La répression de la cybercriminalité en droit sénégalais à l’épreuve de l’anonymat dans le cyberespace.
Publié le 27/04/2011 par - 0 vues
La répression de la cybercriminalité en droit sénégalais à l’épreuve de l’anonymat dans le cyberespace.
Léon Patrice SARR
Master Pro 2 Droit du Cyberespace Africain
Avocat-Stagiaire au Barreau de Dakar (Sénegal)
– Le cyberespace : Le terme a été inventé par William GIBSON en 1982 dans son roman intitulé Burning Chrome ou Gravé sur chrome. C’est par essence un espace né de la mise en réseau des ordinateurs disait M. Thévenet. Cet espace n’est jamais finalisé, il reste toujours ouvert à l’expansion, la modification et l’effondrement ajoute Bernhard Rieder.
C’est la réplique réelle mais immatérielle et numérique de notre monde physique avec ses villes constituées de serveurs, ses maisons et immeubles que sont les ordinateurs, les téléphones portables et tous autres gadgets permettant de rester connecté, ses axes de circulations permettant l’information de circuler et d’être consultée à partir ne n’importe quel endroit sur terre, ses moyens de reconnaissance que sont les adresses IP, les URL, les adresses mails et ses habitants que sont les internautes qui ne marchent ni ne roule comme nous mais surfent.
La cybercriminalité : Elle n’a fait pas l’objet d’une définition légale au Sénégal comme dans beaucoup de pays d’ailleurs. Elle est souvent définie comme étant l’ensemble des infractions commises dans les réseaux de télécommunication ou au moyen de ces derniers. Toutefois cette définition est fort réductrice en ce sens qu’elle ne prend pas en compte les infractions commises contre les réseaux de télécommunication et elle n’inclue pas les infractions utilisant ces réseaux pour menacer, tromper. C’est pourquoi nous préférons celle proposée par Mohamed CHAWKI, Membre du Conseil d’État français dans son Essaie sur la notion de cybercriminalité. La cybercriminalité serait « toute action illicite associée à l’interconnexion des systèmes informatiques et des réseaux de télécommunication, où l’absence de cette interconnexion empêche la perpétration de cette action illicite ». Suivant cette définition, le réseau de télécommunication peut être objet, support, outil ou symbole de l’acte illicite.
Anonymat : Le mot anonymat provient du grec anonymos et anonyma qui désigne ce qui est sans nom ou sans renommée. Il peut s’agir d’une personne ou d’une chose. Dans cette étude, le terme anonymat désigne toute personne dont on ignore le nom ou l’identité.
Anonymat et Cyberespace : Dans le cyberespace, l’anonymat peut être de fait ou encore de droit. Il est de droit lorsque, conformément aux termes de l’article 5-2 de la loi sur les transactions l’internaute après avoir donné les informations permettant de l’identifier ultérieurement demande que son identité ne soit pas dévoilée. L’anonymat est de fait lorsque l’internaute ne communique aucune information permettant de l’identifier au besoin. C’est ce dernier cas de figure qui nous intéresse dans cette analyse.
Anonymat et Cybercriminalité : En matière de cybercriminalité, la personne anonyme peut être aussi bien la victime d’un acte illicite, l’auteur de cet acte ou encore la personne pénalement responsable des actes de l’auteur. Nous examinerons uniquement l’anonymat lorsqu’elle concerne l’auteur de l’acte illicite.
Conséquence de l’anonymat sur la répression de la cybercriminalité : Une incertitude dans la détermination du responsable (1) et un flou dans l’identification du cyberdélinquant (2).
1- Une incertitude dans l’identification du responsable.
A- La multiplicité des intervenants potentiels dans la réalisation de l’infraction.
1- les prestataires techniques qui fournissent les moyens techniques nécessaires à l’accès à internet et à la diffusion de contenu sur l’internet ;
a- Les fournisseurs d’accès : Le fournisseur d’accès à internet, dit FAI, est, comme son nom l’indique, la société qui fournit l’accès à internet à un utilisateur, particulier ou personne morale, désirant se connecter au réseau internet, ainsi que les moyens matériels et techniques permettant de bénéficier des services s’appuyant sur ce réseau.
b-Le stockage temporaire : le cache : Les fournisseurs d’accès mettent en place des serveurs relais, sur lesquels ils font des copies des serveurs les plus demandés et où ils stockent les services qui ont déjà été consultés. Cette technique du cache permet d’améliorer le temps de connexion aux sites internet : lorsqu’un utilisateur demande un site particulier, s’il se trouve déjà sur le cache, le temps de transfert est diminué. Techniquement, ce type de stockage temporaire est lié à la fonction de transport. Il s’agit de permettre à l’utilisateur d’accéder plus rapidement et sans encombrer les réseaux aux informations disponibles. Cela fait partie des techniques de communication et de transport de l’information.
c-Le stockage durable : fournisseur d’hébergement :L’hébergement consiste à conserver en mémoire des informations et à connecter un site à l’Internet. Le fournisseur d’hébergement est donc généralement défini comme un fournisseur de service de stockage et de gestion de contenus permettant à un fournisseur de contenu de rendre ses pages accessibles au public. Le fournisseur d’hébergement est un prestataire technique et informatique, il n’est pas le créateur du contenu des services qu’il héberge, il ne doit pas être confondu avec le fournisseur de contenu.
2- les fournisseurs de contenu qui produisent l’information disponible sur l’internet ;
a- L’éditeur : L’éditeur peut être défini comme la personne physique ou morale qui prend la responsabilité de mettre à la disposition du public un contenu qu’il a créé et/ou organisé.
b- Le directeur de publication : Lorsque le service est fourni par une personne morale, le directeur de la publication est nécessairement le représentant légal de cette personne morale (gérant, président, etc.). Lorsqu’il est fourni par une personne physique, il peut s’agir de la personne offrant le service ou celle qu’elle aura désigné. Il est le responsable exclusif de la gestion de l’information dans son organe de communication.
3- les fournisseurs de services d’intermédiation qui ont un rôle intermédiaire entre la fourniture de l’information et son stockage.
a- Les forums de discussions :Les forums de discussions peuvent être définis comme étant des services de communication interactive permettant l’échange et la discussion sur un thème donné. Plusieurs acteurs sont susceptibles d’intervenir sur un forum. On peut notamment distinguer les rôles suivants :
– l’organisateur du forum : c’est la personne qui initie le forum de discussions, qui en est donc l’exploitant principal ;
– le modérateur : c’est la personne chargée de la supervision des messages. La modération consiste à supprimer et parfois modifier tout ou partie d’un message ne respectant pas certaines règles. La modération peut être effectuée a priori c’est à dire qu’elle intervient avant que le message ne soit publié ou a posteriori. Dans ce cas le modérateur peut soit agir spontanément pour retirer le contenu d’un message, soit agir sur demande d’un utilisateur ;
– les animateurs : ce sont les personnes chargées de lancer et d’animer les débats ;
– l’utilisateur : l’utilisateur peut se contenter de lire les messages postés sur les forums de discussions sans participer au débat ou contribuer aux discussions en postant des messages.
b-Les liens hypertextes ou hyperliens : Les liens hypertextes sont un élément essentiel de la navigation sur le web. Ils permettent de relier un document à un autre, un site à un autre, et participent donc au fonctionnement même du web. Les liens sont des zones activables (mot ou image) qui permettent de mettre en relation deux documents d’un même site ou de sites étrangers l’un à l’autre.
Il existe différents types de liens :
• lien activable : lien nécessitant une action de l’utilisateur en ce sens ;
• lien automatique : lien activé sans action spécifique de l’utilisateur ;
• lien simple : lien pointant vers la page de présentation d’un site tiers ;
• lien profond : lien tissé vers les pages secondaires d’un site tiers ;
• lien interne : lien existant entre plusieurs pages d’un même site ;
• lien externe : lien permettant de relier deux sites étrangers l’un à l’autre ;
• cadrage ou framing : ce type de lien permet à l’internaute qui visite un site de visualiser une page d’un autre site. La page visualisée apparaît dans un cadre, ce qui a pour conséquence que l’internaute peut ne pas s’apercevoir que la page consultée provient d’un autre site ;
• lien d’insertion automatique ou inline linking : cette technique permet d’inclure dans une page une donnée située sur un autre site sans la copier sur son propre site. Le lien étant activé automatiquement par le navigateur suite à la programmation préalable d’une instruction, l’internaute peut croire que l’image qu’il visualise provient de la page qu’il a visitée et non d’un autre site.
c- Les outils de recherche.
– Les moteurs de recherche : Ils indexent les sites par l’utilisation de programmes informatiques appelés “ robots ”. Lorsque l’on effectue une recherche, le résultat est obtenu suite à une requête effectuée sur les pages indexées en fonction des mots contenus dans la requête et des mots contenus dans la base du moteur de recherche, eux-mêmes tirés du site
– Les annuaires :Les annuaires sont des répertoires de sites classés par thèmes et sous- thèmes, en fonction d’une arborescence fondée sur une classification hiérarchique des connaissances.
B- L’existence de régime de la responsabilité spécifique à chaque intervenant.
a- Les fournisseurs d’accès : ils bénéficient d’une exonération de responsabilité aux termes de l’article 3-1 de la loi sur les transactions électroniques.
b-Le stockage temporaire : le cache : le prestataire d’un service de caching bénéficie d’une exonération de responsabilité aux termes de l’article 6 du décret relatif aux communications électroniques si :
1) il ne sélectionne pas le destinataire de la transmission ;
2) il ne n’est pas à l’origine de la transmission ;
3) les activités de transfert et de fourniture d’accès visent exclusivement l’exécution de la transmission ou de la fourniture d’accès ;
4) il ne modifie pas les informations faisant l’objet de la transmission ;
5)il exécute une décision d’une autorité judiciaire ou administrative visant le retrait de l’information ou l’interdiction de son accès.
c-Le stockage durable : fournisseur d’hébergement : sa responsabilité peut être engagée s’il n’avait pas effectivement connaissance de l’activité ou de l’information illicite ou si, dès le moment où il en a eu connaissance, il n’a pas agi promptement pour retirer ces informations ou en rendre l’accès impossible. Article 3-2 de la loi sur les transactions électroniques. En France, l’arrêt TISCALI du 19 janvier 2010 est venu brouiller les repères.
d- L’éditeur : sa responsabilité peut être engagée selon le droit commun de la responsabilité civile et pénale. En cas de délit par voie de presse, sa responsabilité pourra être engagée sur le fondement de l’article 67 de la loi n°96-04 du 22 février 1996 relative aux organes de communication sociale et aux professions de journaliste et de technicien.
e- Le directeur de publication : en matière de délit par voie presse sa responsabilité sera automatiquement engagée sur le fondement de l’article 67 de la loi n°96-04 du 22 février 1996 relative aux organes de communication sociale et aux professions de journaliste et de technicien. La jurisprudence ne s’est pas encore prononcée sur la question de savoir si sa responsabilité pourra être engagée s’il prouve qu’il ne pouvait matériellement contrôler d’avance ce qui diffusé (exemple tchat). Toutefois, la logique voudrait qu’il soit exonéré de sa responsabilité dans ces conditions.
f- Les exploitants de forums de discussion : Le législateur sénégalais n’a pas règlementé les conditions d’engagement de leur responsabilité. En France la jurisprudence est divisée entre l’application du régime de la responsabilité du fournisseur d’hébergement (affaire Boursorama TGI Paris 18 février 2002) et celui d’éditeur affaire Père Noël (TGI Lyon 28 mai 2002). Dans l’affaire Yahoo! Inc, le TGI Paris, à la date du11 février 2003 a considéré qu’ils étaient à la fois éditeurs et hébergeurs.
g-Les créateurs de liens hypertextes ou d’hyperliens : aucun texte n’organise les conditions d’engagement de leurs responsabilités. Toutefois, ils pourront être poursuivis aussi bien sur le plan civil que pénal s’ils portent atteinte au droit de la propriété intellectuelle plus spécialement au droit d’auteur et au droit des marques et s’ils renvoient à des contenus illicites.
h- Les outils de recherche : le régime de leur responsabilité des moteurs de recherche a été posé par l’arrêt du 23 mars 2010 de la Cour de justice des communautés européennes dans l’affaire dite Google AdWords. La Cour a estimé qu’il peuvent être assimilé à des fournisseurs d’hébergement dès l’instant où l’activité à un caractère “purement technique, automatique et passif”, impliquant que ledit prestataire “n’a pas la connaissance ni le contrôle des informations transmises ou stockées” ». Le même raisonnement peut être reconduit pour les annuaires dans la mesure où, pour l’indexation, l’on examine le site afin de vérifier sa catégorie et non son contenu. Une autre question s’était posée à la Cour relativement à la vente de mots clés par rapport au droit des marques. La Cour a répondu que l’on ne peut revendiquer un droit exclusif sur une marque utilisée comme mot clé.
2- Un flou dans l’identification du cyberdéliquant.
A- L’existence de différents moyens d’identification.
1- les informations collections collectées et conservées par les prestataire techniques : l’article 4 de la loi sur les transactions électroniques met à la charges des fournisseurs d’accès et d’hébergement l’obligation de collecter et de conserver toute information permettant l’identification de « quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ».
L’article 2 de la même de la loi met à la charge des éditeurs non professionnels de services de communication au public en ligne qui veulent rester anonymes, l’obligation de communiquer leur nom, leur dénomination ou raison sociale, l’adresse de leur prestataire technique.
2- l’adresse IP : L’adresse IP est une suite de quatre nombres séparés par des points qui permet à un ordinateur de se connecter sur internet et d’être identifié. L’attribution des adresse IP est placée sous la responsabilité de l’Internet Corporation for Assigned Numbers and Names ICANN qui sur la base d’une répartition géographique les distribue aux fournisseurs d’accès. Les entreprises et les administrations ont une adresse IP fixe et constante alors que les utilisateurs individuels ont des adresses IP dynamiques ou fantômes attribuées à la demande c’est à dire à chaque connexion sur internet.
3- les données de connexion : La notion de donnée de connexion n’est pas facile à cerner. Il existe un débat vif sur la question de savoir quelles sont les informations pouvant rentrer dans sa définition. Il y’a un certain nombre de données qui sont reconnues comme étant des données de connexion. Il s’agit du loging, de l’adresse IP, des dates et heures de connexion et déconnexion, du nom du serveur consulté et des documents consultés. Il en existe d’autres tels les données de mise à jour des hébergeurs, les cookies (fichier enregistré dans la machine de l’internaute par le serveur consulter par ce dernier en vue de son identification ultérieure), les variables de connexion (informations recueillies par le serveur consulté sur la nature du navigateur, sa version, le système d’exploitation) et la mémoire cache (traces laissées par le navigateur dans la machine de l’internaute), qui compte tenu de leur continue peuvent être considérées comme étant des données de connexion.
4- le nom de domaine : La consultation d’une page web laisse en principe à la fois des traces aussi bien dans la machine de l’internaute « historique », du fournisseur d’accès que qu’au niveau du serveur consulté. Il faut distinguer deux types de nom de domaine : ceux ayant une extension générique (.net ; .org ; .com) et ceux ayant une extension géographique (.sn ; .fr).
B- L’existence de moyen d’identification limités.
1- les informations collectées et conservées par les prestataire techniques : Dans le cadre de la collecte et de la conservation par les prestataires des éléments d’identification l’article 12 du décret relatif aux communications électroniques précise que les prestataires techniques ont une obligation de résultat. Les données doivent permettre d’identifier effectivement le délinquant. A défaut, ils engagent leur responsabilité. Il se pose cependant le question de savoir comment conserver ces données et pendant combien de temps pour qu’elle puissent être fiables? Un décret devait être pris dans ce sens mais il peine à voir le jour. Il s’y ajoute qu’il y’a une impossibilité technique de vérifier la qualité des informations collectées l’arrêt TISCALI en France le prouve suffisamment.
2- l’adresse IP : Il existe des difficultés d’ordre technique et d’autres d’ordre juridique qui ne participent pas à l’identification du délinquant. Sur le plan technique lorsque l’internaute utilise un serveur proxy, ce n’est plus son adresse IP qui apparaît mais celui du serveur. S’il est abonné à un à fournisseur d’accès international, c’est l’adresse IP du pays de son fournisseur d’accès qui apparaît et non celui du pays dans lequel il vit. Sur le plan juridique, il s’agit de la qualification de l’adresse IP. Est ce une Donnée à Caractère Personnel (DACP) ou non? Par l’arrêt, Productores de Música de España (Promusicae) c/ Telefónica de España SAU du 29 Janvier 2008, la Cour de Justice des Communautés européennes a répondu par l’affirmative. La CNIL et Groupe de l’article 29 partagent cette position. Si l’adresse IP est une DACP, elle ne servir à identifier un délinquant que si elle a été traitée dans le respect de la loi sur les DACP. Toutefois, la Cour de Cassation a une position différente. Dans l’arrêt de la chambre criminelle du 13 janvier 2009 elle considère que l’adresse IP n’est pas une DACP. Par conséquent elle peut être utilisée. Toutefois, même dans cette hypothèse, le droit à la vie privée devrait militer en faveur de l’interdiction de la collecte de l’adresse IP à des fins d’identification.
3- les données de connexion : la première difficulté se trouve dans leur identification. Que doit on considérer comme étant une donnée de connexion. Ensuite, il se pose le problème de leur qualification juridique. S’agit-il de DACP ou non? Il faudra alors résoudre la question liée à leur identification pour pouvoir répondre. Les éléments identifiés comme étant des DACP devront pour être recevables être traités conformément à la loi sur les DACP. L’utilisation des données autres que celles identifiées comme éatnt des DACP posera la question de la protection du droit à la vie privée.
4- le nom de domaine : le nom de domaine avec une extension générique (.org ; .com . .net) ne peut servir à identifier un délinquant compte tenu du fait qu’il ne donne aucune indication géographique et ne renvoie à aucune activité spécifique. L’existence d’un nom de domaines à extension géographique ne signifie nécessairement que le site en question se trouve dans le pays correspondant à l’extension ni que le serveur y est hébergé. Il est bien possible d’acheter un nom de domaine et de le délocaliser. De plus, il est possible d’acheter un nom de domaine dans un autre pays. Il existe aussi des sites miroirs qui permettent d’accéder à un autre site. L’utilisation du nom de domaine comme élément d’identification ne permet pas d’appréhender le délinquant.
En définitive on peut dire que l’anonymat dans le cyberespace constitue un obstacle majeur pour la répression de la cybercriminalité, un obstacle pour lequel aucune solutions définitive et tranchée n’existe pour le moment.