Accès illégal à un système d’information, interception, destruction ou altération de données informatiques, atteinte au fonctionnement d’un système informatique, diffusion de logiciels de piratage, trafic de mot de passe, pornographie
infantile sur Internet… Dans la convention sur la cybercriminalité du Conseil de l’Europe, datant du 23 novembre 2001, tous ces actes sont reconnus comme des infractions pénales. Ce qui implique que leurs auteurs seront poursuivis et
punis par la quarantaine de pays signataires. Dont la France, où le texte est entré en vigueur le 23 mai dernier, en même temps qu’un protocole additionnel à cette convention.Ce deuxième texte pénalise spécifiquement les actes de racisme, xénophobie, antisémitisme et négationnisme commis sur Internet. Certains pays, comme les Etats-Unis qui invoquent le premier amendement à leur constitution protégeant la
liberté d’expression, ne voulaient en effet pas signer la convention si cette catégorie de cybercrime y était incluse. D’où un texte à part pour ceux que cela intéressaient malgré tout…Le Parlement français a voté le 19 mai un projet de loi faisant entrer les dispositions des deux textes en droit français. Le but : harmoniser ce que recouvre la notion de cybercriminalité et faciliter les procédures et la
coopération internationale en vue de poursuites judiciaires. ‘ C’est le seul texte international, aujourd’hui, à peu près bien ficelé sur la cybercriminalité ‘, estime Mathieu Lerondeau du Forum des
droits sur l’Internet. Le texte prévoit notamment une procédure d’extradition simplifiée entre Etats signataires, dans la mesure où l’infraction commise est punie d’au moins un an de prison dans le pays qui demande l’extradition. Il permet la mise
en place de points de contact dans chaque pays, qui fonctionnent comme un réseau d’échange d’informations. Chacun d’eux recueille ainsi des preuves pour le compte d’un autre et les lui communique.
Conservation des données personnelles pendant trois mois
Concrètement, un pays peut demander, pour ses propres besoins judiciaires, des données d’identification à un autre pays. Par exemple, pour un cas de phishing contre des banques françaises. Si le message
électronique à l’origine du phishing a été expédié depuis un pays membre de la convention, la France peut demander que la justice de ce pays ordonne la conservation de données au fournisseur d’accès, afin de remonter à
l’expéditeur. La conservation de données est d’ailleurs un point délicat de la convention.’ Le texte avait été contesté en 2001, reconnaît Matthieu Lerondeau. On disait qu’il ouvrait la voie à des comportements privatifs de liberté. ‘ Le titre 2 de la
convention est ainsi consacré à la ‘ conservation rapide de données informatiques stockées ‘. Là encore, il s’agit d’alléger les procédures. ‘ Jusque-là, les Etats avaient besoin d’une commission
rogatoire internationale. Tout cela pouvait aller très très lentement, jusqu’à trois mois, soit le temps moyen de conservation dans certains pays. ‘ Avec la convention, la demande d’un pays est quasi-immédiatement suivie
d’effet. Le pays sollicité peut faire geler des données, auprès dun prestataire technique, pour un maximum de trois mois pour les besoins d’une enquête.Pas de grandes surprises quant aux infractions recensées, cependant. La plupart sont déjà prévues dans le droit français. ‘ Et il n’est pas sûr que le spam rentre dans le cadre, estime Matthieu
Lerondeau, sauf s’il y a atteinte à l’intégrité d’un système ou une intrusion. ‘Autre limite, les délais de ratification. Signée en novembre 2001, la convention n’a pour l’instant été ratifiée que par onze pays, la France étant le dernier en date. Les Etats-Unis et le Canada n’en font toujours
partie. Et les premières entrées en vigueur ne date que de juillet 2004 (pays Baltes, Albanie). C’est encore plus limité pour le protocole sur le racisme, puisque trois pays seulement l’ont ratifié.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.