À l’heure où une réelle révolution numérique est en marche à travers le monde depuis quelques années, un nouveau modèle est apparu dans le droit : le cyberespace. Brièvement, il s’agit d’une société globale des télécommunications dont l’élément fédérateur est l’information. Cette « cybersociété » est uniquement virtuelle et dès lors, le cyberespace interfère uniquement avec la matière virtuelle et non « humaine ». Pourtant, certains éléments laissent à penser qu’il s’agit bien d’un espace virtuel, mais qui s’attache à favoriser et prendre en considération tout ce qui touche à l’humanité dans sa globalité. Plus simplement, on peut entendre le cyberespace comme « un domaine global constitué du réseau maillé des infrastructures des technologies de l’information (dont Internet), des réseaux de télécommunication, des systèmes informatiques, des processeurs et des mécanismes de contrôle intégrés. Il inclut l’information numérique transportée ainsi que les opérateurs des services en ligne »[1].

"Il est évident que, tant des « lois modèles » qu’un authentique Code des obligations du cyberespace, ne suffiront pas à garantir un système bénéficiant d’une sécurité optimale"

Bien que cette notion soit encore floue, elle est pourtant d’ores et déjà très réglementée. Mais attention, cette réglementation n’est en fait que théorique, doctrinale, puisqu’en pratique, ces législations ne sont pas applicables et c’est ainsi que cet « espace de télécommunication » est en effet « régi » par une Constitution et une Déclaration des Droits du Cyberespace[2]. Elles offrent une réelle régulation d’Internet à travers un Traité international, d’envergure plus ou moins restreinte, et confèrent également une compétence exclusive à une future institution assimilable à un Gouvernement du cyberespace. Ces fondements n’agissent que dans un seul et unique but : offrir une régulation de tous les réseaux globaux de télécommunication, et plus particulièrement d’Internet. Jusqu’à présent, à l’échelle internationale, les organisations internationales, gouvernementales et les commissions s’étaient surtout penchées sur la création de la CNUDMI[3] ou encore de l’OMPI[4]. Néanmoins, malgré de remarquables efforts de régulation, surtout par CNUDMI, il est évident que, tant des « lois modèles » qu’un authentique Code des Obligations du Cyberespace, ne suffiront pas à garantir un système bénéficiant d’une sécurité optimale.

"Ce nouveau monde qu'est le cybersepace se trouve encore dans un certain vide juridique"

De grands thèmes sont traités dans cette Constitution du cyberespace. Y sont, entre autres, abordés la question de la sauvegarde des droits fondamentaux humains, les réseaux globaux de télécommunication et surtout Internet, la protection des données personnelles et du secret des communications, le commerce électronique, la fiscalité des transactions économiques dans le cyberespace, les délits commis au sein du cyberespace, etc… Pourtant, cette Constitution semble toujours rester sans force juridique à l’heure actuelle et stagne au rang de fiction. Il en va de même pour la Déclaration d’Indépendance créée par John Perry Barlow en 1996. Toutes ces réglementations ne restent que des « propositions » et ainsi, ce nouveau monde qu’est le cyberespace se trouve encore dans un certain vide juridique. Mais au-delà de cette théorie doctrinale qui n’existe pas encore formellement, le cyberespace se rapproche néanmoins déjà de certaines dispositions reconnues, comme la Déclaration universelle des droits de l’homme ou encore la Convention européenne des droits de l’homme.

"Tout n’est donc pas à réinventer"[5], mais

"beaucoup reste à clarifier, face à un

droit du cyberespace encore imprécis et dispersé." [6]

À l’échelle européenne, en matière de protection des données personnelles, on retrouve notamment le nouveau Règlement européen de protection des données (dit RGPD), entré en vigueur dans tous les pays de l'Union européenne à partir du 25 mai 2018. Ce nouveau règlement est déterminant puisqu’il réglemente des domaines oubliés jusqu’alors, comme le consentement des mineurs dès 15 ans sur Internet, sans que l’accord de leurs parents ne soit nécessaire ; l’information des internautes en cas de piratage de leurs données (sauf dans certaines situations) ; voire possibilité de lancer une action de groupe par le biais d'une association ou d'un organisme actif dans le domaine de la protection des données dès lors que les internautes considèrent que leurs données ont été utilisées en contradiction avec la loi en vigueur, avec à la clé des sanctions renforcées contre les entreprises fautives, etc…

Ce règlement a aussi renforcé certains droits notamment en matière de mise à disposition, pour les utilisateurs du cyberespace, d’informations claires, simples et facilement accessibles, l’interdiction d’utilisation de données sensibles ou encore une protection optimale du profilage et des décisions automatisées ne nécessitant aucune intervention humaine. Le plus notable d’entre eux reste le droit à l’oubli numérique surtout en matière de suppression de résultats dans les moteurs de recherche. Ainsi, la loi sur la protection des données personnelles publiée au Journal officiel du jeudi 21 juin 2018 adapte à ce nouveau cadre juridique européen la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

"Le plus frappant est que ce règlement européen ne s’applique pas aux personnes physiques, sauf lorsqu’elles sont victimes"

Néanmoins, le RGPD, selon la Direction générale de la concurrence, de la consommation et de la répression des fraudes, s’applique uniquement « aux entreprises, aux organismes publics et aux associations quelles que soient leur taille ou leur activité, dès lors qu’ils traitent des données personnelles de personnes physiques se trouvant sur le territoire de l’Union européenne. Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement. Le RGPD s’applique également aux entreprises ayant leur siège en dehors de l’UE qui traitent les données de citoyens européens ». Le plus frappant est que ce règlement européen ne s’applique pas aux personnes physiques, sauf lorsqu’elles sont victimes.

Nonobstant, le Droit pénal intervient dans la protection de biens juridiques protégés, tel que la vie privée. Et ces biens sont au cœur du cyberespace : l’intervention du Droit pénal est donc nécessaire. Ainsi, lorsque les articles 226-1 et suivants du Code pénal protègent la vie privée, il faudrait en créer une équivalence, à l’échelle du cyberespace. Ainsi, il s’agirait de développer le cyberespace, en conservant l’échange d’informations et de données sur lesquels ils se fondent et en sanctionnant notamment les atteintes à la vie privée (ce à quoi procède le Droit pénal).

Mais alors, que se passe-t-il lorsqu’une personne physique semble commettre une infraction en matière de données personnelles ?

C’est le Code pénal qui répond à cette question en ses articles 226-16 et suivants. On retiendra principalement que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. » De même, l’article 226-19 du Code pénal évoque le consentement comme critère de détermination de l’infraction.

Ainsi, on pourrait dire qu’au regard du Droit pénal, toute infraction commise dans le cyberespace comme définie précédemment donne lieu à une sanction. Pourtant, la mesure dans laquelle cet article s’applique n'est pas définie clairement : entre deux français, son application est certaine. Mais au niveau du Droit pénal international, malgré un élément d’extranéité, rien ne garantit la compétence législative française. La loi française a donc une portée relative dans le cadre du cyberespace. Au niveau international, il semble manquer une réelle structure, une réelle législation effective couvrant l’ensemble des domaines liés à Internet et aux télécommunications.

"Il faudrait que la Constitution du cyberespace devienne une norme de droit positif et non une doctrine"

En d’autres termes, il faudrait que la Constitution du cyberespace devienne une norme de droit positif et non une doctrine. Cette idée fait partie intégrante de notre actualité puisqu’à l’occasion du 13ème Forum sur la gouvernance d'internet, le président de la République, Emmanuel Macron, a démontré une réelle volonté de prendre place au sein d’une négociation internationale afin de proposer « un cyberespace plus fiable, plus sûr et plus stable ».

Et aujourd’hui, l’implication française dans le cyberespace est conséquente. Par exemple, Frédérick Douzet, Professeur à l'Institut français de géopolitique de l'Université Paris 8, a été chargée de cartographier le cyberespace. En effet, elle précise : « on pense la carte comme un outil d’aide à la décision. On développe des représentations de la complexité qui sont immédiatement compréhensibles pour des gens qui n’ont pas une connaissance cyber très poussée, mais qui sont en position de décision stratégique »[7]. De plus, le journal RTL Futur évoque qu’ « en 2017, les réseaux du ministère ont recensé 700 incidents de sécurité, dont une centaine d'attaques »[8]. Une réelle réglementation s’impose donc et semble être en cours. Ainsi, Frédérick Douzet expliquera que « C'est un environnement entièrement construit par l’homme, ultradynamique, en recomposition permanente. Calculer les effets d’une attaque est très difficile : elle peut ne pas fonctionner parce que des vulnérabilités auront été corrigées, ou entraîner des dégâts collatéraux non anticipés. Il est très complexe d’attribuer une attaque, mais aussi parfois de la qualifier : sert-elle à faire de la reconnaissance, à initier un vol de données, une action de sabotage ? […], quand une arme cyber est lâchée dans la nature ou volée, elle peut être réutilisée. C’est ce qui s’est passé l’an dernier avec les cyberattaques WannaCry et NotPetya, qui utilisaient des programmes développés par l’Agence nationale de sécurité (NSA) américaine pour exploiter des failles de sécurité informatique »[9].

Finalement, le cyberespace, on en pense quoi ?

Le cyberespace reste aujourd’hui encore une notion déterminable. Mais les institutions françaises et internationales tentent réellement d’en définir les frontières afin de le réglementer plus facilement.

Bien que le Droit pénal propose déjà des solutions de réglementation, il faudrait parvenir à une harmonisation de ce droit à l’échelle internationale, en offrant une législation unique. Même si cela se fait, il faudra tout de même ensuite parvenir à synthétiser les domaines entrant dans un « Droit pénal du cyberespace » à savoir : prendre en compte ou non le droit à l’oubli, intégrer ou non le télétravail, les acteurs soumis à ce Droit pénal, mais aussi les infractions qui y sont soumises, etc… L’élément le plus novateur restera tout de même les droits humains : dans un monde en pleine expansion et de plus en plus porté sur ceux-ci, il semble impensable de les exclure de cette future nouvelle législation.

Justine LOCURATOLO

[1] Glossaire interarmées de terminologie opérationnelle, PIA-7.2.6-3, 2012, N° 001/DEF/CICDE/ NP du 3 janvier 2012

[2] Déclaration d'indépendance du cyberespace, 8 février 1996, par John Perry Barlow

[3] Commission des Nations Unies pour le droit commercial international

[4] Organisation Mondiale de la Propriété Intellectuelle

[] Bertrand Boyer, op.cit.

[6] La dimension juridique du cyberespace, Barbara Louis-Sidney

[7] Frédérick Douzet, la nouvelle cartographe du cyberspace, 20 janvier 2019, L’Usine nouvelle

[8] La France à l’offensive dans le cyberespace, 18 janvier 2018, RTL Futur

[9] Cyberespace : « Chacun cherche à préserver ses capacités offensives », 11 novembre 2018, Libération