Le développement d’Internet depuis les années 90 et la multiplication des objets connectés (41 milliards d’appareils dans le monde devraient être reliés à la toile d’ici 2025) ont conduit à l’émergence de sociétés hyperconnectées. Si ce monde digitalisé constitue une véritable opportunité (interconnexion des individus, accès à l’information, commerce en ligne, etc.), il est également à la source de nouvelles menaces. Ainsi, le Web a permis l’émergence de la cybercriminalité, c’est-à-dire tous les agissements criminels commis à travers le cyberespace (ensemble des réseaux d’information et de communication interconnectés). Ces activités illégales tendent aujourd’hui à s’accélérer et à se complexifier, raison qui a conduit l’Union européenne à faire de la lutte contre la cybercriminalité l’une de ses priorités.

Des menaces protéiformes

Touchant aussi bien les organismes étatiques que les individus, la cybercriminalité se manifeste par des fraudes en ligne, la diffusion de contenus illicites, ou encore des cyberattaques. Ainsi, en 2021, l’Assistance publique-Hôpitaux de Paris (AP-HP) a, par exemple, été victime du vol des données personnelles d’environ 1,4 million de patients qui avaient passé un test PCR en Île-de-France.

Par ailleurs, un véritable réseau parallèle s’est développé depuis plusieurs années. Communément désigné sous le nom de « dark web », celui-ci permet aux cybercriminels d’effectuer des achats illicites (armes, stupéfiants, etc.) et de disposer de services illégaux (tueur à gages par exemple). Se pose désormais la question du développement de l’Intelligence artificielle (I.A.) et de son utilisation à des fins criminelles.

Le coût annuel de la cybercriminalité est aujourd’hui évalué à 5 500 milliards d’euros par l’Union européenne. Les États membres sont tous concernés par ces nouvelles menaces. Les cybercriminels pouvant chercher à profiter des failles qui découleraient de réglementations disparates, il apparaît nécessaire de faire converger les différents systèmes juridiques.

Une législation en adaptation constante

Dès l’entrée dans le 21^e siècle, de nombreux États ont pris la mesure du danger que pouvait représenter le développement d’Internet, même s’ils étaient loin d’imaginer toutes les possibilités que cela offrirait. Ainsi, dès 2001, ils ont été nombreux à ratifier la Convention du Conseil de l’Europe sur la cybercriminalité, plus connue sous le nom de « Convention de Budapest », premier accord international de l’Histoire visant à lutter contre les activités criminelles en ligne.

Dans son sillage, l’Union européenne n’a cessé de réglementer le cyberespace afin d’en limiter les menaces. Son action s’est particulièrement renforcée à partir de 2013, avec l’édiction de mesures fortes :

• Création cette année-là du Centre européen de lutte contre la cybercriminalité (European Cybercrime Centre ou EC3), situé dans les locaux d’Europol à La Haye (Pays-Bas) et visant à lutter contre la cybercriminalité dans l’Union européenne.
• Adoption en 2016 de la directive sur la sécurité des réseaux et des systèmes d'information (SRI), première mesure législative prise à l'échelle de l'U.E. pour intensifier la coopération entre les États membres sur la question essentielle de la cybersécurité.
• Adoption par le Conseil, en 2019, du règlement sur la cybersécurité, créant notamment l’agence de l’U.E. pour la cybersécurité, qui aide les États membres, les institutions de l’Union et d'autres parties prenantes à lutter contre les cyberattaques.
• Création, la même année, du régime autonome de sanctions de l’U.E. contre les cyberattaques.
• En 2022, l'U.E. a adopté une directive SRI 2 visant à prendre en compte de nouvelles menaces numériques, ayant notamment émergé au cours de la crise sanitaire.
• Proposition, la même année, par la Commission européenne, d’un European Cyber Resilience Act (règlement européen sur la cyber-résilience), ayant pour objectif de fixer des règles communes en matière de cybersécurité tout au long de la vie des produits vendus, en particulier des objets connectés.
• La législation européenne a été la première à s’atteler à la question de l’intelligence artificielle. Le parlement européen a adopté l’AI Act (Artificial intelligence act) en 2023. Des discussions sont en cours afin de mieux réguler ce domaine.

Sur le plan opérationnel, l’Union européenne consacre l’une des dix priorités stratégiques du cycle EMPACT (European Multidisciplinary Platform Against Criminal Threats EMPACT), la plateforme européenne multidisciplinaire dédiée à la lutte contre les menaces criminelles transnationales et contre la cybercriminalité. La France assure le pilotage du plan d’action opérationnel associé à cette priorité d’action au niveau européen.

Par ailleurs, l’encadrement du cyberespace ne peut se faire à la seule échelle de l’U.E. Ainsi, l’organisation négocie avec les pays partenaires et, notamment avec les États-Unis, qui hébergent la majorité des fournisseurs de services. De même, l’U.E. est partie prenante aux négociations visant à l’adoption d’une Convention des Nations unies sur la cybercriminalité.

Enfin, le Conseil a approuvé la « Boussole stratégique » en mars 2022. Il s’agit du premier Livre blanc de l’U.E. en matière de sécurité et de défense, qui comprend des mesures fortes en matière de lutte contre la cybercriminalité.

Des premiers résultats encourageants

L’Union européenne cherche à s’adapter aux nouvelles menaces tant sur le plan législatif que sur le plan opérationnel. Le 30 juillet 2020, l’U.E. a imposé les toutes premières sanctions à la suite de cyberattaques à l’encontre de six personnes et trois entités. L’Agence de l’Union européenne pour la coopération des services répressifs – EUROPOL (European Union Agency for Law Enforcement Cooperation, anciennement European Police Office EUROPOL) a également fait de la cybercriminalité l’une de ses priorités, avec deux affaires marquantes : le démantèlement, en 2020, puis en 2021, des réseaux de communication cryptée EncroChat et Sky ECC. Ces enquêtes européennes ont permis à « EUROPOL d’opérer un changement majeur dans le soutien apporté aux services répressifs des États membres, explique Sébastien Moras, directeur de cabinet de Catherine de Bolle, directrice exécutive de l’agence. Nous avons obtenu des résultats exceptionnels, permettant d’interpeller 6 260 personnes dans l’affaire EncroChat et d’obtenir une cartographie réelle de la criminalité organisée. » L’agence travaille aujourd’hui sur les nouvelles menaces et a rendu dernièrement un rapport relatif à l’utilisation de ChatGPT à des fins criminelles.

La réponse européenne à la criminalité internationale

Agence européenne de portée internationale, Europol est devenue, en quelques années,...

Article

Le travail des enquêteurs confronté à la protection des données

Depuis la signature du Traité de Lisbonne, en 2007, la protection des données à caractère personnel est devenue un droit fondamental au sein de l’UE. Afin d’harmoniser le traitement des données pour tous les pays membres, un Règlement général de l'U.E. sur la protection des données (RGPD) a été adopté en 2016 et est entré en application en mai 2018.

Particulièrement protectrice à l’égard des utilisateurs des réseaux d’information et de communication, cette législation rend aujourd’hui difficile le travail des services répressifs dans l’Union européenne, dans la mesure où la collecte et la rétention des données à des fins judiciaires sont particulièrement encadrées. Une réflexion a été initiée en ce sens par la France dans le cadre de la PFUE (Présidence Française du Conseil de l’Union européenne) et un groupe de travail dénommé « Going dark » a été constitué afin de faire des propositions concrètes malgré les divergences d’opinion qui existent entre les États membres et les institutions de l’U.E.

La lutte contre la cybercriminalité constitue donc un défi à la fois juridique, notamment dans une perspective d’harmonisation des législations, mais aussi technique, dans la mesure où les services répressifs doivent sans cesse s’adapter aux agissements de plus en plus complexes des cybercriminels, afin de ne pas leur concéder un temps d’avance. La course est lancée pour protéger les citoyens européens.

Lutte contre la cybercriminalité : l’exemple des pays baltes

Le second colloque de la Direction de la coopération internationale de sécurité...

Article