Le droit pénal et l’éthique à l’épreuve de la cybercriminalité

(1)

88

Criminal law and ethics put to the test of cybercrime Le droit pénal et l’éthique à l’épreuve de la cybercriminalité

Mohamed Karim MISSAOUI ¹, Abdelaziz ELHILA²

1Doctorant, Université Mohammed V, Rabat k.missaoui90@gmail.com

2Enseignant chercheur, Université Mohammed V, Rabat abdelaziz.elhila@um5.ac.ma

ABSTRACT:Cybercrime has given rise to new behaviors which cannot be sanctioned by the offenses of the traditional penal code, and the judge cannot incriminate facts not qualified by the law. Of course, several legal texts criminalizing computer offenses exist, but for certain offenses, the principle of the legality of offenses and penalties and its corollary, the strict interpretation of criminal law, are flouted. The purpose of this article is to deal with the following problem: How to fight against cybercrime but in an ethical way? In other words, how can we reconcile security imperatives while respecting individual freedoms?

KEYWORDS: cybercrime; cybersecurity; principles; law; ethics.

RÉSUMÉ: La cybercriminalité a fait naître de nouveaux comportements qui ne peuvent être sanctionnés par les infractions du code pénal traditionnel et le juge ne peut incriminer des faits non qualifiés par la loi. Certes, plusieurs textes juridiques incriminant les infractions informatiques existent mais pour certaines infractions, le principe de la légalité des délits et des peines et son corollaire, l’interprétation stricte de la loi pénale, se trouvent bafoués.

Cet article a pour objet de traiter de la problématique suivante : Comment lutter contre la cybercriminalité mais de façon éthique ? En d’autres termes, comment concilier les impératifs sécuritaires tout en respectant les libertés individuelles ?

MOTS-CLEFS:Cybercriminalité; cybersécurité; principes; loi; éthique.

Introduction

Le droit pénal marocain obéit à des principes précieux qui constituent son fondement. Parmi eux, il y a le principe de la légalité criminelle et l’interprétation stricte de la loi pénale.

Cependant, ces principes essentiels sont battus en brèche par le fléau de la cybercriminalité qui ne peut en aucun cas être influencée par ces derniers. Aujourd’hui, ces principes ne suffisent plus.

Aussi, la pandémie du coronavirus a accentué les délits et crimes informatiques. Plus de 13,4 millions d’attaques ont été enregistrées entre avril et juin 2020¹.En effet, les contraintes de travail à distance ont obligé les entreprises privées et les autres administrations à multiplier leurs outils informatiques, ce qui a engendré plusieurs attaques².

Conscient de l’importance que revêt la question du fléau de la cybercriminalité, et afin de sécuriser les systèmes d’information, la sécurité des réseaux et celle des données d’une manière générale, le législateur marocain a mis en place, à travers la nouvelle loi 05-20

1Bulletin trimestriel de Kaspersky 2020 disponible sur http://khabar.one/news/1795560/Bulletin-trimestriel-de- Kaspersky-sur-le-Maroc-:-Plus-de-13,4-millions-cyberattaques-entre-avril-et-juin-2020

2 Toujours selon Kaspersky, plus de 3.622.644 incidents liés à des logiciels malveillants téléchargés depuis Internet ont été détectés entre avril et juin 2020. Au total, 27,6% des utilisateurs de Kaspersky Security Network ont été victimes au cours de cette période de menaces véhiculées par le Web.

Pendant le second trimestre 2020, les solutions de Kaspersky ont détecté 9.841.879 incidents de logiciels malveillants en local sur les ordinateurs utilisant Kaspersky Security Network au Maroc

(2)

89 relative à la cybersécurité³, un ensemble de mesures que les entités doivent suivre afin de protéger au maximum leurs systèmes et les données qui y figurent, et ainsi, participer à la lutte contre les cybermenaces, ou du moins les limiter. Sans oublier que le législateur a donné dans la loi une place importante à l’éthique⁴.

Internet constitue un véritable outil de développement et en même temps, « il soulève plusieurs problèmes éthiques tels que ceux reliés au renforcement des inégalités, à l'intrusion de contenus illicites, aux coûts prohibitifs, aux contraintes sociotechniques d'utilisation, aux choix politiques et à l'organisation économique »⁵.

En somme, le respect des principes de droit pénal et l’éthique sont la clé de voûte pour une cybersécurité efficace et qui permettra aux entreprises et aux personnes de lutter efficacement contre les cybermenaces, ou du moins les prévenir.

Tout l’intérêt revient donc à instaurer un véritable modèle éthique de responsabilité⁶, Il s’agit donc d’exposer dans une première partie le rôle de l’Etat qui doit veiller au respect des principes gouvernant le droit pénal, à savoir les principes de légalité et de l’interprétation stricte de la loi pénale (1), puis en s’attardant dans une deuxième partie sur les mesures sécuritaires et éthiques mises en place par le législateur marocain pour renforcer le cadre juridique de la cybersécurité, et ce, en s’inspirant de la législation française (2).

1. Les principes de droit pénal comme garanties éthiques

Aujourd’hui, toute la réflexion s’articule autour d’un monde technologique en évolution constante et qui crée de nouveaux comportements et de nouveaux crimes cybernétiques difficiles à cerner. Dans cette optique, certaines infractions sont encore sanctionnées par le Code pénal de 1962⁷, datant d’une époque où la technologie était encore rudimentaire, d’où la violation du principe de légalité (1.1) et de son corollaire (1.2).

1.1. La légalité des délits et des peines face à la cybercriminalité

Une idée phare du juriste consiste à se conformer à la volonté du législateur et les juges doivent, lorsqu’ils appliquent une loi, l’interpréter strictement.⁸ Ainsi, « une action ou une abstention, si préjudiciable soit-elle à l’ordre public, ne peut être sanctionnée par le juge que lorsque le législateur l’a visée dans un texte et qu’elle soit interdite sous la menace d’une peine »⁹.

On peut dire ce principe de la légalité criminelle constitue la clé de voûte du droit pénal et de la procédure pénale. Ce principe a été défini par César beccaria dans le traité des délits et des

3 Dahir n° 1-20-69 du 4 hija 1441 (25 juillet 2020) portant promulgation de la loi n° 05-20 relative à la cybersécurité

4 Article premier et article 44 de la loi 05-20 relative à la cybersécurité

5 Les presses de l’Université Laval , Centre de recherches pour le développement international, « les enjeux éthiques d’internet : vers un modèle éthique d’intégration, 2002, p.51

6 Notion développée par le sociologue Max Weber dans son ouvrage « Le savant et le politique », Edition Plon, Bibliothèques 10/18, pages 31 et 32

7 Des versions consolidées du code pénal tel qu’il a été modifié et complété furent publiées, et ce suite à la compilation de l’ensemble des modifications et ajouts qui ont y été introduits par le législateur en vue d’obtenir un texte juridique consolidé et fiable (ex : loi 103-13 relative à la lutte contre les violences faites aux femmes promulguée par le dahir n° 1-18-19 du 5 joumada II 1439 (22 février 2018), ou encore la loi 86-04 modifiant et complétant certaines dispositions du Code pénal et de la procédure pénale relatives à la lutte contre le terrorisme promulguée par le dahir n° 1-15-53 du 1^er chaabane 1436)…

8 Ce qui ne les prive nullement du pouvoir d’interpréter les composantes essentielles de la loi pénale (incrimination, circonstances, excuses, etc.). Voir, dans ce sens, J.B. Thierry, « L’interprétation créatrice de droit en matière pénale », Revue pénitentiaire et de droit pénal, 2009, p. 799 et s.

9 Robert.E, Le principe de légalité des délits et des peines - conception classique et assouplissement, conférence d’introduction en Droit-Exposé, p.1.

(3)

90 peines, et disait que « seules les lois peuvent fixer les peines qui correspondent aux délits, ce pouvoir pouvant être détenu par le législateur qui réunit toute la société réunie par un contrat social »¹⁰. Les instruments juridiques internationaux consacrent le principe de légalité¹¹, et ce dernier est le garant d’une justice équitable et constitue un bouclier contre l’arbitraire.

Cela étant, la plupart des comportements liés aux NTIC¹² restent méconnues de notre arsenal juridique pénal marocain, ce qui leur permet d’échapper à toute condamnation. On assiste à un contresens substantiel du droit pénal marocain face à l’évolution des NTIC, alors qu’il est clair aujourd’hui que la cybercriminalité est une réalité au Maroc. Le législateur marocain doit continuellement s’adapter à l’évolution de la cybercriminalité en érigeant de nouveaux comportements cybercriminels en infractions. L’impunité ne doit pas être cautionnée.

1.2. L’interprétation stricte de la loi pénale : le cas du vol de données

Le principe d’interprétation stricte de la loi pénale est le corollaire¹³ du principe de légalité et constitue également une garantie pour les citoyens. Ce principe dispose que le texte incriminant l’infraction ne doit pas être élargi à d’autres comportements incriminables.

D’ailleurs, selon Beccaria et Montesquieu¹⁴, « les juges devraient appliquer mécaniquement la loi pénale sans avoir le pouvoir de l’interpréter ».

Quoi qu’il en soit, le principe est resté d’application et constitue aujourd’hui une des pierres angulaires de plusieurs législations internationales (Etat-Unis, Canada, Allemagne…). En effet, la Cour Européenne des Droits de l’Homme s’est exprimée à propos de ce principe en affirmant «son attachement au principe de l’interprétation stricte du droit pénal»¹⁵.

A cet effet, il paraît important d’ouvrir le débat sur le principe de l’interprétation de la loi pénale concernant plus particulièrement les infractions classiques de la cybercriminalité, commises par des personnes à l’aide d’internet. Prenons l’exemple d’un cas d’école, l’infraction du vol. Ainsi, « quiconque soustrait frauduleusement une chose appartenant à autrui est coupable de vol et puni de l'emprisonnement d'un à cinq ans et d'une amende de 120 à 500 dirhams ¹⁶».A la lecture de cet article, on retient la soustraction frauduleuse d’une chose, propriété d’une autre personne, dans le but de se l’approprier. Cette considération est largement retenue par la doctrine¹⁷. Il y a donc la chose, la soustraction, et la fraude comme éléments constitutifs du vol. A la lecture de l’article 505, il est clair que les données ne sont pas des choses (à moins que ces données soient intégrées dans des dispositifs (USB, disquettes, CD-ROM… ).

Toutefois, il sied de signaler que seule une chose matérielle serait susceptible de vol¹⁸. Le cas du vol d’électricité est l’exemple par excellence. Suite à un long débat, l’électricité fut

10 Autrement dit, Elle impose au législateur de, la rédiger des textes sans ambigüité, les comportements qu’ils érigent en infractions, et les sanctions qui leur sont attachées.

11 Parmi eux, exemple de l'article 7 de la Convention européenne des Droits de l’Homme : «Nul ne peut être condamné pour une action ou une omission qui, au moment où elle a été commise, ne constituait pas une infraction d'après le droit national ou international… »

12Nouvelles Technologies de l’Information et de la Communication

13 Gaston.S et Ali, Droit pénal, 13ème édition, Dalloz, Paris, p.193 ; J.C. SOYER p.59

14 Docdujuriste : « Principe de légalité »,

Disponible sur https://www.doc-du-juriste.com/droit-prive-et-contrat/droit-penal/dissertation/principe-legalite- criminelle-461042.html?utm_source=sameTitle

15 Cour eur. D.H., arrêt Matei c. France, 19 décembre 2006, req. n° 34043/02.

16 Article 505 du Code pénal

17 GARRAUD.R, Traité de droit pénal, 3ème édition, Tome VI, n° 2371, Paris, 1935, p.102 ;

18 ALLEAUME.C, « Les biens numériques, une notion au service du droit ? », Les technologies de l’information au service des droits : opportunités, défis, limites, sous la direction de D. LE MÉTAYER, Cahiers du CRID n°32, Bruxelles, Bruylant, 2010, p. 66.

(4)

91 considérée comme étant une chose. Par exemple, la Cour de cassation belge a admis qu’un bien immatériel tel que l’électricité est considérée comme une chose¹⁹. Au Maroc, le vol d’électricité ou de toute autre source d’énergie est sanctionné ²⁰.

Concernant la notion de soustraction, les données volées doivent disparaitre de l’ordinateur de leur propriétaire. Un arrêt de la cour de cassation belge en 2004 a démontré que le fait de faire une copie illégale de données, n’est pas constitutif de vol²¹. J. Deene souligne que dans un vol, il est impératif de s’approprier le bien d’autrui de sorte que le propriétaire d’origine n’en bénéficie plus, ce qui n’est pas le cas lors d’une copie illégale²².

Qu’en est t-il du principe de légalité ? La France a trouvé une solution à ce problème.

L’article 323-3 du Code pénal français permet de punir le vol de données par copie. Ce dernier est partie intégrante de l’infraction de fraude informatique, et sanctionne «le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient»²³.

Le législateur marocain a mis en place la loi 07-03 relative au STAD²⁴, incriminant ainsi toute personne qui s’introduit, se maintient dans un STAD ou toute personne qui y porte atteinte. Le législateur n’a pas incriminé le fait pour une personne de voler des données informatiques. Un

«vol» de données commis au moyen de NTIC ne rentre pas dans le champ d’application matériel des nouvelles infractions de cybercriminalité spécifique mais est, à l’heure d’aujourd’hui, toujours puni comme un vol de droit commun au Maroc.

Finalement, « les biens sont des choses qu’il est utile et possible de s’approprier ; tout ce qui n’est pas une personne peut être une chose »²⁵. D’autres auteurs donnent une définition intéressante de la chose quand ils mentionnent que « la chose ne se limite pas à ce qui tombe sous le sens, ce qui ne se conçoit physiquement, mais il peut s’agir de « toute affaire, tout ce dont il en va de telle ou telle manière (...) »²⁶ .

Ainsi donc, on peut dire que le vol des données ou des informations numériques ne sera pas puni par l’infraction classique du vol dans le code pénal. C’est la logique de la stricte interprétation de la loi pénale, principe consacré dans le droit marocain.

La question qui se pose est comment parler d’éthique si les principes susvisés du droit pénal marocain, mis à mal par la cybercriminalité, ne sont pas respectés ? La seule solution satisfaisante en droit marocain est donc d’ériger le vol de données en une infraction dans le Code pénal avec une définition qui donnera son champ d’application. Ceci permettrait d’avoir une infraction type sur le vol de données et d’éviter d’avoir recours à l’article 505 ou à d’autres articles similaires.

Face au non respect des principes clés du droit pénal, le législateur s’est vu contraint d’adopter un cadre juridique régissant la cybersécurité au Maroc et instaurant des mesures

19 Cass., 23 septembre 1981, Pas.,1982,p. 123

20 Article 521 du code pénal : « quiconque soustrait frauduleusement de l'énergie électrique ou toute autre énergie ayant une valeur économique, est puni de l'emprisonnement d'un mois à deux ans, et d'une amende de 250 à 2 000 dirhams ou de l'une de ces deux peines seulement »

21 Cass., 30 novembre 2004, cité dans J. DEENE, «Illegaal kopiëren is geen diefstal», Juristenkrant, 2005,n° 102, p. 11

22 DEENE.J, «Illegaal kopiëren is geen diefstal», Juristenkrant, 2005,n° 102, p. 11.

23 Art. 323-3 du Code pénal français.

24 Système de Traitement Automatisé de Données

25 F. ZENATI et T. REVET, cités par Raphael RIVIERS, « Définition du bien », in Encyclopédie juridique des biens informatiques, 3 Aout 2004, disponible à http://encyclo.erid.net/document.php?id=173 (consulté le 18 juillet 2010)

26 F.Terré et P. Simler, Droit civil, Les Biens, 6ème édition, Dalloz.

(5)

92 poussant les entreprises à devoir adopter un comportement responsable non seulement au sein de leur entités mais aussi dans le cyberespace.

2. Les obligations légales de sécurité imposées par la loi 05-20 : des mesures éthiques

La loi 05-20 définit la cyberéthique comme « l’ensemble des normes et règles pour un comportement responsable dans le cyberespace ²⁷». Quelle est donc la question sur la place de l’éthique en cybersécurité ?

Les premiers écrits qui ont vraiment lancé le débat sur l’éthique de l’informatique remontent à 1985²⁸ et les questions liées à la gouvernance de l’internet sont devenues plus vivaces, au moment du transfert, en octobre 1998, des compétences en matière d’attribution des adresses IP et des noms de domaines, l’IANA (internet Assigned Numbers Authority), par un contrat conclu avec le gouvernement américain, à l’ICANN²⁹, une association sans but lucratif de droit privé, représentant les intérêts du monde des affaires, du monde technique, du monde académique et des utilisateurs de l’internet³⁰.

A cet égard, la question qui se pose est comment lutter contre la cybercriminalité tout en garantissant les impératifs sécuritaires et les exigences des droits de l’Homme, à savoir, comment respecter les lois tout en surveillant l’éthique des personnes intervenant dans cette mission, comme les FAI³¹, sachant qu’Internet reste un droit fondamental pour le citoyen³². La position du législateur marocain en ce sens est claire. En effet, la loi 05-20 relative à la cybersécurité prévoit « des mesures de protection des systèmes d’information pour les exploitants des réseaux publics de télécommunications, les fournisseurs d’accès à internet, les prestataires de services numériques, les prestataires de services de cybersécurité et les éditeurs de plateformes internet »³³. Ainsi, ils sont les garants du renforcement de la SSI³⁴, des entités et des infrastructures d’importance vitale. En plus, cette loi prévoit aussi « la conservation des données techniques utiles pour l’identification des incidents de cybersécurité, le signalement de tout incident susceptible d’affecter la sécurité des systèmes d’information de leurs clients et la prise de mesures de protection nécessaires en vue de prévenir et neutraliser les menaces ou atteintes les ciblant »³⁵. Ces normes légales seront- elles respectées rigoureusement et de façon éthique alors que des sanctions pécuniaires sont prévues en cas de non respect de la loi³⁶ ?

27 Article premier de la loi 05-20, Dahir n° 1-20-69 du 4 hija 1441 (25 juillet 2020) portant promulgation de la loi n° 05-20 relative à la cybersécurité.

28 Bynum, W. T., ed., « Computers and Ethics », Metaphilosophy, vol. 16, n° 4, October 1985, Basil Blackwell, Oxford and New York, p. 263-353

29 internet Corporation for Assigned Names and Numbers.

30 Disponible sur https://www.icann.org/en/system/files/files/functions-basics-08apr14-fr.pdf

31 Fournisseurs d’Accès à Internet

32 DC, 10 juin 2009, AJDA 2009,1132, obs. S.Brondel.

33Disponible sur ttps://www.dgssi.gov.ma/fr/content/adoption-par-le-parlement-du-projet-de-loi-ndeg-0520-sur- la-cybersecurite.html

34 Sécurité des Systèmes d’Information

35 https://www.dgssi.gov.ma/fr/content/adoption-par-le-parlement-du-projet-de-loi-ndeg-0520-sur-la- cybersecurite.html, Ibid

36 Article 50 de la loi 05-20 : « Sans préjudice des sanctions pénales plus graves prévues par la législation en vigueur, est puni d’une amende de 100.000 à 200.000DH

-tout exploitant d’un réseau public de télécommunications, ou fournisseur d’accès à Internet, ou prestataire de services de cybersécurité, ou prestataire de services numériques, ou éditeur de plateformes Internet, manque aux obligations prévues à l’article 26;

-tout exploitant d’un réseau public de télécommunications ou fournisseur d’accès à Internet ou leurs agents ,fait obstacle aux actions menées par l’autorité nationale ou ses agents, prévues à l’article 28 ».

(6)

93 Aussi, un cadre de gouvernance de la cybersécurité³⁷a été mis en place à travers la création de l’Autorité Nationale de la Cybersécurité³⁸ (ANC), dont le rôle est mettre en oeuvre la stratégie cybersécuritaire de l’Etat. Selon l’article 43 de ladite loi, c’est l’autorité nationale qui

« définit et met en œuvre des programmes de sensibilisation sur la cyberéthique et sur les enjeux liés aux menaces et risques de cybersécurité au profit du personnel des entités, des infrastructures d’importance vitale, du secteur privé et des particuliers ».

On ne peut voir ainsi l’étendue de la cyberéthique que si les entités adoptent un comportement responsable et qu’elles respectent les obligations légales et déontologiques que leur incombent la loi 05-20, inspirée de son homologue française (2.1). On parle alors d’éthique de responsabilité. Des sanctions sont prévues en cas de non respect desdites obligation de sécurité (2.2).

2.1. Les obligations sécuritaires édictées par la loi 05-20

Les exigences européennes à la charge des “organismes d’infrastructure essentielle” sont en partie similaires à celles déjà imposées aux opérateurs d’importance vitale (OIV) par la règlementation française³⁹ et aujourd’hui par la loi 05-20⁴⁰. Ces exigences s’articulent autour de trois axes : Détection et gestion des risques, notification des incidents de sécurité, mesures de sécurité et audit :

Force est de constater alors que la législation marocaine s’est inspiré de son homologue française mais tout en gardant une empreinte nationale. En effet, dans chaque entité, « un responsable de la sécurité des systèmes d’information indépendant, interlocuteur unique de l’ANC, doit être nommé »⁴¹. A cet égard, la loi a prévu des mesures spécifiques pour les infrastructures d’importance vitale disposant de systèmes d’information sensibles. Ainsi, la liste des secteurs d’activité d’importance vitale doit être fixée par voie réglementaire⁴²et

« doit être tenue secrète et actualisée au moins tous les deux ans »⁴³. Dans le même sens, « un guide d’homologation de la sécurité des systèmes d’information sensibles devra être fixé par l’ANC »⁴⁴, et « l’encadrement juridique concerne tous les opérateurs qui ont l’obligation éthique de respecter les directives émanant de cette instance »⁴⁵. En matière de gouvernance de la cybersécurité, « un comité stratégique est chargé d’élaborer les orientations stratégiques de l’Etat, en matière de sécurité informatique mais aussi d’évaluer annuellement le bilan d’activité de l’ANC »⁴⁶.

37 Article 35 à 37

38 Article 38 à 42

39 La réglementation relative aux OIV figure aux articles L.1332-1 et s. du Code de la défense. Il s’agit

« d’opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement : (i) d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ; (ii) ou de mettre gravement en cause la santé ou la vie de la population ».

40 La réglementation relative aux Infrastructures d’importance vitale (IIV) figure aux articles 14 et suivants de la loi 05-20. LES IIV sont « les installations, les ouvrages et les systèmes qui sont indispensables au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social, et dont le dommage ou l’indisponibilité ou la destruction aurait un impact induisant la défaillance de ces fonctions »;

41 Article 6

42 Article 15

43 Article 16

44 Article 19

45 Article 26 et suivants

46 Article 35

(7)

94 En somme, toutes ces mesures prévues par la loi 05-20 permettront certainement de mieux gérer le fléau de la cybercriminalité. Généralement, toutes ces mesures prévues par cette loi ont incontestablement pour objectif de mieux renforcer la cybersécurité marocaine, notamment au sein des institutions qui doivent adopter un comportement responsable mais aussi au niveau du cyberespace afin de mieux gérer le fléau de la cybercriminalité. Mais encore faut-il avoir les moyens humains et financiers pour pouvoir y parvenir.

2.2. Des sanctions pécuniaires lourdes

Des sanctions sont prévues en cas de non respect des mesures édictées par la loi, auxquelles doivent se conformer les entités concernées du secteur privé ou public. En cas d’infraction, l’ANC est habilitée « à établir des procès-verbaux de constatation et les transmettre au ministère public »⁴⁷. Des amendes de 100.000 à 400.000 dirhams sont applicables en fonction des infractions constatées, telles que définies par la loi⁴⁸.

Nous pouvons illustrer cette sanction à travers un exemple simple. En France, il a été introduit des dispositions par l’assemblée nationale dans le but de sanctionner « le fait pour un opérateur de communications électroniques, un fournisseur de services de communication au public en ligne ou leurs agents, de faire obstacle à la mise en œuvre par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) des dispositifs de détection prévus à l'article L. 2321-2-1 du code de la défense »⁴⁹. Autrement dit, l’ANSSI sanctionne les acteurs n’ayant pas fait preuve d’éthique de responsabilité.

Par ailleurs, il n’existe pas de dispositions de l’ANSSI qui sanctionnent « les opérateurs de communications électroniques ou leurs agents qui refuseraient de communiquer les données techniques strictement nécessaires à l'analyse des cyberattaques visées au deuxième alinéa de l'article L. 2321-3 »⁵⁰. Serait-ce à cause de la confidentialité des données ? Cela est justifié par « la volonté de ne pas dissuader les opérateurs d'installer des dispositifs de détection, ce qui ne constitue pas en soi une obligation, mais est essentiel pour la mise en œuvre du système de détection de l'article L. 33-14 du code des postes et communications électroniques »⁵¹.

A noter également que la loi 05-20 prévoit que «la liste des systèmes d’information sensibles doit être tenue secrète »⁵², mais la loi ne prévoit pas de sanctions quant au refus de communication de données. Elle prévoit par contre que « les données sensibles doivent être exclusivement hébergées sur le territoire national ⁵³». L’Article 49 sanctionne « tout responsable d’une entité ou d’une infrastructure d’importance vitale qui procède à l’hébergement des données sensibles en dehors du territoire national, en violation des dispositions de l’article 11 ci-dessus ».

Cependant, il se pose la question sur les rapports entre l’éthique et l’Internet qui sont au cœur d’enjeux de société très importants. En effet, cet outil de connaissance extraordinaire continuera de croître et d’évoluer, mais il convient de trouver des solutions afin de mettre fin à ses conséquences néfastes qui aggravent la situation des personnes et des entreprises. Il faut donc essayer par touts les moyens humains, technologiques et juridiques, éthiques, de protéger les libertés individuelles, et dans le même temps, de fixer un arsenal juridique avancé

47 Article 48

48 Article 49 et 50

49Site du Sénat, Projet de loi relatif à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense Disponible sur https://www.senat.fr/rap/l17-476/l17-47622.html

50 Ibid

51 Ibi

52 Article 18 al3

53 Article 11

(8)

95 et adapté permettant de sanctionner ses auteurs et une procédure pénal numérique efficace afin de mener des investigations rapides, et tout cela, sous le contrôle d’un juge impartial.

Conclusion

Au-delà des mesures légales, le défis pour les acteurs qui se veulent performants en matière de lutte contre la cybercriminalité, est non seulement de s’adapter à un cyberespace changeant constamment, mais aussi d’anticiper des actions basées sur le parfait respect déontologique et de principes éthiques. Grâce à cette gestion anticipative, il semble que l’éthique constitue la pierre angulaire d’une lutte responsable des acteurs institutionnels et privés.

Toutes ces évolutions créent des défis aux entreprises marocaines. Ces dernières devraient recruter des Ethical Hacking (Hacker White hat). Leur métier consiste à contrôler le niveau de protection des clients face à des cybermenaces. Ils testent leur infrastructure pour voir si elle présente des vulnérabilités qui permettraient à un hackeur malveillant et motivé de pénétrer dans son système de défense⁵⁴. Attaquer une cible est maintenant chose aisée. Il existe différentes façons d’y parvenir (Sites internet, mails, téléphones, badges d’accès). Mais le coût qu’engendrerait le recrutement de certains «white hats ⁵⁵ est trop élevé.

Bibiliographie

• Alleaume.C, « Les biens numériques, une notion au service du droit ? », Les technologies de l’information au service des droits : opportunités, défis, limites, sous la direction de D. LE Métayer, Cahiers du CRID n°32, Bruxelles, Bruylant, 2010.

• Bynum, W. T., ed., « Computers and Ethics », Metaphilosophy, vol. 16, n° 4, October 1985, Basil Blackwell, Oxford and New York.

• Deene.J, «Illegaal kopiëren is geen diefstal», Juristenkrant, 2005, n° 102.

• Garraud.R, Traité de droit pénal, 3ème édition, Tome VI, n° 2371, Paris, 1935.

• Likulia, Droit pénal spécial zaïrois, Tome I, 2ème édition, LGDJ, Paris, 1985.

• Gaston.S et Ali, Droit pénal, 13ème édition, Dalloz, Paris, p.193 ; J.C. SOYER.

• Terré.F et Simler.P, Droit civil, Les Biens, 6ème édition, Dalloz.

• WEBER.M , « Le savant et le politique », Edition Plon, Bibliothèques 10/18 Textes nationaux

• Dahir n°1-59-413 du 28 JOUMADA II 1382 (26 novembre 1962) portant approbation du texte du code pénal

• Dahir n° 1-20-69 du 4 hija 1441 (25 juillet 2020) portant promulgation de la loi n° 05- 20 relative à la cybersécurité.

Conférences

• Robert.E, Le principe de légalité des délits et des peines - conception classique et assouplissement, conférence d’introduction en Droit-Exposé.

Revues

• Thierry.JB, « L’interprétation créatrice de droit en matière pénale », Revue pénitentiaire et de droit pénal, 2009, p. 799 et s.

54 Orangecyberdefense, lutte contre les cybermenaces : le métier d’ethical hacker, disponible sur https://orangecyberdefense.com/fr/insights/blog/ethical_hacking/lutte-contre-les-cybermenaces-le-metier- dethical-hacker/

55 Par définition, les « white hats » avertissent les auteurs lors de la découverte de vulnérabilités. Ils s'opposent aux black hats, qui sont les hackers mal intentionnés.

(9)

96 Lois

• Dahir n° 1-20-69 du 4 hija 1441 (25 juillet 2020) portant promulgation de la loi n° 05- 20 relative à la cybersécurité

Arrêts

• Cass., 23 septembre 1981, Pas.,1982, p. 123

• Cass., 30 novembre 2004, cité dans J. DEENE, «Illegaal kopiëren is geen diefstal», Juristenkrant, 2005,n° 102.

• Cour eur. D.H., arrêt Matei c. France, 19 décembre 2006, req. n° 34043/02.

• DC, 10 juin 2009, AJDA 2009,1132, obs. S.Brondel.

WEBOGRAPHIE Ouvrages spéciaux

• PULAVAL, (Les presses de l’Université Laval), Centre de recherches pour le développement international, « les enjeux éthiques d’internet en Afrique de l’ouest : vers un modèle éthique d’intégration, 2002, p.51

• Zenati.F et Revet.T « Définition du bien », in Encyclopédie juridique des biens informatiques, 3 Aout 2004.

Articles

o Docdujuriste : « Principe de légalité »,

Disponible sur https://www.doc-du-juriste.com/droit-prive-et-contrat/droit- penal/dissertation/principe-legalite-criminelle-461042.html?utm_source=sameTitle

o Orangecyberdefense, lutte contre les cybermenaces : le métier d’ethical hacker,

disponible sur

https://orangecyberdefense.com/fr/insights/blog/ethical_hacking/lutte-contre- les-cybermenaces-le-metier-dethical-hacker/

o Site du Sénat, Projet de loi relatif à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense, Disponible sur https://www.senat.fr/rap/l17-476/l17-47622.html

Rapports

• Bulletin trimestriel de Kaspersky 2020 disponible sur http://khabar.one/news/1795560/Bulletin-trimestriel-de-Kaspersky-sur-le-Maroc-:- Plus-de-13,4-millions-cyberattaques-entre-avril-et-juin-2020

Sites internet

• https://www.icann.org/en/system/files/files/functions-basics-08apr14-fr.pdf

• https://www.dgssi.gov.ma/fr/content/adoption-par-le-parlement-du-projet-de-loi-ndeg- 0520-sur-la-cybersecurite.html