Pour un parquet européen du numérique par Adrien Basdevant

La cybercriminalité sera au cœur notre quotidien de demain. Combien d’attaques informatiques révélées, de réseaux en lignes démantelés suffiront à nous en faire prendre pleinement conscience ? À l’heure où l’ensemble de notre société et de notre économie est mis en données, le risque réside dans l’explosion de cette délinquance, alors qu’un sentiment d’impunité persiste. Ce constat inquiétant révèle un déficit de connaissance minorant sa gravité. Les contremesures proposées sont aujourd’hui insuffisantes. Dans ce contexte, il devient urgent de réfléchir aux modalités d’organisation collective pour lutter contre ces menaces, encore peu maîtrisées, mais qui deviendront à n’en pas douter au cœur du quotidien de demain

Qu’est-ce que la cybercriminalité ? Ses facettes sont multiples. À défaut de l’existence d’une définition légale consacrée, la cybercriminalité recouvre l’ensemble des infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication. Elle s’étend de l’escroquerie, aux vols de données, en passant par l’usurpation d’identité, mais renvoie également à la pédopornographie, la diffusion de contenus illicites ou malveillants, l’espionnage de sociétés ou encore la saturation de sites internet. Cette activité peut s’avérer très lucrative. En trois ans, Silk Road, le plus grand site de vente de drogues au monde, aurait généré un trafic évalué à 1,2 milliard de dollars avec des commissions de l’ordre de 80 millions de dollars.

La cybercriminalité se « démocratise ». Loin de cibler uniquement les grands groupes, elle atteint aujourd’hui indifféremment petites et moyennes entreprises, individus, et collectivités. Tous les secteurs sont concernés, de l’agriculture à l’éducation en passant par l’industrie lourde, car désormais la quasi-totalité de nos activités et interactions sont reliées à un système d’information, et par conséquent vulnérables aux intrusions et piratages. En effet, chaque organisation devient une entreprise de technologie de l’information dont les données constituent une richesse convoitée. . Elle présente en outre un degré de complexité rendant nécessaire une spécialisation pointue des acteurs et des outils afin de mieux saisir les mécanismes employés, comme dans le cas d’emploi de processus d’anonymisation par le navigateur TOR (The Onion Router) ou de demandes de rançon en bitcoin.

Silk Road, un exemple topique. Fermé par le FBI en novembre 2014, le site « route de la Soie » proposait, entre autres, d’après l’accusation, la vente et l’achat, uniquement en bitcoin, de drogues, armes, faux papiers, et des services de tueurs à gages. Durant le procès, les avocats de Ross Ulbricht – poursuivi pour avoir dirigé ce marché noir et finalement condamné par les juridictions américaines en mai 2017 à la réclusion criminelle à perpétuité – ont remis en cause plusieurs aspects de l’enquête, en particulier le comportement de deux agents fédéraux qui ont tenté d’extorquer et faire chanter l’accusé. Shaun Bridges, membre des services secrets américains, a ainsi été condamné après avoir plaidé coupable du détournement de 800.000 dollars en devise électronique bitcoin. Quand Carl Mark Force, agent de la DEA (service de la Justice américaine en charge de la lutte contre les stupéfiants – Drug Enforcement Administration en anglais) a écopé de 78 mois de prison pour extorsion de fonds et blanchiment d’argent. Cette affaire complexe souligne les spécificités inhérentes aux technologies, et la nécessité de former les prochaines générations d’enquêteurs, de juges et d’avocats pour en appréhender toutes les subtilités. Une spécialisation de l’ensemble de la chaîne pénale paraît nécessaire : de l’enquête, à l’instruction, jusqu’à la phase de jugement.

L’analogie avec le Parquet National Financier. Les limites actuelles pour lutter contre la cybercriminalité ressemblent à celles qui existaient en matière économique et financière avant la création, en 2014, du Parquet National Financier : aggravation et complexification de la délinquance économique, absence d’interlocuteur précisément déterminé au niveau national et international, spécialisation insuffisante des magistrats, insuffisance des moyens humains et techniques, coût du manque à gagner résultant de la fraude. Le Parquet National Financier pourrait ainsi servir d’exemple. La création d’un Parquet spécialisé dans le numérique permettrait de répondre aux problématiques posées par les infractions propres aux réseaux électroniques, notamment les attaques visant les systèmes d’information, le déni de service et le piratage ainsi que celles commises à l’aide des réseaux de communication électroniques et de systèmes d’information lorsque celles-ci atteignent un certain degré de complexité ou constituent des atteintes particulièrement graves. Son niveau élevé de spécialisation et les outils de pointe qui lui seraient confiés permettraient par exemple d’identifier les auteurs ayant recours à des processus de chiffrement et de récolter des preuves rendues plus difficiles à obtenir par des technologies avancées. Certaines initiatives ont déjà été déployées dans l’État de Rio au Brésil, ou en Espagne où existe un Procureur Général en charge de la cybercriminalité qui bénéficie de l’aide de 70 parquetiers réunis au sein d’un parquet spécifique dédié à ce type de criminalité.

La formation des magistrats. La création d’une filière judiciaire numérique suppose de débattre en amont du type de spécialisation des magistrats, de leur nombre, de la centralisation ou la décentralisation d’un tel parquet, voire de la possibilité de mettre en œuvre un parquet au niveau européen. Un enjeu majeur sera alors de coordonner l’action du Parquet du Numérique avec les différents services spécialisés existants, le numérique étant souvent un moyen permettant à la grande délinquance organisée de blanchir l’argent ou de financer des réseaux terroristes, pour lesquels d’autres organes sont déjà compétents. A terme, la création d’une 33ème Chambre correctionnelle spécialisée et exclusivement dédiée au jugement des infractions instruites par le Parquet National du Numérique – à l’image de la 32ème Chambre correctionnelle, dédiée aux affaires émanant du Parquet National Financier (Affaire Cahuzac, Wildenstein, etc.) – pourrait s’avérer pertinente.

La pertinence d’une coordination paneuropéenne. L’ensemble des constats qui précèdent amène à envisager une coopération à un niveau supranational, notamment en considération du caractère substantiellement transnational de la cybercriminalité. Au soutien de la mise en œuvre d’un tel mécanisme de coopération, retenons le raisonnement développé par les institutions de l’Union européenne pour la mise en place d’un parquet européen pour les infractions pénales portant atteinte aux intérêts financiers de l’UE. Les questions de sécurité, justice et droits fondamentaux relevant des compétences partagées entre l’UE et les Etats membres, le principe de subsidiarité trouve ici une application particulièrement pertinente en ce qu’une action au niveau européen serait beaucoup plus efficace pour combattre les infractions relevant de la cybercriminalité. À ce titre, la création d’un Parquet Européen du Numérique concrétiserait également plusieurs des priorités de l’UE en matière de Justice, par exemple concernant la protection des consommateurs dont l’objectif affiché est notamment d’adapter le droit de la consommation à l’ère du numérique mais également d’apporter « une réponse plus forte, coordonnée et globale face à […] la cybercriminalité ».

L’urgence nous commande dès à présent de réfléchir à l’évolution du contentieux lié au numérique au niveau européen. Cette évolution paraîtra prospective pour certains. L’anticiper est pourtant primordial. La conduite du changement est un long processus. Mais inéluctablement cela sera l’unique façon de disposer demain de parquetiers et de services d’enquêtes disposant des connaissances et des moyens nécessaires pour aborder les affaires de cybercriminalité.

Adrien Basdevant, avocat, co-auteur de « L’empire des données »