Intervention de Marc Robert

Précision liminaire sans doute utile, madame la présidente, monsieur le président, je ne suis un spécialiste ni du numérique ni de la cybercriminalité. Le Gouvernement a souhaité placer un généraliste de la procédure pénale et du droit conventionnel à la tête d'un groupe interministériel chargé de faire des propositions en matière de lutte contre la cybercriminalité.

Représentants de la police, de la gendarmerie, de la justice, des douanes, de l'économie numérique, de la consommation, nous sommes parvenus à nous mettre d'accord – le fait est assez rare pour être souligné – sur un constat et sur des propositions, tout en laissant volontairement de côté des sujets relevant d'autres instances. Nous n'avons notamment pas voulu aller sur les brisées de la Commission nationale de l'informatique et des libertés (CNIL).

Notre mission, très précise, dictée par les enjeux européens, consistait à élaborer une stratégie d'ensemble de lutte contre la cybercriminalité.

J'ai voulu que nous partions non des attentes des administrations centrales mais des attentes de catégories d'acteurs qui m'apparaissaient plus pertinentes en la matière – victimes individuelles, associations de consommateurs, entreprises, barreaux, acteurs répressifs dans leur pluralité – afin d'avoir un constat plus indépendant.

D'autre part, j'ai souhaité que nous ayons en permanence en ligne de mire l'ensemble des exigences relevant des droits fondamentaux que sont la liberté d'expression et la protection de la vie privée. Nous avons ainsi consacré un chapitre spécial de notre rapport à la jurisprudence en ce domaine – article 8 et article 10 de la Convention européenne des droits de l'homme, décisions principales du Conseil constitutionnel.

Un premier constat s'impose : il est très difficile d'appréhender la cybercriminalité. Tout d'abord, nous avons eu beaucoup de mal à la définir, en cela, nous n'avons pas été les seuls puisqu'aucun système juridique dans le monde n'est parvenu à le faire, si ce n'est sous forme de litote. En outre, elle n'a pas de frontière matérielle : elle concerne tous les pans de la délinquance et a tendance à s'étendre, par scissiparité, à toutes ses formes.

La principale conclusion que nous avons tirée de nos travaux va peut-être vous surprendre : le défi auquel nous sommes confrontés en France comme ailleurs relève moins de solutions juridiques que d'une stratégie globale mettant l'accent sur des points sur lesquels les juristes ont moins tendance à insister habituellement.

Premier point fondamental : la prise de conscience du phénomène nous paraît devoir être encore approfondie. Cela est particulièrement vrai pour les menaces touchant les entreprises, non pas seulement les 150 organisations d'importance vitale auxquelles on pense toujours, mais tout le tissu économique jusqu'aux plus petites PME.

Le deuxième point fondamental sur lequel nous souhaitons insister est l'exigence de la prévention. Le groupe de travail, composé en grande majorité d'acteurs de la répression, s'est mis d'accord pour considérer que la sensibilisation des internautes était la priorité des priorités car ils constituent le premier point d'appui de la cybercriminalité comme le montrent les atteintes à la vie privée ou les escroqueries de masse. Or la prévention paraît actuellement totalement éclatée, inorganisée et très peu soutenue par l'État.

Le troisième point est la formation des acteurs répressifs et, de manière générale, de tous ceux dont la vocation est de faciliter le contact avec Internet. Il y a encore un travail important à accomplir d'autant que nous constatons chez bon nombre de magistrats une ignorance des mécanismes et des caractéristiques techniques de la cybercriminalité.

Le quatrième point renvoie à l'absence de pilotage centralisé de la lutte contre la cybercriminalité au niveau de l'État. Il s'explique par des raisons historiques : la prise de conscience est récente. Dans un ordre dispersé, chaque administration a créé des instances spécifiques et le nombre des autorités administratives indépendantes s'est multiplié, à chaque fois pour prendre en compte un aspect seulement de cette forme de criminalité.

Par comparaison, des secteurs connexes ont donné lieu à une coordination poussée : il en va ainsi pour l'économie numérique, pour la cyberdéfense, qui fait l'objet d'une forte structuration de l'État autour du Secrétariat général de la défense placé sous la responsabilité du Premier ministre, ou encore pour les cyberattaques, à travers le rôle joué par l'Agence nationale de la sécurité informatique (ANSI), dotée de moyens importants et elle aussi placée sous la responsabilité du Premier ministre.

À l'étranger, certains États se sont dotés d'un pilotage unique regroupant les différents secteurs du numérique quand d'autres ont procédé à une distinction entre cyberdéfense, cybersécurité et cybercriminalité tout en en mettant en place des structures organisées et coordonnées, je pense notamment à l'Allemagne.

En France, la lutte contre la cybercriminalité ne fait l'objet d'aucune organisation de ce genre alors qu'elle requiert une synergie, une mise en cohérence, une planification des priorités. Pour combler cette lacune, nous avons proposé la création d'un organisme interministériel.

Une autre carence de l'organisation de l'État se manifeste sur le plan judiciaire. Non seulement la prise de conscience est limitée à quelques individus, mais il n'existe aucune structure dédiée tant au niveau central que territorial, exception faite de Paris. Il est normal sans doute que la justice soit moins réactive que les services d'enquête de la police ou de la gendarmerie mais cette situation ne doit pas perdurer. Nous préconisons donc la création d'une instance pluridisciplinaire au sein de l'administration centrale et la reconnaissance de compétences préférentielles pour Paris et pour les juridictions interrégionales spécialisées.

Autre constat qui nous a marqués : l'inefficacité du traitement des contentieux de masse, essentiellement les escroqueries et toutes les fraudes à la carte bleue commises via Internet. Pour la cyberescroquerie, qui fait potentiellement des centaines de milliers de victimes, cela tient au fait que ce traitement repose sur le recueil de plaintes individuelles, éclaté localement, sans qu'aucune synergie ne soit mise en oeuvre. Ajoutons à cela les difficultés liées à l'identification et aux remontées des adresses IP et vous comprendrez pourquoi le nombre de classements sans suite est aussi important. Autrement dit, il y a une inadéquation totale du mode de traitement à la spécificité de ce contentieux, qui est insuffisamment prise en compte. S'agissant des fraudes à la carte bleue, le problème de la captation des données s'est trouvé réduit à un traitement indemnitaire via les organismes bancaires alors qu'il faudrait organiser entre les banques et l'État une obligation de transferts de données pour que nous puissions reprendre la main sur ce genre de fraudes qui relèvent de bandes organisées.

Nous avons également formulé des propositions importantes à propos des prestataires de l'Internet et sur le droit des victimes.

Je vous rassure tout de même, le questionnement juridique n'est pas tout à fait absent de notre analyse. Il a porté non pas tant sur le droit pénal de fond, qui nous paraît suffisant de manière générale, mais surtout sur la question de l'adaptation des moyens procéduraux à la spécificité de la cybercriminalité, compte tenu des difficultés très particulières que rencontrent les services d'enquête – je veux parler des services de droit commun et non des services spécialisés. Sur le terrain, ceux-ci se disent démotivés car ils considèrent n'avoir pas de prise sur ces types de délinquance, du fait de l'anonymisation, de la rapidité de flux et de l'extranéité.

In fine, nous avons dû aborder la question des moyens à mettre en oeuvre pour lutter contre la cybercriminalité car jusqu'à présent, il n'y a eu aucune planification de cette nature.

J'en viens enfin aux changements intervenus depuis le dépôt du rapport. La loi sur le terrorisme a repris certaines de nos propositions mais en a écarté d'autres, le ministère de l'intérieur et le ministère de la justice ont procédé à certaines réorganisations. Toutefois, c'est surtout la loi sur le numérique qui devrait permettre d'avancer sur certaines questions.