La cybercriminalité en droit luxembourgeois

Jean-Luc PUTZ est juge de paix à Luxembourg. Il a siégé durant 10 ans dans des chambres correctionnelles du tribunal d’arrondissement de Luxembourg. Il vient de publier un ouvrage sur la cybercriminalité en droit luxembourgeois. Si vous pensez que les ouvrages juridiques sont par définition ennuyeux, vos préjugés risquent de voler en éclats à l’ouverture de ce livre. Mais comme il est difficile de résumer plus de 600 pages dans un article, nous avons rencontré son auteur pour aborder la cybercriminalité sous l’angle judiciaire.

Quelles sont les dernières tendances en matière de cybercriminalité ?

« Premièrement, il faut faire la différence entre les délits dont on arrive à attraper les auteurs et ceux qui ne sont pas élucidés. La triste réalité est que les autorités ont beaucoup de mal à élucider les attaques les plus sophistiquées, ou du moins à mettre la main sur leurs auteurs. Les condamnations qui interviennent le sont le plus souvent dans un contexte local, avec des petites escroqueries. Il y a beaucoup de cas d’anciens salariés qui sont en délicatesse avec leur employeur et qui veulent se venger », explique Jean-Luc Putz. « Dans ce cas, les enquêteurs peuvent rapidement identifier le ou les suspects mais les choses se compliquent lorsqu’il s’agit de récolter des preuves. Car lorsque ces employés ont des compétences techniques, ils s’organisent pour ne laisser aucune trace probante en faisant appel par exemple à des intermédiaires à l’étranger, dehors de l’UE de préférence. De ce fait, il y a énormément de classements sans suite dans ces affaires », précise-t-il.

L’anonymat sur Internet pose des problèmes en droit pénal car on a du mal à identifier les coupables de petites escroqueries. On ne peut pas mettre en œuvre des équipes entières de la police technique pour chaque colis qui n’est pas livré…

Quelles sont les spécificités de la cybercriminalité au Luxembourg ?

Il n’y a pas énormément de grands dossiers qui sont poursuivis, et la seule spécificité que l’on peut noter, c’est que les affaires prennent rapidement une tournure internationale, cela étant dû au territoire exigu.

Et la législation ? Est-elle plus ou moins en retard par rapport à nos voisins ?

Comme partout, la législation est souvent en retard sur la réalité dans ces matières. Pendant 200 ans, on a considéré qu’on ne pouvait pas voler des choses immatérielles. Or, depuis 10 ans, la Cour de Cassation a décrété qu’on pouvait voler des données. Mais il reste une différence substantielle entre le vol de données et le vol de choses matérielles. Si je vole des données, je vole en réalité une copie, et la victime du vol dispose toujours des données. Cela change toute la notion de vol et pose également la question de la propriété des données. Si je peux les voler, cela veut dire qu’elles appartiennent à quelqu’un. Or, une photo déposée par un salarié sur le cloud de son entreprise lui appartient-elle ? Ou appartient-elle à son employeur, ou encore au propriétaire du Cloud ? Ce sont toutes ces questions auxquelles il n’est pas toujours facile de répondre…

Les titulaires des données ont pourtant des droits… Surtout depuis la RGPD. Peut-on tirer un 1er bilan de cette réglementation ?

« La première chose qu’il faut préciser, c’est que la RGPD a été complètement dépénalisée. Une violation des données personnelles ne peut pas être poursuivie par le parquet ou par un juge d’instruction, et elle ne peut pas donner lieu à une amende pénale. Les seules amendes possibles sont des amendes administratives qui peuvent être prononcées par la CNPD. Je pense que ce n’était pas une bonne idée de dépénaliser complètement car cela enlève tous les moyens que la police possède pour poursuivre des infractions. Cela dit, les entreprises craignent les amendes astronomiques qui sont prévues par les textes. Et, il faut souligner que la négligence est également sanctionnée, ce qui n’est pas nécessairement le cas en droit pénal », précise M. Putz. Autre différence : la publicité dont font l’objet les affaires pénales… Tandis que les sanctions administratives, même si elles sont lourdes, ne mettent pas les coupables sous les feux des projecteurs. « Cela fonctionne bien pour les entreprises qui ont pignon sur rue, mais pour les cybercriminels, ça ne marche pas… Vous ne savez même pas où et à qui notifier l’amende », regrette M. Putz.

Les enquêteurs face au numérique : comment se déroulent les enquêtes ?

Les téléphones portables, les tablettes et les ordinateurs sont systématiquement saisis lors des enquêtes en matière de stupéfiants ou de pédopornographie, et naturellement on essaye d’exploiter les données. Mais depuis quelques années, cela devient plus compliqué car les enquêteurs de retrouvent face à des messageries de type Whatsapp ou Telegram qu’ils ne peuvent pas décrypter, à moins d’y mettre de gros moyens qui ne sont pas mobilisables pour la petite criminalité. Cela poussera peut-être ces enquêteurs à renouer avec les « bonnes vieilles méthodes » d’enquête et d’observation.

Mais en tout cas, ces difficultés ne doivent pas remettre en cause l’utilisation de la cryptographie, qui permet de sécuriser la transmission de messages, les communications, les transactions… La cryptographie est indispensable au bon fonctionnement d’Internet mais elle présente en même temps un défi de taille pour les autorités.

Qu’en est-il des peines prononcées contre les cybercriminels, en comparaison des sanctions qui touchent les crimes dans la vie réelle ?

Il faut reconnaître que les peines prononcées pour des vols de données ou autre crimes « cyber » sont en général nettement moins sévères que celles prononcées pour des délits comme la conduite en état d’ivresse, vol à l’étalage ou simple rixe de bistrot. Et surtout, les peines prononcées manquent encore de cohérence et de logique.

En guise de conclusion, le conseil aux entreprises est de miser le plus possible sur la prévention, car la voie judiciaire est souvent complexe et onéreuse, voire incertaine si les preuves sont techniquement compliquées à produire, ou bien si les suspects sont hors d’atteinte.