Chaque jour, des milliers de particuliers et d’entreprises sont victimes d’attaques numériques dont ils ignorent souvent les recours légaux. La cybercriminalité et le droit forment un couple indissociable que tout citoyen connecté devrait comprendre. En 2021, le coût mondial de la cybercriminalité a été estimé à 400 milliards de dollars, un chiffre qui illustre l’ampleur du phénomène. Pourtant, la réponse juridique reste méconnue du grand public. Quelles infractions sont réellement punissables ? Quelles institutions vous protègent ? Comment réagir après une attaque ? Cet état des lieux juridique vous donne les clés pour ne plus naviguer à l’aveugle face aux menaces numériques.
Comprendre la cybercriminalité et ses multiples visages
La cybercriminalité désigne l’ensemble des activités criminelles menées via Internet ou des réseaux informatiques. Derrière ce terme générique se cachent des réalités très différentes, qui n’appellent pas les mêmes réponses pénales. Comprendre la typologie des infractions, c’est déjà mieux se défendre.
Le phishing reste la forme la plus répandue. Un cybercriminel usurpe l’identité d’une banque, d’un opérateur téléphonique ou d’une administration pour soutirer des identifiants ou des coordonnées bancaires. La technique est simple, le préjudice souvent lourd. À l’opposé, le ransomware (ou rançongiciel) s’attaque directement aux systèmes informatiques : un logiciel malveillant chiffre les données de la victime, qui doit payer une rançon pour en retrouver l’accès. Les hôpitaux, collectivités locales et PME ont été particulièrement ciblés ces dernières années.
D’autres formes de cybercriminalité méritent d’être nommées : le vol de données personnelles, l’espionnage industriel via des intrusions dans des systèmes d’information, la diffusion de contenus illicites (pédopornographie, apologie du terrorisme), ou encore les arnaques en ligne à la fausse annonce. Chacune de ces infractions relève de qualifications pénales distinctes en droit français.
Une distinction s’impose entre les infractions spécifiques au numérique — celles qui ne peuvent exister que via un réseau informatique — et les infractions classiques commises par voie numérique, comme l’escroquerie ou la diffamation. Cette différence conditionne les textes applicables et les juridictions compétentes. En 2022, près de 60 % des entreprises françaises ont déclaré avoir subi au moins une cyberattaque, selon les enquêtes sectorielles. Ce chiffre place la menace numérique au même niveau que les risques physiques traditionnels pour les directions juridiques et les assureurs.
Le cadre légal français face aux infractions numériques
La France dispose d’un arsenal juridique solide pour réprimer la cybercriminalité, même si ce cadre évolue constamment pour s’adapter aux nouvelles menaces. Le socle repose sur la loi Godfrain du 5 janvier 1988, première loi française à incriminer spécifiquement les atteintes aux systèmes de traitement automatisé de données (STAD). Ses dispositions ont été intégrées dans le Code pénal aux articles 323-1 à 323-8.
Ces textes punissent l’accès frauduleux à un système informatique, le maintien dans ce système, et toute entrave à son fonctionnement. Les peines vont de deux à cinq ans d’emprisonnement et de 60 000 à 150 000 euros d’amende, selon la gravité des faits et la qualité de la victime (particulier, administration, opérateur d’importance vitale). Lorsque l’infraction touche des infrastructures critiques, les sanctions sont aggravées.
Le Règlement général sur la protection des données (RGPD), entré en application en mai 2018, a renforcé les obligations des organisations en matière de sécurité informatique. Une violation de données personnelles doit être notifiée à la CNIL dans les 72 heures suivant sa découverte. Le non-respect de cette obligation expose l’entreprise à des sanctions administratives pouvant atteindre 4 % du chiffre d’affaires mondial annuel.
Le délai de prescription pour les infractions liées à la cybercriminalité est fixé à 3 ans en matière correctionnelle, à compter du jour où l’infraction a été commise ou découverte. Ce délai relativement court impose aux victimes de déposer plainte rapidement, sans attendre. Les ressources disponibles sur des plateformes juridiques généralistes comme Droit permettent aux particuliers de mieux identifier leurs droits avant de consulter un professionnel spécialisé. La loi prévoit par ailleurs des dispositifs spécifiques pour les infractions commises à l’encontre de mineurs, avec des délais de prescription allongés.
Au niveau européen, la directive NIS2 (Network and Information Security), adoptée en 2022, étend les obligations de cybersécurité à un périmètre d’entités beaucoup plus large que la directive initiale de 2016. Les États membres devaient la transposer en droit national avant octobre 2024, ce qui a conduit la France à réviser plusieurs textes réglementaires.
Les institutions qui traquent les cybercriminels
Face à des infractions qui ignorent les frontières, la réponse institutionnelle s’organise à plusieurs échelles. En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) joue un rôle central. Elle publie des alertes, accompagne les organisations victimes d’attaques et fixe les standards de sécurité pour les administrations et les opérateurs stratégiques. Son site ssi.gouv.fr constitue une référence pour toute organisation cherchant à évaluer sa posture de sécurité.
La CNIL surveille le respect du RGPD et peut prononcer des sanctions financières significatives. Elle reçoit les plaintes des particuliers dont les données ont été collectées ou traitées de manière illicite. En 2022, la CNIL a prononcé des amendes record contre plusieurs acteurs du numérique, dont des plateformes étrangères opérant sur le territoire français.
Du côté judiciaire, le parquet de Paris dispose d’une section spécialisée dans la lutte contre la cybercriminalité, et la gendarmerie nationale comme la police nationale ont développé des unités d’enquête dédiées. Le Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie traite les affaires les plus complexes, souvent en lien avec des réseaux internationaux.
À l’échelle internationale, Europol coordonne les opérations entre États membres de l’Union européenne. Son centre EC3 (European Cybercrime Centre) produit des rapports annuels sur les tendances de la cybercriminalité et pilote des opérations conjointes contre les infrastructures criminelles. Interpol, de son côté, facilite la coopération entre les 195 pays membres pour démanteler des réseaux opérant sur plusieurs continents. Ces deux organisations ont conduit plusieurs opérations retentissantes contre des groupes de ransomware ces dernières années.
Prévenir et réagir face à une attaque numérique
Subir une cyberattaque sans savoir quoi faire dans les premières heures, c’est souvent aggraver le préjudice. La réaction doit être rapide, méthodique et documentée. Voici les étapes à suivre :
- Isoler les systèmes compromis : déconnecter les machines infectées du réseau pour stopper la propagation, sans les éteindre afin de préserver les preuves numériques.
- Conserver les preuves : captures d’écran, journaux de connexion, e-mails frauduleux — tout élément susceptible d’être utilisé lors d’une procédure judiciaire doit être archivé.
- Déposer plainte : auprès du commissariat ou de la gendarmerie, ou directement via la plateforme THESEE pour les escroqueries en ligne. La plainte déclenche le délai de prescription et ouvre la voie à une indemnisation.
- Notifier la CNIL si des données personnelles ont été compromises, dans un délai de 72 heures pour les entreprises soumises au RGPD.
- Contacter son assureur : de nombreuses polices d’assurance incluent désormais une couverture cyber, à condition que l’incident soit signalé dans les délais contractuels.
La prévention reste la meilleure stratégie. Former les collaborateurs à reconnaître un e-mail de phishing, mettre à jour régulièrement les logiciels, activer l’authentification à deux facteurs sur tous les comptes sensibles : ces pratiques réduisent drastiquement la surface d’attaque. Une PME qui investit dans ces mesures de base divise par quatre le risque de compromission réussie, selon les estimations de l’ANSSI.
Pour les entreprises, la mise en place d’une politique de sécurité des systèmes d’information (PSSI) formalisée n’est plus une option réservée aux grandes structures. Les incidents récents montrent que les PME sont souvent ciblées précisément parce qu’elles sont perçues comme moins bien protégées que les grands groupes. Désigner un référent cybersécurité, même sans créer un poste dédié à temps plein, change la donne en termes de réactivité.
Seul un avocat spécialisé en droit du numérique peut apporter un conseil personnalisé adapté à votre situation. Les informations générales permettent de s’orienter, mais la complexité des infractions numériques, la diversité des régimes de responsabilité et la rapidité des évolutions législatives rendent le recours à un professionnel du droit indispensable dès lors que le préjudice est significatif.