Essai de Maitre Bennani Oumaïma sur la cybercriminalité

Introduction

La cybercriminalité occupe une place de plus en plus grande dans un monde désormais exposé au développement des technologies de l’information et des télécommunications et surtout d’internet. A l’heure actuelle, une grande partie des marocains sont connectés à internet et l’utilisent au quotidien.

En effet, selon le dernier rapport de l’ANRT, le nombre d’abonnés au Maroc dépasse les 19 millions fin 2017. Si aujourd’hui internet est devenu un vecteur essentiel d’information, de communication et de commerce, il est aussi un territoire propice au développement d’une nouvelle forme de délinquance : la cybercriminalité.

En effet, de plus en plus de malfaiteurs exploitent l’immatérialité, l’internationalité et surtout l’anonymat que les technologies de l’information et des télécommunications permettent pour commettre les cyber-infractions les plus diverses.

La cybercriminalité est définit par les Nations Unies comme « toute infraction susceptible d’être commise à l’aide d’un système ou d’un réseau informatique, dans un système ou un réseau informatique
ou contre un système ou un réseau informatique. Il englobe, en principe, toute infraction susceptible d’être commise dans un environnement électronique ».

Il est impossible d’élaborer une typologie des cybercrimes car la cybercriminalité a un caractère évolutif qui fait qu’elle gagne en sophistication d’année en année sous l’effet du développement technologique et quelle que soit l’approche adoptée, il existera toujours des chevauchements entre les infractions.

Toutefois, une classification en fonction de la cible de ces actes est possible comme les infractions portant atteinte aux systèmes d’information, aux données personnelles, à la propriété intellectuelle, aux intérêts de l’Etat…

Face au phénomène de la cybercriminalité, les ripostes juridiques nationales sont différentes d’un pays à l’autre. Ceci s’explique notamment par l’émergence de deux courants ayant deux conceptions différentes du phénomène. Le premier estime qu’il n’y a pas lieu de distinguer entre le cybercrime et l’infraction de droit commun. Par conséquent, la cybercriminalité ne justifie pas de nouvelles mesures législatives. Le deuxième courant considère la cybercriminalité comme étant un phénomène spécifique et donc de nouvelles mesures sont nécessaires. Les deux cas de figure ne sont en faite que des résultats des dispositions essentielles de la convention de Budapest du 23 novembre 2001 que le Maroc a ratifié.

Choisissant le deuxième courant, le Maroc a adopté trois textes législatifs pour lutter contre la cybercriminalité il s’agit de la loi 07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données, la loi 53-05 relative à l’échange électronique de données juridiques, la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Pour privilégier l’étude de ces 3 lois, il ne sera pas question dans ce sujet de traiter les dispositions pénales de la loi 2-00 relatives aux droits d’auteur qui nécessite une connaissance plus approfondie du droit de la propriété intellectuelle.
L’enjeu pour le législateur était de rattraper et encadrer les risques des nouvelles technologies par des dispositions pénales adéquates dans la mesure ou ces technologies ont un grand impact sur l’ordre public, mais aussi de donner aux différents acteurs judiciaires les moyens de lutter contre ce phénomène.

Quel est donc l’arsenal juridique marocain censé lutter contre la cybercriminalité et dans quelle mesure est-il efficient pour les différents acteurs chargés de l’appliquer ?

Il s’agira donc de traiter en première partie du sujet l’arsenal juridique marocain en matière de cybercriminalité à travers les trois lois citées

plus haut, et en deuxième partie la lutte contre la cybercriminalité dans la pratique.

L’arsenal juridique marocain en matière de cybercriminalité

La loi n°07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données :

L’arsenal juridique marocain dispose de lacunes sérieuses empêchant la répression des infractions liées à la criminalité informatique. De nombreuses dispositions du code pénal se révèlent parfaitement inadaptées aux spécificités du Phénomène de la cybercriminalité.

Face à cette situation, le législateur marocain se trouvait contraint d’enrichir le code pénal par des dispositions susceptibles de s’appliquer aux infractions commises par voie informatique ou électronique. C’est ainsi que la loi n°07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données a vu le jour en 2003.

Le législateur marocain a reproduit ses dispositions à partir de la loi française du 5 janvier 1988 relative à la fraude informatique dite loi Godfrain, la loi n°07-03 constitue un texte fondateur pour la mise à niveau de l’arsenal juridique marocain afin de tenir compte des infractions imputables à la criminalité informatique. Elle traite les atteintes aux systèmes de traitement automatisé des données (STAD) et réprime pénalement de nombreux comportements. Les intrusions ainsi que les atteintes aux systèmes de traitement automatisé des données demeurent les plus importantes incriminations contenues dans cette loi.

Le code pénal marocain ne comporte aucunes dispositions spéciales concernant expressément les virus informatiques, ce qui laisse croire que ceux-ci échappent à la répression. Toutefois, la lecture du chapitre consacré pas le législateur marocain aux atteintes aux systèmes de traitement automatisé de données fait relever deux fondements de la répression des virus informatiques.

 

Les articles 607 sont applicables aux délits de conception et de propagation des virus informatiques de toutes sortes tels que les virus proprement dit, bien que la juridiction marocaine ne traite pas d’une façon différenciée et spécifiée chacun des actes malveillants.
1.1 L’accès frauduleux dans un STAD :
L’accès frauduleux représente une infraction qui résulte de l’article 607-3 du code pénal qui dispose dans sa rédaction de 2003 : « le fait d’accéder, frauduleusement, dans tout ou partie d’un système de traitement automatisé des données est puni d’un mois à trois mois d’emprisonnement et de 2.000 à 10.000 dirhams ou de l’une de ces deux peines seulement»
La loi marocaine prévoit un doublement de la peine vu ce qu’elle entraine une altération du système. En effet, l’article 607-3, al. 3 du Code pénal dispose « La peine est portée au double lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le STAD, soit une altération du fonctionnement de ce
système ».
L’accès au STAD peut se faire :
Depuis l’extérieur du système : ainsi, un pirate qui pénètre dans un ordinateur connecté à l’internet tombe sous le coup de la loi.
Depuis l’intérieur du système : un salarié qui, depuis son poste, pénètre dans une zone du réseau de l’entreprise à laquelle il n’a pas le droit d’accéder pourra être poursuivi.

La jurisprudence française précise que l’accès est sanctionné uniquement s’il est frauduleux à un STAD « dès lors qu’une personne, non habilitée, pénètre dans ce système tout en sachant être dépourvue d’autorisation, peu importe le mobile ». Ce qui recouvre un grand nombre d’hypothèses.

Dans cette perspective, la Cour d’appel de Paris a considéré dans un arrêt du 5 avril 1994 que « l’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de communication ».

  

Les dispositifs de sécurité sont des mesures de sécurité qui ont pour objet de sécuriser l’emploi et l’utilisation de machines et outils afin d’éviter leur fonctionnement dans certaines conditions et de prévenir tout risque d’accident ou de danger.

Certains pays comme la Norvège et les Pays-Bas considèrent qu’un dispositif de sécurité est nécessaire pour punir l’accès ou l’interception illicite de données, la loi marocaine à l’instar de la loi française, n’a pas apporté de précision concernant la nécessité ou l’indifférence de la présence de dispositifs de sécurité pour la constitution du délit d’accès et de maintien frauduleux.

L’arrêt du 4 décembre 1992, la Cour d’appel de Paris a écarté les délits d’accès et de maintien dans un système de traitement automatisé de données informatiques en constatant que l’appropriation d’un code d’accès avait pu être le résultat d’une erreur de manipulation sur les fichiers, cette circonstance excluant le caractère intentionnel exigé par la loi. Ainsi, une intrusion accidentelle ne peut être incriminée.

La cour d’appel de Paris en 1994 qui a déclaré : « Il n’est pas nécessaire pour que l’infraction existe, que l’accès soit limité par un dispositif de protection, mais qu’il suffise que le maître du système ait manifesté l’intention de restreindre l’accès aux seuls personnes autorisées »

Cependant le législateur français n’a pas voulu reprendre cette obligation pourtant proposée par le député Godfrain dés 1988, ni dans la

loi sur les infractions informatiques, ni lors de la réforme du Code pénal.

1.2 Le maintien frauduleux dans un STAD :

La loi marocaine incrimine également le maintien frauduleux dans un système de traitement automatisé de données. L’article 607-3 du code pénal marocain dispose : « Est passible de la même peine toute personne qui se maintient dans tout ou partie d’un système de traitement automatisé de données auquel elle a accédé par erreur et alors qu’elle n’en a pas le droit ».

  

La jurisprudence française précise que l’incrimination concerne le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui y est entré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement. C’est sur ce fondement que la cour d’appel de Paris a condamné en 1994 les fondateurs de sociétés télématiques, les gérants de centres serveurs et les informaticiens à leur service. Ils essayaient de se maintenir dans des services télématiques au mépris de la volonté des titulaires et alors que ceux-ci tentaient d’évincer les intrus par divers moyens de surveillance.

L’élément intentionnel de cette infraction, la doctrine et la jurisprudence s’accordent à admettre que l’adverbe « frauduleusement » n’est pas le dol général de l’attitude volontaire, ni le dol très spécial de l’intention de nuire, mais la conscience chez le délinquant que l’accès ou le maintien ne lui était pas autorisé. Cette précision vise le cas du fraudeur habilité à accéder à une partie non autorisée d’un système de traitement automatisé de données, s’y maintient en connaissance de cause, et au cas du fraudeur qui ayant eu par hasard accès à un système fermé, s’y maintient volontairement tout en sachant qu’il n’y a pas de droit.
Dans ce cadre, la cour d’appel de Toulouse dans un arrêt a précisé que le maintien pendant 45 minutes caractérisait l’aspect frauduleux de ce dernier. Il s’agissait en l’espèce d’un informaticien qui, après son licenciement, avait conservé le code d’accès au système de son ancien employeur, y avait accédé puis s’y était maintenu, causant même des dommages justifiant une incrimination plus grave.
=> La qualification pénale toutes les intrusions intentionnelles irrégulières (accès frauduleux), mais aussi régulières si elles dépassent l’autorisation donnée (maintien frauduleux).

  1. Les atteintes

Le législateur marocain a prévu des incriminations des délits portant atteinte au STAD dans le cadre de la loi n°07-03.

  

2.1 Les atteintes au fonctionnement d’un STAD

L’atteinte au fonctionnement d’un STAD peut se présenter par tout comportement ou toute action qui va entraîner temporairement ou de manière permanente une gêne dans le fonctionnement du système, une dégradation du système voire le rendre totalement inutilisable. L’élément matériel d’une atteinte portée à un STAD lui-même et non pas à ses données peut provenir de l’entrave ou du faussement de ce dernier.

L’article 607-5 du Code pénal, de la dite loi n°07-03, dispose que « Le fait d’entraver ou de fausser intentionnellement le fonctionnement d’un système de traitement automatisé des données est puni d’un an à trois ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une de ces deux peines seulement ».

L’entrave a pour finalité de perturber le fonctionnement du système, le faussement pour sa part consiste à faire produire au système un résultat différent de celui qui était attendu. Il peut suffire de bloquer l’appel d’un programme, d’un fichier ou encore d’altérer l’un des éléments du système. Le plus courant étant le cas d’une attaque virale classique.

L’auteur doit avoir conscience que ses actes vont dégrader les performances d’un système voire le rendre inopérant pour que l’atteinte au fonctionnement d’un STAD soit retenue. Mais lorsqu’un individu pénètre dans un système informatique sans rien faire d’autre, nous parlerons alors d’accès et de maintien frauduleux et non de l’entrave.

La jurisprudence française a retenu que le fait pour un employé de changer les mots de passes d’accès à un système dans le but de la rendre inutilisable pouvait l’exposer aux peines prévues pour l’entrave, à contrario si le refus de communiquer les mots de passe n’empêche pas le bon fonctionnement du système le délit n’est pas constitué.

2.2 Les atteintes aux données
L’article 607-6 du code pénal dispose que « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de détériorer ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni d’un an à trois ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une de ces deux peines seulement ».

 

Toutes les manipulations de données, qu’il s’agisse de les introduire, de les supprimer, de les modifier ou de les maquiller, provoque, en toutes circonstances, une altération du système.
Le fait de modifier les tables d’une base de données, de déréférencer l’adresse d’un serveur Web dans les moteurs de recherche, ou encore, de d’effacer un site web pour y insérer une image indécente, constituent autant d’atteintes visées par le texte.

Dans le cadre de la législation française, le délit n’est constitué que si les atteintes sont réalisées avec une intention délictueuse et hors de l’usage autorisé, il convient d’observer à propos de cet élément intentionnel une des rares dispositions que le législateur marocain n’a pas « empruntée » à la loi Godfrain. Il s’agit en l’occurrence de l’exigence que l’atteinte soit commise « aux mépris des droits d’autrui ».

Tous ces délits, que ce soit pour les intrusions (accès et atteinte frauduleux au STAD) et pour les atteintes (atteintes au fonctionnement et atteintes aux données d’un STAD), la tentative est punie des mêmes peines. En effet, l’article 607-8 du code pénal dispose « La tentative des délits prévus par les articles 607-3 à 607-7 ci-dessus et par l’article 607-10 ci-après est punie des mêmes peines que le délit lui- même ».
La loi 53-05 relative à l’échange électronique de données Juridiques :

La dématérialisation du droit des contrats a été le fruit d’une politique gouvernementale qui favorisait dès 1995, la promotion des technologies de l’information dans le développement économique du Maroc. De plus, les pressions internationales de la part des investisseurs étranges souhaitant un cadre légal et précis aux nombreuses transactions qu’ils voulaient effectuer au Maroc.

Les premiers jalons de la dématérialisation au niveau législatif se trouvent dans le Dahir du 12/08/1913 formant le code des obligations et des contrats traitant dans ses articles 23 et suivants du contrat passé par correspondance.

  

L’immatériel dans le droit des contrats recouvre en raison d’utilisation massive des nouvelles technologies de l’information s’affranchir du support papier. Bien qu’avant novembre 2007, le seul support ayant la force probante était le support papier, mais l’utilisation des nouvelles technologies d’information et de communication justifie la réforme du cadre juridique de la preuve.

Cette réforme a pour objet de fixer le régime applicable aux données juridiques échangées par voie électronique, à l’équivalence des documents établis sur papier et sur support électronique et à la signature électronique. Elle détermine également le cadre juridique applicable aux opérations effectuées par les prestataires de services de certification électronique, ainsi que les règles à respecter par ces derniers et les titulaires des certificats électroniques délivrés. En outre, la loi

institue une autorité nationale d’agrément et de surveillance de la certification.

  1. La preuve :

La loi n°53-05 comporte deux volets particulièrement novateurs en matière de preuve. Il s’agit de la redéfinition de la preuve littérale et la consécration de la force probante de l’écrit électronique.

1.1 La redéfinition de la preuve littérale
L’écriture est définie comme « une représentation de la parole et de la pensée par des signes », alors que l’écrit avait fini par se confondre avec son support papier.

La loi n°53-05 relative à l’échange électronique de données juridiques a mis fin à cette confusion en prenant soin de modifier la formulation de l’article 417, alinéa 2 du Dahir des Obligations et Contrats (D.O.C). La preuve littérale ne s’identifie plus au papier, ne dépend ni de son support matériel, ni de ses modalités de transmission. L’article 417, alinéa 2 dispose que la preuve littérale peut également résulter « de tous autres signes ou symboles dotés d’une signification intelligible quels que soient leur support et leurs modalités de transmission ». Le législateur affirme donc l’équivalence entre le papier et l’électronique. Cela a constitué une avancée fondamentale du droit de la preuve.

 

La définition respecte ainsi le principe de neutralité technologique. La seule condition posée réside dans le fait que le message doit être intelligible, c’est-à-dire qu’il s’agisse d’une information destinée à être communiquée et comprise.

1.2 La consécration de la force probante de l’écrit électronique

La redéfinition de la preuve littérale n’est pas le seul apport de la nouvelle loi, la consécration de la force probante de l’écrit électronique est aussi l’un des volets particulièrement novateurs de la loi n°53-05.

La présente loi confère la même force probante à l’écrit électronique que l’écrit sous forme papier, à condition qu’il permette à la personne dont il émane d’être dûment identifiée et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité.

L’article 417-1 dispose que « l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse dûment être identifiée à la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ».

  1. La signature électronique

La loi n°53-05 reconnaît la validité juridique de la signature électronique dès lors qu’elle remplira certaines conditions. Cette reconnaissance a pour but de faciliter l’utilisation des signatures électroniques et d’instituer un cadre juridique pour les services de certification ce qui constitue une avancée importante pour la promotion du commerce électronique. Elle en est même son fondement de base.

2.1 La reconnaissance juridique de la signature électronique

Parmi les apports de la loi n°53-05 relatives aux données juridiques échangées par voie électronique, la légalisation de la signature électronique sécurisée, la surveillance de la certification électronique et assurer sa confidentialité, ainsi que l’authentification par tout les moyens de la cryptographie

 

Le texte reconnaît juridiquement la signature électronique, mais il va encore plus loin en consacrant la validité de la signature électronique en l’absence de toute convention préalable. Cependant, la signature électronique ne peut être qualifiée de valide tant qu’elle ne remplisse pas certaines conditions. L’article 417-2, dispose que lorsque la signature est électronique « il convient d’utiliser un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ».

La signature remplit deux fonctions juridiques de base. Il s’agit de l’identification de l’auteur et de la manifestation de sa volonté d’approbation du contenu de l’acte. Il va de même pour la signature électronique. L’article précité exige que le procédé d’identification soit d’une part, fiable et d’autre part, il doit garantir le lien de la signature Électronique avec l’acte, lien qui en effet indispensable pour que la signature électronique joue pleinement sa fonction d’approbation du contenu de l’acte.

La fiabilité de ce procédé est présumée, jusqu’à preuve de contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, conformément à la législation et la réglementation en vigueur en la matière. L’article 417-3 dispose que « la fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve de contraire, lorsque ce procédé met en œuvre une signature électronique sécurisée ».

Pour qu’elle puisse être qualifiée de « sécurisée », la signature électronique doit remplir les conditions suivantes :
Elle doit être propre au signataire.
Elle doit être créée par des moyens que le signataire puisse garder sous son contrôle exclusif.

Elle doit garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure dudit acte soit détectable.
Elle doit être produite par un dispositif de création de signature électronique, attestée par un certificat de conformité.

Les données de vérification de la signature électronique sécurisée doivent être mentionnées dans le certificat électronique sécurisé prévu à l’article 10 de la présente loi.

Les caractéristiques du dispositif sécurisé de création de signature électronique auquel la loi fait allusion sont précisées au niveau de l’article 8 de la loi précitée qui dispose que « Le dispositif de création de signature électronique consiste en un matériel et/ou un logiciel destiné(s) à mettre en application les données de création de signature électronique, comportant les éléments distinctifs caractérisant le signataire, tels que la clé cryptographique privée, utilisée par lui pour créer une signature électronique ».

Ce dispositif doit en outre, conformément à l’article 9, satisfaire aux exigences ci-après :
a) Garantir par des moyens techniques et des procédures appropriées que les données de création de signature électronique ne peuvent être établies plus d’une fois et que leur confidentialité est assurée, ni être trouvées par déduction et que la signature électronique est protégée contre toute falsification et peuvent être protégées de manière satisfaisante par le signataire contre toute utilisation par des tiers.

  1. b) N’entraîner aucune altération ou modification du contenu de l’acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.

L’article 11 de la loi dispose que le certificat de conformité ne pourra être considéré comme sécurisé que s’il est délivré par un prestataire de services de certification électronique agréé par l’autorité nationale d’agrément et de surveillance de la certification électronique, à condition toutefois qu’il comporte un certain nombre de mentions informatives énumérées au paragraphe 2 du dit article.

2.2 Les prestataires de services de certification

Le certificat est un registre informatique revêtu d’une signature électronique qui identifie l’émetteur du certificat, identifie le souscripteur et donne sa clé publique. On peut le comparer à une carte d’identité électronique qui serait émise par un tiers indépendant et neutre qu’il s’agisse d’un organisme public ou privé. La signature électronique

   

correspondant à un certificat est considérée appartenir à la personne mentionnée dans le certificat.
C’est dans cette perspective, que la loi n°53-05 a institué, en vertu de l’article 15, l’autorité nationale d’agrément et de surveillance de la certification électronique. Cette dernière a pour mission:

De proposer au gouvernement les normes du système d’agrément et de prendre les mesures nécessaires à sa mise en oeuvre ;
D’agréer les prestataires de services de certification électronique et de contrôler leurs activités.

Pour exercer les activités liées à la certification électronique, il faut obligatoirement être agréé par l’Autorité Nationale d’Agrément et de Surveillance de la Certification Electronique. Pour y parvenir, le demandeur de l’agrément doit, en vertu de l’article 21 de la loi précitée, être constitué sous forme de société ayant son siège social sur le territoire du Royaume et :

  1. a) Remplir des conditions techniques garantissant :
    La fiabilité des services de certification électronique qui fournissent une sécurité technique et cryptographique des fonctions qu’assurent les systèmes et les moyens cryptographiques qu’il propose.
    La confidentialité des données de création de signature électronique fournit au signataire.
    La disponibilité d’un personnel ayant les qualifications nécessaires à la fourniture de services de certification électronique.
    La possibilité, pour la personne à qui le certificat électronique a été délivré, de révoquer, sans délai et avec certitude, ce certificat.
    La détermination, avec précision, de la date et l’heure de délivrance et de révocation d’un certificat électronique.
    L’existence d’un système de sécurité propre à prévenir la falsification des certificats électroniques et à s’assurer que les données de création de la signature électronique correspondent aux données de sa vérification lorsque sont fournies à la fois des données de création et des données de vérification de la signature électronique.

  

  1. b) Etre en mesure de conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s’avérer nécessaires pour faire la preuve en justice de la certification électronique, sous réserve que les systèmes de conservation des certificats électronique garantissent que :

L’introduction et la modification des données sont réservées aux seules personnes autorisées à cet effet par le prestataire
L’accès du public à un certificat électronique ne peut avoir lieu sans le consentement préalable du titulaire du certificat ;

Toute modification de nature à compromettre la sécurité du système peut être détectée ;

  1. c) L’engagement :
    De vérifier, d’une part, l’identité de la personne à laquelle un certificat électronique est délivré, en exigeant d’elle la présentation d’un document officiel d’identité pour s’assurer que la personne à la capacité légale de s’engager, d’autre part, la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette identité et de cette qualité.

De s’assurer au moment de la délivrance du certificat électronique que les informations qu’il contient sont exactes et que le signataire qui y est identifié détient les données de création de signature électronique correspondant aux données de vérification de signature électronique contenues dans le certificat.

D’informer, par écrit, la personne demandant la délivrance d’un certificat électronique préalablement à la conclusion d’un contrat de prestation de services de certification électronique des modalités et des conditions d’utilisation du certificat, de contestation et de règlement des litiges.

A fournir aux personnes qui se fondent sur un certificat électronique les éléments de l’information prévue au point précédent qui leur sont utiles.

D’informer les titulaires du certificat sécurisé au moins soixante (60) jours avant la date d’expiration de la validité de leur certificat, de l’échéance de celui-ci et les inviter à le renouveler ou à demander sa révocation.

De souscrire une assurance afin de couvrir les dommages résultant de leurs fautes Professionnelles.
De révoquer un certificat électronique, lorsqu’il s’avère qu’il a été délivré sur la base d’informations erronées ou falsifiées, que les informations contenues dans ledit certificat ne sont plus conformes à la réalité ou que la confidentialité des données afférentes à la création de signature a été violée. Les autorités judiciaires lui enjoignent d’informer immédiatement les titulaires des certificats sécurisés délivrés par lui de leur non-conformité aux dispositions de la présente loi et des textes pris pour son application.

La loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

Le développement technologique facilite l’utilisation des données à caractères personnel ce qui nécessite une protection des données des personnes physiques contre toute utilisation abusive. La vie personnelle des individus et leurs données personnelles sont exposées aux risques induits par le développement et à la prolifération des technologies de l’information et de l’internet auprès du grand public.

Le législateur marocain s’est inspiré de la célèbre loi française Informatique et Libertés, la loi n° 09-08 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel a été publiée au Bulletin Officiel n° 5744 du 18 Juin 2009, après avoir été promulguée par le Décret n° 2-09-165, en date du 21 mai 2009.

La loi introduit, pour la première fois, dans le paysage juridique marocain, un ensemble de dispositions légales harmonisées avec le droit européen et, notamment, avec la Directive Communautaire n° 95/46. Ainsi que, les clauses relatives aux objectifs, champ d’application et au référentiel du concept de protection des données personnelles, des

dispositions portant sur les conditions du traitement de cette catégorie de données, les droits de la personne concernée et obligations du responsable du traitement, et la création d’une commission de contrôle de la protection de cette catégorie de données.

En France, le législateur français a mis en place un
règlement no 2016/679, dit règlement général sur la protection des données (RGPD), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il a pour but de renforcer et unifier la protection des données pour les individus au sein de l’Union européenne. Le règlement a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions sont directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018.Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995 contrairement aux directives, les règlements n’impliquent pas que les États membres adoptent une loi de transposition pour être applicables. Parmi ces principaux objectifs du RGPD, la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement.

  1. La nature des données à protéger

La loi n° 09-08 s’applique au traitement de toutes les données qu’une personne pourrait considérer comme anonymes peuvent constituer des données à caractères personnels si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise, sous quelque forme que ce soit relatives à une personne physique identifiée ou identifiable. Le nom, prénom, adresse, courriel, photographie d’identité, numéro d’identification, empreintes digitales constituent par exemple des données à caractère personnel.

Inspirée de la loi française, la loi marocaine ne considère une adresse IP comme une donnée à caractère personnel, la cour d’appel de Paris a estimé que, contrairement à la position de la CNIL, Le relevé de l’adresse IP qui est une série de chiffres qui entre dans le constat de la

matérialité de l’infraction et non dans l’identification de son auteur, ne constitue en rien une donnée indirectement nominative.

Le traitement qui fait l’objet de la protection des données à caractère personnel concerne toute opération ou tout ensemble d’opérations portant sur des données à caractère personnel réalisés ou non par le biais de procédés automatisés. Il s’agit notamment de la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Les dispositions de la loi n°09-08 s’appliquent non seulement sur les entreprises et les citoyens établis sur le territoire marocain mais aussi toutes les entreprises étrangères qui entretiennent des relations d’affaires avec leurs homologues marocaines ou qui échangent des données avec leurs filiales ou leurs maisons mères marocaines, tout en utilisant des moyens situés sur le territoire marocain.

Toutefois, le champ d’application de cette loi exclut les données relatives à l’exercice d’activités personnelles ou ménagères, celles obtenues au service de la Défense nationale et de la Sûreté intérieure et extérieure de l’Etat, ou encore celles obtenue dans le cadre du traitement effectué en application d’une législation particulière.

  1. Les droits de la personne concernée :

Chaque traitement de données à caractère personnel, ou son transfert à des tiers, nécessite en principe, pour être effectué, le consentement indubitable de la personne concernée par ledit traitement ou ledit transfert. Toutefois, ledit consentement n’est pas requis dans certains cas, notamment pour le respect d’une obligation légale, la sauvegarde d’intérêts vitaux ou l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Les personnes physiques disposent au titre des articles 5 et suivants de la loi précitée de quatre types de droits :

2.1 Le droit à l’information

Le droit à l’information vise à informé les personnes concernées sur la collecte des données et l‘utilisation de leurs propres informations. Toute personne sollicitée en vue d’une collecte de ses données personnelles, doit être préalablement informée par le responsable du traitement de celles-ci ou son représentant d’un certain nombre d’éléments dont principalement les finalités du traitement auquel les données sont destinées. Ce droit est essentiel car il conditionne l’exercice des autres droits tels que le droit d’accès ou le droit d’opposition.

2.2 Le droit d’accès

La loi 09-08 précitée donne le droit à la personne concernée d’être au courant de la compilation de ses données et d’y avoir accès pour s’assurer de leur véracité et si elles font l’objet d’un usage sain. L’accès peut se faire à intervalles raisonnables sans qu’il y ait d’entrave à ce droit, c’est-à-dire sans que la procédure d’accès soit trop lourde.

2.3 Le droit de rectification

Le droit de rectification constitue un complément essentiel du droit d’accès, les personnes concernées peuvent obtenir l’actualisation, la rectification, l’effacement ou le verrouillage des données personnelles collectées. Le droit de rectification offre la possibilité de rectifier des informations inexactes ou incomplètes, afin d’éviter qu’un organisme ne traite ou ne diffuse de fausses informations.

2.4 Le droit d’opposition :

Le droit d’opposition tel que reconnu à l’article 9 de la loi 09-08, permet à toute personne dont les données à caractère personnel font l’objet d’un traitement de s’opposer sans frais. Ainsi toute personne peut refuser, sans avoir à se justifier, que les données la concernant soient utilisées à des fins de prospection, notamment commerciale.

2.5 L’interdiction de la prospection commerciale :

L’article 10 de la dite loi, interdit la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique… qui

   

utilise les coordonnées d’une personne qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. Il est également interdit de dissimuler l’identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec la prestation ou le service proposé.

Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui à l’occasion d’une vente ou d’une prestation de services. Autre mesure apportée par la nouvelle loi, les abonnés peuvent dorénavant s’opposer à ce que des données les concernant fassent l’objet d’un traitement ou soient utilisées à des fins de prospection, notamment commerciales. La possibilité d’opposition doit être proposée de manière expresse et dénuée d’ambiguïté et doit pouvoir s’effectuer sans frais supplémentaires pour la personne.

2.6 La neutralité des effets :

Le principe de neutralité des effets posé par les dispositions de l’article 11 de la loi 09-08 a pour vocation d’interdire l’utilisation du traitement des données personnelles pour fonder une décision de justice ou tout autre décision ayant des effets juridiques.

Toutefois, ce principe ne s’applique pas lorsque les décisions sont prises dans le cadre de la conclusion ou de l’exécution d’un contrat et pour lesquelles, les personnes la personne concernée a été mises à même de présenter ses observations.

  1. Les obligations du responsable du traitement

La loi n°09-08 définit le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires, le responsable du traitement doit être indiqué dans la loi d’organisation et de fonctionnement ou dans le statut de l’entité

 

légalement ou statutairement compétente pour traiter les données à caractère personnel en cause ».
Le responsable de traitement est tenu par des obligations de confidentialité et de sécurité des traitements et de secret professionnel selon la nature des informations collectées :

Une autorisation préalable
Une déclaration préalable de la part de la Commission de contrôle de la protection des données à caractère personnel.

3.1 Le consentement :
le consentement préalable n’est pas exigé si le traitement est nécessaire

au respect d’une obligation légale à laquelle est soumise la personne concerné ou le responsable du traitement, à l’exécution du contrat auquel la personne est partie, à la sauvegarde d’intérêts vitaux de la personne concernée, à l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées, et à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire sous réserve de ne pas méconnaître l’intérêt ou les droits fondamentaux de la personne concernée.

3.2 Autorisation préalable :

En vertu des dispositions de l’article 12 de la loi 09-08, les responsables du traitement sont soumis à une autorisation préalable de la personne concernée lorsque les traitements concernent les données sensibles visées à l’alinéa 3 de l’article premier. La loi entend par « données sensibles », « les données à caractère personnel qui révèlent l’origine racial ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données relatives à la santé de la personne concernée ».

Les utilisations de ces informations doivent être soumises à autorisation préalable les données utilisées à d’autres fins que celles pour lesquelles elles ont été collectées, les données relatives aux infractions, condamnations ou mesures de sûreté, de même que les données comportant le numéro de la carte d’identité nationale de la personne

 

concernée. Rappelons cependant, que conformément à l’alinéa 1 de l’article 12, des exemptions de déclaration sont parfois possibles pour les associations ou tout autre groupement à but non lucratif et à caractère religieux, philosophique, politique, syndical, culturel ou sportif. Tout comme pour la déclaration préalable, le défaut de l’autorisation préalable est sanctionné par l’article 52 de la loi précitée.

L’article 22 de la loi 09-08 impose aux responsables du traitement une déclaration à la Commission Nationale lorsqu’il s’agit d’un traitement de données relatives à la santé lorsqu’il est effectué par un praticien de la santé tenu du secret professionnel ou par toute autre personne soumise également à une obligation de secret.

3.3 Déclaration préalable

Les responsables de traitement sont tenus en vertu des dispositions de l’article 13 de la loi 09-08 de déposer leur engagement relatif au traitement des données conformément aux prescriptions de la présente loi auprès de la Commission Nationale.

Cette obligation doit être exécutée préalablement à la mise en œuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées.

La déclaration préalable doit comporter les éléments suivants :
–le nom et adresse du responsable du traitement, et le cas échéant, de son représentant
–la dénomination, les caractéristiques et la ou les finalités du traitement envisagé
–une description de la ou des catégories de personnes concernées et des données ou des catégories de données à caractère personnel s’y rapportant
–les destinataires, ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées
–les transferts de données envisagés à destination d’Etats étrangers
–la durée de conservation des données
–le service auprès duquel la personne concernée pourra exercer le cas échéant, les droits qui lui sont reconnus par les dispositions de la

présente loi, ainsi que les mesures prises pour faciliter l’exercice de ceux-ci.
–une description générale permettant d’apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la confidentialité et la sécurité du traitement en application des dispositions des articles 23 et 24.

–les recoupements, les interconnexions, ou toutes autres formes de rapprochement des données ainsi que leur cession, sous-traitance, sous toute forme, à des tiers à titre gratuit ou onéreux.

Toute modification ou suppression de l’un quelconque des éléments

susvisés doit être communiquée, sans délai, à la connaissance de la Commission.
Dans le cas de cession d’un fichier de données, le cessionnaire doit remplir les formalités de déclaration prévues par la présente loi. Les modalités de la déclaration sont fixées par voie réglementaire.

3.4 Obligation de confidentialité et de sécurité des traitements et de secret professionnel
En vertu des dispositions de l’article 23 de la loi 09-08, le responsable du traitement est tenu de mettre en œuvre toutes les mesures techniques et organisationnelles pour protéger les données à caractère personnel, afin d’empêcher qu’elles soient endommagées, modifiées, ou utilisées par un tiers non autorisé à y accéder, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute forme de traitement illicite.

Le dit article prévoit pour le responsable de traitement qui effectue des traitements pour son compte de choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer tout en veillant au respect de ces mesures.

Tout traitement de données personnelles doit donner lieu à une déclaration préalable auprès de la commission nationale sauf si la loi en dispose autrement conformément à l’article 18.

 

La déclaration préalable comporte l’engagement que le traitement sera effectué conformément aux dispositions de loi. La dite déclaration a pour objet de permettre à la commission nationale d’exercer les compétences qui lui sont dévolues et de contrôler le respect des dispositions de la loi. Le défaut de déclaration est sanctionné par l’article 52 de la loi précitée.

Le principe de finalité constitue un élément majeur « les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Dés lors un traitement de données à caractère personnel est créé pour atteindre un objectif et ne pas servir à d’autres fins.

Exemple : la SNCF en France qui avait déclaré comme finalité du fichier Socrate la délivrance de titres de transport a commis un détournement de finalité en utilisant ses fonctionnalités pour vérifier l’activité d’un personnel.

3.5 Les sanctions :
Le législateur a mis en place sanctions allant de simples amendes à des peines d’emprisonnement ont été mises en place pour assurer le respect des nouvelles dispositions. Ainsi toute personne qui commet une des infractions prévues par le chapitre VII de la loi, voit sa responsabilité pénale engagée, peut être exposée à des amendes ou à des peines d’emprisonnement, et ce en fonction de la gravité de l’infraction. De la sorte, le défaut du consentement est puni par l’article 56 de la loi 09-08 qui prévoit un emprisonnement de trois mois à un an et/ou d’une amende de 20.000 à 200.000 DH.

Le législateur est bien plus sévère concernant le défaut de consentement qui porte sur le traitement des données à caractère personnel faisant apparaître les origines raciales ou ethniques, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données relatives à la santé de la personne concernée. Il prévoit une amende de 50.000 à 300.000 DH et/ou un emprisonnement de six mois à deux ans, à toute personne qui procède au traitement de ces données sans le consentement de la personne concernée. Les mêmes

peines sont prévues pour le défaut de consentement concernant les infractions, les condamnations ou les mesures de sûreté.

Quant à l’autorisation et la déclaration préalable, L’article 52 de la loi prévoit une amende de 10.000 à 100.000 DH lorsqu’elles font défaut.

Concernant le droit d’accès, de rectification et d’opposition, l’article 53 de la loi prévoit une amende de 20.000 à 200.000 DH pour tout responsable de traitement de données à caractère personnel qui refuse un de ces droits à la personne à la quelle ils sont reconnus et d’un emprisonnement de trois mois à un an, pour toute personne qui ignore le droit d’opposition exercé par la personne concernée, et utilise les données la concernant à des fins de prospection.

Lorsqu’une collecte des données à caractère personnel est effectué par un moyen frauduleux, déloyal ou illicite, elle expose son auteur à un emprisonnement de trois mois à un an et /ou d’une amende de 20.000 à 200.000 DH. Cette même sanction est prévue pour toute personne qui met en œuvre un traitement à des fins autres que celles déclarées ou autorisées.

Enfin, L’article 64 de la loi 09-08 dispose que lorsque l’auteur de l’infraction est une personne morale, les peines sont portées au double. La personne morale peut être punie de l’une des peines suivantes :
– la confiscation partielle de ses biens,
– la confiscation prévue à l’article 89 du code pénal,
– la fermeture du ou des établissements de la personne morale où l’infraction a été commise.

Le cas de récidive est prévu par l’article 65 de la loi, qui prévoit que les sanctions sont portées au double lorsque l’auteur des infractions est récidiviste dans l’année qui suit la décision de la sanction.

Le législateur présente le projet n° 67-13 du code du numérique qui

prend en compte les acquis du Maroc dans le domaine des technologies de l’information et de la confiance numérique, dans la mesure où il

complète les dispositions existantes afin de créer un ensemble de nouvelles dispositions rédigées de manière à assurer leur pérennité et leur adéquation.

La lutte contre la cybercriminalité dans la pratique

Les difficultés que rencontrent les différents organismes institutionnels

Dans la lutte contre la cybercriminalité, plusieurs acteurs sont impliqués dans les différentes phases de l’infraction.
Cela commence par la veille et le signalement pour ensuite passer par l’enquête et l’instruction pour enfin arriver au procès et à l’application de la peine en cas de condamnation.

Et durant toutes ces étapes on constate des lacunes et des difficultés pour chaque acteur dans l’accomplissement de leur mission.
Suite au programme « confiance numérique » de la stratégie Maroc Numérique de 2013 des structures organisationnelles ont été mises en place pour remédier au manque de service dédié notamment dans la veille et le signalement,

On peut citer par exemple :
-Le Comité de la Sécurité des Systèmes d’Information (SSI) chargé d’élaborer la politique relative a la protection des infrastructures critiques du royaume.
-L’organisme ma-CERT (Centre marocain d’alerte et de gestion des incidents informatiques) chargé de la veille technologique en matière de sécurité et de coordonner les réponses aux incidents de sécurisé des systèmes d’information et il sera disposé d’un service d’alertes et de signalement
-L’organisme de tiers de confiance c.-à-d. l’autorité Nationale d’Agrément et de Surveillance de la Certification Electronique qui s’occupe de la certification électronique mise en place par la loi 53-05 -La commission Nationale de Protection des Données Personnelles (CNDP) chargée veiller a la mise en œuvre des dispositions de la loi 09-08 et qui dispose de pouvoirs d’investigation, de contrôle et d’intervention.

-Les sites de back-up pour assurer la continuité des services en cas de panne, c’est une solution de secours.

Outre ces institutions, le programme se concentre aussi sur la promotion d’une culture de sécurité et la sensibilisation du public dans un but préventif car la plupart des infractions informatiques exploitent la naïveté ou la méconnaissance par la victime des bases de la sécurité informatique.

Pour ce qui est de l’enquête et de l’instruction, plusieurs problèmes liés a la nature de l’infraction informatique se posent :

– Des problèmes liés a sa nature intangible et virtuelle :

on constate que certaines dispositions de la procédure pénale sont inadaptés pour faire face a l’infraction informatique, il en va ainsi de l’article 57 du CPP qui prévoit l’obligation pour l’officier de police judiciaire d’aller a la scène de crime or l’infraction informatique étant virtuelle il n’y a pas de scène de crime physique surtout que l’infraction peut être programmé pour être commise a une certaine date et a partir d’un certain lieu : c’est l’exemple des PC zombies.

De plus l’article 108 a limité les conditions d’interception des communications par la police judiciaire « Le procureur général du Roi peut également, si les nécessités de l’enquête l’exigent, requérir par écrit, du premier président de la Cour d’appel, d’ordonner l’interception des appels téléphoniques ou des communications effectués par les moyens de communication à distance, de les enregistrer et d’en prendre copies ou de les saisir, lorsque l’infraction objet de l’enquête porte atteinte à la sûreté de l’Etat, lorsqu’il s’agit d’une infraction de terrorisme ou lorsqu’elle est relative aux associations de malfaiteurs, à l’homicide, à l’empoisonnement, à l’enlèvement des personnes et à la prise d’otages, à la contrefaçon ou à la falsification de la monnaie ou des effets de crédit public, aux stupéfiants et aux substances psychotropes, aux armes, munitions et explosifs ou à la protection de la santé. » et donc les infractions de la loi 07-03 sont exclu du champs d’application de cette disposition ce qui est dommage tant la recherche de la preuve en matière de cybercriminalité. Mais d’un autre coté, on comprend que le risque sur les libertés individuelles explique le cadre limitatif de ces infractions dans le respect de l’article 24 de la constitution de 2011.elles servent a

 

-Des problèmes liés a sa nature transnationale:

Il faut rappeler qu’entre 30% à 70% des infractions informatiques ont un caractère transnationale ce qui sous-entend que le cyber délinquant est hors des frontières du Maroc ce qui pose le problème de l’application du principe de territorialité de la loi pénale et de la compétence des tribunaux marocains pour juger ces infractions.

Le principe de territorialité de la loi pénale trouve son fondement dans l’article 10 du code pénal : « Sont soumis à la loi pénale marocaine, tous ceux qui, nationaux, étrangers ou apatrides, se trouvent sur le territoire du Royaume, sauf les exceptions établies par le droit public interne ou le droit international. » et dans l’article 748 du code de procédure pénale qui vient préciser que « …L’accomplissement au Maroc du fait principal est attributif de compétence aux juridictions du royaume même lorsque certains des éléments constitutifs ont été réalisés en pays étranger et quelle que soit la nationalité des coauteurs. » donc l’élément déterminant est le fait principal (qui doit être commis au Maroc) peut importe les éléments constitutifs ce qui n’est pas le cas dans la législation française dont les dispositions de l’article 113-1 du code pénal rendent la loi française applicable aux infractions commises sur le territoire de la République de même qu’aux infractions dont un élément constitutif a eu lieu sur ce territoire et qui sont, dès lors, réputées commises sur le territoire de la République.

La localisation de l’atteinte à la victime comme résultat de l’infraction commise peut ainsi, en application de ces dispositions, déterminer l’application de la loi pénale française.
Dans cet esprit, la cour de cassation avait précisé que, s’agissant

des infractions commises au moyen d’un réseau de communication électronique, la loi française est d’application lorsque le site exploité à des fins frauduleuses est orienté vers le public français (Crim. 14 décembre 2010, n° 10-80.088 : D., 2011, p. 1055).

La loi du 3 juin 2016, renforçant la lutte contre le crime organisé, étend encore les conditions territoriales d’application de la loi pénale française avec l’introduction dans le code pénal d’un nouvel article 113-2-1 qui prévoit que tout crime ou délit réalisé au moyen d’un réseau de communication électronique, lorsqu’il est tenté ou commis au préjudice d’une personne physique résidant sur le territoire de la République ou d’une personne morale dont le siège se situe sur le territoire de la République, est réputé commis sur le territoire de la République.
Si en France la question de la territorialité de l’infraction informatique a été réglée, au Maroc il faut s’en remettre aux exceptions de l’article 12 du code pénal : « La loi pénale marocaine s’applique aux infractions commises hors du Royaume lorsqu’elles relèvent de la compétence des juridictions répressives marocaines en vertu des dispositions des articles 751 à 756 du code de procédure pénale » ainsi le marocain qui a commis une infraction hors du royaume peut être poursuivie et jugé au Maroc dans les conditions de l’article 752 (faut que l’infraction existe dans le pays ou il l’a commise et si la victime est un particulier il faut qu’il y ait plainte personne lésée ou d’une dénonciation des autorités du pays où ledit délit a été commis) et l’article 751 (la poursuite ou le jugement ne peut avoir lieu que définitivement jugé à l’étranger et, en cas de condamnation, avoir subi ou prescrit sa peine ou obtenu sa grâce)

Concernant l’étranger qui a commis une infraction hors du royaume, il ne peut être poursuivi et jugé au Maroc (s’il est arrêté au Maroc ou si le Gouvernement obtient son extradition) que pour les infractions suivantes : crime contre la sûreté de l’Etat marocain ou contrefaçon de monnaie ou de billets de banque nationaux ayant cours légal au Maroc et depuis la loi 86-14 les crimes terroristes.

La convention de Budapest a essayé de régler ce problème de compétence a travers son article 22 « Lorsque plusieurs Parties revendiquent une compétence à l’égard d’une infraction présumée visée dans la présente Convention, les Parties concernées se concertent, lorsque cela est opportun, afin de décider quelle est celle qui est la mieux à même d’exercer les poursuites. » en privilégiant la concertation.

– Au niveau de l’extradition

Le Maroc a signé beaucoup de conventions dont notamment la convention de Budapest (dont l’article 24 est consacré al’extradition) la convention des nations unies contre la criminalité transnationale organisée (dont l’article 16 est consacré a l’extradition) et la convention régionale Riad al Arabi pour l’entraide judiciaire de 1983.
Et plusieurs traités bilatéraux d’entraide judiciaire (avec 7 pays arabes et 13 internationaux) selon les données du ministère de la justice.
Donc 20 traités bilatéraux ce qui est insuffisant pour lutter concrètement contre la cybercriminalité qui touche tous les pays du monde.

Mais le vrai problème de ces conventions et traités réside dans le champs d’application et les conditions restrictifs de l’extradition qui est délimitée aux infractions punissables dans la législation des deux Parties concernées par une peine privative de liberté pour une période maximale d’au moins un an, ou par une peine plus sévère (article 24 alinéa 1 de la convention de Budapest…) ce qui exclue certaines infractions de la loi 07-03 (par ex l’accès frauduleux au STAD prévu dans l’article 607-3)

En plus des problèmes de la demande d’extradition quand l’infraction commise n’est pas sanctionnée dans le droit étranger ou se trouve le délinquant, normalement l’article 719 du code de procédure pénale répond a cette question « Tout fait qualifié délit tant par la loi marocaine que par la législation du pays où il a été commis, peut être poursuivi et jugé au Maroc, lorsque son auteur est un Marocain. » et par l’article 16 alinéa 1 de la convention des nations unies contre la criminalité transnationale organisée

Dans c’est cas la tout dépend du traité bilatéral conclu entre les 2 pays : ils peuvent l’exclure comme c’est le cas entre le Maroc et les émirats arabes unis ou l’accepter comme avec sultanat d’Oman.
ce qui incite les cyber délinquant a chercher des SAFE HAVEN c.-à-d. des pays qui ne sanctionne pas les infractions qu’il est entrain de commettre.

Autre problème quand il y a plusieurs demande d’extradition pour la même infraction art 724 CPP (la priorité revient au pays qui a subit les dommages de l’infraction ou a celui ou a été commise l’infraction ) ou alors le même délinquant mais plusieurs infractions dans ce cas il est commun de l’extrader dans le pays de l’infraction la plus grave.

– Au niveau de l’enquête et de l’instruction

La convention de Budapest consacre son article 25 aux principes généraux relatifs à l’entraide elle vise l’entraide la plus large possible aux fins d’investigations ou de procédures concernant les infractions pénales liées à des systèmes et des données informatiques ou afin de recueillir les preuves sous forme électronique d’une infraction pénale Cela concerne notamment l’échange d’informations entre les différents pays.

En plus de la commission rogatoire internationale qui est un outil mise a la disposition du juge d’instruction et prévue dans les articles 714 et 715 du code de procédure pénale.
Mais globalement cette partie de la procédure (l’instruction) est le parent pauvre de la convention de Budapest qui s’est surtout concentrée sur la définition des infractions mais a oublié le coté procédural.

Plusieurs problèmes se posent dans la phase de l’enquête notamment le manque de communication entre les pays car la coopération suppose que tous les pays (sans exceptions) participent avec la même volonté mais il se trouve que beaucoup de pays signent la convention (de Budapest) puis disent qu’ils n’ont pas les moyens de mettre en place les outils d’entraide.

et au final c’est les délinquants qui en bénéficient puisqu’ il n’y a pas d’effectivité dans cette prétendue coopération.
L’autre problème concerne les différences entre les régimes juridiques en matière de procédure pénale et de preuve ainsi un moyen de preuve dans un pays peut être irrecevable dans la législation de l’autre.

Il peut ne pas exister de la même manière ou dans la même définition dans l’une des 2 législations c’est le cas par exemple des dispositions sur l’infiltration.

Le difficile rôle du juge dans la qualification de l’infraction informatique

Il est important de rappeler qu’avant la loi 07-03 les juges avaient du mal a qualifier ce type d’infraction : certains essayaient d’appliquer les règles du droit commun (vol, escroquerie…) et certains considéraient ces infractions comme indépendantes et donc elles échappaient a toute sanction. C’est le cas par exemple d’une décision du TPI de Casablanca du 13 novembre 1985 ou les juges avaient considéré l’infraction informatique comme étant un vol d’énergie électrique au sens de l’article 521 du code pénal mais les juges de la cour d’appel ont contredit cela pour motif que la qualification ne correspondait pas au fait reproché (arrêt du 2/12/1985)

La promulgation (tardive) de la loi 07-03 a confirmé donc cette tendance d’autonomie de l’infraction informatique sur le droit pénal commun mais au lieu de faciliter les choses pour les juges, elle a démarré une série de revirements jurisprudentiels et de confusions.

La principale confusion relevait de la définition du système de traitement automatisé des données et de son champs de domaine puisque l’infraction majeure en cybercriminalité est l’accès frauduleux au système de traitement automatisé des données puisque c’est cette infraction qui ouvre la porte aux autres (faux et usage de faux, usurpation d’identité…).
Ainsi on a vu beaucoup de jurisprudences contradictoires notamment sur le fait de considérer la boite mail comme un système de traitement automatisé des données ce qui ne fut pas le cas jusqu’à un arrêt de la cour d’appel de Rabat du 1/3/2010.
Même chose pour le téléphone considéré comme un système de traitement automatisé des données dans une décision tribunal de première instance de Rabat de 2013 et de la carte bancaire décision du 27/5/2016 TPI rabat.

Pour ce qui est des réseaux sociaux (Facebook, Twitter…) avant ils n’étaient pas considéré comme des systèmes de traitement automatisé des données mais depuis la décision du TPI de rabat du 3/3/2016 ils le sont (du moins pour Facebook).

Les balbutiements judiciaires montrent à quel point il est difficile pour le juge pénal de qualifier les infractions et de déterminer leurs éléments constitutifs quand il est limité par le principe d’interprétation stricte de la loi pénale, il ne peut procéder par analogie comme le juge civil et toute initiative d’interprétation de sa part peut avoir de grande conséquences.

Par exemple l’infraction de vol qui a été étendue au vol de données par la jurisprudence française dans le célèbre arrêt Bluetouftsachant que le vol est une soustraction (article 505 du code pénal) alors qu’en matière informatique il n’y a pas de soustraction mais juste une copie vue que le fichier initiale reste dans le disque dur de la victime, en faisant cela, le juge français n’a pas mesurer l’étendue de sa décision (faut-il considérer le fait par exemple de photocopier un document dont on laisse l’original chez son propriétaire comme un vol…)

Toujours dans l’exemple de vol, comment qualifier la pratique du cryptojacking qui n’est pas un vol d’énergie mais de la capacité du processeur de l’appareil ciblé (qui mine a l’insu de son propriétaire de la monnaie virtuelle pour le compte du hacker) comment qualifier le vol d’objet virtuel dans un jeu….

Autre problème : la faible compétence technique des juges marocains qui se ressent dans certaines décisions de justice c’est l’exemple du Typosquatting considéré comme un accès frauduleux au système de traitement automatisé des données justifiant l’application des peines prévues par l’article 607-3 du code pénal alors qu’en vérité il n’y a jamais eu d’accès frauduleux juste copie de l’aspect extérieur du site d’attijariwafabank en vue de tromper les utilisateurs pour qu’ils donnent leurs vrais informations bancaires donc c’est une escroquerie et du phishing simple (jugement de la chambre pénale du TPI de Casablanca du 17/07/2007)

Cela peut expliquer que dans certaines décisions il n’est même pas préciser comment et par quels moyens il y a eu accès frauduleux au système de traitement automatisé des données comme dans une décision

du tribunal de première instance de Kenitra du 18/5/2009 (pas publiée) qui montre une certaine résignation des juges face a la complexité des affaires.
Et c’est pour répondre à ce problème que l’institut supérieur de la magistrature de Rabat en collaboration avec le conseil de l’Europe dans le cadre du projet CyberSud organisent régulièrement des formations avancées en matière de cybercriminalité et de preuve électronique.

C) L’attente de nouvelles dispositions législatives

La ratification par le Maroc de la convention de Budapest a poussé le législateur a mettre a jour son dispositif juridique.
ainsi on a pu voir un certains nombre de lois et de décrets qui ont succéder aux lois qu’on a vu un peu plutôt par exemple le décret relatif à l’interconnexion des réseaux de télécommunications promulgué en 1997, le décret relatif aux conditions générales d’exploitation des réseaux publics de Télécommunications de 1998, la loi 77-03 relative à la communication audiovisuelle du 7 janvier 2005 et enfin la loi 34-05 modifiant et complétant la loi 2-00 relative aux droits d’auteur et droits voisins.

Mais l’évolution rapide de la cybercriminalité et l’apparition constante de nouvelles formes d’infractions informatiques ne veut pas dire que le législateur est impuissant, ce dernier a le devoir de prendre des mesures pour endiguer certains phénomènes d’autant plus qu’il doit agir rapidement au vu des délais de promulgation des lois au Maroc qui sont relativement lents.

La première de ces mesures pourrait être simplement de regrouper les dispositions pénales dispersées entre les différentes lois et former une véritable loi sur la cybercriminalité (ce que ne faisait pas le projet de code du numérique retiré depuis du secrétariat du gouvernement par le nouveau gouvernement)

D’autres mesures sont encore attendues comme des dispositions incriminants l’interception illicite de données pour mettre un terme aux pratiques du sniffing et limiter les pratiques du webscrapping et du datascrapping qui flirtent avec l’illégalité.

Le cybersquatting et le typosquatting devraient quant a eux avoir droit a une loi distincte avec une définition juridique bien précise pour éviter les amalgames et erreurs de qualification par les juges comme l’ont exprimé les élus français au parlement dans une proposition de loi du 18 octobre 2018.
Pour rester sur le dispositif juridique français en matière de cybercriminalité dont le Maroc s’est inspiré, il serait judicieux de signaler que la loi Godfrain a subit plusieurs reformes et amendements : plusieurs articles ont été modifiés dont notamment l’article 323-3-1 (l’équivalent de l’article 607-10 du code pénal marocain) qui incrimine maintenant le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une infraction contre les systèmes de traitement automatisé des données.

Avec cet article, la loi vient encadrer l’usage des programmes et outils informatiques destinés au hacking en les réservant aux chercheurs, aux professionnels de la cyber sécurité mais aussi aux lanceurs d’alertes (suite a plusieurs condamnations de journalistes spécialisés qui ont exposé des failles informatiques)

Autre loi fortement attendue : la loi sur le cyber harcèlement (on ne parle pas d’harcèlement sexuel mais de comportements répétés ayant pour objet ou pour effet une dégradation des conditions de vie de la victime) qui devient de plus en plus nécessaire avec les réseaux sociaux qui facilitent ce phénomène.

A noter que plusieurs législations ont comblé ce vide juridique comme en France à travers la loi 2014-873 du 04 août 2014 qui a modifié le code pénal, la Malaisie, le japon ou la nouvelle Zélande a travers l’anti- cyberstalkingact…

Conclusion

Pour conclure, le législateur a mis en place les bases juridiques de la lutte contre la cybercriminalité à travers différentes lois et cela pour répondre aux incitations de la convention de Budapest.
Reste qu’il a freiné dans son élan alors que la scène criminelle a évolué faisant naitre de nouvelles infractions informatiques.

En faisant cela, la tache devient encore plus difficile pour le juge qui est censé qualifier ces infractions et pour les acteurs chargés de veiller et d’enquêter.
Mais le législateur n’est pas seul responsable puisque le défi se situe aussi au niveau de l’applicabilité des textes de lois qui reste tributaire de la coopération internationale entre les différents services internationaux et cette coopération dépend malheureusement de l’état des relations politiques et diplomatiques entre ces différents pays.

Bibliographie Ouvrages

-BENSLIMANE Abdeslam, la criminalité informatique en droit marocain, Rabat, Dar Al Amane, 2017 (en arabe)
-EL AZZOUZI Ali, la cybercriminalité au Maroc, Casablanca, Bishops Solutions, 2010

-FARIH Omar, Cadre conceptuel et théorique de la cybercriminalité -GHERNAOUTI-HELIE Solange, La cybercriminalité le visible et l’invisible, Presses polytechniques et universitaires romandes, 2009 -OUZGANE Mohammed, La criminalité internationale au regard du droit pénal marocain, Rabat, imp Cana Print, 2005

Textes de loi

-Le code pénal marocain
-la convention de Budapest sur la cybercriminalité -Le code pénal français

-La loi 07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données.
-La loi 53-05 relative à l’échange électronique de données juridiques.

-La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel
-Projet de loi 67-13 formant code du numérique

Jurisprudence

-Marocaine
– TPI de Casablanca (chambre pénale) 17/07/2007 N°4053/07 source : cabinet Bassamat et associée
– TPI de Casablanca du 13 novembre 1985 N°4/6324
– CA de Rabat du 1/3/2010 (dossier 19/2010/751 publié dans la revue de la cour d’appel de rabat n°2 2012 page 230)
– TPI Rabat du 18/6/2013 décision n°903 dossier 13/2105/850 (non publiée)

-Française
– Cass.crim., n°07-84.002, 4 mars 2008, X/ Société Graphibus
– CA. Paris(4 décembre 1992)
– CA. Paris, 5 avril 1994, (Les Petites Affiches), n°80, p.13. obsAlvarez. – CA Toulouse 21 janvier 1999, Juris-Data n°040054.
– Cass.Crim du 20 mai 2015 Affaire ANSES/Olivier X.

Articles

-http://www.cmrpi.ma/cnlcc-2016/CNLCC2016.html -https://www.legavox.fr/blog/fouad-benseghir/cybercriminalite/ type.php?id_theme=5030
-www.anti-cybercriminalite.fr. -http://www.vie-publique.fr/documents-vp/cybercriminalite.pdf -https://www.village-justice.com/articles/Affaire-ANSES-Olivier-sur- open,20159.html

-http://www.leseco.ma/maroc/64790-le-maroc-beneficie-de- cybersud.html
-https://www.maghress.com/fr/albayane/156531 -https://lematin.ma/journal/2013/Lutte-contre-la-cybercriminalite_Le- cadre-juridique-renforce/177451.html -https://www.h24info.ma/actu/societe/cyber-harcelement-mal-se-met- digital/ -https://www.leconomiste.com/article/914058-le-code-num-rique-avort -https://www.medias24.com/MAROC/Quoi-de-neuf/186292-Une- formation-en-matiere-de-cybercriminalite-et-de-preuve-electronique- destinee-aux-magistrats-marocains.html -https://www.securitecloud.com/juridique/laffaire-bluetouff-decryptee- par-un-expert-judiciaire/


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *