TITRE II : DISPOSITIONS RELATIVES À LA RÉVOLUTION NUMÉRIQUE DU MINISTÈRE
CHAPITRE IER : LUTTE CONTRE LA CYBERCRIMINALITÉ
Article 3
Possibilité de saisir des actifs
numériques
L'article 3 vise à faciliter la saisie de crypto-actifs dans le cadre d'une enquête ou d'une information judiciaire, en appliquant à cette saisie les dispositions déjà prévues pour la saisie d'une somme d'argent sur un compte bancaire.
La commission a adopté cet article sans modification .
1. Les procédures de saisie prévues par le code de procédure pénale
Les articles 142 et suivants du code de procédure pénale autorisent le procureur de la République, le juge d'instruction ou, avec leur autorisation, l'officier de police judiciaire (OPJ) à faire procéder à la saisie d'un bien dans le cadre d'une procédure pénale. La saisie est effectuée avant toute condamnation : elle vise à garantir que la peine complémentaire de confiscation pourra, le cas échéant, être mise à exécution.
La saisie peut porter sur des biens meubles ou sur des immeubles (articles 706-148 et 706-150 du même code), ainsi que sur des biens ou des droits mobiliers incorporels (article 706-153). Dans cette dernière hypothèse, il revient au juge des libertés et de la détention (JLD), saisi par requête du procureur de la République, ou au juge d'instruction d'ordonner par décision motivée la saisie des biens ou droits incorporels.
L'article 706-154 du code de procédure pénale autorise également la saisie d'une somme d'argent versée sur un compte de dépôt . Dans la mesure où il est extrêmement facile de retirer ou de transférer la somme déposée sur un tel compte, et de faire ainsi obstacle à la saisie, une procédure rapide est prévue dans cette hypothèse : le procureur de la République ou le juge d'instruction peut autoriser, par tout moyen, l'OPJ à procéder à la saisie ; il revient ensuite au JLD, saisi par le procureur de la République ou par le juge d'instruction, de se prononcer, dans un délai de dix jours, sur le maintien ou la mainlevée de la saisie.
Dans ses décisions n° 2016-583 QPC et 2016-584 QPC du 14 octobre 2016, le Conseil constitutionnel a validé cette procédure qui fait intervenir le JLD a posteriori , considérant que les saisies autorisées sur le fondement de cette disposition étaient nécessaires, proportionnées et qu'elles ne portaient pas une atteinte manifestement déséquilibrée aux droits et libertés garantis par la Constitution.
2. Une extension bienvenue aux actifs numériques
Il est proposé d'étendre le champ d'application de l'article 706-154 aux actifs numériques , qui prennent une place grandissante dans les choix de placement des Français et qui peuvent, comme les sommes d'argent déposées sur un compte bancaire, être très rapidement transférés pour échapper à une saisie.
L'article L. 54-10-1 du code monétaire et financier distingue deux catégories d'actifs numériques :
- les jetons, ou tokens , définis à l'article L. 555-2 du même code comme des biens incorporels représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d'un dispositif d'enregistrement électronique partagé permettant d'identifier, directement ou indirectement, le propriétaire dudit bien 5 ( * ) ; en pratique, ces actifs sont émis et échangeables sur une blockchain ;
- les crypto-actifs, définis au même article L. 54-10-1 comme « toute représentation numérique d'une valeur qui n'est pas émise ou garantie par une banque centrale ou par une autorité publique, qui n'est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d'une monnaie, mais qui est acceptée par des personnes physiques ou morales comme un moyen d'échange et qui peut être transférée, stockée ou échangée électroniquement ».
La première phrase de l'article 706-154 du code de procédure pénale serait modifiée pour que la procédure applicable aux sommes d'argent déposées sur un compte le soit également aux actifs numériques . Plusieurs mesures de coordination sont également prévues dans la suite de l'article.
En faisant intervenir le JLD après la saisie, cette procédure permettra de procéder plus facilement à la saisie d'un portefeuille de crypto-actifs, en évitant que la ou les personnes qui y ont accès ne les transfèrent ou en empêchent l'accès. Cette modification du code de procédure pénale paraît pleinement justifiée au regard des évolutions techniques qui ont conduit à l'apparition de ces nouveaux produits de placement, qui sont de plus en plus répandus. L'agence de gestion et de recouvrement des avoirs saisis et confisqués (Agrasc) a enregistré deux saisies d'avoirs numériques en 2013, huit en 2018, vingt en 2020 et soixante en 2021.
Les auditions auxquelles ont procédé les rapporteurs ont montré que cette mesure était attendue sur le terrain. La saisie d'avoirs numériques restera néanmoins plus complexe que la saisie de liquidités sur un compte de dépôt : les opérations de saisie doivent en effet être réalisées sur des portefeuilles que l'Agrasc a ouvert auprès d'intermédiaires, chaque portefeuille correspondant à une crypto-monnaie différente ; préalablement à la saisie des actifs, l'enquêteur devra donc prendre attache avec l'agence pour savoir sur quel portefeuille l'actif devra être versé. De plus, la saisie exercée sur des plateformes situées à l'étranger empruntera la voie de l'entraide judiciaire, dont les délais de réalisation peuvent être longs.
La commission a adopté l'article 3 sans modification .
Article 4
Favoriser le
dépôt de plainte en cas de versement d'une rançon
après une cyberattaque
L'article 4 subordonne, en cas de paiement d'une rançon à la suite d'une cyberattaque, le versement d'une indemnisation par une compagnie d'assurance au dépôt d'une plainte par la victime.
La commission a adopté cet article sans modification .
1. Le phénomène des attaques au rançongiciel
Cet article tend à introduire un chapitre X, relatif à l'assurance des risques de cyberattaques, au titre II du livre I er du code des assurances, afin de permettre aux services d'enquête de lutter plus efficacement contre certaines cyberattaques.
Des d'entreprises, des administrations, des établissements publics, y compris des hôpitaux, voire des particuliers, sont victimes d'attaques au rançongiciel, aussi appelés ransomwares 6 ( * ) : à l'aide d'un courriel ou d'une clé USB infectée, le délinquant introduit dans le système informatique de la victime un logiciel malveillant qui chiffre l'ensemble de ses données, les rendant ainsi inaccessibles. L'auteur de l'infraction exige ensuite le paiement d'une rançon, en contrepartie de laquelle la victime retrouvera l'accès à ses données.
La position des autorités françaises a toujours consisté à déconseiller le paiement de la rançon, afin de ne pas encourager ce type de délinquance. Certaines entreprises font cependant le choix de céder à ce chantage, ce qui peut se justifier si elles estiment que les frais de remise en état de leur système informatique ou que le préjudice porté à leur activité dépassent largement le montant demandé.
Face à ce phénomène en extension, les compagnies d'assurance ont développé des contrats qui couvrent les entreprises contre le risque de cyberattaque. Si 87 % des grandes entreprises ont souscrit ce type de garanties, le taux de couverture global des entreprises françaises demeure faible, de l'ordre de 5 %. De plus, peu de contrats prévoient une garantie couvrant le paiement d'une rançon.
2. Favoriser le dépôt de plainte pour mieux lutter contre cette forme de délinquance
Dans leur rapport de 2020 consacré à la cybercriminalité 7 ( * ) , nos anciens collègues Sophie Joissains et Jacques Bigot notaient que la victime d'une attaque au rançongiciel « préfère parfois s'abstenir de déposer plainte afin de préserver sa réputation : l'image de l'entreprise risque d'être altérée s'il apparaît qu'elle n'est pas en mesure de se prémunir contre les cyberattaques et ses clients peuvent craindre que des informations les concernant soient rendues publiques, affaiblissant la confiance nécessaire à la poursuite de leur relation d'affaires. Seuls les opérateurs d'importance vitale 8 ( * ) ont l'obligation de signaler à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) les attaques dont ils font l'objet ».
En conséquence, nos anciens collègues appelaient de leurs voeux une augmentation du nombre de dépôt de plaintes, soulignant que « l'augmentation du nombre de signalements est indispensable pour aider les enquêteurs à recueillir des informations, opérer des rapprochements entre des faits de cybermalveillance qui semblent isolés de prime abord et reconstituer ainsi les différents aspects d'une affaire » .
L'article 4 du projet de loi propose un mécanisme qui vise justement à inciter les victimes à déposer plainte : le remboursement de la rançon par la compagnie d'assurance ne serait possible que si la victime a porté plainte auprès des autorités compétentes, au plus tard 48 heures après le paiement de la rançon .
Ce mécanisme s'appliquerait si les faits peuvent être qualifiés d'extorsion au sens de l'article 312-1 du code pénal 9 ( * ) et s'ils ont été commis au moyen d'une atteinte à un système de traitement automatisé de données (STAD), c'est-à-dire à un système informatique.
Dans son avis sur le projet de loi, le Conseil d'État a estimé que cette mesure ne soulevait pas de difficulté au regard de nos principes fondamentaux. Il a observé que la disposition proposée portait une atteinte, au demeurant très limitée, à la liberté d'entreprendre et à la liberté contractuelle, mais que cette atteinte était justifiée, et proportionnée, au regard du respect de l'objectif constitutionnel de sauvegarde de l'ordre public et de prévention des infractions.
Sur un plan opérationnel, la mesure présente un intérêt certain, en créant une forte incitation au dépôt de plainte qui facilitera le travail des enquêteurs, mais sa portée ne doit pas être surestimée au vu du faible nombre d'entreprises ayant aujourd'hui souscrit une police d'assurance couvrant le paiement d'une rançon. On peut cependant émettre l'hypothèse que ce type de couverture a vocation à s'étendre dans les prochaines années, ce qui donnera ainsi une plus grande portée à la mesure envisagée. L'assurance contre le risque cyber contribue à renforcer la cybersécurité puisque les assureurs n'acceptent de couvrir ce risque que si le client a déjà adopté des mesures adéquates de protection et de prévention.
La commission a adopté l'article 4 sans modification .
Article 4 bis
(nouveau)
Nouveaux actes autorisés dans le cadre des enquêtes
sous pseudonyme
Cet article additionnel, inséré par la commission, autorise les enquêteurs travaillant sous pseudonyme à fournir des moyens financiers ou logistiques à l'auteur d'une infraction afin de favoriser la constatation de crimes ou de délits.
1. Une nouvelle faculté offerte aux enquêteurs qui travaillent sous pseudonyme
Sur proposition des rapporteurs, la commission a adopté l' amendement COM-87 , qui reprend des dispositions qui figuraient à l'article 3 de la première version du projet de loi d'orientation et de programmation du ministère de l'intérieur, déposée sur le bureau de l'Assemblée nationale en mars dernier.
Il insère dans le texte un article additionnel pour modifier l'article 230-46 du code de procédure pénale, relatif à l'enquête sous pseudonyme.
L'enquête sous pseudonyme est une technique « d'infiltration » sur internet qui permet à des officiers ou à des agents de police judiciaire (OPJ et APJ) de constater des infractions punies d'une peine d'emprisonnement commises par la voie des communications électroniques.
Travaillant sous une identité d'emprunt, les enquêteurs peuvent, dans ce cadre, échanger des messages électroniques avec les personnes susceptibles d'être les auteurs de ces infractions, afin de recueillir des informations à leur sujet et de collecter des preuves. Avec l'autorisation du procureur de la République ou du juge d'instruction, ils peuvent également faire l'acquisition d'un produit ou d'un service illicite, voire transmettre eux-mêmes des contenus illicites en réponse à une demande expresse. Les enquêteurs ne sont bien sûr pas pénalement responsables des actes qui ont ainsi été autorisés.
Le recours à l'enquête sous pseudonyme est entouré de garanties : les OPJ et APJ doivent être spécialement habilités et affectés dans un service spécialisé ; de plus, leurs agissements ne doivent pas constituer une incitation à commettre une infraction, ce qui poserait un problème au regard du droit à un procès équitable. Compte tenu de ces garanties, le Conseil constitutionnel a validé le recours à la technique de l'enquête sous pseudonyme dans sa décision n° 2019-778 DC du 21 mars 2019 10 ( * ) .
Il est proposé de compléter la liste des actes que les enquêteurs seraient autorisés à accomplir, avec l'autorisation du procureur de la République ou du juge d'instruction.
Ainsi serait autorisé le fait de mettre à la disposition des auteurs des infractions des moyens financiers ou juridiques, des moyens de transport, de dépôt, d'hébergement, de conservation ou de télécommunication, en vue de l'acquisition d'un contenu, produit, substance, prélèvement ou service, y compris illicite.
Dans cette hypothèse, ce ne serait donc pas l'OPJ ou l'APJ qui procèderait à l'acquisition frauduleuse ; mais il mettrait à la disposition des personnes qui commettent l'infraction des moyens de la réaliser, agissant ainsi en quelque sorte en tant que complice.
2. Une extension utile à la poursuite des infractions en ligne
L'enquête sous pseudonyme est un moyen efficace de lutter contre les crimes et délits commis sur internet. Qu'il s'agisse de la vente de drogue ou d'armes sur le dark web ou de la vente de biens volés sur des plateformes en ligne, cette technique facilite l'identification des auteurs et la collecte d'éléments de preuve.
La modification proposée étoffera la palette des outils à la disposition des enquêteurs en leur permettant de « porter assistance » à l'auteur de l'infraction.
Dans son avis sur la première version du projet de loi d'orientation et de programmation, le Conseil d'État avait estimé que cette modification ne soulevait pas de difficulté au regard des principes constitutionnels compte tenu des garanties qui entourent l'enquête sous pseudonyme. Le recours à cette nouvelle faculté ne demeure bien sûr acceptable que s'il ne constitue pas une incitation à commettre l'infraction, la frontière pouvant être tenue entre l'assistance et l'incitation.
La commission a adopté l'article 4 bis ainsi rédigé .
* 5 Ne sont pas considérés comme des actifs numériques les jetons qui réunissent les caractéristiques des instruments financiers ou des bons de caisse.
* 6 Entre 2016 et 2020, on estime que les services de police et de gendarmerie ont enregistré entre 1 580 et 1 870 procédures en lien avec des attaques par rançongiciel, avec un montant moyen de rançon versé de 6 375 euros, qui tend à augmenter au fil des ans.
* 7 Cf. le rapport d'information n°613 (2019-2020) « Cybercriminalité : un défi à relever aux niveaux national et européen », fait par Sophie Joissains et Jacques Bigot au nom de la commission des affaires européennes et de la commission des lois.
* 8 Le code de la défense précise que les opérateurs d'importance vitale sont des opérateurs publics ou privés qui gèrent ou utilisent, au titre de leur activité, un établissement, un ouvrage ou une installation dont le dommage, l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.
* 9 Punie de sept ans d'emprisonnement et de 100 000 euros d'amende, l'extorsion est le fait d'obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque.
* 10 Points 155 et 156.