Vol des données des clients d’Orange ou encore intrusion dans le iCloud d’Apple, la criminalité électronique apparait plus que jamais d’actualité. Au-delà de leur attrait médiatique, ces exemples font écho à une autre réalité : le désarroi des entreprises touchées par de tels actes commis dans un espace sans frontières et défiant les systèmes judiciaires nationaux. Car si la source de l’attaque peut être identifiable, leurs auteurs, agissant depuis des territoires ayant instauré des exceptions juridiques, sont très souvent hors d’atteinte.
De leur côté, les entreprises considèrent souvent que la réparation très incertaine de leur préjudice, par ailleurs difficilement estimable, ne compensera pas l’atteinte à l’image qui rejaillira du dépôt d’une plainte, donnant un caractère public aux faits.
Aujourd’hui, le risque d’être la cible d’une attaque électronique touche toutes les entreprises, même la plus dotée en moyens techniques et humains. Il n’y a donc aucune honte à se déclarer victime d’une attaque sophistiquée intervenue malgré l’existence de solides mesures de sécurité. On ne peut en effet toujours reprocher à des entreprises de ne pas avoir protégé efficacement leurs données si la NSA n’y parvient pas…
Si elle décide de réagir judiciairement, l’entreprise devra déterminer auprès de qui porter plainte : le Procureur de la République, le Commissariat, les Services de la Police Judiciaire, les équipes NTECH, le DII, le STRJD, l’IRCGN, la BEFTI, l’OCLCTIC, l’ANSSI, INTERPOL, EUROPOL ou encore EUROJUST. Et, une fois l’étape franchie, l’entreprise se trouvera confrontée au silence judicaire qui ne fera que doubler ses incertitudes sur sa vulnérabilité…
En effet, du fait de la nature transfrontalière de la criminalité électronique, l’efficacité de l’action judiciaire nationale reposera essentiellement sur la coopération internationale, c’est-à-dire sur l’existence ou non de conventions internationales adaptées.
Ainsi, dans la zone Schengen, la coopération judiciaire est excellente. De même, la convention de Budapest sur la cybercriminalité permet aux quarante-deux Etats membres de bénéficier d’un standard commun d’incriminations et de mesures procédurales et d’urgence. Enfin, la convention d’entraide pénale internationale de 1959 du Conseil de l’Europe, ainsi que son deuxième protocole, permettent une coopération rapide entre les Etats qui l’ont ratifiée, même hors zone Europe. Par ailleurs, les conventions multilatérales ou bilatérales offrent des mécanismes plus traditionnels de protection.
Reste que dans de nombreux pays ou territoires, aucune convention adaptée ne permet de solliciter la coopération des services de l’Etat de l’auteur des attaques.
D’où l’importance de renforcer cette coopération en matière procédurale, ne serait-ce que pour rétablir l’entreprise victime dans sa réputation. Dans cette attente, les entreprises doivent se montrer pugnaces et ne pas hésiter à engager, la tête haute, le combat judiciaire à l’encontre des auteurs de délits électroniques.
Alexandra Neri
Partner- IP/TMT Department
Herbert Smith Freehills Paris LLP
membre du Club des juristes