Sud et le Japon ont ratifié ce traité. L’adhésion des pays africains à cette convention présenterait le mérite de favoriser l’intensification de la coopération judiciaire internationale contre le cybercrime. Le Sénégal, sur l’invitation du Conseil de l’Europe, a décidé d’adhérer à la Convention de Budapest. La finalisation de la procédure d’adhésion est encore en cours.
B. Le renforcement de la coopération judiciaire internationale L’adoption d’un instrument juridique international contre la cybercriminalité devrait contribuer à jeter les bases de l’harmonisation des règles de compétence internationale en matière de cybercriminalité (1) et à adapter les techniques de coopération judiciaire internationale à l’environnement électronique (2) 1. L’harmonisation des règles de compétence internationale Le droit pénal international est marqué du sceau du principe de la territorialité qui signifie que l’ordre répressif compétent pour connaitre d’une infraction internationale est celui dans le territoire duquel cette infraction a été commise. La dimension transnationale et ubiquitaire des réseaux électroniques n’a pas manqué de susciter des difficultés dans la détermination des tribunaux compétents pour connaître des infractions commises via ce réseau97. En effet, l’utilisation des technologies numériques à des fins délictueuses
95
www.unodc.org/documents/crime-congress/12th-Crime-Congress/Documents/A_CONF .21318 /V105 82 9f.p df J. COSTE, « La convention du Conseil de l’Europe du 8 novembre 2001 : premier traité international contre la cybercriminalité », Lamy droit de l’informatique et des réseaux ,n° 142, décembre 2001 , p. 1 ; G. DE VEL, « La convention sur la cybercriminalité », in G. CHATILLON (Dir), Le Droit International de l’Internet, Bruxelles, Bruyant, 2002, p. 237 et s 97 F. CHOPIN, « La cybercriminalité », Rép.pén, Dalloz, mai 2009, n° 375 : « la dimension internationale de l’internet rend particulièrement complexe l’application des règles de compétence » 30
96
(pédopornographie, diffamation en ligne, contrefaçon en ligne) a contribué à l’éclatement dans l’espace et à la « plurilocalisation » des situations infractionnelles98. Ainsi, les tribunaux se heurtent à des difficultés pour localiser les infractions commises via internet en vue de déterminer la juridiction compétente99. En France devant ces difficultés de localisation des infractions en ligne, la jurisprudence a consacré la théorie de l’accessibilité des contenus illicites. Selon cette jurisprudence, les tribunaux français sont compétents, dès lors que les cybercontenus illicites sont accessibles en France. Dans l’affaire Faurisson jugée le 13 novembre 1998, le tribunal de grande instance de Paris100 a énoncé « qu’en matière de presse, il est constant que le délit est réputé commis partout où l’écrit a été diffusé, l’émission entendue ou vue. En l’espèce, dès lors que le texte incriminé, diffusé depuis un site étranger, a été reçu et vu dans le ressort territorial du Tribunal de Paris, ainsi qu’il ressort de l’enquête, celui-ci est compétent pour connaître de la poursuite ». Il n’est pas douteux que la généralisation de ce système risque d’entrainer des conflits positifs de compétence entre juridictions, la théorie de l’ubiquité étant consacrée par de nombreux systèmes répressifs. Il en est ainsi notamment de Allemagne, de la Belgique, de l’Espagne etc.101. C’est certainement la raison pour laquelle le dernier état de la jurisprudence tend de plus en plus à resserrer les critères de rattachement en exigeant des liens suffisants entre les faits et le dommage allégué102. L’impératif de la lutte efficace contre la cybercriminalité exige des Etats, par voie conventionnelle une harmonisation des règles de compétence internationale contre la cybercriminalité en vue de conjurer surtout les conflits de compétence en la matière.
2. La modernisation des méthodes de coopération judiciaire internationale Dans la plupart des Etats africains le droit de l’entraide pénale internationale est marqué par sa lourdeur et son formalisme .Tout se passe comme si les systèmes pénaux nationaux s’entraident dans un climat de méfiance. Dans la convention de Budapest sur la cybercriminalité, le souci de garantir l’efficacité de la coopération répressive a justifié un élargissement du champ des infractions extraditionnelles. En effet, selon l’article 24 de la convention de Budapest lorsqu’une Partie conditionne l’extradition à 98
Sur l’ensemble de cette question, V. A. LEPAGE, « Internet, territoires et Etat : le franchissement dématérialisé des frontières », R.G.C.T, numéro spécial, 2002, p. 47 : « Les informations diffusées sur le web, si elles ont un territoire d’émission ( serveur localisé dans tel ou tel pays), ont vocation à franchir toutes les frontières : chaque territoire national où l’accès à l’Internet est possible représente un lieu de réception virtuel (…) Le cyberespace pourrait bien ainsi être la conquête du XXIe siècle » 99 M- C FAYARD, « La localisation internationale de l’infraction », R.S.C, 1968, p. 753 et s; V. A. JABER, Les infractions commises sur Internet, L’Harmattan, 2009, p. 207 100 Dans le même sens, TGI Paris, 26 février 2002, affaire Yahoo, Comm.com.électr. 2002. comm. 77, note A. LEPAGE 101 A. HUET, « Le droit pénal international et Internet », P.A, 10 novembre 1999, p. 39 ; également, Nd. DIOUF, « Infractions en relation avec les nouvelles technologies de l’information et procédure pénale : l’inadaptation des réponses nationales face à un phénomène de dimension internationale », Rev.sén.dr.Aff., n°2, 3, 4, 2003-2004, p. 67. 102 C.A Paris, 26 avril 2006 : www.legifrance.fr; C.A Versailles, 26 juin 2008, R.L.D.I. 2008/41, n° 1369. 31
l’existence d’un traité et reçoit une demande d’extradition d’une autre Partie avec laquelle elle n’a pas conclu de traité d’extradition, elle peut considérer la ratification ou l’adhésion à la convention de Budapest comme fondement juridique de la demande d’extradition. L’application dans les Etats parties de ce dispositif devrait contribuer à étendre le champ des infractions informatiques extraditionnelles entre Etats non liés par des accords d’extradition. La convention de Budapest a également apporté un correctif à la règle classique de la nonextradition des nationaux103, consacrée dans la plupart des accords de coopération signés par les pays africains104. Dans la convention de Budapest, l’interdiction de l'extradition des nationaux a été atténuée par le jeu de la règle extrader ou poursuivre (« aut dedere aut judicare »)105. En effet, en vertu de l’article 24 paragraphe 6 de la convention, si l’extradition d’une personne impliquée dans la commission d’une cyberinfraction est refusée uniquement sur la base de la nationalité de la personne recherchée ou parce que la Partie requise s’estime compétente pour cette infraction, l’Etat requis soumet l’affaire, à la demande de l’Etat requérant, à ses autorités compétentes aux fins de poursuites. Sous l’angle de l’entraide judiciaire proprement dite, la volatilité de la cybercriminalité a justifié une certaine accélération du processus de l’entraide judiciaire « pour éviter que des informations ou des preuves essentielles ne soient perdues parce qu’elles auraient été effacées avant qu’une demande d’entraide n’ait pu être préparée et transmise et qu’une réponse n’ait pu être reçue »106. L’article 25 paragraphe 3 de la convention permet aux Etats Parties, « en cas d’urgence », de formuler et de répondre à une demande d’entraide par des moyens rapides de communication, tels que le courrier électronique, pour autant que ces moyens offrent des conditions suffisantes de sécurité et d’authentification. Enfin, la convention de Budapest a modernisé les dispositifs d’entraide judiciaire en les étendant aux nouveaux mécanismes procéduraux prévus (perquisitions, saisie électronique, conservation rapide de données archivées, interception de données etc.). Cette extension permettra aux Etats parties de requérir une collaboration en vue d’accomplir de tels actes d’investigations.
103
Sur la règle de la non extradition des nationaux, M. MASSE, « L’extradition des nationaux », R.S.C, 1994, p. 798 ; L. DESESSARD, « L’extradition des nationaux », Rev.pén.dr.pén., 1999, p. 317 et s. 104 V. art. 60 de la convention du 29 mars 1974 : « Les deux Etats n’extradent pas leurs nationaux respectifs. La qualité de national s’apprécie à l’époque de l’infraction pour laquelle l’extradition a été requise ». 105 Sur l’ensemble de cette question, J. BIGAY, « Extrader ou punir », Rev.dr pén.crim, janv. févr.1980, n° 1 et 2, numéro spécial, « Extradition et terrorisme », p. 113. 106 Rapport explicatif de la convention de Budapest, n°35. 32
Thème : Le traitement juridique de la cybercriminalité : aspects nationaux, régionaux et internationaux.
Module 4 : La cybersécurité et le rôle de la douane dans la prévention de la cybercriminalité.
M. Papa Assane TOURE Magistrat Conseiller Technique au Ministère de la Justice Docteur en Droit Privé et Sciences Criminelles Expert en Cyberdroit
33
INTRODUCTION Le phénomène de la cybercriminalité est caractérisé par sa grande complexité et sa nature polymorphe. Il constitue une véritable menace pour la sécurité des réseaux et le développement de la société sénégalaise de l’information. C’est la raison pour laquelle, les systèmes juridiques contemporains tendent de plus en plus à organiser des stratégies globales de gouvernance du phénomène de la cybercriminalité qui vont au-delà de la répression pénale des comportements cybercriminels. Les politiques criminelles modernes et les stratégies de lutte contre la cybercriminalité sont en effet marquées par l’approche de cybersécurité. Cette nouvelle approche récemment légitimée par l’Union Internationale des Télécommunications (UIT) a été validée par la Convention africaine sur la cybersécurité et la protection des données à caractère personnel. Pour mieux appréhender l’apport de la démarche de cybersécurité dans les activités de la douane (I) il importe au préalable d’agiter quelques considérations générales sur la cybersécurité (II)
I.
GENERALITES SUR L’APPROCHE DE CYBERSECURITE
Il importe de cerner les contours de la notion de cybersécurité (A) avant d’étudier la place de l’approche de cybersécurité dans la Convention africaine sur la cybersécurité et la protection des données personnel (B) A. La notion de cybersécurité La cybersécurité est à distinguer du concept de cybercriminalité. Cette dernière notion met en lumière sur un phénomène criminel c’est -à-dire un
ensemble d’infractions supposant l’implication des
technologies numériques de l’information et de la communication dans le processus criminel. La cybersécurité met en cause non le phénomène criminel mais les réponses de politique criminelle, en d’autres termes les réponses à la cybercriminalité. Le recours à l’approche de « cybersécurité » 107 procède d’une approche globale et holistique de la stratégie de lutte contre la cybercriminalité intégrant toutes ses dimensions. La cybersécurité soulève des enjeux à la fois multiples et complexes à l’aune desquels se mesure l’ampleur des défis. La pluralité des enjeux est telle qu’elle dicte la prise en compte de ses multiples dimensions scientifique, technologique, économique et financière, politique et socioculturelles. Cette option majeure de politique criminelle tire ses racines dans la déclaration de principe du Sommet mondial sur la société de l’information108 qui vise à « établir la confiance et la sécurité dans l’utilisation des TIC », par les lignes directrices régissant la sécurité des systèmes et réseaux 107
A. CISSE, « Cybersécurité et cybercriminalité : cohérence terminologique et harmonisation des cyberlégislations africaines », Réunion ad hoc d’experts sur un cadre légal harmonisé des TIC en Afrique centrale, Libreville (Gabon), du 28 novembre au 2 décembre 2011. 108 Déclaration de principe du Sommet mondial sur la société de l’information, Genève 2003-Tunis 2005. 34
d’information adoptées par l’OCDE le 25 juillet 2002 et par le Guide de l’UIT sur la cybersécurité publié en 2009109. Il s’agit au-delà de la modernisation des normes juridiques, de prendre conscience de la nécessité du renforcement des capacités et de la spécialisation des autorités judiciaires en charge de la cyberdélinquance (vers une cyberdouane, une cyberpolice et une cybermagistrature) et de l’amélioration des moyens matériels et logistiques à la disposition des organes répressifs. En outre, la démarche de cybersécurité met à la charge de l’Etat l’obligation d’élaborer une stratégie nationale de cybersécurité et de favoriser la promotion de la culture de la cybersécurité auprès des entreprise et des populations.
B. La cybersécurité dans la Convention africaine sur la cybersécurité et la protection des données à caractère personnel Contrairement à plusieurs instruments juridiques internationaux de lutte contre la cybercriminalité ( Convention de Budapest sur la cybercriminalité et textes européens), la convention africaine sur la cybersécurité adoptée à Malabo ( Guinée équatoriale) le 27 juin 2014, est marquée par la prise en compte de l’approche de cybersécurité dans la stratégie de lutte contre la cybercriminalité. Selon son préambule, la Convention vise à « fixer les grandes orientations de la stratégie de répression de la cybercriminalité, dans les pays membres de l’Union Africaine, en prenant en charge leurs engagements actuels aux plans sous régional, régional et international ». La stratégie de lutte proposée au-delà de la dimension répressive intègre beaucoup d’aspects liés à la prévention de la cyberdélinquance. Le chapitre III de la Convention est consacré à la promotion de la cybersécurité et à la lutte contre la cybercriminalité (article 24 et s.) et la section I intitulée « mesures de cybersécurité à prendre au niveau national ». A cet égard, la Convention met à la charge des Etats Membres l’obligation d’élaborer et de mettre en œuvre une politique nationale de cybersécurité ( art. 24.1) , d’adopter les stratégies qu'ils jugent appropriées et suffisantes pour mettre en œuvre la politique nationale de cybersécurité, spécifiquement dans le domaine de la réforme législative et du développement, de la sensibilisation et du développement des capacités, du partenariat public-privé et de la coopération internationale ( art. 24.2). La Convention prévoit également l’obligation de promouvoir la culture de la sécurité chez toutes les parties prenantes – gouvernements, entreprises et société civile– qui développent, possèdent, gèrent, mettent en service et utilisent les systèmes et les réseaux d'information et de lancer un programme de sensibilisation nationale détaillé et complet pour les internautes, les petites entreprises, les écoles et les enfants (art. 26.1). 109
UIT, Comprendre la cybercriminalité. Guide pour les pays en développement, avril 2009, p. 12. 35
La Convention incite également Etats à s’engage à développer un partenariat public-privé en tant que modèle afin d'engager l'industrie, la société civile et le monde universitaire (art. 26.3) et à adopter des mesures de renforcement des capacités afin de proposer des formations couvrant tous les domaines de la cybersécurité (art. 26.4). S’agissant de la gouvernance de sécurité, l’article 27.2 de la Convention a mis à la charge des Etats l’obligation de créer des institutions compétentes pour lutter contre la cybercriminalité, de mener une veille, une réponse aux incidents et aux alertes et d'assurer la coordination nationale et transfrontalière des problèmes de cybersécurité et également la coopération mondiale.
II.
LA CYBERSECURITE DANS LES ACTIVITES DE LA DOUANE
Les exigences de la politique de cybersécurité mettent l’accent sur sa mission de la douane dans le contrôle des moyens et prestations de cryptologie (A) et mettent en lumière les enjeux que pose la sécurité informatique dans ses activités (B) A. Le contrôle des moyens de cryptologie par la douane Pour mieux cerner la place de l’administration douanière dans le contrôle de la circulation des moyens de cryptologie (2), il importe d’étudier le régime juridique applicable à la cryptologie (1) 1. Le régime juridique de la cryptologie La cryptologie est définie par la loi du 20 août 2008 portant sur la cryptologie110 comme la «science relative à la protection et à la sécurité des informations notamment pour la confidentialité, l’authentification, l’intégrité et la non-répudiation des données transmises ». Il s’agit de l’ensemble des techniques qui permettent de protéger les informations grâce à un code secret ou une clé. Elle constitue une solution technique incontournable pour protéger les échanges contre d’éventuelles atteintes à leur intégrité. La cryptologie est composée de la cryptanalyse et de la cryptographie. La cryptanalyse est l’opération qui vise à rétablir une information inintelligible en information claire sans connaître la clé de chiffrement qui a été utilisée. La cryptographie est l’étude des moyens et produits de chiffrement permettant de rendre illisible des informations afin de garantir l’accès à un seul destinataire authentifié. Pendant longtemps, l’usage des moyens de cryptologie a été réservé aux seuls domaines militaires, diplomatiques et gouvernemental. Son principal objectif était de garantir la sécurité de l’Etat et la défense nationale. La cryptologie était perçue comme un danger pour l’Etat, puisque le chiffrage des informations peut encourager la criminalité sur les réseaux. Mais progressivement, on a assisté à une libéralisation de la cryptologie en faveur du commerce électronique. Au Sénégal, à ce jour, la cryptologie est utilisée dans plusieurs secteurs notamment dans 110
Sur la cryptologie, V. G. CHATILLON, « Le régime français de la cryptologie : comment la déchiffrer ? », Cahiers Lamy, octobre 2000, p. 1 et s.; Th. PIETTE-COUDOL, « Actualité du régime documentaire de la cryptologie », RLDI, n° 29, juillet 2007. 36
l’administration, les télécommunications et le secteur informatique, plus précisément au niveau des centres d’appels, de certaines sociétés de transfert d’argent, ainsi que pour les paiements électroniques. Dans la loi n° 2008-41 du 20 août 2008 sur la cryptologie a consacré un principe de libéralisation des moyens de cryptologie. Selon l’article 11 de la loi sur la cryptologie sauf dispositions contraires, l'utilisation des moyens et prestations de cryptologie est libre. Ces dispositifs concernent les moyens ou prestations conçus pour protéger des mots de passe, des codes d'identification personnels ou des données d'authentification similaires, utilisés pour contrôler l'accès à des données, à des ressources, à des services ou à des locaux, sous la seule réserve qu'ils ne permettent de chiffrer que les fichiers de mots de passe ou de codes d'identification et les informations nécessaires au contrôle d'accès. Il en est de même des moyens ou prestations conçus pour élaborer ou protéger une procédure de signature électronique. Mais le législateur sénégalais a institué un régime de contrôle de l’importation, de la fourniture, de l’utilisation et de l’exportation des moyens de cryptologie. A cet égard, il est instituée une Commission nationale de cryptologie rattachée au Secrétariat Général de la Présidence de la République composée de douze (12) membres choisis, en raison de leur compétence juridique, scientifique et/ou technique en matière de cryptologie. Le Secrétariat de la Commission nationale de cryptologie est assuré par l'Agence de Régulation des Télécommunications et des Postes. La Commission nationale de la cryptologie est chargée de recevoir les déclarations, de délivrer des autorisations, des agréments aux prestataires de services de cryptologie et de prononcer des sanctions administratives à l’encontre des contrevenants aux dispositions de la loi sur la cryptologie. Le régime de la déclaration auprès de la Commission nationale de cryptologie concerne la fourniture, le transfert depuis un pays tiers ou l'importation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité (art. 12 de la loi). Cette formule vise la cryptologie à des fins de confidentialité de l’information. Le régime de l’autorisation concerne le transfert vers un pays tiers et l'exportation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité. Lorsqu’un prestataire de services de cryptologie ne respecte pas les obligations auxquelles il est assujetti, la Commission nationale de cryptologie peut, après audition de l’intéressé, prononcer à son encontre des sanctions administratives. Il s’agit de l’interdiction d’utilisation et de mise en circulation du moyen de cryptologie concerné, du retrait provisoire de l’autorisation accordée pour une durée de trois (3) mois à l’expiration de laquelle le retrait devient définitif, de la suspension provisoire de la déclaration pour une durée de six (6) mois à l’expiration de laquelle la suspension devient définitive et des amendes pécuniaires recouvrées au profit du Trésor public (art. 15 de la loi). La loi sur la cryptologie a érigé notamment en infractions le non respect de l’obligation de déclaration préalable des prestataires (art. 18 de la loi), le non respect de l’obligation d’autorisation des 37
prestataires (art. 19 de la loi), la fourniture de prestations de cryptologie sans l’agrément de la Commission nationale de cryptologie (art. 18 de la loi), la vente, la location, la mise à disposition d’un moyen de cryptologie ayant fait l’objet d’une interdiction d’utilisation et de mise en circulation (art. 20 de la loi) 2. Le rôle de la douane dans la circulation des moyens de cryptologie Les services de la douane ont un rôle pivot dans le contrôle des moyens et de prestations de cryptologie. Ainsi, l’administration peut contribuer à la prévention de la commission des infractions cybercriminelles. Ainsi, la douane, au-delà de ses
attributions en matière de contrebande et d’importation ou
d’exportation sans déclaration, dispose de prérogatives spécifiques en matière de circulation du matériel de cryptologie. Dans le décret n°2010-1209 du 13 septembre 2010 portant application de la loi sur la cryptologie, les services douaniers ont un office important dans le cadre des moyens de cryptologie soumis au régime de l’autorisation. En vertu de l’article 23 du décret l'autorisation d'importation d'un moyen de cryptologie est subordonnée à l'obtention d'une autorisation de fourniture, d'utilisation ou d'exportation de ce moyen délivrée par la Commission Nationale de Cryptologie. A cet égard, tout moyen de cryptologie doit faire l’objet d’une déclaration à la Douane sénégalaise avant son introduction et sur présentation de l’autorisation d’importation. Par ailleurs, l’administration douanière au-delà du contrôle des moyens de cryptologie dispose d’importantes prérogatives dans le cadre de la constatation des infractions relatives à la cryptologie. En vertu de l’article 24 de la loi sur la cryptologie toute infraction liée à la cryptologie sera constatée sur procès verbal dressé concurremment par les officiers de police judiciaire, les agents de l’Administration des Douanes et les agents assermentés de l’Agence de Régulation des Télécommunications et des Postes. Ainsi, les agents de l’administration douanière exercent ce pouvoir de constatation concurremment avec les officiers de police judiciaire et les agents assermentés de l’Agence de Régulation des Télécommunications et des Postes.
B. Les enjeux de cybersécurité dans les services douaniers Le développement de la cybercriminalité au Sénégal pose des enjeux stratégiques à la douane. Ces défis s’articulent autour de la nécessité de l’élaboration d’une stratégie de cybersécurité (1) et de la mise en place d’une structure de cybersécurité (2)
38
1. La nécessité d’une stratégie de cybersécurité L’administration douanière a initié une ambitieuse politique de dématérialisation des procédures douanières. Les technologies de l’information et de la communication sont devenues omniprésentes dans les activités de la douane. Dans un tel contexte, il importe pour les services de la douane de se doter d’une stratégie de cybersécurité orientée vers la sécurisation des systèmes d’information douaniers et la lutte contre la cybercriminalité. Cette politique ce cyberscurité trouve un écho favorable dans les instruments juridiques internationaux. Récemment, la Convention africaine sur la cybersécurité et la protection des données à caractère personnel a développé une stratégie de lutte contre la cybercriminalité articulée autour de l’approche de cybersécurité. Les axes stratégiques de la politique de cybersécurité reposent sur l’élaboration et la mise en œuvre d’une politique de cybersécurité. Selon l’article 24.1 de la Convention africaine sur la cybersécurité chaque État Partie s’engage en collaboration avec les parties prenantes, à se doter d'une politique nationale de cybersécurité qui reconnaisse l'importance de l'infrastructure essentielle de l'information pour la nation, qui identifie les risques auxquels elle est confrontée en utilisant une approche tous risques et qui définit dans les grandes lignes la façon dont les objectifs seront mis en œuvre. Cette politique nationale de cybersécurité doit prendre en charge tous les aspects de la cybersécurité et tous les secteurs de la vie. A cet égard, les services douaniers sont concernés par cette démarche. Mais, en vue de mettre en œuvre cette politique de cybersécurité, l’Etat et l’administration douanière doivent se doter d’une stratégie de cybersécurité. C’est ce qui résulte de l’article 24.2 de la Convention africaine, les États Parties s’engagent à adopter les stratégies qu'ils jugent appropriées et suffisantes pour mettre en ouvre la politique nationale de cybersécurité, spécifiquement dans le domaine de la réforme législative et du développement, de la sensibilisation et du développement des capacités, du partenariat public-privé et de la coopération internationale, pour ne citer que ceux-ci. Les stratégies devront établir des structures organisationnelles et se fixer des objectifs ainsi que des délais pour mener à bien tous les aspects de la politique de cybersécurité, tout en posant les bases d’une gestion effective des incidents et de la coopération internationale. En réalité, la stratégie de cybersécurité de la douane doit s’intégrer dans le cadre plus globale de la stratégie nationale de cybersécurité, ce qui suppose une coordination de la politique nationale de cybersécurité. 2. La mise en place d’une structure de cybersécurité Au-delà de l’adoption d’une politique et d’une stratégie de cybersécurité et de lutte contre la cybercriminalité, les services douaniers doivent également se doter de structures de cybersécurité. Il ne s’agit pas seulement de structures d’investigation orientées vers la conduite des enquêtes en matière de cybercriminalité, mais d’instances chargées de répondre aux incidents informatiques, de veiller à la 39
sécurité des systèmes d’information douaniers et d’assurer la coordination des activités de cybersécurité dans le secteur douanier. Cette exigence résulte de l’article 27.2 de la convention africaine sur la cybersécurité. Selon ce texte chaque État membre s’engage à adopter des mesures qu'il jugera nécessaires aux fins de créer des institutions compétentes pour lutter contre la cybercriminalité ; de mener une veille, une réponse aux incidents et aux alertes, d'assurer la coordination nationale et transfrontalière des problèmes de cybersécurité et également la coopération mondiale. A cet égard, les pouvoirs publics envisagent de créer un Centre National de cybersécurité (CNC). Le projet de décret portant organisation et fonctionnement du centre national de cybersécurité énonce que cette instance de cybersécurité aura une composition pluridisciplinaire. En effet, elle sera composée de magistrats, de policiers, de gendarmes, de douaniers, de militaires et de techniciens notamment. Il s’agit non pas d’une structure d’enquête mais d’une instance de renseignement chargée notamment d’assister les enquêteurs dans leurs investigations, de la formation des acteurs de la prévention de la cybercriminalité sur toute l’étendue du territoire et de la coordination de toutes les activités de lutte contre le cybercrime au Sénégal.
40