Conscient des effets néfastes de la fraude informatique, le Maroc a mis en place une batterie de mesures, que ce soit au niveau juridique ou institutionnel, afin de lutter contre ce phénomène. Toutefois, ces mesures sont-elles suffisantes pour mettre fin ou au moins limiter les dégâts d’une criminalité qui évolue chaque instant ?
Il s’avère utile de donner d’abord un aperçu sur les composantes de l’arsenal juridique et institutionnel marocain mis en place pour contrer le phénomène de cybercriminalité avec ses différentes formes spécialement la fraude informatique (Section I), avant de mettre en lumière les différentes limites de ces exploits et les différents défis à relever (Section II).
Section1 : L’arsenal juridique et organisationnel de lutte contre la fraude informatique au Maroc
La cybercriminalité est un phénomène planétaire. Pour y faire face, de nombreuses initiatives nationales ont abouti à des résultats concrets. De l’amélioration de la connaissance du phénomène à travers la mise en place des organes d’investigation et de veille jusqu’à l’amélioration des aspects répressifs par la mise en place d’un cadre législatif adéquat( Paragraphe I) et des institutions chargées de faire respecter la loi(Paragraphe II), en passant par la promotion d’une véritable culture de sécurité, nous disposons aujourd’hui d’une véritable « bibliothèque de meilleures pratiques » en matière de lutte contre la cybercriminalité.
Paragraphe 1 : L’arsenal juridique
« L’évolution des mœurs et des techniques donne matière à de nouvelles formes de délinquance »[1]. L’internet est ainsi perçu comme un environnement propice au développement de la criminalité informatique. La rapidité d’exécution des instructions réalisées à la vitesse électronique, la confidentialité assurée grâce au cryptage des données numériques et l’immatérialité des transactions qui protège l’anonymat favorisent la progression de l’utilisation criminelle des moyens informatiques[2].
L’ordinateur est en effet source d’insécurité par la puissance qu’il développe, les biens informatiques sont en proie à l’insécurité par la convoitise qu’ils suscitent. L’informatique est donc à la fois un instrument et un objet de fraude.[3]
La situation et d’autant plus inquiétante que la presse marocaine se fait régulièrement l’écho des agissements des pirates de l’informatique. La première tentative de piratage au Maroc a été signalée en novembre 2000 et visait le Ministère des Finances[4].
Il va sans dire que certaines des infractions prévues par le code pénal marocain peuvent être retenues dans l’environnement numérique. Il en est ainsi de l’escroquerie qui peut être commise par le biais de l’ordinateur ou à travers le Net. Toutefois, il est juridiquement impossible de retenir le vol d’un fichier informatique si l’acte d’usurpation a consisté dans l’établissement d’une copie, tout en maintenant le fichier original sur le disque dur. Cet exemple dénote de l’inadaptation du dispositif pénal marocain à réprimer des infractions commises par le biais du numérique, en raison de l’absence des textes légaux. En d’autres termes, l’obstacle à l’extension des règles pénales à des actes commis par le biais de l’ordinateur ou à l’encontre de l’ordinateur réside dans l’absence de l’élément légal nécessaire pour ériger un acte en infraction[5]
Le législateur ne pouvant anticiper sur le progrès technologique et l’évolution des comportements qui en résulte, un décalage existe nécessairement entre la naissance de nouveaux agissements délictueux et leur appréhension par les incriminations classiques du Code pénal[6].
En raison de cette inadaptation, puis face à l’ampleur du phénomène informatique se doublant d’un développement rapide de la criminalité et du coût élevé que cette dernière génère, la doctrine marocaine a mis l’accent sur les failles du Code pénal marocain et la nécessité impérieuse d’élaborer des textes spécifiques à la criminalité informatique[7].
Le législateur marocain n’ayant pas jugé bon d’opérer une quelconque modification du Code pénal, il aura donc fallu attendre que tout le Royaume soit profondément atterré par les attentats terroristes du 16 mai 2003 pour qu’il prenne enfin conscience de la gravité de cette forme de criminalité.
Ainsi dans un temps record (en 12 jours à peine), un dahir[8] portant promulgation de la loi n° 03-03 relative à la lutte contre le terrorisme a été adopté.
Cette loi a ainsi complété le Code pénal par un chapitre premiers bis, intitulé « Le terrorisme » dont l’article 218-1 dispose : « constituent des actes de terrorisme, lorsqu’elles sont intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but l’atteinte grave à l’ordre public par l’intimidation, la terreur ou la violence, les infractions suivantes :
« 1)…
« 7) Les infractions relatives aux système de traitement automatisé des données ».
Le problème qui se posait résidait dans le fait qu’aucun article du Code pénal ne traitait de ces infractions, aussi le législateur s’est-il empressé d’adopter une loi «qui concerne les infractions relatives aux systèmes de traitement automatisé des données »[9].
Les rédacteurs de cette loi n’ont fourni aucun effort de légifération et se sont juste contentés de reproduire presque littéralement les dispositions de la loi française, en l’occurrence celle du 5 janvier 1988 dite loi Godfrain[10].
Cette loi a été pionnière en matière d’infractions spécifiques aux technologies de l’information et ses dispositions forment encore le cœur de la matière. Les dispositions législatives de lutte contre les infractions liées aux technologies de l’information répriment : (i) l’accès ou le maintien frauduleux dans un système de traitement automatisé de données (STAD), (ii) l’entrave au fonctionnement du système, (iii) l’introduction frauduleuse de données, (iv) la falsification ou la suppression frauduleuse de données[11].
La loi adoptée par le Maroc constitue cependant une étape décisive pour le pays. Il ne s’agit pas d’un texte s’appliquant uniquement à des cas bien définis mais d’une loi pénale couvrant de nombreux agissement frauduleux imputable à l’informatique. Les plus importantes incriminations contenues dans cette loi concernent les intrusions ainsi que les atteintes aux systèmes de traitement automatisé des données.
–La loi n° 07-03 constitue un texte fondateur pour la mise à niveau de l’arsenal juridique marocain afin de tenir compte des infractions imputable à la criminalité informatique. Elle incrimine les atteintes aux systèmes de traitement automatisés des données (STAD) et réprime pénalement les intrusions ainsi que les atteintes aux STAD.
- Les intrusions:
La loi n°07-03 permet de sanctionner toutes les intrusions non autorisées dans un système de traitement automatisé de données à savoir l’accès et le maintien frauduleux.
L’article 607-3 du code pénal, inséré en vertu de cette loi (n° 07-03) dispose : « le fait d’accéder, frauduleusement, dans tout ou partie d’un système de traitement automatisé des données est puni d’un mois à trois mois d’emprisonnement et de 2.000 à 10.000 dirhams ou de l’une de ces deux peines seulement.
Est passible de la même peine toute personne qui se maintient dans tout ou partie d’un système de traitement automatisé de données auquel elle a accédé par erreur et alors qu’elle n’en a pas le droit ».Cette disposition vise à sanctionner ceux qui cherchent à prendre connaissance d’informations, confidentielles ou non, figurant dans des systèmes de traitement automatisé de données dont l’accès leur est interdit. Demeure toutefois une interrogation concernant la formule employée par l’article précité, « tout ou partie d’un système ». Compte tenu de l’absence de définition légale ou jurisprudentielle au Maroc et du fait que la loi marocaine n’est qu’une reproduction de la loi Godfrain, il serait utile de faire état de certaines précisions émises par la jurisprudence française concernant la notion d’accès[12].
Ainsi, dans un arrêt du 5 avril 1994, la cour d’appel de Paris[13] a estimé que « l’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une autre ligne de télécommunication ».
La cour d’appel de Rennes[14] dans un arrêt du 6 février 1996, a considéré que la notion d’accès frauduleux s’entend de tous les modes de pénétration irréguliers dans un système lorsque la loi, un contrat ou le maître du système n’avait aucunement habilité l’auteur en ce sens.
Concernant le maintien dans le système informatique, certains auteurs[15] le définissent comme étant « les états de situations anormales telles que connexion, visualisation ou opération multiple, alors que l’accédant a pris conscience que ce maintien est anormal ».
Le maintien est donc la suite naturelle de l’accès. Il se distingue de l’accès par le fait qu’il est réalisé dès lors qu’un individu non habilité, qui s’est introduit par hasard ou par erreur dans le système, reste sciemment branché au lieu de se déconnecter immédiatement. L’accès, en revanche, constitue l’étape préalable, c’est-à-dire celle qui consiste à s’introduire dans le système.
En revanche, tout comme l’accès le maintien n’est punissable que parce qu’il est frauduleux. Il suffit que l’intrusion aille à l’encontre de la volonté du maître du système[16] et il n’est nullement nécessaire qu’une captation de données informatiques soit réalisée[17].
Quant à l’élément intentionnel de cette infraction, la doctrine et la jurisprudence s’accordent à admettre que l’adverbe “frauduleusement” n’est pas le dol général de l’attitude volontaire, ni le dol très spécial de l’intention de nuire, mais la conscience chez le délinquant que l’accès ou le maintien ne lui était pas autorisé. Cette précision vise le cas du fraudeur habilité à accéder à une partie non autorisée d’un système de traitement automatisé de données, s’y maintient en connaissance de cause, et au cas du fraudeur qui ayant eu par hasard accès à un système fermé, s’y maintient volontairement tout en sachant qu’il n’y a pas de droit[18].Dans ce cadre, la cour d’appel de Toulouse dans un arrêt a précisé que le maintien pendant 45 minutes caractérisait l’aspect frauduleux de ce dernier[19]. Il s’agissait en l’espèce d’un informaticien qui, après son licenciement, avait conservé le code d’accès au système de son ancien employeur, y avait accédé puis s’y était maintenu, causant même des dommages justifiant une incrimination plus grave[20].
En clair, relèvent de la qualification pénale toutes les intrusions intentionnelles irrégulières (accès frauduleux), mais aussi régulières si elles dépassent l’autorisation donnée (maintien frauduleux).
La loi n° 07-03 n’a apporté aucune précision au sujet de la nécessité ou de l’indifférence de la présence de dispositifs de sécurité pour la constitution du délit d’accès et de maintien frauduleux. Tel est également le cas en droit français. Cette question a donné lieu en France à plusieurs controverses et il n’est pas hasardeux de pronostiquer qu’il sera de même pour la doctrine et la jurisprudence marocaines[21].
- Les atteintes
Les atteintes au STAD sont devenues de plus en plus fréquentes de nos jours, que le but soit le simple vandalisme ou bien encore, de façon plus élaborée, un but économique (vol ou altération de données dans le but d’en retirer de l’argent). Le législateur marocain a prévu des incriminations de ces délits dans le cadre de la loi n°07-03.
* Les atteintes au fonctionnement :
L’article 607-5 du Code pénal, inséré en vertu de la loi n°07-03, dispose que « Le fait d’entraver ou de fausser intentionnellement le fonctionnement d’un système de traitement automatisé des données est puni d’un an à trois ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une de ces deux peines seulement ».
Aux termes donc de l’article précité, les atteintes au fonctionnement consistent dans le fait d’entraver ou de fausser le système. A la lecture de l’article, il ressort que l’élément matériel d’une atteinte portée à un STAD lui-même et non pas à ses données peut provenir de l’entrave ou du faussement de ce dernier. L’exemple le plus connu de ce délit est l’attaque par déni de service[22]. Au-delà de ces attaques sophistiquées, la jurisprudence française a retenu que le fait pour un employé de changer les mots de passes d’accès à un système dans le but de la rendre inutilisable pouvait l’exposer aux peines prévues pour l’entrave, à contrario si le refus de communiquer les mots de passe n’empêche pas le bon fonctionnement du système le délit n’est pas constitué[23].
Alors que l’entrave a pour finalité de perturber le fonctionnement du système, le faussement pour sa part consiste à faire produire au système un résultat différent de celui qui était attendu.Il peut suffire de bloquer l’appel d’un programme, d’un fichier ou encore d’altérer l’un des éléments du système. Le plus courant étant le cas d’une attaque virale classique.
Cette distinction opérée par le législateur entre le fait d’entraver et celui de fausser le fonctionnement a cependant fait l’objet de critiques de la part d’une partie de la doctrine qui considère que cette séparation est techniquement infondée, soulignant en outre que l’on perçoit mal l’utilité juridique d’une telle distinction. Elle conclut toutefois qu’en vertu de « la théorie de la peine justifiée, et comme il n’existe pas de conséquences quant au quantum de la peine, cela devrait éviter tout débat[24] ».
* Les atteintes aux données :
L’article 607-6 du code pénal dispose que « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de détériorer ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni d’un an à trois ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une de ces deux peines seulement ».
Toute manipulation de données, qu’il s’agisse de les introduire, de les supprimer, de les modifier ou de les maquiller, provoque, en toutes circonstances, une altération du système. Le fait de modifier les tables d’une base de données, de déréférencer l’adresse d’un serveur Web dans les moteurs de recherche, ou encore, de défacer un site web pour y insérer une image indécente, constituent autant d’atteintes visées par le texte.
Si dans le cadre de la législation française, le délit n’est constitué que si les atteintes sont réalisées avec une intention délictueuse et hors de l’usage autorisé, il convient d’observer à propos de cet élément intentionnel une des rares dispositions que le législateur marocain n’a pas « empruntée » à la loi Godfrain. Il s’agit en l’occurrence de l’exigence que l’atteinte soit commise « aux mépris des droits d’autrui [25]».
Il convient enfin de signaler que les atteintes aux données ne se résument pas à celles visées par l’article 607-6 et dont on vient de faire état, l’article 607-7 dispose en effet que « le faux et la falsification de documents informatisés, quelle que soit leur forme, de nature à causer un préjudice à autrui, est puni d’un à cinq ans et d’une amende de 10.000 à 100.0000 de dirhams ».(l’article 607-7 traite directement la fraude informatique). De même il est à noter que pour tous ces délits, que ce soit pour les intrusions (accès et atteinte frauduleux au STAD) et pour les atteintes (atteintes au fonctionnement et atteintes aux données d’un STAD), la tentative est punie des mêmes peines. En effet, l’article 607-8 du code pénal dispose « La tentative des délits prévus par les articles 607-3 à 607-7 ci-dessus et par l’article 607-10 ci-après est punie des mêmes peines que le délit lui-même ».
Le législateur marocain a institué d’autres lois et règlements pour faire face aux différents visages de la criminalité informatique tel que :
– La loi 53-05 relative à l’échange électronique de données juridiques
Cette loi fixe le régime applicable aux données juridiques échangées par voie électronique (cryptographie) et à la signature électronique. Elle détermine également le cadre juridique applicable aux opérations effectuées par les prestataires de service de certification électronique, ainsi que les règles à respecter par ces derniers et les titulaires des certificats électroniques délivrés.
Dans le but de mettre fin à l’anachronisme et l’illogisme du seuil fixé par l’article 443 du D.O.C., la loi relative à l’échange électronique de données juridiques a élevé ce dernier à la somme de 10.000 dirhams.
Conscient du fait que cela ne résout en rien le problème de l’admission de la preuve informatique et en vue «d’aménager la révolution électronique sur le terrain probatoire »[26], la réforme mise en place par la loi précitée concerne essentiellement les deux notions qui constituent la clé de voûte du système probatoire marocain : l’écrit et la signature.
- L’écrit de l’acte sous seing privé électronique
Il est certain que les rédacteurs du D.O.C n’ont jamais eu l’intention de consacrer l’écrit papier portant une signature manuscrite, mais simplement mettre au point un système permettant à tout un chacun de se préconstituer une preuve. Or, il s’avère que la plus fiable au regard de l’état de la technique tel qu’il se présentait au début du vingtième siècle était l’écrit papier.
La réalité est, de nos jours, totalement différent. Le document écrit sur papier est de plus en plus souvent remplacé par de nouveaux supports d’information, il tend même à disparaître dans le cadre du commerce électronique. Cette vision traditionnelle de la notion d’écrit n’est plus acceptable et constitue un frein au développement des activités commerciales sur l’internet[27].
La loirelative à l’échange électronique de données juridiques a pris le soin de modifier la formulation de l’article 417, alinéa 2, en disposant, qu’outre les éléments déjà énoncés par ledit article, la preuve littérale peut également résulter « de tous autres signes ou symboles dotés d’une signification intelligible quels que soient leur support et leurs modalités de transmission ».
Cet article met ainsi fin à la confusion qui avait fini par se créer avec les âges entre l’écrit et le papier. « Peu importe le support, le monopole du papier cesse donc ; tout comme les modalités de manifestation de la volonté, qui ne se résument plus à dire des articles écrits en langue littéraire et juridique, mais peuvent se montrer plus imaginatives, dès lors qu’elles restent fiables et compréhensibles »[28].
Un autre apport non moins négligeable de cette loi consiste dans l’article 417-1 qu’elle a inséré au sein du D.O.C. et qui dispose que « L’écrit sur support électronique a la même force probante que l’écrit sur support papier.
« L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse dûment être identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». Cet article affirme donc explicitement, lorsqu’il s’agit de déterminer le degré de l’admissibilité, à titre de preuve, de l’écrit sous formes électronique, sa parfaite équivalence avec l’écrit sur support papier, sous réserve toutefois de satisfaire aux deux conditions susvisées, à savoir la garantie de l’intégrité de l’écrit et l’identification de son auteur.
- La signature de l’acte sous seing privé électronique
La signature, complément indispensable de l’écrit[29], servant preuve préconstituée des actes juridiques, devait nécessairement obtenir, de la part des rédacteurs de la loi n°53-05, sa reconnaissance dans sa forme électronique afin de donner sa pleine dimension à l’écrit électronique. «L’exigence d’un manuscrit étant inconciliable avec l’échange de messages électroniques, force était d’admettre qu’il puisse exister un équivalent numérique de la signature traditionnelle[30] ».
La démarche adoptée donc par les rédacteurs de la loi marocaine relative relative à l’échange électronique de données juridiques – ou, en vérité, les rédacteurs de la loi française du 13 mars 2000 – a manifestement consisté à rechercher les fonctions habituelles assurées par la signature. L’article 417-2, par le biais duquel la loi n° 53-05 a complété la section II du chapitre premier, du titre septième, du livre premier du D.O.C., dispose ainsi que lorsque la signature est électronique, « il convient d’utiliser un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache[31] ».
L’article précité exige que le procédé d’identification soit d’une part, fiable et d’autre part, il doit garantir le lien de la signature électronique avec l’acte, lien qui en effet indispensable pour que la signature électronique joue pleinement sa fonction d’approbation du contenu de l’acte[32].
Les conditions que la signature électronique doit remplir pour obtenir la qualification de « sécurisée » et pouvoir prétendre à une présomption de fiabilité ont été prévues par l’article 6 de la loi précitée qui dispose :
« La signature électronique sécurisée, prévue par les dispositions de l’article 417-3 du dahir formant code des obligations et des contrats, doit satisfaire aux conditions suivantes :
« – être propre au signataire ;
« – être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;
« -garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure dudit actes soit détectable … »
Selon Ali EL Azouzi[33], Pour que le recours à la signature électronique offre une sécurité juridique, des tiers de confiance doivent être mis en place. Il s’agit d’un organisme public ou privé, qui émet des certificats électroniques. Le certificat est un registre informatique revêtu d’une signature électronique qui identifie l’émetteur du certificat, identifie le souscripteur et donne sa clé publique. On peut le comparer à une carte d’identité électronique qui serait émise par un tiers indépendant et neutre. La signature électronique correspondant à un certificat est considérée appartenir à la personne mentionnée dans le certificat. C’est dans cette perspective, que la loi n°53-05 a institué, en vertu de l’article 15, l’autorité nationale d’agrément et de surveillance de la certification électronique. Cette dernière a pour mission :
- De proposer au gouvernement les normes du système d’agrément et de
prendre les mesures nécessaires à sa mise en œuvre ;
- D’agréer les prestataires de services de certification électronique et de contrôler leurs activités.
Pour exercer les activités liées à la certification électronique, il faut obligatoirement être agréé par l’Autorité Nationale d’Agrément et de Surveillance de la Certification Electronique. Pour y parvenir, le demandeur de l’agrément doit, en vertu de l’article 21 de la loi précitée, être constitué sous forme de société ayant son siège social sur le territoire du Royaume et :
- Remplir des conditions techniques garantissant :
- a) La fiabilité des services de certification électronique qu’il fournit, notamment la sécurité technique et cryptographique des fonctions qu’assurent les systèmes et les moyens cryptographiques qu’il propose ;
- b) La confidentialité des données de création de signature électronique qu’il fournit au signataire ;
- c) La disponibilité d’un personnel ayant les qualifications nécessaires à la fourniture de services de certification électronique ;
- d) La possibilité, pour la personne à qui le certificat électronique a été délivré, de révoquer, sans délai et avec certitude, ce certificat ;
- e) La détermination, avec précision, de la date et l’heure de délivrance et de révocation d’un certificat électronique ;
- f) L’existence d’un système de sécurité propre à prévenir la falsification des certificats électroniques et à s’assurer que les données de création de la signature électronique correspondent aux données de sa vérification lorsque sont fournies à la fois des données de création et des données de vérification de la signature électronique.
- Etre en mesure de conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s’avérer nécessaires pour faire la preuve en justice de la certification électronique, sous réserve que les systèmes de conservation des certificats électronique garantissent que :
- a) L’introduction et la modification des données sont réservées aux seules personnes autorisées à cet effet par le prestataire ;
- b) L’accès du public à un certificat électronique ne peut avoir lieu sans le consentement préalable du titulaire du certificat ;
- c) Toute modification de nature à compromettre la sécurité du système peut être détectée ;
- S’engager à :
– Vérifier, d’une part, l’identité de la personne à laquelle un certificat électronique est délivré, en exigeant d’elle la présentation d’un document officiel d’identité pour s’assurer que la personne à la capacité légale de s’engager, d’autre part, la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette identité et de cette qualité ;
– S’assurer au moment de la délivrance du certificat électronique : a) Que les informations qu’il contient sont exactes ; b) Que le signataire qui y est identifié détient les données de création de signature électronique correspondant aux données de vérification de signature électronique contenues dans le certificat ; – Informer, par écrit, la personne demandant la délivrance d’un certificat électronique préalablement à la conclusion d’un contrat de prestation de services de certification électronique :
- a) Des modalités et des conditions d’utilisation du certificat ;
- b) Des modalités de contestation et de règlement des litiges ;
-Fournir aux personnes qui se fondent sur un certificat électronique les éléments de l’information prévue au point précédent qui leur sont utiles ;
– Informer les titulaires du certificat sécurisé au moins soixante (60) jours avant la date d’expiration de la validité de leur certificat, de l’échéance de celui-ci et les inviter à le renouveler ou à demander sa révocation ;
– Souscrire une assurance afin de couvrir les dommages résultant de leurs fautes professionnelles ;
-Révoquer un certificat électronique, lorsque :
- a) Il s’avère qu’il a été délivré sur la base d’informations erronées ou falsifiées, que les informations contenues dans ledit certificat ne sont plus conformes à la réalité ou que la confidentialité des données afférentes à la création de signature a été violée ; b) Les autorités judiciaires lui enjoignent d’informer immédiatement les titulaires des certificats sécurisés délivrés par lui de leur non-conformité aux dispositions de la présente loi et des textes pris pour son application[34].
Il est à noter que les dispositions contenues dans cette loi relative à l’échange électronique de données juridiques et visant à réformer le droit marocain de la preuve, ne sont en vérité que la reproduction quasi littérale de celles prévues par la loi française du 13 mars 2000. Les vertus attribuées à cette dernière par la doctrine française sont applicable à la loi n°53-05 précitée.
En fin il faut préciser que les réformes proposées par la loi relative à l’échange électronique de données juridiques ne s’appliquent pas à tous les actes juridiques. Ainsi, les contrats où l’écrit est requis ad validitatem en sont exclus. De plus, la loi précitée ne fait aucune allusion à la possibilité de conférer au contrat électronique le caractère d’authenticité[35].
-La loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel[36]
Le législateur marocain a institué cette loi afin de doter l’arsenal juridique marocain de moyens efficaces de protection. L’esprit du texte se lit dès le premier article qui dispose « L’informatique est au service du citoyen et évolue dans le cadre de la coopération internationale. Elle ne doit pas porter atteinte à l’identité, aux droits et aux libertés collectives ou individuelles de l’Homme. Elle ne doit pas constituer un moyen de divulguer des secrets de la vie privée des citoyens ». Elle introduit, pour la première fois, dans le paysage juridique marocain, un ensemble de dispositions légales harmonisées avec le droit européen et, notamment, avec la Directive communautaire n°95/46.
L’apport majeur de la présente loi est la constitution de la CNDP [37](une analyse du rôle de cette commission sera traité lors du 2ème paragraphe), garant du respect des dispositions mais dont le fonctionnement et le mode de saisine demeure mystérieux.
Cette loi vise surtout la protection des personnes physiques face à l’utilisation de leurs données personnelles circulant sur Internet. Précisons que le but premier de l’adoption de lois protégeant les données personnelles sur internet est la promotion du commerce électronique.
Cela veut dire que l’objectif est de mettre en place un climat de confiance et de sécurité pour encourager le développement des affaires électroniques dont la sécurité et la confiance sont les conditions essentielles de leur développement.
On doit indiquer que ces différentes lois concernent surtout les personnes physiques et rarement les personnes morales et s’appliquent aux fichiers manuels.
Elles octroient aux personnes concernées un ensemble de droits et imposent aux responsables du traitement plusieurs obligations.
Il est à signalé qu’il existe deux modèles législatifs des mesures de protection des données personnelles surtout numériques : L’autorégulation et l’intervention législative.
Le modèle américain préconise l’idée de l’autorégulation dans tous les domaines liés aux technologies de l’information et de la communication y compris le domaine des données personnelles[38].
C’est pourquoi, les quelques pays qui ont épousé le modèle américain ont évité l’adoption d’une législation générale protégeant les données personnelles et ont choisi des lois sectorielles en la matière.
L’union Européenne et les pays qui l’ont suivi y compris le Maroc, ont au contraire adopté le modèle de l’intervention législative protégeant les données en général et celles circulant sur internet en particulier.
Pour mettre en application des dispositions de ces lois, les différentes législations prévoient la création d’instances spéciales chargées de surveiller leurs applications et de sanctionner les éventuels abus.
C’est ainsi qu’on peut citer entre autres la commission de contrôle de la protection des données à caractère personnel au Maroc, l’instance nationale de protection des données à caractère personnel en Tunisie et la commission nationale de l’informatique en France.
D’un autre côté, la question qui se pose est la suivante : est-ce que cette protection concerne uniquement les données des personnes physiques, ou est-ce qu’elle englobe également celles des personnes morales ?
Des intitulés de lois en question, on peut comprendre que les données qui sont l’objet de la protection sont celles relatives aux personnes physiques.
Pourtant, il existe quelques rares lois qui protègent les données aussi bien des personnes physiques que des personnes morales en matière de traitement de données nominatives telles que celles de l’Australie et du Danemark.
Une autre question se pose : Est-ce que cette protection concerne uniquement les données traitées d’une matière automatisée ou est-ce qu’elle englobe également les données traitées d’une manière non automatisée ?
On comprend des différentes lois que la protection concerne les données à caractère personnel automatisé en tout ou en partie, ainsi que les données non automatisées.
Toutefois, l’utilisation de plus en plus importante de l’informatique et de l’internet dans les opérations de traitement des données personnelles de la part des gouvernements (gouvernement électronique) que du secteur privé, conduit à penser que c’est le traitement non automatisé qui est visé plus que le traitement non automatisé dont l’importance se réduit continuellement.
L’objectif des législations relatives à la protection données à caractère personnelles est de garantir un certain nombre de droits aux personnes concernées par le traitement de leurs données personnelles[39].
Il s’agit en fait du droit à l’information préalable[40], (qui précise que la personne sollicitée en vue d’une collecte de ses données personnelles, doit être préalablement informée par le responsable du traitement de celles-ci ou son représentant d’un certain nombre d’éléments dont principalement les finalités du traitement auquel les données sont destinées), le droit d’opposition[41] (la personne concernée pourra s’opposer au traitement des données la concernant. Ainsi toute personne peut refuser, sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection, en particulier commerciale), le droit d’accès aux données personnelles[42] (donne le droit à la personne concernée d’être au courant de la compilation de ses données et d’y avoir accès pour s’assurer de leur véracité et si elles font l’objet d’un usage sain), et le droit de leurs rectifications[43] (les personnes concernées peuvent obtenir l’actualisation, la rectification, l’effacement ou le verrouillage des données personnelles collectées, notamment du fait du caractère inexact ou incomplet des informations). L’assurance de ces droits, nécessite de la part du responsable du traitement le respect d’un certain nombre d’obligations surtout dans le domaine électronique.
Il s’agit du respect des formalités préalable à tout traitement[44], (La déclaration préalable comporte l’engagement que le traitement sera effectué conformément aux dispositions de loi. Ladite déclaration a pour objet de permettre à la commission nationale d’exercer les compétences qui lui sont dévolues et de contrôler le respect des dispositions de la loi. Le défaut de déclaration est sanctionné par l’article 52 de la loi précitée), la collecte des données par des moyens licites, le respect de la finalité du traitement, l’interdiction de la conservation des données au-delà de la durée prévue, l’interdiction de traitement des données sensibles et obligation de sécurité et de confidentialité des données traitées[45] qui signifie que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès[46].
Le développement de l’informatique et de l’internet a permis l’interconnexion des fichiers contenants des données personnelles et par conséquent, facilité leur communication à des tiers et même leur transfert vers des pays étrangers.
C’est pourquoi les différentes lois interdisent la communication des données des données personnelles à des titres ou leur transfert vers des pays étrangers.
Concernant la communication à des tiers, toutes les lois interdisent la communication sans autorisation des données personnelles à des tiers qui n’ont pas la qualité pour les recevoir.
Précisant sur ce chef que les données personnelles collectées licitement ou illicitement peuvent être cédées à des tiers à des fins d’utilisation commerciales comme par exemple la publicité électronique qui se fait par l’envoi de courriers électronique ou de SMS ou MMS pour promouvoir des biens et services.
Pour ce qui est de leur transfert vers d’autre pays, toutes les lois interdisent le transfert des données personnelles vers des pays qui n’assurent pas un niveau de protection adéquat.
De ce qui précède, on comprend que les données personnelles font l’objet d’une protection légale particulière dont la violation expose leur auteur à des sanctions pénales. Cette protection cherche à limiter la collecte, la conservation et le traitement des données à caractère personnelles aux seuls finalités légitimes et nécessaires, et à celles pour lesquelles un consentement éclairé a été obtenu préalablement.
Il est évident que cette protection accroit d’une manière considérable, la confiance que les intervenants accordent aux transactions électroniques[47].
Plusieurs lois ont été promulguées dans le but d’incriminer et sanctionner les actes illicites en matière de Télécommunication. Les infractions prévues par ces lois pourront être constatées par des procès-verbaux dressés par des officiers de police judiciaire et les agents de la force publique. Ainsi que par les employés assermentés et commissionnés à cette fin par l’ANRT.
Plusieurs textes juridiques, en plus de ceux cités ci-dessus, sont institués
par le législateur marocain dans le sens à savoir la répression de la criminalité
informatique.
Ainsi le Dahir n°1-04-257 du 25 Kaada 1425(7 janvier 2005) portant promulgation de la loi n°77-03 relative à la communication audiovisuelle dans
son article 1 alinéa 5 dispose que « Les exigences nécessaire pour garantir,
dans l’intérêt général, la sécurité des usagers et du personnel des opérateurs
de communication audiovisuelle, la sécurité du fonctionnement du réseau, le
maintien de son intégrité, l’interopérabilité des services et celle des équipements terminaux, la protection, l’intégrité et l’authentification des données…. ».
Dans le même objectif, la loi 24-96 relative à la poste et aux télécommunications telle qu’elle a été modifiée et complétée dans son article 81 puni d’une amende de 1.500 à 5.000 dirhams quiconque aura, par imprudence ou involontairement aura dégradé ou détérioré, de quelque manière que ce soit, les lignes aériennes ou souterraines ou les appareils de télécommunication et de tout ouvrage s’y rapportant.
Selon le Dahir n°1-00-20 du 15/02/2000 portant promulgation de la loi n°2-00 relative aux droit d’auteur et droits voisins et le Dahir modificatif n°1-05-192 du 14/02/2006 portant promulgation de la loi n°34-1-05, il est institué un certain nombre d’infraction auxquelles plusieurs sanction ont été réservées. Ces infractions de plus en plus perpétrées avec grande facilité dans l’environnement numérique , En outre selon la dernière réforme du texte sur les droits d’auteur opérée par la loi n°34-05 modifiant et complétant la loi n°2-00 relative aux droit d’auteurs et droit voisins , les prestataires de certains services en ligne peuvent être rendus responsables pénalement des violations des droits d’auteurs .
La loi n° 13-83 relative à la répression des fraudes sur les marchandises (promulguée par Dahir n° 1-83-108 du 9 moharrem 1405 (5 octobre 1984)). L’article premier du dahir dispose : « Est coupable de fraude par tromperie ou falsification quiconque, par quelque procédé que ce soit, induit en erreur le contractant sur la substance ou la quantité de la chose annoncée ou effectue, en violation des dispositions de la présente loi ou des textes pris pour son application ou contrairement aux usages professionnel et commerciaux, toute opération tendant à les modifier frauduleusement. »
Les principales incriminations contenues dans le dahir de la répression des fraudes ont été édictées en termes généraux, ce qui favorise leur application au contexte de la vente par le biais de l’internet.
Cependant Tout effort de lutter individuellement contre ce danger mondialisé de cybercriminalité est un effort voué à l’échec. Conscient de ce constat, le Royaume a opté, à côté des efforts à l’échelle nationale, de coopérer à l’international, et ce par le biais de ratification notamment, de la convention de Budapest et la convention arabe, les deux ayant trait à la lutte contre la cybercriminalité. Concernant la convention de Budapest sur la cybercriminalité, elle est le premier texte international à se pencher sur ce nouveau fléau. La Convention traite en particulier des infractions portant atteinte aux droits d’auteur, de la fraude liée à l’informatique, de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Elle contient également une série de compétences procédurales, tels que la perquisition de réseaux informatiques et l’interception. Son principal objectif, énoncé dans le préambule, est de poursuivre “une politique pénale commune destinée à protéger la société contre la cybercriminalité, notamment par l’adoption d’une législation appropriée et la stimulation de la coopération internationale”.
Section 2 : Limites et perspectives de lutte contre la fraude
Informatique au Maroc.
En dépit de tous les efforts menés au Maroc pour la lutte contre toutes les formes de la cybercriminalité, ils demeurent insuffisants et limités
(Paragraphe I), et il reste encore beaucoup du travail et d’efforts à fournir pour maîtriser le phénomène et impliquer toutes les composantes de la société dans cette ‘’guerre’’ numérique afin d’instaurer une confiance numérique (Paragraphe II).
Paragraphe 1 : Limites de la politique de lutte contre la
fraude informatique
Certes, le Royaume s’est engagé dans plusieurs réformes afin de lutter contre toutes les formes de cybercriminalité et rendre les internautes marocains plus protégés sur la toile d’Internet où tous a droit d’y accéder. Or, ces efforts demeurent limités par rapport à d’autres pays comme la France et les Etats-Unis, et ce pour plusieurs raisons que nous allons détailler.
- Les défaillances du texte marocain quant aux actes incriminés :
Une première lecture du texte marocain permet de constater qu’un certain nombre d’actes n’ont pas été appréhendés par la loi. A ce titre, il est possible de souligner tout particulièrement le vide marquant le texte marocain concernant la récupération des données dans les systèmes de traitement automatisé des données en dehors de tous les actes spécifiés dans ce texte[48].
Dans le même ordre d’idées, le législateur marocain n’a pas traité toutes les formes de la fraude informatiques, ainsi le phishing n’est pas juridiquement réprimé par un texte spécifique, mais il pourrait être sanctionné indirectement sur la base des fondements suivants [49]:
-Les atteintes aux systèmes de traitement automatisé de données (STAD) ;
-La collecte frauduleuse de données à caractère personnel.
– La contrefaçon des droits intellectuels figurant sur un site ( marque , logos, page web etc.)
– L’escroquerie et sa tentative.
– L’usurpation d’identité.
Il faut surtout reconnaître que le cadre législatif marocain, bien que salué par certains comme étant à l’avant-garde, n’est peut-être plus tout à fait adéquat. On peut même s’interroger sur la possibilité d’appliquer à des crimes minuscules commis à grande échelle et sur tout le globe une philosophie de répression qui vise essentiellement des crimes graves commis par des personnes individualisables en des lieux précis. Il se pourrait même qu’il s’agisse d’un problème plus complexe: les normes seraient nouvelles, méconnues et difficiles à appliquer.
Ceci dit, cet arsenal est insuffisant, en premier lieu, pour lutter contre toutes les formes de la criminalité informatique. En second lieu pour faciliter l’émergence d’une économie de savoir marocaine. Dans ce cadre, il convient de noter que toutes les formes de la cybercriminalité évolue par le même rythme de l’évolution des TIC, par contre le cadre juridique marocain prend beaucoup de temps, tout d’abord pour la discussion et le vote de lois, en suite pour son application[50]. En conséquence, on constate un décalage à deux niveaux. En premier lieu entre L’évolution rapide des TIC et de la cybercriminalité et l’évolution ou la mise en œuvre du cadre juridique qui vise la lutte contre cybercriminalité.
En second lieu, au niveau du cadre juridique à savoir le décalage entre la promulgation d’une loi et sa mise en application voir même la bonne application de cette loi en considérant « la culture technologique »des juges.
Ainsi on note l’absence d’une loi cadre pour la cybercriminalité qui prend en considération la spécificité de ces crimes et des outils techniques permettant de prouver l’existence ou non du délit.
Une autre insuffisance qui peut nuire à la lutte contre la cybercriminalité et notamment la fraude informatique au Maroc est que la loi n°15-95 formant le code de commerce, qui est composée de cinq livres :
- Livre premier : Le commerçant.
- Livre II : Le fonds de commerce.
- Livre III : Les effets de commerce.
- Livre IV : Les contrats commerciaux, dispositions générales.
- Livre V : Les difficultés de l’entreprise.
On constate alors l’absence des règles juridiques concernant le commerce électronique où la fraude sur les marchandises a une ampleur grandissante, ce qui peut avoir un impact négatif sur l’économie du savoir[51].
En effet le législateur marocain a essayé de combler ce vide par la loi 53-05 relative à l’échange électronique de données juridiques qui a consacré le titre II au régime juridique applicable à la signature électronique sécurisé, à la cryptographie et à la certification électronique.
Pourtant, il est impératif de signaler l’ambiguïté de cette loi dont le champ d’application est indéterminé.
La démarche que le législateur marocain se doit de suivre revêt d’autant plus d’importance que ce dernier est déjà coutumier de plusieurs errements dans ses réactions vis-à-vis des transformations socio-économiques, préférant parfois prendre du recul face aux phénomènes nouveaux [52](au risque d’accuser un retard considérable ou d’être dépassé par ces événements)[53] ou, au contraire, adopter à la hâte des textes importés dans leur quasi-totalité de l’étranger (particulièrement de France) sans prendre en compte les particularités du tissu économique et social marocain[54].
La difficulté est accrue par la diversité d’approches qui s’offrent au législateur et, de ce fait, le risque d’échec n’en devient que plus grand.
- Un arsenal juridique moins sévère[55]:
Il est certain que les textes marocains viennent combler en partie une grande lacune dans la législation pénale nationale, dans la mesure où ils érigent en infractions pénales des comportements informatiques ou liés aux TIC, qui échappaient à toutes sanctions, en dépit de leur dangerosité pour la vie privée, pour l’économie nationale et pour la sécurité. Toutefois, malgré ces apports appréciables, il n’en demeure pas moins vrai que cet arsenal peut se prêter à la critique sur plusieurs plans : il se montre relativement moins sévère que des textes étrangers en la matière, notamment le texte français et accuse quelques insuffisances quant aux actes quant aux actes qu’il incrimine (on parle surtout de la loi n°09-08).
Ainsi, une simple comparaison entre le texte français, en matière d’atteinte au système de traitement automatisé des données, permet de relever que le texte marocain est globalement moins sévère que le texte français sur certains points. La clémence du texte marocain prend deux formes essentielles : les sanctions prévues par le texte marocain sont ; généralement, moins élevées que celles du textefrançais, du même le texte marocain laisse la possibilité au tribunal de cumuler la peine privative de liberté et l’amende, alors que le texte français impose au tribunal de prononcer les deux types de peines, sans lui laisser le choix de prononcer un type de peine sans l’autre.
Par caractère moins élevé des sanctions prévues par le texte marocain, il y a lieu d’entendre les quanta des peines, tels que fixés par les textes dédiés aux atteints aux systèmes de traitement automatisé des données, indépendamment de tout autre texte, ainsi que de toute individualisation judiciaire des peines.
Ce caractère moins élevé est facile à noter à travers la comparaison des sanctions en droit marocain et en droit français, à ce titre nous allons donner deux exemples à titre d’’exemple :
1-Pour l’infraction d’accès frauduleux : En droit marocain, elle est sanctionnée, sans modifications ni suppression des données, ni altération du fonctionnement du système, à un emprisonnement de 01 mois à 3 mois et une amende de 2000 à 10.000 Dirhams ou l’une de ces deux peines seulement. Et avec modification ou suppression des données ou encore altération du système : un emprisonnement de 2 mois à 6mois et une amende de 4000 à 20.000 Dirhams ou l’une de ces deux peines. En droit français, l’infraction est sanctionnée, sans modification ni suppression des données, ni altération du fonctionnement du système à un emprisonnement de 1 an et une amende de15.000 Euros. Et avec modification ou suppression des données ou encore altération du système à un emprisonnement de 2 ans et une amende de 30.000 Euros.
2-Pour l’infraction d’introduire des données, de les détruire, de les supprimer, de les modifier ou encore de modifier le mode de leur traitement ou de leur transmission frauduleusement : En droit marocain, elle est punie d’un emprisonnement de à 3 ans et une amende de 10.000 à 200.000 Dirhams ou l’une de ces deux peines seulement.En droit français, elle est punie d’unemprisonnement de à 3 ans et une amende 45.000 Euros.
Quant aux sanctions complémentaires, une différence notable est à relever entre le nouveau texte marocain et le texte français. En réalité, le législateur s’est montré restrictif quant aux sanctions complémentaires, dans la mesure où il n’a pas prévu la possibilité de condamner les auteurs des faits prévus dans les différents articles du texte à :
L’interdiction d’exercer l’activité professionnelle ou sociale dans l’exercice de laquelle ou l’occasion de l’infraction a été commise ;
La fermeture pour une durée de 5 ans au plus, des établissements de l’un ou de plusieurs des établissements de l’entreprise ayant servi à commettre des faits incriminés ;
L’exclusion, pour une durée de 5 ans au plus, des marchés publics ;L’interdiction, pour une durée de 5 ans au plus d’émettre des chèques autresque ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés[56].
- La liberté laissée au tribunal de cumuler les peines privatives de liberté et les amendes[57]:
Il ressort du texte marocain encore que le législateur se montre moins sévère dans la mesure où il n’impose pas, à la différence de son homologue français, le prononcé en même temps des peines privatives de liberté et des amendes. Cette approche est adoptée dans trois situations : le cas où il s’agit d’un acte d’accès illicite ou de maintien illicite dans tout ou partie d’un système de traitement automatisé des données non supposé abriter des informations relatives à la sécurité intérieure ou extérieure de l’Etat ou des secrets de l’Economie nationale , le cas où il est question d’une entrave ou altération intentionnelle portée au fonctionnement d’un système automatisé de données et le cas où il s’agit d’introduction, d’altération, de suppression, de modification des données ou la modification du mode de leur traitement ou leur transmission.
- Un cadre juridique controversé[58]
La lutte contre la cybercriminalité peut impliquer une action légale susceptible de toucher les criminels comme les citoyens ayant un usage non répréhensible d’Internet. Les outils visant à garantir l’anonymat des internautes, le cryptage des communications mais également le Deep Web et le bitcoin sont utilisés tant par des criminels que des citoyens aux motivations non répréhensibles. Dès lors l’interdiction de ces outils, outre le fait qu’elle semble techniquement difficile, risquerait d’avoir pour principal effet d’en restreindre l’accès pour les citoyens, sans pour autant empêcher les criminels de les utiliser.
De surcroît, certaines mesures d’investigation dans le cyberespace sont critiquées comme contrevenant aux libertés fondamentales. Si le bien-fondé de des objectifs, tels que la lutte contre la cybercriminalité et le terrorisme, n’est pas discuté, la crainte est que des dérives ne naissent en pratique. Sur ce plan on peut citer l’exemple, que nous avons évoqué ci-dessus, de l’affaire du jeune marocain Fouad Mourtada qui a été condamnéTrois ans de prison ferme et 10.000 dirhams pour usurpation de l’identité du prince Moulay Rachid sur le site de réseau social Facebook. Cette affaire a fait couler beaucoup d’encre, « les chaînes de télévision du monde ont relayé l’information. Les plus gros tirages de presse l’ont traitée. Il s’agit d’une première dans l’histoire d’Internet. Un internaute condamné pour un faux profil. Aux Etats-Unis, l’affaire Fouad Mourtada est un cas d’école. Des chercheurs se penchent dessus pour l’étudier sur le plan juridique et éthique. En Nouvelle-Zélande, la lointaine île de l’Océan pacifique, cette histoire est présentée comme l’une des bizarreries du XXIème siècle. Le quotidien New Zealand Herald qualifie le Maroc de « pays étrange ». Les voisins européens, plus familiers des “spécificités” de la terre chérifienne, se contentent de rapporter les faits sans manquer d’exprimer leur incompréhension [59]».
Paragraphe 2 : Perspectives pour instaurer la confiance numérique au Maroc
La sécurité doit être l’affaire de tous et en premier lieu de ceux qui fournissent des services via Internet, des fournisseurs de produits, de solutions, d’équipements et autres intermédiaires techniques. Ils doivent assumer leur part de responsabilité, arrêter de transférer la responsabilité de la sécurité sur d’autres entités ou de s’en décharger. Il faut non seulement des solutions de sécurité d’ordre technologique, une volonté politique mais aussi des lois. Avoir une loi qui ne répond pas au problème n’est pas de grande utilité, mais possède un coût social non négligeable. Pour être efficaces, les lois nécessitent des moyens organisationnels, humains, techniques et financiers pour leur mise en application afin de pouvoir lancer des investigations sur des crimes informatiques, poursuivre des cybercriminels et éventuellement indemniser les victimes. Et encore, ces lois doivent être le résultat d’une volonté internationale de lutter contre la cybercriminalité qui est un fléau transnational. Les nuages radioactifs ne s’arrêtent pas aux frontières du pays, le cybercrime non plus ! Dans un tel contexte, la formation du consommateur est un élément nécessaire mais pas suffisant et lui faire porter le coût et la responsabilité de la sécurité serait injuste. Il ne peut pas se passer raisonnablement d’Internet, vu le nombre de services qui ont disparu ou qui ont été réduits et qui désormais sont uniquement disponibles sur Internet. Cela pour des raisons qui concilient la valeur ajoutée pour le client qui n’a pas à se déplacer et pour le fournisseur qui fait des économies immobilières et de personnel. Il faut vraiment le vouloir pour ne pas tout faire via Internet : du développement de photos, en passant par la banque et autres services de guichet traditionnel, qui ne sont plus disponibles autrement sans attente excessive[60].
La lutte contre la criminalité informatique représente alors, un défi pour l’émergence du Maroc vers une économie de savoir. Conscient de l’importance du jeu et de l’enjeu, le gouvernement marocain a mis une stratégie nationale pour la société de l’information et l’économie numérique. Une stratégie qui considère les TIC[61] en tant qu’ « instruments clés pour le développement humain et économique » tout en considérant leur impact dans productivité et la compétitivité internationale de l’économie nationale. Dans cette perspective, l’objectif principal de cette stratégie et de positionner le Maroc « parmi les pays émergents dynamiques dans les Technologie de l’information ». Pour réaliser tous les objectifs prévus par cette stratégie, le programme Maroc numérique 2013 a mis deux principales mesures d’accompagnement à savoir le capital humain et l’instauration de la confiance numérique. Ces mesures constituent un élément fondamental pour garantir l’émergence d’une économie marocaine de savoir.
En effet, la lutte contre la criminalité informatique exige la mise en place d’autres mesures et réformes outre celles contenues dans la stratégie nationale, notamment la mise en place d’une loi cadre qui pénalise chaque forme de la cybercriminalité et les décrets d’application au lieu de ces articles distribués dans différents textes juridiques. La stratégie nationale prévoit la formation des magistrats comme outil pour assurer la bonne application de la législation sur les TIC, pourtant il est aussi impératif de prévoir la formation de tous ceux et celles qui interviennent de près ou de loin dans l’application de cette législation, notamment, les avocats et les journalistes sachant pertinemment que ces derniers peuvent jouer un rôle très important dans la sensibilisation et l’instauration de la confiance numérique[62].
Pour que le Maroc réussi le parcours de lutte contre la cybercriminalité, il doit arriver à réaliser quelques interventions portant sur plusieurs domaines :
- L’action législative qui se concentrera sur la création d’infractions spécifiques et l’adaptation de la procédure pénale et constitue le chantier pour lequel l’Etat devra mandater des juristes spécialisés en ce domaine.
- La création d’infractions spécifiques:
Les actions qui méritent d’être criminalisées sont celles qui favorisent :
- L’accès par infraction à un système informatique,
- L’interférence dans le fonctionnement licite d’un ordinateur ou d’un système informatique,
- La destruction ou l’altération de données dans un système informatique,
- Le vol de biens incorporels, comme le téléchargement d’œuvres audiovisuelles,
- L’obtention d’avantages par la tromperie.
- Les technologies de fraude visant à obtenir des informations confidentielles comme le phishing.
- La modification d’infractions existantes et de la procédure pénale
Des infractions existantes requerront que dans la définition de leurs éléments constitutifs soient pris en compte les agissements utilisant les technologies de l’information.
La difficulté est accrue par la diversité d’approches qui s’offrent au législateur et, de ce fait, le risque d’échec n’en devient que plus grand[63].
La première démarche possible, que le législateur pourrait, de surcroît, trouver séduisantes, consisterait à faire table rase des principes juridiques existants, prétexte pris de ce que le droit n’est pas gravé dans le marbre et qu’à nouveau temps nouveau droit, qu’à nouvelle technologie nouvelle loi.
Le législateur pourrait également être tenté de croire que la plasticité des règles générales du droit est à même de remédier à toutes les situations susceptibles de se présenter, que l’objet de la problématique soit un vieil instrument ou une nouveauté technique. Il supposerait ainsi que les règles existantes pourraient s’acquitter parfaitement de cette tâche et qu’il suffirait de prôner une interprétation plus libérale des textes, rôle dévolu à la jurisprudence.
Entre les deux démarches précités se situe une position médiane qui réside dans le fait d’adopter une vision évolutive du droit : plutôt que de balayer les principes en vigueur ou de persister à vouloir les conserver tels quels quand bien même ils seraient inapplicables, cette approche préconiserait donc d’adopter le droit actuel au contexte des nouvelles technologies[64].
- Le problème lié à la territorialité du droit pénal
Le droit pénal vise à la préservation de l’ordre public de l’Etat qui le produit. Un Etat, ses lois et ses juridictions, ne peut, sans violer le principe de la souveraineté, légiférer et punir des actes qui se commettent sur le territoire d’un autre Etat. Or l’infraction informatique revêt souvent un caractère transnational.
Des infractions à caractère transnational. Qu’il s’agisse de fraude, de détournement de fonds ou d’extorsion, la difficulté ne réside pas tant dans la qualification de l’infraction que dans son caractère mondial qui rend toute opération de police particulièrement complexe. Ce n’est donc pas tant la règle de droit qui est défaillante que les moyens d’appréhender le coupable.
Conscientes de cette situation, les autorités marocaines et internationales se mobilisent pour développer et coordonner les moyens qu’il convient de mettre en œuvre afin de lutter efficacement contre la fraude sur les réseaux. Le Conseil de l’Europe, dès 1995, avait émis une recommandation en ce sens, incitant vivement les États à coopérer, échanger des données et favoriser les enquêtes, perquisitions et saisies transfrontalières. Cependant, comme le soulignait déjà le député Christian Paul, dans son rapport de juin 20001 au Premier ministre, les lois restent essentiellement tributaires de cadres nationaux, rendant les pouvoirs de perquisition longs et difficiles à mettre en œuvre[65].
- Imiter les pratiques internationales :
Les Etats américaines ont élaboré une Stratégie Interaméricaine Intégrée pour Combattre les Menaces à la cybersécurité. Il est essentiel que la législation marocaine sur la cybercriminalité s’inspire des principes de cette stratégie.
- La sophistication technique
L’Etat marocain devra concevoir et mettre en œuvre d’une manière effective une politique de sécurité des réseaux et de l’information. Les entités administratives et les institutions du secteur privé devront se doter de logiciels et de mécanismes dissuadant l’accès illicite à leurs systèmes ou réseaux d’information. Ces mécanismes devront être à même de détecter tout acte de malveillance et faire entrer les systèmes ou réseaux dans un monde sûr de fonctionnement. Ainsi par exemple, pour ce qui concerne les vols d’identité à volume faible ou modéré, l’implantation généralisée de la technologie de la carte à puce par les institutions financières canadiennes va probablement éroder les occasions s’offrant aux fraudeurs qui privilégiaient jusqu’ici le clonage des cartes de paiement. En France et en Angleterre, des chercheurs ont déjà cerné un certain nombre de vulnérabilités qui permettront sûrement aux fraudeurs une exploitation criminelle dans un avenir plus ou moins proche[66]. Par ailleurs, la proximité du marché bancaire américain, qui n’a pas encore adopté cette technologie, risque de favoriser un déplacement ou une réorientation de la fraude vers cet environnement plus hospitalier. Pour les vols d’identité à grande échelle, les circonstances n’ont jamais été aussi favorables. La prolifération des «botnets» automatise en effet la collecte sur Internet d’éléments identificateurs devenus indispensables pour réaliser des transactions financières en ligne ou commander des biens et des services sur les sites de commerce électronique. Un botnet est un réseau d’ordinateurs constitué de machines appelées «zombies», dont la sécurité a été compromise et qui ont été infectées par des virus ou des logiciels malveillants permettant d’en prendre le contrôle à l’insu de leur propriétaire légitime. Pour les fraudeurs qui n’ont pas de temps à consacrer à l’acquisition de compétences techniques de piratage, des logiciels malveillants qui automatisent la découverte et l’exploitation de vulnérabilités informatiques sont désormais disponibles sur le marché. Ces logiciels fournissent des solutions «clés en main». Les plus populaires de ces botnets (comme ZeuS ou SpyEye) se spécialisent dans le piratage d’informations bancaires et financières. Leurs concepteurs offrent des mises à jour régulières, ce qui dénote leur volonté d’en améliorer constamment la fiabilité et de «professionnaliser» leur activité. Ces applications sont conçues de manière à échapper à la vigilance des programmes antivirus, ce qui explique leur présence sur les équipements informatiques de 88% des plus grandes entreprises américaines[67] et, par conséquent, la compromission des renseignements personnels qui transitent par ces machines. Un site spécialisé dans le suivi des activités d’un de ces logiciels (zeustracker.abuse.ch) recensait au 20 janvier 2012 environ 680 serveurs de commandement et de contrôle en activité, qui correspondent à autant de pirates ayant installé et activé leur version, un pic de 1 500 serveurs ayant été atteint en décembre 2010. Le déclin de 2012 ne correspond pas à une réduction de la fraude mais plutôt à l’apparition constante de nouveaux «produits» qui cherchent à se tailler une place sur ce marché de plus en plus lucratif[68].
- La formation des ressources humaines
L’Etat marocain doit fournir un gros effort pour se doter des ressources humaines compétentes sur lesquelles s’appuiera effectivement la lutte contre la cybercriminalité :
- organiser des cycles de formation et des actions de sensibilisation au profit du personnel des administrations et organismes publics ;
- Un service spécialisé à cet effet doit être créé au sein de la Direction générale de la sureté nationale.
- Au niveau des parquets l’Etat doit identifier les personnes responsables qui recevront une spécialisation en vue de la constitution des dossiers devant être portés devant les juridictions répressives.
- Au niveau ministériel : ces efforts seront pilotés par une cellule à installer au Ministère chargé de la sécurité nationale. Ce ministère mettra sur pied un Groupe d’Alerte, de Surveillance et d’Avertissement ou Equipe de Réponse aux Incidents Relatifs à la Sécurité Informatique.
Conclusion du deuxième chapitre
[1] – J. CARBONNIER, Sociologie juridique, P.U.F., 1978, p.401.
[2]– D. MARTIN, La menace de la cybercriminalité, Problèmes Economiques, n2706 du 28 mars 2001, p. 20 ; V. en ce sens également, P. BOURE, Internet et la lutte contre la cybercriminalité, Gaz. Pal., 22et 23 jan. 2003, Gaz. Du dr. des tech. Av., n 22et 23, p.19.
[3]– J. DEVEZE, la fraude informatique aspects juridiques, JCP G. ? 1987, doct. I. p.3.
[4] – Information rapportée par l’agence officielle MAP, cf. à ce sujet, http://perso.wanadoo.fr/fiweb/chronicnet31.htm.
[5] – RMAIL. B, Criminalité informatique ou liée aux nouvelles technologies de l’information et de communication, p 244, op.cit-
[6] – J.-F. CASILE, Le code pénal à l’épreuve de la délinquance informatique, Presse Universitaires d’Aix-Marseille, 2002, 2002, p. 360.
[7] – MOHAMED DIYAA TOMLILT. Op.cit., p 212.
[8] – Dahir n 1-03-140 du 28 mai 2003 portant promulgation de la loi n° 03-03 relative à la lutte contre le terrorisme, B.O. n° 5114 du 5 juin 2003.
[9] – Loi n° 07-03 promulguée par le dahir n° 1-03-197 du 11 novembre 2003, B.O. n°5184 du 5 février 2004.
[10] -MOHAMED TOUMLILT. Op. cit. P., 213.
[11]– CHRISTIANE FÉRAL-SCHUHL, Cyber droit : DROIT À L’ÉPREUVE DE L’INTERNET, PRAXIS DALLOZ SIXIÈME ÉDITION 2010. P. 914-915 .
[12] – MOHAMED TOUMLILT. Op.cit. P214.
[13] – CA Paris, 11ème ch., 5 avr.1994, JCP E 1995, I, n°461, obs. Vivant et le Stanc; Petites Affiches, 5 juill. 1995, n° 80, p. 13, obs. Alvarez.
[14] -CA Rennes, 6 fév. 1996, Expertises, 1996, n° 199, p. 406.
[15] – A. BENSOUSSAN, Internet : aspects juridiques, petites Affiches, n° 134 du 7 nov. P.12
[16] Cf. en ce sens, F. DUFLOT, les infections informatiques, DESS, Paris XI, 2004, p 29.
[17] – D. PARREY, La criminalité informatique, DEA? Paris II, 2004, p 55.
[18] – MOHAMED CHAWKI, « Combattre la cybercriminalité », page 150
[19] – CA Toulouse 21 janvier 1999, Juris-Data n°040054
[20] MOHAMED DIYAA TOUMLILT. Op. cit. p 215.
[21] Ibid. p 218.
[22] – 6 La Cour d’appel de Paris a considéré l’envoi automatique de messages et l’utilisation de programmes simulant la connexion de multiple Minitel à un centre serveur, perturbant ainsi les performances du système et entraînant un ralentissement de la capacité des serveurs, comme étant constitutif du délit d’entrave au fonctionnement d’un STAD.
[23] – MOHAMED DIYAA TOUMLILT. Op. cit. p 226.
[24] – P.JOUGLEUX, La criminalité dans le cyberespace, DEA, Université d’Aix-Marseille, 1999, p 43.
[25] -MOHAMED DIYAA TOUMLILT. Op. cit. p 226.
[26] – J.HUET, Vers une consécration de la preuve et de la signature électronique, D. 2000, n°6, p. 95.
[27] – – MOHAMED DIYAA TOUMLILT. Op. cit., p 444.
[28] – P,-Y GAUTIER et X.LINANT de BELLEFONDS, De l’écrit électronique et des signatures qui s’y attachent : JCP G2000, I, 236.
[29] – F. MAS, La conclusion des contrats du commerce électronique, LGDJ, 2005. P. 235.
[30] -P. CATALA, Ecriture électronique et actes juridiques, Mélanges Cabrillac, Dalloz et Litec, 2000. P. 91.
[31] – MOHAMED DIYAA TOUMLILT. Op. cit., p. 448.
[32] – Ibid.
[33] – Ali EL AZZOUZI Ali un expert en sécurité SI. Ayant plus de 10 ans d’expérience en sécurité
de l’information est président de l’entreprise Dataprotect qui a été créée en 2016.
[34] -ALI EL AZOUZI, La cybercriminalité au Maroc, 2010. P. 122, 123,124.
[35]– MOHAMED DIYAA TOUMLILT. Op. cit., p. 451.
[36] Inspirée de la célèbre loi française Informatique et Libertés, la loi n° 09-08 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel a été publiée au Bulletin Officiel n° 5744 du 18 Juin 2009, après avoir été promulguée par le Décret n° 2-09-165, en date du 21 mai 2009. Elle introduit, pour la première fois, dans le paysage juridique marocain, un ensemble de dispositions légales harmonisées avec le droit européen et, notamment, avec la Directive Communautaire n° 95/46
[37] – Commission nationale de contrôle de la protection des données à caractère personnel.
[38] – Dr. FOUAD BENSEGHIR, Données Personnelles Electroniques, Série LEGISLATION ELECTRONIQUE, P.7.
[39] – Ibid. p.9.
[40] – Ibid. article 5. P.19.
[41] – Ibid. article 9. P.23
[42]– Ibid. article7. p. 21.
[43] – Ibid. article 8. P. 22.
[44]– Ibid. article 12. P. 25
[45] – Ibid. article 23. P.
[46]– Ibid. article 23. P. 31.
[47] – DR. FOUAD BENSEGHIR. Op.cit. p. 10.
[48] – BOUCHAIB RMAIL. Op.cit. 293.
[49] – ERIC .A. CAPRIOLI, PASCAL AGOSTI, ISABELLE CANTERO, ILENE CHOUKRI. Op.cit. p. 249.
[50] – Dr. FATIMA ROUMATE, Présidente et Fondatrice de l’Institut International de la Recherche Scientifique, La lutte contre la cybercriminalité : défis pour l’émergence d’une économie du savoir marocaine, Institut International De la Recherche Scientifique.
Section: RECHERCHES
[51] – Ibid.
[52] – MOHAMED DIYAA TOUMLILT. Op.cit. p.35.
[53] – Le dernier exemple est celui de la loi relative à la nationalité marocaine et notamment l’octroi de cette dernière aux enfants nés de mère marocaine et de père étranger.
[54] – Comme ce fut le cas concernant la loi sur les sociétés commerciales.
[55] – BOOCHAIIB RLMAIL. Op.cit. p.286.
[56] – (B. RMAIL) Ibid .p. 292.
[57] – BOUCHAIB) Ibid p. 293.
[58] – La lutte contre la cybercriminalité PAR CRIM’HALT, le 17 JUILLET 2016. Dans publications.
[59] -Loubna Bernichi, Fouad Mourtada, une vie brisée, Maroc Hebdo.9 mars 2008.
[60] – Solange Ghernaouti-Hélie .op.cit. p.69.
[61] – Technologies de l’information et de la communication.
[62] – Ministère de l’Industrie du Commerces et des Nouvelles Technologies, Maroc numérique : Stratégie nationale pour la société de l’information et l’économie numérique 2009 – 2013, Rabat 2009.
[63] MOHAMED DIYAA TOUMLILT. Op.cit. p. 35,36.
[64] – Cette dernière approche o manifestement reçu les faveurs du législateur marocain, du moins en ce qui a trait au contenu et aux effets de l’offre électronique ainsi qu’à la mise à niveau du système probatoire marocain, et ceci tel qu’il ressort de la loi n°53-05 relative à l’échange électronique de données juridiques, promulguée par le Dahir n°1-07-129 du 30 novembre 2007 ( B.O. n°5584 du 6 décembre 2007).
[65]CHRISTIANE FÉRAL-SCHUHL , PRAXIS DALLOZCYBERDROITLE DROIT À L’ÉPREUVE DE L’INTERNET, PRAXIS DALLOZ SIXIÈME ÉDITION 2010. P. P. 1009- 1010.
[66] – BRARD, J.-P.(2001). Avis no2992 présenté au nom de la Commission des nances, de l’économie générale et du plan, sur le projet de loi relatif à la sécurité quotidienne, Paris, Assemblée nationale
[67] – BRIGHT, P.(2010). « Almost all Fortune 500 companies show Zeus botnetactivity», ars technica, 15 avril [En ligne] arstechnica.com/security/news/2010/04/almost-all-fortune-500-companies-show-zeus-botnet-activity.ars (consulté le 22 janvier 2012).
[68]FRANCIS FORTIN, op.cit. p. 232-233 –