hashtag-cabinet-avocat-white-slider-accueil

Le droit au service

de l'innovation

flecheRight

RGPD et cybercriminalité

Certaines techniques spécifiques d’enquête sont permises pour certains délits. C’est pourquoi, la loi française a introduit des moyens d’investigation adaptés pour prouver des infractions commises par le biais des communications électroniques.

Cependant, comment concilier ces dispositifs facilitant le recueil de preuves numériques avec le RGPD ?

Enquête sous pseudonyme et RGPD

En principe des officiers de police judiciaire ne peuvent jamais, quel que soit le type d’enquête (flagrance ou préliminaire), procéder à des manœuvres déloyales dans le but d’obtenir une preuve[1]. Néanmoins, certaines techniques spécifiques d’enquêtes sont permises dans certains cas et sous certaines conditions échappant au principe de protection de la vie privée et protection des données des citoyens.

C’est notamment le cas avec les enquêtes pénales sous pseudonymes sur internet. En effet, un arrêté du 19 avril 2019[2] autorise de nombreux services de police et de gendarmerie à agréer des agents et officiers habilités pour réaliser ses enquêtes. L’enquête par pseudonyme est autorisée lorsque les infractions constatées « sont commises par un moyen de communication électronique », afin « d’en rassembler les preuves et d’en rechercher les auteurs ». Ainsi, il s’agit de la possibilité pour les enquêteurs de recourir à des pseudonymes pour infiltrer des réseaux et obtenir des informations en matière de cybercriminalité.

Cette technique était déjà prévue pour la protection des mineurs (depuis une loi de 2007), ou encore pour la lutte contre le terrorisme, le proxénétisme ou d’autres formes de traite des êtres humains (depuis la loi du 13 novembre 2014 contre le terrorisme).

Mais depuis l’adaptation de la procédure pénale au droit de l’Union européenne, le champ d’application des enquêtes sous pseudonymes s’est considérablement étendu. La technique est désormais autorisée pour une multitude de crimes et de délits, qui comprend notamment les attaques informatiques, le blanchiment d’argent, l’escroquerie en bande organisée… Ainsi, la mise en œuvre de cette technique semble relativement inconciliable avec la mise en œuvre du RGPD.

Géolocalisation et RGPD

Lors des enquêtes réalisées dans le champ de la cybercriminalité, il est souvent nécessaire de pouvoir retracer l’origine ou la destination des connexions à un serveur informatique, par exemple pour faciliter la localisation ou l’identification d’une personne maîtrisant le système de commande et de contrôle d’un objet ou des personnes qui en sont les victimes.

Les juges distinguent la géolocalisation « en temps différé » de la géolocalisation « en temps réel »  par le caractère moins attentatoire à la vie privée de la géolocalisation en temps différé. Ainsi, la loi du 28 mars 2014[3], a introduit des dispositions spécifiques sur la géolocalisation en temps réel prévue aux articles 230-32 à 230-44 du Code de procédure pénale.

La loi limite la géolocalisation en temps réel à trois cas, à savoir, les délits contre les personnes punis d’une peine d’emprisonnement supérieure ou égale à 3 ans, les autres crimes et délits punis d’au moins 5 ans d’emprisonnement. Enfin, les enquêtes ou information judiciaire en recherche des causes de la mort, des causes de la disparition et enquêtes en recherche d’une personne en fuite.

Le juge des libertés et de la détention et le juge d’instruction sont les seuls à pouvoir autoriser cette opération, à la condition que l’infraction soit passible d’une peine d’au moins 5 ans d’emprisonnement.

En savoir plus :

 

[1] Cass. crim., 27 fév. 1996 Schuller

[2] Arrêté du 19 avril 2019 modifiant l’arrêté du 21 octobre 2015 relatif à l’habilitation au sein de services spécialisés d’officiers ou agents de police judiciaire pouvant procéder aux enquêtes sous pseudonyme

[3] LOI n° 2014-372 du 28 mars 2014 relative à la géolocalisation (1)

Partager :