Répression de la cybercriminalité à  l'ère du code congolais du numérique: étude comparative entre les droits français et congolais

A. Objet et contenu de l'arrêté

L'enjeu principal de l'arrêté 17 août 2024 réside dans sa tentative de combler un vide institutionnel dans l'application du Code du Numérique. Ce dernier prévoit la création de plusieurs autorités de régulation et de contrôle, notamment: le Conseil National du Numérique, l'Autorité de Régulation du Numérique, l'Autorité Nationale de Certification Électronique, l'Autorité de Protection des Données, l'Agence Nationale de Cybersécurité, et le Guichet Numérique de la RDC. Cependant, l'arrêté se limite à transférer à l'ARPTIC les compétences de seulement trois de ces autorités.

L'article premier, qui constitue la disposition clé de cet arrêté composé de deux articles, dispose : « L'Autorité de Régulation, ARPTIC/ARPTC, exerce toutes les missions dévolues respectivement à l'Autorité de Régulation du Numérique, à l'Autorité Nationale de Certification Electronique et à l'Autorité de Protection des Données par le Code du Numérique, en attendant la création effective de ces trois organes. »

Ce transfert temporaire de missions n'est accompagné d'aucune circulaire, ni d'aucune note explicative émanant du ministère des PTN quant au choix de ces trois autorités spécifiques, ni pour préciser les modalités d'organisation de l'ARPTIC dans l'exercice de ses nouvelles missions. Cette situation soulève plusieurs interrogations, notamment celle de savoir pourquoi ces trois organes ont-ils été jugés prioritaires parmi toutes les autorités prévues dans le Code du numérique. Sont-ils considérés comme les plus urgents ou les plus stratégiques pour

personnel; assurer le suivi permanent et le contrôle du trafic entrant et sortant; assurer le règlement des différends entre opérateurs en matière de concurrence et d'interconnexion des réseaux et services; assurer la police des activités du secteur ». 209 L'article 5 du décret de 2023 portant création, organisation et fonctionnement de l'ARPTIC vient élargir ses missions. Alors que la loi initiale sur les télécoms et les TIC se limitait à 9 missions, le décret porte ce nombre à 29 ;

l'écosystème numérique actuel de la RDC ? Par ailleurs, l'ARPTIC sera-t-elle en mesure de remplir efficacement ses nouvelles fonctions?

B. Compétences et fonctionnements

Répondre à ces questions implique d'examiner d'abord les compétences et le fonctionnement de chacune de ces trois autorités à savoir:

1) Autorité de Régulation du Numérique

Le Code du numérique congolais, à travers ses articles 7 et 8, établit la création de l'Autorité de Régulation du Numérique (ARN). Cette autorité sera instituée par un décret du Premier Ministre, après délibération en conseil des ministres, et sera placée sous la tutelle du ministre chargé du numérique, actuellement le ministre des PTN. Toutefois, l'arrêté du ministre des PTN du 17 août 2024 a temporairement transféré les prérogatives de l'ARN à l'ARPTIC.

Il est légitime de s'interroger, sur le plan juridique, si une entité qui devrait être créée par le Premier ministre peut voir ses compétences transférées à une autre autorité par un arrêté Ministériel. En effet, cette situation soulève une problématique de respect des compétences et de l'autonomie des institutions publiques.

En vertu du principe de la séparation des pouvoirs, inscrit dans la Constitution congolaise²¹⁰, chaque entité doit agir dans le cadre des compétences qui lui sont définies par la loi. Le transfert de compétences d'une entité dont la création est conditionnée par un acte du Premier ministre à une autre autorité, sans base légale claire, pourrait constituer une violation de ce principe fondamental. En conséquence, il est essentiel de s'assurer que toute modification des compétences de l'ARN soit opérée par un acte réglementaire approprié, garantissant ainsi la transparence

210 Article 68 de la Constitution de la République démocratique du Congo, telle que modifiée par la Loi n° 11/002 du 20 janvier 2011, portant révision de certains articles de la Constitution du 18 février 2006.

et la légitimité des décisions prises dans le domaine de la régulation numérique.

Bien que le Code du numérique énonce les différentes missions que l'ARN devra accomplir, il n'en précise pas les contours ni les modalités d'application. L'ARN sera chargée d'encadrer le développement et l'utilisation des technologies numériques dans le respect des lois en vigueur.

Ses missions incluent la garantie de l'équité des prix et de la qualité des services fournis aux utilisateurs, la définition des principes d'interopérabilité des services numériques, ainsi que la protection des intérêts des utilisateurs et des fournisseurs. En outre, l'ARN assure également la régulation des activités et des services numériques, tout en promouvant et en développant les initiatives dans le secteur. En outre, elle veille au respect des obligations des plateformes dominantes, participe à la recherche, à la formation et à l'étude du commerce électronique, et contribue à la mobilisation des financements tout en oeuvrant pour la réduction de la fracture numérique. Enfin, l'ARN joue un rôle essentiel dans la prévention et la répression des abus commis par les plateformes dominantes.²¹¹

L'ARN jouera un rôle fondamental dans la supervision du secteur numérique dans son ensemble. Toutefois, nous considérons que cette autorité pourrait être jugée redondante, d'autant plus que son appellation laisse entendre qu'elle pourrait agir comme une « super autorité », intervenant sur toutes les questions liées au numérique. De plus, ses missions sont presque identiques à celles qui incombent déjà à l'ARPTIC, ce qui pourrait justifier la décision d'accorder l'exercice de ces missions à cette dernière.

En ce qui concerne la composition de l'ARN, il convient de noter qu'à la différence des autres autorités de contrôle prévues par le Code du numérique, la structure organisationnelle de l'ARN n'a pas encore été

211 Article 7 du Code du numérique.

clairement définie. Cette absence de précisions soulève des interrogations sur la manière dont cette autorité sera structurée et sur les modalités de désignation de ses membres.

2) Autorité Nationale de Certification Électronique

L'Autorité Nationale de Certification Électronique (ANCE) est prévue aux articles 9 et 10 du code du numérique. Il convient de noter que, lors de la 105^e réunion du Conseil des ministres tenue le 21 juillet 2023, le projet de décret relatif à la création, à l'organisation et au fonctionnement de l'ANCE a été adopté. Cependant, ce décret n'a pas encore été promulgué.²¹²

Sa création sera officialisée par un décret du Premier ministre, tout comme pour l'Autorité de Régulation du Numérique. La question de principe de la séparation des pouvoirs se pose également concernant le transfert de prérogatives vers l'ARPTIC, qui est effectué par un arrêté ministériel, alors que la création de l'ANCE doit être réalisée par un décret. Cela soulève des préoccupations quant à la légitimité et à la conformité juridique de telles actions, car un arrêté ne saurait remplacer un acte législatif de rang supérieur.

Le statut juridique de l'ANCE sera celui d'un établissement public à caractère technique, placé sous la tutelle du ministre chargé du numérique. L'ANCE aura pour mission principale de jouer le rôle d'Autorité de Certification Électronique pour les activités et services numériques, en veillant à la sécurité et à la fiabilité des transactions électroniques. Bien que le Code du numérique énumère ses attributions de manière succincte, nous en proposons ici un éclairage approfondi, afin d'expliquer les enjeux et implications de ces missions pour l'écosystème numérique.

212 Point IV.3 du compte rendu de la 105^e réunion du Conseil des ministres, tenue le vendredi 21 juillet 2023, Ministère de la Communication et des Médias. Disponible en

ligne: https://www.primature.gouv.cd/wp-content/uploads/2023/07/COMPTE-
RENDU-DE-LA-CENT-CINQUIEME-REUNION-DU-CONSEIL-DES-MINSITRES-DU-21-JUILLET-2023.pdf , Consulté le 8 octobre 2024 ;

> Avis sur les activités des fournisseurs de services de confiance;

> Contrôle du respect des normes;

? Fixation des caractéristiques des dispositifs électroniques;

> Gestion de l'infrastructure à clés publiques nationales; > Émission et conservation de certificats électroniques.

3) Autorité de protection des données

Les articles 262 à 270 du Code du numérique prévoient l'existence de l'Autorité de Protection des Données (APD). Son organisation et son fonctionnement seront établis par un décret du Premier ministre, sur proposition du ministre en charge du numérique. L'APD aura le statut d'une autorité administrative indépendante, ce qui signifie qu'elle agira de manière autonome par rapport au gouvernement et aux autres institutions publiques. Cette indépendance est cruciale pour garantir que l'APD puisse exercer ses missions de protection des données personnelles de manière impartiale et objective.²¹³

L'une des missions essentielles de l'APD est de veiller à ce que le traitement des données, tant publiques que personnelles, soit conforme aux dispositions du Livre III du Code du Numérique Congolais. Pour ce faire, elle répondra à toutes les demandes d'avis ou de recommandations concernant le traitement de ces données, fournissant ainsi une guidance éclairée aux entités concernées.²¹⁴ De plus, l'APD émettra de manière proactive des avis motivés sur l'application des principes fondamentaux de la protection de la vie privée, s'assurant que les acteurs concernés respectent les normes établies.

213 R KANDOLO, RD-Congo : perspectives de l'autorité de protection des données, Africa Data Protection Report, janvier 2024, p. 18

214 Pour une compréhension du fonctionnement d'une autorité de protection des données personnelles et de ses mécanismes de recommandation, voir FERAL-SCHUHL, « CNIL, une autorité de contrôle pour La France », i Cyberdroit, Praxis Dalloz, Paris, s.d., p. 126.

En outre, l'APD jouera un rôle clé dans l'information des parties prenantes. Elle sensibilisera tant les individus que les responsables de traitement sur leurs droits et obligations, créant ainsi un environnement de transparence et de confiance. L'APD aura également la responsabilité d'autoriser ou de refuser les traitements de fichiers, en particulier ceux portant sur des données sensibles, afin de protéger les droits des personnes concernées.

La gestion des formalités préalables à la création de traitements de données personnelles sera également placée sous la supervision de l'APD, qui examinera ces demandes et, si nécessaire, les autorisera. En cas de réclamations, l'APD recevra les plaintes et pétitions relatives à la mise en oeuvre des traitements de données, s'engageant à informer les plaignants des suites données à leurs préoccupations.

Dans l'exercice de ses fonctions, l'APD peut mener des enquêtes, soit de sa propre initiative, soit en réponse à des plaintes. Elle informera également les personnes concernées des résultats de ces enquêtes dans un délai raisonnable. En cas de violations des dispositions légales, l'APD notifiera immédiatement l'autorité judiciaire à savoir le Procureur de la République, garantissant ainsi une réaction rapide face aux infractions potentielles.

L'APD jouera aussi un rôle de communication en informant l'Assemblée nationale, le gouvernement, et le public sur les enjeux liés à la protection des données. En outre, elle veillera à établir des consultations régulières avec les parties prenantes pour aborder des questions susceptibles de nuire à la protection des données.

Un autre aspect essentiel de la mission de l'APD consiste à surveiller les nouvelles évolutions technologiques et commerciales qui pourraient affecter la protection des données. Cela inclut la gestion des opérations de monétisation des données, pour garantir une utilisation éthique de celles-ci.²¹⁵

215 Article 263 du code du numérique;

Enfin, l'APD aura pour mission de sensibiliser le public aux droits relatifs au traitement des données, en mettant un accent particulier sur les groupes vulnérables, tels que les enfants ou les personnes âgées. Elle proposera également des modifications législatives susceptibles d'améliorer le cadre juridique en matière de protection des données et mettra en place des mécanismes de coopération avec les autorités de protection des données d'autres États pour partager des informations et favoriser l'assistance mutuelle.²¹⁶

Pour conclure ce point sur les compétences des trois autorités désignées, il est essentiel de souligner que chacune d'elles joue un rôle complémentaire dans l'encadrement et la régulation du secteur numérique congolais, garantissant ainsi un environnement sûr, équitable et propice au développement des technologies numériques. On se demande à présent comment l'ARPTIC procédera pour assumer toutes ses missions.

C. Capacité de l'ARPTIC à remplir ses nouvelles missions

L'ARPTIC, historiquement chargée de la régulation des télécommunications²¹⁷, a vu son périmètre d'action s'élargir avec la réforme de 2020²¹⁸ et le décret de 2023²¹⁹, qui lui ont conféré de nouvelles compétences dans le domaine numérique. Cependant, l'arrêté de 2024²²⁰

a encore accentué cette évolution en lui assignant des missions additionnelles. La question centrale est désormais de savoir si l'ARPTIC dispose des ressources adéquates pour répondre à ces nouvelles responsabilités.

216 B. KANDOLO, « RD-Congo : perspectives de l'autorité de protection des données », op. cit.

217 Lire J. PANZA et B. KANDOLO, « L'histoire du numérique et ses défis réglementaires en République Démocratique du Congo », op. cit.

218 La loi sur les télécoms et TIC 2020 ;

219 Décret portant la création de l'ARPTIC de 2023 ;

220 Arrêté ministériel de 2024, portant harmonisation des modalités de mise en oeuvre des régimes du code du numérique et de la loi sur les télécoms et TIC.

Les missions liées à la régulation du numérique, à la certification électronique et à la protection des données personnelles, exigent une expertise pointue en matière de réglementation, d'infrastructure technologique et de protection des droits des utilisateurs. Sur le plan juridique, le principe de légalité²²¹ impose à l'ARPTIC d'agir dans le cadre défini par la loi et par l'arrêté qui lui confère ses nouvelles responsabilités. Cela implique qu'elle doit être dotée des ressources nécessaires pour respecter les exigences de cette législation.

Cependant, l'arrêté qui lui attribue ces nouvelles prérogatives ne définit pas de moyens pour `'exécution de ses nouvelles missions. Or, l'exécution de ses nouvelles tâches appelle à renforcer ses capacités internes, notamment par le recrutement d'experts dans des domaines tels que la cybersécurité, la cryptographie (pour la certification électronique), et la protection des données personnelles. La diversification de ses compétences techniques est indispensable pour répondre efficacement à ces nouveaux défis. Ainsi, la légitimité des actions de l'ARPTIC doit reposer sur la proportionnalité entre ses missions et les ressources dont elle dispose.

En parallèle, le droit administratif, qui encadre les personnes morales publiques, consacre le principe de spécialité²²². Celui-ci signifie que toute personne morale voit sa compétence limitée aux missions définies lors de sa création, à moins qu'une modification de ses statuts n'intervienne. Pour l'ARPTIC, cela signifie que malgré l'élargissement de ses responsabilités en matière numérique, elle ne peut aller au-delà de ce cadre sans une adaptation préalable du cadre légal. Faute de quoi,

221 Le principe de légalité impose que toute action ou décision prise par une autorité publique doit être conforme à la loi. Cela signifie que l'ARPTIC ne peut agir que dans le cadre des pouvoirs qui lui sont conférés par la législation et les arrêtés qui définissent ses missions et compétences. Pour en savoir plus sur ce principe juridique lire, J. GOURDOU, « Principe de légalité - Fiche LexisNexis 360 », Fiches pratiques [Lexis 360 Intelligence], 2018, disponible sur https://univ-pau.hal.science/hal-02447543 , Consulté le 5 Octobre 2024 ;

222 Pour en savoir plus sur ce principe, lire Jean Pierre COLSON et Paul IDOUX, Droit public économique, Manuel, Issy-Les-Moulineaux, LGDJ, 2018.

l'extension de ses missions sans une augmentation correspondante des moyens financiers ou humains risquerait de fragiliser ses actions.

L'ARPTIC devra également s'assurer qu'elle dispose d'infrastructures adaptées pour assumer ces missions. Le contrôle des données et la certification électronique nécessitent des infrastructures robustes et sécurisées pour éviter toute vulnérabilité. Le fait que l'ARPTIC soit chargée simultanément de plusieurs missions critiques pourrait diluer son efficacité. La surcharge de responsabilités pourrait en effet limiter sa capacité à se concentrer sur chacune de ses missions de manière optimale, particulièrement si elle ne reçoit pas un soutien institutionnel t financier adéquat.

D. Les défis posés par l'élargissement des compétences de l'ARPTIC

Le choix de transférer provisoirement les compétences de trois autorités à l'ARPTIC soulève d'importantes interrogations quant à l'efficacité de cette approche. En effet, l'ARPTIC, initialement conçue pour réguler les télécommunications ainsi que les technologies de l'information et de la communication, se voit désormais confier des missions additionnelles dans des domaines variés, tels que la régulation du numérique, la certification électronique et la protection des données personnelles. Cette expansion des prérogatives pose les difficultés liées à l'élargissement des compétences de l'ARPTIC et la nécessité de continuer la création de trois autorités distinctes.

1) Les difficultés liées à l'élargissement des compétences de l'ARPTIC

Le transfert de compétences à l'ARPTIC entraine une surcharge de responsabilités, compromettant ainsi son aptitude à exercer un contrôle efficace. Cependant, il convient de noter que ses missions initiales sont en adéquation avec celles de l'Autorité de Régulation du numérique (ARN), notamment en vertu de l'article 13 de la loi sur les

télécoms et TIC, cette disposition confère à l'ARPTIC le pouvoir d'assurer la régulation des activités dans le secteur numérique.

En ce qui concerne l'Autorité Nationale de Certification Électronique (ANCE), la principale difficulté réside dans le manque de compétences techniques, un problème qui pourrait être résolu si les pouvoirs publics octroyaient davantage de ressources à l'ARPTIC pour mener à bien cette mission. Cependant, l'élargissement des compétences de l'ARPTIC soulève des questions juridiques significatives en ce qui concerne l'Autorité de Protection des Données (ADP). En effet, la loi qui fonde l'ARPTIC²²³ lui confère déjà le pouvoir de réguler la protection des données, entraînant ainsi un conflit de compétences avec le code du numérique qui a établi l'ADP.

De plus, l'indépendance, recommandée pour l'ADP afin d'exercer efficacement ses missions, est compromise dans le cas de l'ARPTIC, qui demeure sous la dépendance du ministère des PTN.

a. Dualité de régulation de la protection des données en RDC

L'idée de confier les missions de l'Autorité de protection des données à l'ARPTIC n'est pas nouvelle. Elle avait déjà été envisagée plusieurs années auparavant. Il convient de rappeler que le projet de loi sur les télécommunications et les TIC, alors en cours d'examen à l'Assemblée Nationale en avril 2017, prévoyait de « restructurer l'Autorité de régulation des Télécommunications (ARPTC) afin de lui conférer les prérogatives d'une agence nationale d promotion des TIC et de protection des données personnelles ».²²⁴ Toutefois, cette disposition n'a pas été intégrée dans la version finale de la loi, entrée en vigueur en 2020.

223 Pour rappel, il s'agit du titre II de la loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l'information et de la communication en République Démocratique du Congo.

224 KODJO NDUKUMA ADJAYI, Le droit de l'économie numérique en République Démocratique du Congo à la lumière des expériences européennes et Françaises, Thèse de doctorat, Paris 1, 16 novembre 2017, p. 375, disponible sur https://theses.fr/2017PA01D085, Consulté le 12 juillet 2024 ;

Néanmoins, la loi de 2020 sur les télécoms et TIC, dans les missions dévolues à l'ARPTIC, précise à l'article 13, point 6, que celle-ci a également pour mission d'assurer « [...] la régulation et le contrôle de la protection des données à caractère personnel ». Par ailleurs, l'article 132 indique qu'un arrêté ministériel viendra fixer « [...] les conditions et modalités de collecte d'enregistrement, de traitement, de stockage et de transmission des données à caractère personnel ». Ainsi, nous considérons que la loi de 2020 confère déjà les prérogatives nécessaires à l'ARPTIC.

Par conséquent, il n'était pas nécessaire pour le ministre des PTN d'émettre un nouvel arrêté pour accorder à cette autorité des pouvoirs qu'elle détenait déjà. D'autant plus que le décret de 2023²²⁵, qui a établi l'ARPTIC, a été publié seulement dix jours avant l'entrée en vigueur du code du numérique. Ce décret réaffirme clairement dans ses missions la responsabilité de l'ARPTIC d'assurer la régulation et le contrôle de la protection des données à caractère personnel.²²⁶ Cependant, la situation se complique lorsque le Code du numérique prévoit la création d'une autre autorité pour la protection des données personnelles²²⁷, à savoir l'Autorité de protection des données (APD). Nous nous retrouvons alors face à une dualité, avec deux autorités détenant des prérogatives similaires, ce qui soulève des questions juridiques fondamentales.

Pour résoudre cette problématique sur le plan juridique, il est essentiel de comprendre que les autorités administratives indépendantes, ou régulateurs sectoriels sont généralement créés pour répondre à des missions spécifiques et bien définies²²⁸. Le principe de spécialité implique que chaque autorité ne peut intervenir que dans les domaines expressément prévus par la loi²²⁹. Ainsi, si le Code du numérique confère

225 Décret portant la création de l'ARPTIC du 3 mars 2023 ;

226 Article 5 point 11 du décret portant la création de l'ARPTIC de 2023 ;

227 Articles 262 à 270 du code du numérique;

228 Jean Pierre COLSON et Paul IDOUX, op. cit. ;

229 Idem ;

à l'APD un mandat exclusif sur la protection des données personnelles, il aurait été nécessaire de limiter ou de clarifier les compétences de l'ARPTIC à d'autres secteurs, tels que la régulation des télécommunications et des TIC. La réponse à cette question des conflits entre la loi sur les télécommunications et TIC de 2020 et le Code du numérique pourrait être envisagée à travers le prisme du principe de la hiérarchie des normes de Hans Kelsen.²³⁰ En cas de contradiction ou de chevauchement entre ces textes, le code du numérique, en tant que législation plus récente et spécialisée, pourrait prévaloir sur les dispositions antérieures. Cependant, cela nécessiterait une réforme législative pour abroger ou modifier les articles de la loi de 2020²³¹ et du décret de 2023²³². Bien que le Code du numérique dispose que toutes les dispositions antérieures contraires sont abrogées²³³, nous sommes ici confrontés à une question de compétence administrative qui pourrait poser problème.

À cet égard, il est pertinent de se référer aux standards internationaux en matière de protection des données personnelles, notamment en prenant l'exemple européen avec le Règlement Général sur la Protection des Données (RGPD), qui privilégie une autorité de régulation unique et indépendante pour garantir une protection efficace des données. C'est pourquoi il sera très important que la RDC envisage au moment venu une centralisation de la régulation au sein de l'APD pour s'aligner sur les pratiques internationales.

Pour éviter tout conflit de compétences, une clarification législative ou réglementaire s'avère indispensable. Le législateur pourrait, par exemple, envisager de réviser les textes pour attribuer clairement à l'APD toutes les prérogatives relatives à la protection des données, tout en limitant l'ARPTIC à un rôle d'appui technique ou d'interface dans le cadre des TIC. Nous suggérons également que l'arrêté ministériel qui établira

230 Hans KELSEN, Théorie pure du droit, op. cit. ;

231 La loi relative aux télécoms et TIC;

232 Décret portant la création de l'ARPTIC du 3 mars 2023 ;

233 Article 389 du code du numérique

234 Lire à ce sujet les articles 318, 321, 322 et 328 de l'ordonnance loi n° 023/10 du 13 Mars 2023 portant code Congolais du numérique;

l'APD puisse préciser la répartition des compétences entre les deux autorités.

Enfin, il est essentiel de promouvoir une approche coopérative entre l'ARPTIC et l'APD lors de la création de cette dernière. Cela pourrait se traduire par la mise en place d'un protocole d'accord ou de collaboration entre les deux entités, garantissant que leurs compétences respectives soient exercées de manière complémentaire et non contradictoire. Une telle coopération permettrait de mieux gérer les frontières entre la régulation des télécommunications et la protection des données personnelles, tout en renforçant l'efficacité de la régulation.

1.2. Des autorités judiciaires

Au regard de dispositions pertinentes du code Congolais du numérique, les autorités judiciaires compétentes sont:

V' La police judiciaire (les OPJ) ;

V' Le parquet (les OMP) ;

V' Et, les Cours et Tribunaux (juges).²³⁴

2. De la procédure en cas cybercriminalité

En effet, le code Congolais du numérique, prévoit une ribambelle d'infractions. Pour arriver à concrétiser la répression de ces incriminations numériques, il faut respecter certaines formalités de la commission du fait infractionnel à l'exécution de la décision du juge.

2.1. De la constatation des infractions à la législation numérique

Les infractions à la législation du numérique sont constatées par les officiers de police judiciaire à compétence restreinte ou à compétence générale selon le cas. Lorsque les officiers de police judiciaire sont saisis ou constatent les faits infractionnels aux dispositions de la présente ordonnance-loi, ils en informent l'officier du Ministère public

compétent conformément aux dispositions du Code de procédure pénale.

235

Les infractions à la législation du numérique sont constatées dans des procès-verbaux établis conformément au Code de procédure pénale.²³⁶

2.2. De la perquisition de données stockées dans un système informatique

Lorsque des données stockées dans un système informatique ou sur un support permettant de conserver des données sur le territoire national sont utiles à la manifestation de la vérité, l'officier du Ministère Public, conformément aux dispositions prévues aux articles 22²³⁷ et 23²³⁸

du code de procédure pénale, peut opérer une perquisition ou accéder à un système informatique ou à une partie de celui-ci, ou à un autre système informatique ou support et aux données présentes dans ces derniers dès lors que ces données sont accessibles à partir du système initial ou disponible pour le système initial.

S'il est préalablement avéré que ces données, accessibles à partir du système initial ou disponible pour le système initial, sont stockées dans un autre système informatique situé en dehors du territoire national, elles sont recueillies par l'officier du Ministère Public, par voie de commission rogatoire internationale.²³⁹

235 Article 318 de l'ordonnance loi n° 023/10 du 13 Mars 2023 portant code Congolais du numérique

236 Article 319 de la même ordonnance;

237 Cet article 22 du code Congolais de procédure pénale dispose « L'officier du Ministère public peut procéder à des visites et à des perquisitions au domicile ou à la résidence de l'auteur présumé de l'infraction ou des tiers.

En cas d'infraction non flagrante, les magistrats auxiliaires du parquet ne peuvent procéder à ces visites et à ces perquisitions contre le gré des personnes au domicile ou à la résidence desquelles, elles doivent se faire que sur avis conforme de Ministère public, magistrat de carrière, sous la direction duquel ils exercent leurs fonctions, et en son absence, qu'en vertu d'une ordonnance du juge président du tribunal du ressort.

Les visites domiciliaires ne peuvent être commencées avant cinq heures et après vingt et une heures, sauf autorisation du juge président du tribunal du ressort. »

238 Cet article dispose : Ces visites et perquisitions se font en présence de l'auteur présumé de l'infraction ou de la personne au domicile ou à la résidence de laquelle elles ont lieu, à moins qu'ils ne soient pas présents ou qu'ils refusent d'y assister.

239 Article 320 de l'ordonnance loi sous examen.

Lorsque l'Officier du Ministère Public découvre dans un système informatique des données stockées qui sont utiles pour la manifestation de la vérité, mais que la saisie du support ne paraît pas souhaitable, ces données, de même que celles qui sont nécessaires pour les comprendre, sont copiées sur des supports de stockage informatique pouvant être saisis et placés sous scellés, elles peuvent être de plus rendues inaccessibles ou retirées du système informatique en question sur décision du juge.²⁴⁰

2.3. De l'interception des données

L'Officier du Ministère public peut, lorsque les nécessités de l'information l'exigent, prescrire l'interception, l'enregistrement et la transcription de correspondances conformément aux dispositions de la présente ordonnance-loi, y compris des données relatives au contenu, émises par voie de communications électroniques.

L'interception ne peut porter sur une ligne dépendant d'un avocat, du Cabinet d'un avocat ou de son domicile, sauf s'il existe des raisons plausibles de le soupçonner d'avoir commis ou tenté de commettre, en tant qu'auteur ou complice, l'infraction qui fait l'objet de la procédure ou une infraction connexe, à la condition que la mesure soit proportionnée au regard de la nature et de la gravité des faits. L'interception est autorisée par décision du Procureur Général près la Cour d'Appel, saisi par réquisition du Magistrat poursuivant, le bâtonnier national informé ou le bâtonnier selon le cas.²⁴¹

L'Agence Nationale de Cybersecurité autorise:

1. Les interceptions de correspondances émises par la voie des communications électroniques, conformément aux dispositions de la présente ordonnance-loi;

2. La conservation et la protection de l'intégrité ainsi que le recueil, y compris en temps réel suivant les modalités prévues aux articles 25

240 L'article 321 de l'ordonnance loi précitée;

241 L'article 322 de la même ordonnance loi;

et suivants du Code de procédure pénale, des données et renseignements sur les données personnelles et à l'article 273²⁴² de la présente ordonnance-loi.

Les modalités de mise en oeuvre des dispositions du présent article seront précisées par voie réglementaire.²⁴³

Les opérations d'interception visées par la présente ordonnance-loi sont autorisées par l'Agence Nationale de Cybersecurité lorsqu'elles sont nécessaires:

1. Au maintien de la souveraineté nationale, de l'intégrité du territoire ou de la défense nationale;

2. A la préservation des intérêts majeurs de la politique étrangère de la République Démocratique du Congo;

3. A la sauvegarde des intérêts économiques, industriels et scientifiques majeurs de la République Démocratique du Congo;

4. A la prévention du terrorisme, des violences collectives de nature à porter gravement atteinte à l'ordre public ou de la criminalité et de la délinquance organisée.²⁴⁴

2.4. Des poursuites

Les infractions à la législation du numérique sont poursuivies conformément au Code de procédure pénale et prouvées par toute voie de droit.²⁴⁵

L'action publique contre les infractions à la législation du numérique est exercée conformément au Code de procédure pénale et aux dispositions de la présente ordonnance-loi.²⁴⁶

242 Les dispositions du présent livre ne s'appliquent pas:

1. Aux moyens de chiffrement utilisés par les missions diplomatiques et consulaires conformément aux traités et conventions régulièrement ratifiés ainsi que ceux relatifs à la sécurité intérieure et extérieure.

2. Aux applications et systèmes numériques utilisés par les services spécialisés de défense et de sécurité nationale de la République Démocratique du Congo.

243 Idem, article 323 ;

244 L'article 324 de l'ordonnance loi sous examen;

245 Idem, article 325 ;

246 Ibidem, article 326 ;

2.5. De l'extinction de l'action publique

L'action publique en répression des infractions à la législation du numérique se prescrit conformément au Code de procédure pénale congolais.

Les délais de prescription commencent à courir du jour de la commission du fait infractionnel ou, s'il a été dissimulé, du jour de sa découverte ou de sa révélation.²⁴⁷

2.6. Des juridictions compétentes

Les règles de compétence et de procédure applicables en matière d'infractions à la législation numérique sont celles prévues respectivement par la loi organique n°13/011-B du 11 avril 2013 portant organisation, fonctionnement et compétence des juridictions de l'ordre judiciaire et le Code de procédure pénale.

Toutefois, le tribunal de commerce est compétent pour toutes les infractions prévues par la présente ordonnance-loi qui portent atteinte à la législation économique et commerciale, quel que soit le taux de la servitude pénale ou le montant de l'amende.²⁴⁸

À l'article 329 de le préciser que:

Sans préjudice du code de procédure pénale, les juridictions visées à l'article précédent sont compétentes lorsque:

1. L'infraction a été commise sur internet sur le territoire de la République Démocratique du Congo, ou dès lors que le contenu illicite est accessible depuis la République Démocratique du Congo;

2. La personne physique ou morale s'est rendue coupable, sur le territoire de la République Démocratique du Congo, comme complice d'une infraction commise à l'étranger si l'infraction est punie à la fois par la loi congolaise et par la loi étrangère;

247 Tribidem, article 327 ;

248 Article 328 de l'ordonnance loi sous examen;

3. L'infraction a été commise par des Congolais hors du territoire de la République Démocratique du Congo et que les faits sont punis par la législation du pays où ils ont été commis.

En ensemble sur le plan procédural, le code Congolais du numérique renvoie au code de procédure pénale et à la loi organique n° 13/011-B du 11 avril 2013 portant organisation, fonctionnement et compétences des juridictions de l'ordre judiciaire Congolais. Il reste à savoir à quel code de procédure pénale, la législation numérique fait allusion. Si nous connaissons que l'auditorat militaire peut aussi poursuivre les présumés délinquants à la législation numérique Congolaise, spécifiquement en ce qui concerne le cyberespionnage ou le cyber terrorisme.

2.7. De la preuve électronique

L'écrit électronique est admis comme preuve au même titre que l'original de l'écrit sur papier et a la même force probante que celui-ci, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité conformément à la législation relative à la conservation des archives.²⁴⁹

La conservation des écrits sous forme de documents, enregistrements ou informations sous forme électronique satisfait aux exigences suivantes:

1. Les documents, enregistrements, contenus ou informations électroniques conservés sont stockés de manière à être accessibles et consultables;

2. Les documents, enregistrements, contenus ou informations électroniques conservés demeurent au format auquel ils ont été générés, envoyés ou reçus, ou se trouvent dans un format garantissant l'intégrité et l'exactitude des informations générées, envoyées ou reçues;

249 Article 95 de l'ordonnance loi sous examen ;

3. Les documents, enregistrements, contenus ou informations électroniques conservés sous un format permettant d'identifier, le cas échéant, leur origine et leur destination ainsi que les date et heure auxquelles ils ont été générés, envoyés et reçus pour la première fois, ainsi que celles auxquelles ils ont été conservés pour la première fois.

Les particularités techniques liées au format de conservation seront définies par l'Autorité Nationale de Certification Électronique.²⁵⁰

À l'article 97 de renchérir que, tout document, enregistrement, contenu ou information électronique satisfait aux obligations légales de présenter ou conserver les informations qu'ils contiennent sous leur forme originale, dès lors que:

· l'intégrité et l'exactitude des informations générées sont garanties et maintenues de manière fiable;

· il est possible de reproduire avec exactitude l'intégralité des informations telles qu'elles ont été générées pour la première fois.

L'exigence d'intégrité visée au présent article est satisfaite dès lors que les informations sont demeurées complètes et inchangées.

La copie ou la reproduction d'un acte sous forme électronique a la même valeur et force probante que l'acte lui-même à condition qu'elle conserve l'intégrité de l'acte électronique originel. L'intégrité est prouvée au moyen d'un certificat de conformité délivré par un prestataire de services de confiance conformément au Livre II de la présente ordonnance-loi.²⁵¹

La remise d'un écrit sous forme électronique est effective lorsque le destinataire, après avoir pu en prendre connaissance, en a accusé réception.²⁵²

250 Idem, article 96 ;

251 L'article 98 de l'ordonnance loi portant code Congolais du numérique ;

252 Article 100 de la même ordonnance loi ;

La communication électronique peut être faite par envoi recommandé avec accusé de réception. Dans ce cas, elle est acheminée par un tiers selon un procédé permettant de déterminer avec fiabilité et exactitude:

1. L'identité de l'expéditeur, du destinataire et du tiers qui achemine la communication électronique;

2. La date et l'heure d'envoi du message;

3. La date et l'heure de réception du message par le destinataire;

4. Le cas échéant, les données techniques relatives à l'acheminement du message de l'expéditeur au destinataire;

5. L'accusé de réception est adressé à l'expéditeur par voie électronique ou par tout autre moyen lui permettant de le conserver et de le reproduire.²⁵³

En effet, le code Congolais du numérique ne règlemente que l'écrit électronique comme preuve électronique.

253 Article 101 de l'ordonnance loi précitée.

CHAPITRE 2. DE LA RÉPRESSION DE LA CYBERCRIMINALITÉ EN
DROIT FRANÇAIS

Le présent chapitre va porter respectivement sur: les textes législatifs et réglementaires applicables en Droit Français (section 1^ère) ; les infractions et les peines (section 2) et, les autorités compétentes en matière de la répression de la cybercriminalité en France (section 3).

SECTION 1^ÈRE. LES TEXTES LÉGISLATIFS ET RÉGLEMENTAIRES
APPLICABLES EN DROIT FRANÇAIS

Dans la présente section, nous allons passer en revue le contexte évolutif du cadre législatif français en matière de lutte contre la cybercriminalité (paragraphe 1^er) pour parler ensuite du cadre législatif actuel lié aux NTIC en France (paragraphe 2).

§1^er. Du contexte évolutif du législatif français sur la cybercriminalité

L'évolution des lois françaises sur la cybercriminalité reflète la transformation rapide de la société numérique et la nécessité d'adapter les cadres législatifs pour répondre aux menaces croissantes liées aux technologies de l'information et de la communication.

Nous traçons ci-dessous, un aperçu détaillé de cette évolution, de 1978 à 2024, en soulignant les lois majeures et les tendances qui ont marqué l'histoire de la lutte contre la cybercriminalité en France.

1.1. 1978 : Loi Informatique et Libertés

> Contexte : À la fin des années 1970, l'informatisation des données

personnelles suscite des inquiétudes quant à leur protection.

> Contenu: La loi n° 78-17 du 6 janvier 1978, dite « Loi Informatique et Libertés », est adoptée pour protéger les citoyens contre les abus liés à la collecte et au traitement des données personnelles. Elle crée également la Commission Nationale de l'Informatique et des Libertés (CNIL).

254 CNIL - Loi Informatique et Libertés]( https://www.cnil.fr/fr/la-loi-informatique-et-libertes) , consulté le 16 octobre 2024 ;

> Importance: Bien qu'elle ne traite pas spécifiquement de cybercriminalité, cette loi pose les bases de la protection des données personnelles, un enjeu crucial dans la lutte contre le vol de données et les intrusions informatiques.²⁵⁴

1.2. 1981 : Loi n° 1881-07-29 du 29 juillet 1981 sur la liberté de presse

La loi du 29 juillet 1881 sur la liberté de la presse est un texte fondamental en France qui garantit la liberté d'expression des journalistes tout en encadrant son exercice.

> Le contexte de son adoption remonte à une période où le gouvernement cherchait à libéraliser le régime de la presse suite aux restrictions antérieures.

> Le contenu de la loi établit des principes tels que l'abolition de la censure préalable et précise les délits de presse comme la diffamation et l'incitation à la violence, en instaurant des peines spécifiques.

> Son importance réside dans le fait qu'elle pose les bases du cadre juridique actuel de la presse française, accordant une grande liberté tout en balisant cette dernière pour prévenir les abus. Cette loi reste un pilier de la démocratie et de la protection des droits fondamentaux en France.

1.1. 1982 : Loi n° 82-652 du 29 juillet 1982 sur la communication audiovisuelle

> Contexte: La loi n° 82-652 du 29 juillet 1982 sur la communication audiovisuelle a été adoptée dans un contexte de transformation des médias, marqué par l'émergence de nouveaux dispositifs de diffusion.

> Son contenu majeur établit des principes essentiels pour la régulation de l'audiovisuel en France, définissant les droits et obligations des diffuseurs, ainsi que la protection des

consommateurs et des droits d'auteur. Cette loi a introduit la notion de service public dans la radiodiffusion et a renforcé le rôle du Conseil supérieur de l'audiovisuel (CSA).

> Son importance réside dans la préservation de la pluralité des médias, garantissant un accès équitable à l'information et promouvant une diversité culturelle. Cela a également permis de structurer le secteur audiovisuel face à la concurrence croissante. Enfin, elle a préparé le terrain pour l'évolution des régulations audiovisuelles ultérieures, en anticipant les impacts des avancées technologiques.

1.2. 1986 : La loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication

> Contexte: La 86-1067 du 30 septembre 1986, relative à la liberté de communication, a été adoptée dans un contexte de libéralisation des médias en France, visant à garantir la pluralité et la diversité des opinions. Elle établit les principes fondamentaux de la communication audiovisuelle, en encadrant le fonctionnement des chaînes de télévision et des radio

> Contenu: Le contenu de cette loi souligne l'importance de la liberté d'expression tout en imposant des règles sur la régulation et le contrôle de l'audiovisuel, notamment à travers le CSA (Conseil supérieur de l'audiovisuel).

> Importance: Sa portée est cruciale, car elle pose les bases d'un espace médiatique démocratique et permet de protéger les droits des consommateurs tout en encourageant la création de contenus variés. Enfin, cette loi a contribué à façonner le paysage médiatique français, renforçant à la fois l'indépendance des médias et la qualité de l'information.

1.3. 1988 : Loi Godfrain

> Contexte : L'informatique devient de plus en plus courante, et les premières formes de piratage informatique apparaissent en France.

> Contenu: La loi n° 88-19 du 5 janvier 1988, dite « Loi Godfrain », introduit dans le Code pénal des infractions liées à l'accès frauduleux à des systèmes informatiques. Elle pénalise également le fait d'altérer, de modifier ou d'entraver le fonctionnement des systèmes informatiques.

> Importance: C'est la première loi en France qui traite spécifiquement des crimes informatiques, posant les bases de la lutte contre le piratage.²⁵⁵)

1.4. 2001 : Loi sur la Sécurité Quotidienne (LSQ)

> Contexte : Après les attentats du 11 septembre 2001, la sécurité, y compris dans le domaine numérique, devient une priorité.

> Contenu: La loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne renforce les outils de lutte contre la cybercriminalité. Elle introduit la possibilité d'intercepter les communications électroniques et de surveiller les réseaux pour lutter contre le terrorisme et la criminalité organisée.

> Importance: Cette loi marque un tournant vers une surveillance accrue des communications numériques dans un cadre législatif plus large de lutte contre le terrorisme.²⁵⁶

1.5. 2004 : Loi pour la Confiance dans l'Économie Numérique (LCEN)

> Contexte: L'explosion d'Internet au début des années 2000 appelle à une régulation adaptée.

> Contenu: La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique encadre les activités numériques. Elle introduit des dispositions relatives à la responsabilité des hébergeurs et des fournisseurs d'accès à Internet (FAI) et renforce la

²⁵⁵egifrance - Loi Godfrain]

( https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000511471), consulté le 16 octobre 2024 ;

256 [Legifrance - Loi sur la Sécurité Quotidienne]

( https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000220865) , consulté le 16 octobre 2024 ;

lutte contre les contenus illégaux en ligne (tels que le racisme ou la pédopornographie).

> Importance: La LCEN établit un cadre juridique pour les acteurs de l'Internet, et introduit des outils pour lutter contre les infractions en ligne.²⁵⁷)

1.6. 2010 : Loi n° 2010-476 du 12 mai 2010 relative à

l'ouverture , à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne

La loi n° 2010-476 du 12 mai 2010 a été instaurée en France pour réguler le secteur des jeux d'argent et de hasard en ligne.

> Contexte : Avant cette loi, le marché des jeux en ligne était dominé par des monopoles d'État, limitant la concurrence sur ce marché croissant.

> Contenu: La loi permet l'ouverture du marché à de nouveaux opérateurs sous certaines conditions, en mettant en place une régulation stricte pour prévenir le jeu excessif et protéger les consommateurs. Elle introduit aussi un cadre légal pour éviter la fraude et le blanchiment d'argent.

> Importance: Cette législation marque un tournant vers la libéralisation et régulation du marché des jeux en ligne, permettant une croissance économique du secteur tout en veillant à la protection des joueurs et à l'intégrité des compétitions sportives.

1.7. 2011 : Loi LOPPSI 2

> Contexte: La montée des cyberattaques et des crimes numériques (hameçonnage, hacking) appelle un durcissement des lois.

> Contenu: La loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI 2) renforce les sanctions contre les cybercriminels. Elle

257 Legifrance - LCEN]

( https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000801164/) , consulté le 16 octobre 2024 ;

autorise l'utilisation de dispositifs de surveillance informatique à distance (logiciels espions) dans le cadre d'enquêtes judiciaires et permet le blocage administratif de sites web diffusant des contenus illicites.

> Importance: La LOPPSI 2 marque un renforcement des moyens de l'État pour lutter contre la cybercriminalité, tout en soulevant des débats sur la protection des libertés individuelles.²⁵⁸

1.8. 2016 : Loi pour la République Numérique

> Contexte: L'essor des technologies numériques dans tous les aspects de la vie quotidienne nécessite une adaptation des lois.

> Contenu: La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique vise à renforcer les droits des internautes, à encourager l'open data, et à mieux encadrer la protection des données personnelles. Elle introduit également des dispositions pour lutter contre les faux avis en ligne et les pratiques commerciales trompeuses sur Internet.

> Importance: Cette loi modernise le cadre légal en matière de numérique et de protection des données, tout en abordant indirectement certains aspects de la criminalité en ligne.²⁵⁹

1.9. 2018 : Règlement Général sur la Protection des Données (RGPD)

> Contexte : Le RGPD, bien qu'étant un règlement européen, a des répercussions majeures sur la législation française et la lutte contre la cybercriminalité liée aux données personnelles.

> Contenu: Le RGPD (entré en vigueur le 25 mai 2018) impose des obligations strictes aux entreprises et institutions quant à la gestion des données personnelles. Il prévoit des sanctions sévères

258 [Legifrance - Loi Loppsi 2

]( https://www.legifrance.gouv.fr/loda/id/JORFTEXT000023696482/), consulté le 16 octobre 2024 ;

259 [Legifrance - Loi pour une République Numérique]

( https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000033202746), consulté le 16 octobre 2024

260 CNIL - RGPD]( https://www.cnil.fr/fr/reglement-europeen-protection-donnees), consulté le 16 octobre 2024 ;

en cas de non-respect, notamment en matière de fuite ou de vol de données.

> Importance: Ce règlement contribue à la protection des citoyens européens contre les abus de la gestion des données personnelles, un enjeu clé dans la cybercriminalité.²⁶⁰

1.10. 2018 : Loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information

> Contexte: La loi n° 2018-1202 du 22 décembre 2018, aussi connue sous le nom de « loi infox » ou « loi fake news », a été adoptée dans un contexte où la manipulation de l'information, notamment à travers les réseaux sociaux et autres plateformes numériques, représentait une menace croissante pour l'intégrité des processus démocratiques.

> Contenu: En réponse à l'émergence de fausses nouvelles capables de fausser la perception des faits et de semer la discorde au sein de la population, cette loi impose des obligations aux opérateurs de plateforme en ligne pour qu'ils prennent des mesures proactives contre la désinformation. Publiée au Journal officiel le 23 décembre 2018, la loi vise non seulement la protection des citoyens contre les informations trompeuses, mais aussi la sauvegarde de la démocratie en garantissant un environnement d'information plus transparent et fiable.

> Importance : Ainsi, son importance réside dans le renforcement de la confiance des citoyens envers les médias et les institutions, tout en veillant à ce que l'information diffusée soit rigoureusement vérifiée pour contrer les effets délétères de la désinformation.

1.11. 2021 : Loi visant à renforcer la sécurité des systèmes d'information des opérateurs d'importance vitale

> Contexte: Les cyberattaques contre les infrastructures critiques, comme les hôpitaux et les systèmes énergétiques, se multiplient.

> Contenu: Cette loi renforce les obligations des **opérateurs d'importance vitale (OIV)** en matière de sécurisation des systèmes d'information. Elle impose des normes de sécurité plus strictes et renforce les pouvoirs de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

> Importance: Cette loi vise à protéger les infrastructures critiques contre les cyberattaques, qui représentent une menace croissante.

261

1.12. 2021 : Loi n° 2021-1382 du 25 octobre 202 relative à la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique

> Contexte: La loi n° 2021-1382 du 25 octobre 2021 vise à encadrer l'accès et la diffusion des oeuvres culturelles dans un contexte numérique en pleine expansion.

> Contenu: Son contenu principal inclut des mesures visant à garantir une rémunération équitable des créateurs et à renforcer la protection des droits d'auteur face aux plateformes numériques.

> Importance: Dans un monde où la consommation culturelle évolue rapidement, cette loi est essentielle pour préserver la diversité culturelle et soutenir les artistes. Elle répond également aux enjeux posés par les géants du numérique, en s'assurant que les oeuvres sont accessibles tout en protégeant les droits de ceux qui les créent. En somme, cette loi représente une avancée significative pour l'équilibre entre innovation numérique et respect des droits culturels.

261 ANSSI - Sécurité des OIV]( https://www.ssi.gouv.fr) consulté le 16 octobre 2024 ;

1.13. 2023 : Loi n° 2023-459 du 09 Juin 2023 visant à encadrer

l'influence commerciale et la lutte contre les dérives des influenceurs sur les réseaux sociaux

La loi n° 2023-459, adoptée le 9 juin 2023, vise à réguler l'influence commerciale des influenceurs sur les réseaux sociaux, en réponse à la montée des dérives dans ce domaine.

> Contexte: Son contexte est marqué par une croissance exponentielle du marketing d'influence et des préoccupations croissantes concernant la transparence et l'authenticité des contenus sponsorisés.

> Le contenu de la loi impose des obligations de transparence, notamment l'indication claire des contenus publicitaires et la protection des consommateurs, surtout des jeunes. Elle instaure également des sanctions pour les abus, renforçant ainsi la responsabilité des influenceurs.

> L'importance de cette loi réside dans sa capacité à protéger les consommateurs tout en encadrant un secteur en pleine expansion, garantissant une meilleure éthique dans la communication commerciale. En somme, elle vise à instaurer un cadre légal pour un marketing d'influence plus responsable et transparent.

1.14. 2024 : La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique

> Contexte: La loi n° 2024-449, adoptée le 21 mai 2024, a été élaborée dans un contexte de préoccupations croissantes concernant la sécurité des données et la régulation des contenus sur internet. Elle vise à sécuriser l'espace numérique face aux menaces croissantes telles que la cybercriminalité et la désinformation.

> Le contenu de la loi inclut des mesures pour renforcer la protection des données personnelles, obliger les plateformes à

surveiller et à modérer les contenus nuisibles, et instaurer des sanctions pour les manquements.

> Son importance réside dans la création d'un cadre légal qui protège les utilisateurs tout en favorisant un environnement numérique sain et sécurisé. En somme, cette loi représente un pas significatif vers une meilleure gouvernance de l'internet, garantissant à la fois la sécurité des citoyens et la responsabilité des acteurs du numérique.

L'évolution des lois françaises en matière de cybercriminalité montre une progression constante vers un renforcement des mesures de protection et de sanction. Depuis la Loi Godfrain de 1988, la France a peu à peu intégré les enjeux de la cybersécurité dans son arsenal législatif, en s'adaptant aux innovations technologiques et aux nouvelles formes de criminalité. Le cadre législatif actuel, avec des lois comme la LCEN, la LOPPSI 2 ou encore le RGPD, reflète une volonté de protéger les citoyens tout en préservant les libertés individuelles, mais aussi de sécuriser les infrastructures critiques.

§2. Cadre législatif actuel lié aux NTIC en France

En effet, la convention du conseil de l'Europe, appelée autrement convention de Budapest, du 23 novembre 2001 a beaucoup influencé la législation numérique Française. Cette convention est considérée comme la norme internationale la plus complète à ce jour puisqu'elle offre un cadre complet et cohérent en matière de cybercriminalité et de preuves électroniques. Elle fait office de ligne directrice pour tout pays élaborant une législation exhaustive en matière de lutte contre la cybercriminalité, mais aussi de cadre pour la coopération internationale entre ses États parties. La Convention de Budapest prévoit: I) l'incrimination des actes de cybercriminalité, y compris l'accès illégal, l'atteinte à l'intégrité des données et du système, la fraude informatique et la pornographie enfantine ; II) des outils de droit procédural visant à améliorer l'efficacité des enquêtes en matière de

cybercriminalité et à obtenir plus aisément des preuves électroniques ; III) des procédures de coopération internationale efficaces. La Convention est ouverte à l'adhésion de tous les États.

Actuellement, toutes les lois ci-dessus présentées sont applicables en droit français dans la lutte contre la cybercriminalité. Néanmoins, la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, la plus récente, se démarque des autres par ses innovations. En elle seule, cette loi a modifié les dispositions de toutes les autres lois précitées, et englobe même les dispositions du code pénal Français, celles des différents autres textes en rapport avec la cybercriminalité.

La loi poursuit tout d'abord l'objectif d'améliorer la protection en ligne des mineurs. À cette fin, elle renforce les pouvoirs de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom). Cette dernière est désormais chargée d'établir un référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l'âge. Après mise en demeure et contrôle a posteriori du juge administratif, elle peut également prononcer le blocage ou le déréférencement des sites pornographiques qui ne vérifient pas l'âge de leurs utilisateurs. Le texte crée en outre une sanction d'un an d'emprisonnement et 250 000 euros d'amende pour les hébergeurs qui ne retirent pas les contenus pédopornographiques qui leur sont signalés par la police et la gendarmerie en moins de 24 heures.

La loi vise ensuite à mieux protéger les citoyens dans l'environnement numérique. Un filtre de cybersécurité « anti-arnaque » est créé. Ce dernier consistera en un message d'alerte lorsque l'utilisateur s'apprêtera à se diriger vers un site malveillant après avoir reçu un SMS ou un courriel frauduleux.

Une peine complémentaire de bannissement des réseaux sociaux est instaurée pour les personnes reconnues coupables de cyber harcèlement ou de « haine en ligne » : elle pourra aller jusqu'à six mois de

Elle confie respectivement au Conseil d'État, à la Cour de cassation et à la Cour des comptes une nouvelle mission de contrôle des

suspension, voire un an en cas de récidive. Un réseau social qui n'appliquera pas la peine de bannissement prononcée encourra une amende de 75 000 euros.

Afin de lutter contre la désinformation et les ingérences étrangères, l'ARCOM pourra par ailleurs mettre en demeure un opérateur de cesser la diffusion sur internet d'un média frappé d'une sanction européenne, dans un délai de 72 heures. À défaut, elle pourra ordonner le blocage du site et prononcer une amende.

Troisième axe de la loi : renforcer la confiance et la concurrence dans l'économie de la donnée. Afin d'ouvrir le marché de l'informatique en nuages (cloud), aujourd'hui concentré entre les mains de géants du numérique américains, les pratiques commerciales en la matière sont encadrées: limitation des frais de transfert et des crédits d'informatique en nuage, interopérabilité des services d'informatique en nuage, contrôle des obligations des fournisseurs de services d'informatique en nuage par L'ARCEP, et obligations de transparence.

L'ARCEP est également désignée comme autorité compétence pour réguler les services d'intermédiation de donnée.

La loi crée de plus un intermédiaire unique entre les plateformes de location de meublés de tourisme et les communes, lequel centralisera les données nécessaires et contrôlera notamment la limite des 120 jours de location.

Par ailleurs, elle autorise et encadre pour une durée expérimentale de trois ans les nouveaux jeux en ligne à objets numériques monétisables.

Parmi les autres mesures notables, la loi crée un réseau national de coordination de la régulation des services numériques entre les différentes autorités et services de l'État compétents.

opérations de traitement des données à caractère personnel effectuées par les juridictions et leurs ministères publics, dans l'exercice de leurs fonctions juridictionnelles. Cette dernière sera exercée sous la forme d'une autorité respectivement constituée, pour chacun des ordres, d'un membre du Conseil d'État élu par son assemblée générale, d'un conseiller à la Cour de cassation élu par l'assemblée générale de ses magistrats hors hiérarchie et d'un magistrat de la Cour des comptes élu par la chambre du conseil.

Enfin, la loi adapte le droit français au règlement sur les services numériques (Digital Services Act) et au règlement sur les marchés numériques (Digital Markets Act).

SECTION 2. LES INFRACTIONS ET LES PEINES APPLICABLES À LA CYBERCRIMINALITÉ EN FRANCE

Dans la présente section, nous allons d'une part parler des infractions numériques prévues en Droit Français, et d'autre part des peines qui les sont applicables.

§1^er Des infractions

Bien avant de parler des infractions telles que prévues et punies par les différentes lois françaises, nous allons tant soit parler des infractions prévues par la convention du conseil de l'Europe du 23 novembre 2001 appelé convention de Budapest.

1.1. Des infractions prévues par la convention du conseil de l'Europe

En effet, à la deuxième section de son deuxième chapitre consacré aux mesures à prendre au niveau national, la convention prévoit le droit pénal matériel. Le titre 1^er de cette section traite des infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes informatiques. Il y est question de : accès illégal (article 1^er), interruption illégale (article 2), atteinte à l'intégrité des données (article

3), atteinte à l'intégrité du système (article 4), et abus de dispositif (article 5).

Le titre 2 de cette section concerne les infractions informatiques dont: la falsification informatique (article 7) et la fraude informatique (article 8).

Le troisième titre traite des infractions se rapportant au contenu dont: les infractions se rapportant à la pornographie enfantine (article 9).

Le titre 4 s'intéresse aux infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes : les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes (article 10).

Le titre 5 concerne les autres formes de responsabilité : tentative et complicité (article 11), la responsabilité des personnes (article 12), les sanctions et mesures article 13.

Ces lignes tracées par cette convention ont aidé nombreux Etats, la France y compris, à améliorer pour les uns leurs législations numériques, et à les adopter pour les autres.

1.2. Des infractions prévues et punies par les lois françaises

Les atteintes aux droits de la personne résultant des fichiers ou des traitements automatiques

De tous les risques de perversion et du développement de l'informatique, celui d'atteinte à la vie privée et aux libertés a sans doute été le premier perçu.²⁶²

D'ailleurs, le besoin prioritaire qui s'est fait sentir en législation a été de limiter ce risque en adoptant une loi n° 78-17 du 6 janvier 1978 au titre significatif puisque dénommée : « relative à l'informatique, aux

262 Jean PRADEL et Michel DANTI JUAN, Droit pénal spécial : Droit commun et Droit des affaires, 5^ème édition, CUJAS, Paris, édition revue et augmentée le 10 juillet 2010, p. 2001 ;

263 Michèle Laure RASSAT, Droit pénal spécial. Infraction du code pénal, 8^ème édition, Dalloz, Paris, 2018, p. 359 ;

fichiers et aux libertés ».²⁶³ Ce n'est que dix ans plus tard (à un jour près) que fut adoptée la loi n° 88-19 du 5 janvier 1988 sur la fraude informatique. Ce faisant, le législateur français s'est montré d'autant plus disposé, par la suite, à ratifier certains instruments internationaux comme la Convention pour la protection des personnes â l'égard du traitement automatisé des données à c caractère personnel, faite à Strasbourg le 28 janvier 1981, A s'en tenir au droit interne, on est frappé par la rareté des applications concrètes concernant les incriminations prévues par la loi de 1978 et aujourd'hui intégrées aux articles 226-16 à 226-24 du code pénal Français de 1994.

+ Incriminations concernant la non observations des formalités préalables

V' Article 226-16-1 : Du traitement des données à caractère personnel sans autorisation préalable. Cette infraction est punie de 5 ans d'emprisonnement et 300 000 Euros d'amende.

V' Article 226-16-2 : traitement de données à caractère personnel relatives aux fonctionnaires publics. Cette infraction est punie de 5 ans d'emprisonnement et 300 000 Euros d'amende .

+ Incriminations concernant la préservation des données

V' Article 226-17-1 : Du défaut de notification d'une violation de données à caractère personnel. Cette infraction est punie de 5 ans d'emprisonnement et de 300 000 Euros d'amende.

V' Article 226-18 : De la collecte frauduleuse de données à caractère personnel. Cette infraction est punissable de 5 ans d'emprisonnement et de 300 000 Euros d'amende.

V' Article 226-18-1 : Du traitement de données à caractère personnel malgré l'oppositions de cette personne. Cette infraction est punissable de 3 ans d'emprisonnement et de 300 000 Euros d'amande.

V' Article 226-19 : De la conservation de données à caractère personnel en mémoire informatisée sans le consentement de

l'intéressé. Cette infraction est punissable de 5 ans d'emprisonnement de de 300 000 Euros d'amende .

V' Article 226-19-1 : la collecte et la conservation d'informations relatives au passé pénal.²⁶⁴

264 Jean PRADEL et Michel DANTI JUAN, Droit pénal spécial, op. cit., p.207 ;

+ Incriminations relatives au détournement des données à caractère personnel

( 226-20 : le détournement de finalité spécial consistant à traiter des fins autres qu'historiques, statistiques ou scientifiques de données à caractère personnel conservées au-delà de la durée prévue par la loi. Cette infraction est punissable de 5 ans d'emprisonnement et de 300 000 Euros d'amende.

( 226-21 : le détournement de données à caractère personnel de leur finalité. Cette infraction est punissable de 5 ans d'emprisonnement et de 300 000 Euros d'amende.

( 226-22-1 : le transfert de données à caractère personnel vers un Etat n'appartenant pas à la communauté. Cette infraction est punissable de 5 ans d'emprisonnement et de 300 000 Euros d'amende.

A. Des atteintes au système de traitement automatisé de données

À son livre 3, le code pénal français de 1994, intitulé des crimes et délits contre les biens, le législateur français prévoit au premier titre, les appropriations frauduleuses. C'est ainsi que le troisième chapitre de ce titre est consacré aux atteintes aux systèmes de traitement automatisé de données. Ce chapitre prévoit et réprime les infractions ci-dessous:

( Article 323-1 (alinéa 1^er) : Accès frauduleux dans tout ou partie d'un système de traitement automatisé. Cette infraction est punissable de 3 ans d'emprisonnement et 100 000 Euros d'amende .

- Alinéa 2 : suppression ou modification de données ou altération du fonctionnement de ce système. Cette infraction est punissable de 5 ans d'emprisonnement et de 150 000 Euros d'amende.

- Alinéa 3 : Accès et maintien frauduleux ou altération de données à caractère personnel mis en oeuvre par l'État. Cette

infraction est punissable de 7 ans d'emprisonnement et 300 000 Euros d'amende .

( Article 323-2 (alinéa 1^er ) : Entrave au fonctionnement ou faux commis sur le fonctionnement d'un système de traitement automatisé de données. Cette infraction est punissable de 5 ans d'emprisonnement et de 150 000 Euros d'amende.

- Alinéa 2 : Entrave et faux commis à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en oeuvre par l'État. Cette infraction est punissable de 7 ans d'emprisonnement et de 300 000 Euros.

( Article 323-3 (alinéa 1^er) : Intrusion frauduleuse de données dans un système de traitement automatisé. Cette infraction est punissable de 5 ans d'emprisonnement et d'une amende de 150 000 Euros.

- Alinéa 2 : l'infraction précédente mais cette fois-ci, commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en oeuvre par l'État .

( Article 323-3-1 : Importation, détention, offre, cession ou mise à disposition d'un équipement, un instrument, un programme informatique ou toutes données conçus ou spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

( Article 323-3-2 :

( I. Restriction de l'accès à une plateforme en ligne par son opérateur: Cette infraction est punissable de 5 ans d'emprisonnement et de 150 000 Euros d'amende .

( II. Proposition ou soutien à la dissimulation: Cette infraction est punissable de 5 ans d'emprisonnement et de 150 000 Euros d'amende.

V III. Les infractions ci-dessus commises en bande organisée sont punies de 10 ans d'emprisonnement et de 500 000 Euros d'amende.

V IV. La tentative des infractions prévues aux I, II, III est punie des mêmes peines.

V Article 323-4 : La participation à un groupement formé ou à une entente établie de la préparation d'une ou de plusieurs infractions prévues par les deux articles précédents est punie des peines prévues pour les infraction elle-même ou pour la plus sévèrement réprimée.

B. Des infractions prévues par les autres lois

V De la violation à l'interdiction frappant toute personne exerçant l'activité d'influence commerciale par voie électronique de faire la promotion direct ou indirecte de certains produits. Cette infraction est punissable de 2 ans d'emprisonnement de 300 000 Euros d'amende.²⁶⁵

V De la publicité en faveur d'un site de paris ou de jeux d'argent et de hasard non autorisé²⁶⁶ : Cette infraction est punissable d'une amende de 100 000 Euros.

V De la pratique commerciale trompeuse ou la violation à l'obligation d'information sur la promotion des biens et services en ligne. Cette infraction est punissable de deux ans d'emprisonnement et de 300 000 Euros d'amende.²⁶⁷

V Violation à l'obligation d'information par défaut de mentions essentielles sur les images publicitaires. Cette infraction est punissable d'un an d'emprisonnement et de 4500 Euros d'amende.

268

265 Article 4 de la loi n° 2023-451 du 09 Juin 2023 visant à encadrer l'influence commercial et à lutter contre les dérives des influenceurs sur les réseaux sociaux, Journal officiel de la République Française du 10 Juin 2023, texte 1 sur 105 ;

266 Article 57 de la loi n° 2010-476 du 12 mai 2010 relative à l'ouverture, à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne, Journal officiel de la République Française du 13 mai 2010, texte 1 sur 127 ;

267 Article 5, point I. de la loi n° 2023-451 du 09 Juin 2023 visant à encadrer l'influence commerciale et à lutter contre les dérives des influenceurs sur le réseaux sociaux, Journal officiel de la République Française du 10 Juin 2023, texte 1 sur 105 ;

268 Les points I et II de l'article 5 de la loi que dessus;

§2. Des peines

En matière de la répression de la cybercriminalité, le droit français prévoit les peines ci-dessous:

2.1. Les peines principales:

a. L'emprisonnement ;

b. L'amende ;

Les sanctions en matière de cybercriminalité varient en fonction de l'infraction commise. À titre exemplatif :

> Atteinte à un système de traitement automatisé de données (STAD) : Pénétration ou altération d'un système informatique: jusqu'à 5 ans d'emprisonnement et 150 000 € d'amende (article 323-1 du Code pénal).

> Introduction d'un virus: jusqu'à 10 ans d'emprisonnement et 300 000 € d'amende si cela cause des dommages importants.

> Escroquerie en ligne: Peine pouvant aller jusqu'à 7 ans d'emprisonnement et 750 000 € d'amende (si aggravée, article 3131 du Code pénal).

> Diffusion de contenus pédopornographiques : Jusqu'à 7 ans d'emprisonnement et 100 000 € d'amende.

> Cyber harcèlement: Jusqu'à 2 ans d'emprisonnement et 30 000 € d'amende, avec des peines aggravées si la victime est mineure. 2.2. Les peines complémentaires:

a. La suspension des comptes d'accès²⁶⁹ ;

b. L'interdiction des droits civiques, civils et de la famille²⁷⁰ ;

c. L'interdiction d'exercer une fonction publique ou d'exercer l'activité professionnel ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise²⁷¹ ;

269 L'article 16 point 1°) de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique. Journal officiel de la République Française du 22 mai 2024, texte 2 sur 132 ;

270 Article 323-5 point 1°) du code pénal Français;

271 Idem, point 2°) ;

d. La confiscation de la chose qui a servi ou destiné à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ;272

e. La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ;273

f. L'exclusion, pour une durée de cinq ans au plus, des marchés publics ;274

g. L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés.²⁷⁵

SECTION 3. LES AUTORITÉS COMPÉTENTES EN MATIÈRE DE LA
RÉPRESSION DE LA CYBERCRIMINALITÉ EN FRANCE

Dans cette dernière section de ce chapitre, nous allons aborder tour à tour: les autorités compétentes en matière de lutte contre la cybercriminalité en France (paragraphe 1^er) ; et la procédure en matière répressive de la cybercriminalité en France (paragraphe 2).

§1^er. Des autorités compétentes en matière de répression de la cybercriminalité en Droit Français²⁷⁶

Dans un premier temps, nous allons parler des autorités administratives, pour finir avec celles judiciaires.

272 Ibidem, point 3°) ;

273 Tribidem, point 4°) ;

274 Le point 5°) du même article;

275 Le point 6°) de l»article 16 point 1°) de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique précitée;

276 Bruno ROUSSEL, les investigations numériques en procédure pénale, thèse de doctorat en droit, université de Bordeaux, école doctorale de droit, spécialité de droit privé et sciences criminelles, juillet 2020, pp. 81-83.

1.1. Des autorités administratives

En France, plusieurs autorités et institutions administratives non judiciaires sont impliquées dans la lutte contre la cybercriminalité. Les principales sont:

1.1.1. Ministère de l'Intérieur

- Direction Générale de la Gendarmerie Nationale (DGPN) : S'occupe de la cybersécurité à travers des unités spécialisées.

- Police nationale : Gère des divisions dédiées à la cybercriminalité, comme la Brigade d'Investigations Numériques.

1.1.2. Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI)

Responsable de la sécurité des systèmes d'information, elle fournit des conseils, des alertes et des réponses aux incidents de cybersécurité.

1.1.3. Commission Nationale de l'Informatique et des Libertés (CNIL)

Veille à la protection des données personnelles et s'assure que les traitements de données respectent la législation, jouant un rôle clé dans la régulation des pratiques numériques.

1.1.4. Autorité de régulation des communications électroniques et des postes (ARCEP)

Régule les communications électroniques et veille à la sécurité des réseaux, en collaboration avec les opérateurs.

1.1.5. Computer Emergency Response Team - France (CERT-FR)

Une entité de l'ANSSI qui offre assistance technique et conseils sur la gestion des incidents de sécurité informatique aux organismes publics et privés.

1.1.6. Pôle de compétences cyber

Regroupe des acteurs publics et privés pour favoriser l'innovation et le développement de la cybersécurité en France.

1.1.7. Direction Générale des Entreprises (DGE)

Implication dans la promotion de la cybersécurité au sein des entreprises et des industries.

1.1.8. Éducation Nationale

Met en oeuvre des programmes de sensibilisation à la cybersécurité pour informer et éduquer les jeunes sur les risques liés à l'usage d'Internet.

Ces institutions collaborent pour prévenir et lutter contre la cybercriminalité, en mettant l'accent sur la protection des données, la sécurité des systèmes d'information et la sensibilisation des citoyens.

1.2. Des autorités judiciaires 277

Les institutions judiciaires jouent un rôle crucial dans la répression de la cybercriminalité, en menant des enquêtes, en poursuivant les auteurs d'infractions et en assurant la justice dans ce domaine en constante évolution.

1.2.1. Parquet

- Parquet National Financier (PNF) : Traite des affaires de cybercriminalité liées à la fraude, au blanchiment et aux atteintes à la sécurité économique.

- Parquets de proximité : Enquêtent sur les infractions pénales locales, y compris les délits de cybercriminalité.

1.2.2. Juridictions judiciaires

Compétents pour juger les affaires de cybercriminalité. Les affaires peuvent être portées devant des chambres spécialisées en fonction de la gravité des faits.

277 Bruno ROUSSEL, Op.Cit, pp. 81-83.

1.2.3. Bureau de Lutte contre la Cybercriminalité (BLCC)

Une entité au sein de la Police Nationale qui se concentre spécifiquement sur les infractions liées à la cybercriminalité.

1.2.4. Gendarmerie nationale

Dispose de sections spécialisées, comme la Section de Lutte contre la Cybercriminalité, qui enquête sur les infractions informatiques.

1.2.5. Pôle Judiciaire de Lutte contre la Cybercriminalité (PJLC)

Situé à Paris, il regroupe des magistrats et des enquêteurs spécialisés pour traiter les affaires de cybercriminalité à forte ampleur.

§2. De la procédure en matière de cybercriminalité en France 278

De la procédure judiciaire et des juridictions compétentes en matière de cybercriminalité en France:

2.1. Les étapes de la procédure judiciaire 2.1.1 Signalement et plainte

Les infractions cybercriminelles peuvent être signalées par les victimes ou par des tiers (entreprises, autorités, etc.). Cela peut se faire:

- En déposant une plainte directement auprès des services de police ou de gendarmerie.

- En signalant les contenus ou comportements illicites via des plateformes comme Pharos (Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements), gérée par la police nationale.

- Les entreprises ou administrations victimes d'attaques informatiques peuvent également faire un signalement auprès de l'ANSSI (Agence nationale de la sécurité des systèmes d'information).

278 Bruno ROUSSEL, Op.Cit, pp. 84

2.1.2. Enquête préliminaire

Une enquête préliminaire est souvent ouverte par le parquet pour vérifier les faits et identifier les auteurs. Cette phase inclut:

- L'analyse des traces numériques laissées par les auteurs (adresses IP, logs des serveurs, etc.).

- La saisie de matériel informatique ou de supports numériques.

- La coopération avec des prestataires techniques (comme les fournisseurs d'accès à Internet) pour identifier les utilisateurs.

- La collaboration internationale, lorsque les infractions impliquent des acteurs situés à l'étranger.

2.1.3. Instruction (dans les cas complexes)

Si les faits sont graves ou complexes, une information judiciaire peut être ouverte sous la direction d'un juge d'instruction. Ce dernier dispose de pouvoirs élargis pour mener des investigations approfondies, notamment:

- Des perquisitions numériques.

- Des expertises informatiques.

- L'audition des suspects et témoins.

- La demande de coopération internationale via des mécanismes comme les conventions d'entraide judiciaire internationale (notamment dans le cadre d'Europol, d'Interpol ou de la Convention de Budapest sur la cybercriminalité).

2.1.4 Poursuites et jugement

Une fois l'enquête ou l'instruction terminée, si les éléments sont suffisants, le parquet peut engager des poursuites devant les juridictions compétentes. Dans certains cas, les auteurs peuvent être jugés en comparution immédiate. Si l'affaire est complexe, le procès peut nécessiter plusieurs audiences pour examiner les preuves techniques.

2.2. Les juridictions compétentes²⁷⁹

En matière de cybercriminalité, les juridictions compétentes sont déterminées par la nature de l'infraction, son lieu de commission et les circonstances spécifiques de l'affaire.

2.2.1. Les juridictions de droit commun

> Tribunal correctionnel : La majorité des infractions cybercriminelles, comme l'escroquerie en ligne, les atteintes aux systèmes de traitement automatisé de données (STAD), ou encore les délits liés aux données personnelles, sont jugées par le tribunal correctionnel.

> Cour d'assises : Si l'infraction constitue un crime (par exemple, un acte de cyberterrorisme ayant causé des pertes humaines importantes), la cour d'assises est compétente.

2.2.2. Les juridictions spécialisées

Pour faire face à la technicité des affaires de cybercriminalité, la France a mis en place des juridictions spécialisées:

> Les juridictions interrégionales spécialisées (JIRS) : Ces juridictions, compétentes pour les affaires complexes de criminalité organisée, peuvent être saisies en cas de cybercriminalité impliquant des réseaux internationaux, des attaques massives ou des préjudices financiers importants.

> La juridiction nationale de lutte contre la criminalité organisée (JUNALCO) : Créée en 2019, elle est compétente pour traiter les affaires les plus graves et complexes, comme le cyberterrorisme ou les attaques informatiques d'envergure nationale.

2.2.3. Les juridictions internationales

Si l'infraction est transnationale, des mécanismes de coopération internationale sont activés via la Convention de Budapest ou par l'intermédiaire d'organismes comme Europol, Interpol, ou Eurojust.

279 Bruno ROUSSEL, Op.Cit, pp. 85.

Dans certains cas, des juridictions étrangères peuvent être compétentes, par exemple si l'infraction a été commise depuis un autre pays.

2.3. Spécificités de la procédure en matière de cybercriminalité²⁸⁰ 2.3.1. Les preuves numériques

La collecte et la conservation des preuves numériques (traces informatiques, fichiers électroniques, logs, etc.) sont encadrées par des règles strictes afin de garantir leur authenticité et leur intégrité.

Les enquêteurs peuvent utiliser des outils spécialisés pour analyser les disques durs, récupérer des données supprimées ou décrypter des fichiers.

2.3.2. La saisie et le blocage des contenus

Les autorités peuvent ordonner la saisie ou le blocage des contenus illicites en ligne, notamment pour les sites diffusant des contenus pédopornographiques, terroristes ou incitant à la haine.

Le blocage peut être ordonné par l'ARCOM (Autorité de régulation de la communication audiovisuelle et numérique), en lien avec les autorités judiciaires.

2.3.3. La coopération internationale

La cybercriminalité étant souvent transfrontalière, la coopération internationale est essentielle. La France participe activement à des réseaux comme Europol ou Interpol pour traquer les cybercriminels opérant depuis l'étranger. Les autorités françaises collaborent également avec des entreprises privées (comme Google, Facebook ou les hébergeurs) pour obtenir des données nécessaires aux enquêtes.

La répression de la cybercriminalité en droit français repose sur une articulation entre les juridictions de droit commun, des juridictions spécialisées et des mécanismes de coopération internationale. La

280 Bruno ROUSSEL, Op.Cit, pp. 86.

procédure judiciaire, notamment en matière de collecte de preuves numériques et de coopération avec des acteurs privés ou étrangers, est adaptée à la nature transnationale et technique de ces infractions. Les sanctions prévues sont lourdes, reflétant la gravité de ces actes dans une société de plus en plus dépendante du numérique.

TITRE 2. ÉTUDE COMPARATIVE DE LA RÉPRESSION DE LA CYBERCRIMINALITÉ ENTRE LES DROITS FRANÇAIS ET CONGOLAIS À L'ÈRE DU CODE CONGOLAIS DU NUMÉRIQUE

Ce dernier titre va dans un premier temps étudier comparativement la répression de la cybercriminalité entre les Droits Français et Congolais; pour ensuite faire de propositions pour l'amélioration de la répression de la cybercriminalité en Droit Congolais.

CHAPITRE 1^ER. ÉTUDE COMPARATIVE DE LA RÉPRESSION DE LA CYBERCRIMINALITÉ EN DROITS FRANÇAIS ET CONGOLAIS À L'ÈRE DU CODE CONGOLAIS DU NUMÉRIQUE