Résumé - L’aspect législatif de la lutte contre la cybercriminalité

Réalisé par :
Basma ABOUFATIMA
Alaa BOUDRIG
Malak EL ALAOUI BOUFARES
Wissal RAHLI

Encadré par :
Pr. Karim SEFFAR

INTRODUCTION

L’ère numérique permet l’accès à la culture et à la connaissance, et favorise les échanges entre
les personnes par-delà les frontières. Grâce à elle, il est possible de constituer une économie en
ligne et rapprocher le citoyen de son administration. Les technologies numériques sont
porteuses d’innovations et de croissance.

Mais il est toutefois à observer que comme chaque progrès, celui numérique génère des
failles nouvelles, sources de menaces et de risques, portant la criminalité à une expertise
plus poussée, engendrant de ce fait ce que l’on nomme « cybercriminalité ».

Désormais, le droit pénal est confronté à un nouvel espace qu’il ne peut ignorer : le cyberespace.
C’est dans cet univers immense et dense que va se développer la cybercriminalité.

« Utilisant des procédés nouveaux, les actes cybercriminels se manifestent sous des aspects
inhabituels et méconnus qui pourraient impliquer, semble-t-il, la mise en échec de la protection
du droit pénal1 ». Il s’agit dès lors de s’interroger sur l’adaptabilité et l’efficacité du droit
pénal traditionnel face à la cybercriminalité, phénomène extrêmement moderne ;
autrement dit, lorsqu’il s’agit de criminalité sur Internet, est-il encore pertinent d’adopter
la même stratégie pénale ou faut-il repenser les règles répressives ?

Pour répondre à notre problématique, il est judicieux de scinder notre étude en deux grandes
parties ; la première traitant l’arsenal juridique de lutte contre la cybercriminalité (Partie I), la
seconde analysant le droit pénal à l’épreuve du numérique et qui sera intitulée : ‘‘droit pénal et
numérique : concilier l’inconciliable’’ ? (Partie II).

1
A. JABBER, Les infractions commises sur Internet, L’Harmattan, 2011, p. 16.
 PARTIE I : APERÇU DE L’ARSENAL JURIDIQUE DE LUTTE
CONTRE LA CYBERCRIMINALITE

Nous analyserons successivement l’arsenal juridique marocain (Section I), international et

européen (Section II) mis en place pour lutter contre la cybercriminalité.

Section I : L’arsenal juridique marocain de lutte contre la cybercriminalité

Le législateur marocain s’est engagé dans la lutte contre la cybercriminalité à travers des
dispositions pénales (Sous-Section I) et des lois spéciales traitant ce fléau (Sous-Section II).

Sous-Section I : Les dispositions pénales liées à la cybercriminalité

Les dispositions pénales liées à la cybercriminalité sont la loi n° 07-03 complétant le code pénal
en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données
(I), la loi n° 103-13 relative à la lutte contre les violences faites aux femmes (II) et enfin la loi
n° 03-03 relative à la lutte contre le terrorisme (III).

I. La loi n° 07-03 complétant le code pénal en ce qui concerne les infractions

relatives aux systèmes de traitement automatisé des données

Jusqu’à octobre 2003, le phénomène de la cybercriminalité au Maroc n’a fait l’objet d’aucune
disposition législative visant à le réprimer. Par conséquent, les dispositions du Code pénal se
révélaient parfaitement inadaptées aux spécificités du phénomène. Face à cette situation, le
législateur Marocain s’est trouvé contraint d’enrichir le Code pénal par des dispositions
susceptibles de s’appliquer aux infractions commises par voie informatique ou électronique.
C’est ainsi que la loi n° 07-03 complétant le Code pénal en ce qui concerne les infractions
relatives aux systèmes de traitement automatisé des données a vu le jour en 20032.

Reproduite à partir de la loi française du 5 janvier 1988 dite loi Godfrain3, la loi n° 07-03 traite
des atteintes aux systèmes de traitement automatisé des données (STAD). Elle réprime les
intrusions frauduleuses dans un STAD (1), et les atteintes visant un STAD (2).

1. Les intrusions dans un STAD

Les intrusions dans un STAD couvrent l’accès frauduleux (a) d’une part, et le maintien
frauduleux dans un STAD (b), d’une autre part.

2
F. BELHADRI, La gouvernance sécuritaire au Maroc - approche juridique en interaction avec les autres
déterminants de la bonne gouvernance, Remald, Manuel et travaux universitaires n° 133, 2020.
3
La loi Godfrain du 5 janvier 1988, ou loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique, est la
première loi française réprimant les actes de criminalité informatique et de piratage.
 a. L'accès frauduleux à un STAD

L'accès frauduleux à un système consiste en toute action de pénétration ou d'intrusion,

connexion pirate, tant physique que logique.
C'est le cas par exemple lorsqu'un ordinateur personnel contenant des données personnelles a
fait l'objet d'un accès frauduleux de la part d'un tiers, appelé « délinquant informatique ».
L’article 607-3 du code pénal marocain interdit tous les accès non autorisés dans les STAD,
que ce soit par malveillance, par défi, ou par jeu et que l'accès sans droit s'effectue directement
sur la machine visée ou à distance. L’accès tombe donc sous le coup de la loi pénale lorsqu'il
est le fait d'une personne qui n'a pas le droit d'accéder au système ou n'a pas le droit d'y accéder
de la manière qu'elle a employée.

L’accès frauduleux suppose la connaissance du délinquant d'accéder anormalement et sans

autorisation dans un STAD sans que l'intention de nuire soit exigée. L'intention de s'introduire
frauduleusement doit donc être établie. Selon la jurisprudence, la preuve du caractère
frauduleux de l'accès pourra en effet, « résulter du contournement ou de la violation du
dispositif de sécurité, comme la suppression délibérée des instructions de contrôle, de l'appel
d'un programme ou d'une consultation de fichier sans habilitation4 ».

La question que nous pouvons nous poser à ce stade de réflexion est la suivante : Peut-on
condamner l'auteur d'un accès frauduleux lorsqu'il n'a violé aucun système de sécurité ?
Autrement dit, la protection du système est-elle une condition d'application de l'art. 607-3 du
code pénal marocain ?
Malheureusement ni le législateur, ni la doctrine, ni la jurisprudence ne se sont prononcés sur
la question de la protection du système informatique. Cela peut être imputé à la rareté des
affaires portées devant les juridictions marocaines, ainsi qu'au caractère technique de la
question5.

b. Le maintien dans un STAD

Le maintien est la suite naturelle de l'accès. En effet, lorsque l'accès est légal, le maintien sur
un système automatisé de données peut être frauduleux, lorsque l'auteur du maintien se trouve
privé de toute habilitation6. Une personne, qui se serait immiscée par erreur dans un système,
mais s'y serait maintenue de manière consciente, rentre ainsi dans le cadre l'incrimination. C'est
pourquoi le maintien dans un STAD est tributaire de prolongement d'un accès audit système7.
Un informaticien, par exemple, qui après son licenciement, a conservé le code d'accès au
système de son ancien employeur et se promène dans celui-ci, causant même des dommages
graves, sera condamné pour maintien dans un STAD.

2. Les atteintes à un STAD

4
M. BIBENT, Le droit de traitement de l’informatique, Eyrolles, Paris, 2000, p. 120.
5
K. ENNASHI, op. cit., p. 29.
6
CA Paris, 11ème Ch., 5 avril 1994, Jurisdata N° 1994-0211093.
7
CA Toulouse, 21 janvier 1999.
La loi réprime les atteintes au fonctionnement d’un STAD (1), et les atteintes aux données (2).

a. Les atteintes au fonctionnement d’un STAD

L’article 607-5 du code pénal marocain dispose à cet effet que « le fait d'entraver ou de fausser
intentionnellement le fonctionnement d'un système de traitement automatisé des données est
puni d'un an à trois ans d'emprisonnement et de 10.000 à 200.000 dirhams d'amende ou de
l'une des deux peines seulement8 ».

Généralement, l'atteinte au fonctionnement d'un STAD peut être effectuée de manières très
diverses, notamment par tout comportement ou toute action qui va entraîner temporairement ou
de manière permanente une entrave dans le fonctionnement du système, une dégradation du
système, voire le rendre totalement inutilisable. On peut citer l’exemple de l’employé qui
change les mots de passe d'accès à un système dans le but de le rendre inutilisable.

Il est à souligner que l'atteinte au fonctionnement d'un STAD pour qu'elle soit retenue, l'auteur
doit avoir conscience que ses actes vont dégrader les performances d’un système, voire le rendre
inopérant.

b. Les atteintes aux données

L’article 607-6 du code pénal dispose que « le fait d'introduire frauduleusement des données
dans un système de traitement automatisé ou de détériorer ou de supprimer ou de modifier
frauduleusement les données qu'il contient est puni d'un an à trois ans d'emprisonnement et de
10.000 à 200.000 dirhams d'amende ou l'une de ces deux peines seulement9 ». En réalité, toute
manipulation de données, qu'il s'agisse de les introduire, de les supprimer, de les modifier ou
de les maquiller, provoque en toutes circonstances, une altération du système10. C'est le cas par
exemple d'une personne, Hacker, qui 'subtilise' une photo d'un individu, la modifie avec un
logiciel informatique et la publie sur internet comme Facebook ou Instagram ou autre outil,
pour nuire à la personne concernée.

Enfin, il convient de signaler que pour tous ces délits, aussi bien pour les intrusions (accès et
atteintes frauduleux au STAD) que pour les atteintes (atteintes au fonctionnement et atteintes
aux données d'un STAD), la tentative est punie des mêmes peines.

II. La loi n° 103-13 relative à la lutte contre les violences faites aux femmes

Les actes incriminés par la loi n° 103-13, et qui sont liés au crime numérique, sont multiples. Il
s'agit de :

8
L’article 607-5 du code pénal marocain.
9
L’article 607-6 du code pénal marocain.
10
A. El AZZOUZI, La cybercriminalité au Maroc, 2010, p. 118.
 § L'interception, l'enregistrement, la diffusion ou la distribution de paroles ou
d'informations émises dans un cadre privé ou confidentiel ;
§ La capture, l'enregistrement, la diffusion ou la distribution de la photographie d'une
personne se trouvant dans un lieu privé, sans son consentement ;
§ La distribution ou la diffusion d'un montage composé de paroles ou de la photographie
d'une personne ainsi que le fait de procéder à la diffusion ou à la distribution de fausses
allégations ou de faits mensongers.

Le législateur a prévu pour ces infractions une peine d'emprisonnement allant jusqu'à 3 ans de
prison. En cas de circonstances aggravantes, cette peine peut aller jusqu’à 5 ans.

III. La loi n° 03-03 relative à la lutte contre le terrorisme

1. Les éléments constitutifs de l'infraction terroriste commise par voie numérique

Le législateur pénal marocain a traité la question du terrorisme numérique au niveau de l'article

218 du Code pénal. Pour parler du cyberterrorisme, il faut, tout d'abord, la réunion de deux
éléments constitutifs : l'un matériel (a) et l'autre moral (b).

a. L'élément matériel de l'infraction du cyberterrorisme

Les aspects de l'élément matériel sont très variés. C'est le cas de l'utilisation ou de la menace de
violence contre les ressources nationales du pays et toute incitation, par voie numérique, contre
le régime politique existant, que ce soit à titre individuel ou collectif. Il s'agit, en outre, de tout
acte, par voie numérique qui vise à bouleverser l'économie nationale ou la société. On peut
ajouter, enfin, comme élément matériel de l'infraction du cyberterrorisme, le fait, ou même la
menace, visant de mettre la sécurité de la société en danger, et ce, par voie électronique, et qui
tombe, en effet, sous le coup de la criminalité numérique11.

b. L'élément moral de l'infraction du cyberterrorisme

L'infraction terroriste, par voie numérique, est un crime qui exige l'existence d'une intention
coupable. Autrement dit, l'auteur de l'acte doit être conscient de ses faits et conscient qu'il
cherche à obtenir un résultat criminel par la commission de son infraction, c'est-à-dire porter
atteinte à l'ordre public en exerçant l'intimidation, la terreur ou la violence12.

2. L’infraction de l’apologie du terrorisme par le biais des systèmes numériques

L'apologie du terrorisme est le fait de commenter favorablement des attentats terroristes, déjà
commis, ou même d'inciter à commettre des actes terroristes, qui peuvent être des crimes ou
des délits. Pour être réprimée, l'apologie doit, en outre, être faite publiquement, c'est le cas de

11
K. ENNASHI, op. cit., p. 42.
12
B. RMAIL, Criminalité informatique ou liée aux nouvelles technologies de l'information et de la communication,
Imprimerie Somagram, 2005, p. 295
la publier sur l'un des réseaux sociaux13. Elle est punie d'un emprisonnement de 2 à 6 ans et
d'une amende de 10.000 à 200.000 DH.

Sous-Section II : Les lois spéciales traitant de la cybercriminalité

Au Maroc, il existe plusieurs lois qui traitent de la criminalité numérique, mais qui ne figurent
pas dans le Code pénal. Parmi ces lois, nous pouvons citer la loi n° 05-20 relative à la
cybersécurité (I) ainsi que la loi n° 43-20 relative aux services de confiance pour les transactions
électroniques (II).

I. La loi n° 05- 20 relative à la cybersécurité

La loi n° 05-20 relative à la cybersécurité prévoit « des mesures de protection des systèmes
d’information pour les exploitants des réseaux publics de télécommunications, les fournisseurs
d’accès à internet, les prestataires de services numériques, les prestataires de services de
cybersécurité et les éditeurs de plateformes internet14 ». Ainsi, ils sont les garants du
renforcement de la Sécurité des Systèmes d’Information, des entités et des infrastructures
d’importance vitale. En plus, cette loi prévoit aussi « la conservation des données techniques
utiles pour l’identification des incidents de cybersécurité, le signalement de tout incident
susceptible d’affecter la sécurité des systèmes d’information de leurs clients et la prise de
mesures de protection nécessaires en vue de prévenir et neutraliser les menaces ou atteintes les
ciblant15 ». Ces normes légales seront-elles alors respectées rigoureusement et de façon éthique
sachant bien que des sanctions pécuniaires sont prévues en cas de non-respect de la loi ?
Aussi, un cadre de gouvernance de la cybersécurité a été mis en place à travers la création de
l’Autorité Nationale de la Cybersécurité (ANC), dont le rôle est mettre en oeuvre la stratégie
cybersécuritaire de l’État.
On ne peut voir ainsi l’étendue de la cyberéthique que si les entités adoptent un comportement
responsable et qu’elles respectent les obligations légales et déontologiques que leur incombent
la loi n° 05-20 (1). On parle alors d’éthique de responsabilité. Des sanctions sont prévues en
cas de non-respect desdites obligation de sécurité (2).

1. Les obligations légales de sécurité imposées par la loi n° 05-20 : des mesures
éthiques

Les exigences imposées par la loi n° 05-20 s’articulent autour de trois axes : Détection et gestion
des risques, notification des incidents de sécurité, mesures de sécurité et audit.
La législation marocaine s’est, à ce propos, inspirée de son homologue française mais tout en
gardant une empreinte nationale. En effet, dans chaque entité, « un responsable de la sécurité

13
K. ENNASHI, op. cit., p. 44.
14
Direction Générale de la Sécurité des Systèmes d’Information, Adoption par le Parlement du projet de Loi n°
05.20 sur la CyberSécurité [en ligne ], [consulté le 5 avril 2022], https://www.dgssi.gov.ma/fr/content/adoption-
par-le-parlement-du-projet-de-loi-ndeg-0520-sur-la-cybersecurite.html
15
Ibid.
des systèmes d’information indépendant, interlocuteur unique de l’ANC, doit être nommé16 ».
A cet égard, la loi a prévu des mesures spécifiques pour les infrastructures d’importance vitale
disposant de systèmes d’information sensibles. Ainsi, la liste des secteurs d’activité
d’importance vitale doit être fixée par voie réglementaire17 et « doit être tenue secrète et
actualisée au moins tous les deux ans18 ». Dans le même sens, « un guide d’homologation de
la sécurité des systèmes d’information sensibles devra être fixé par l’ANC19 », et «
l’encadrement juridique concerne tous les opérateurs qui ont l’obligation éthique de respecter
les directives émanant de cette instance20 ». En matière de gouvernance de la cybersécurité, «
un comité stratégique est chargé d’élaborer les orientations stratégiques de l’État, en matière
de sécurité informatique mais aussi d’évaluer annuellement le bilan d’activité de l’ANC21 ».
En somme, toutes ces mesures prévues par la loi n° 05-20 permettront certainement de mieux
gérer le fléau de la cybercriminalité. Généralement, toutes ces mesures prévues par cette loi ont
incontestablement pour objectif de mieux renforcer la cybersécurité marocaine, notamment au
sein des institutions qui doivent adopter un comportement responsable mais aussi au niveau du
cyberespace afin de mieux gérer le fléau de la cybercriminalité.

2. Des sanctions pécuniaires lourdes

Des sanctions sont prévues en cas de non-respect des mesures édictées par la loi, auxquelles
doivent se conformer les entités concernées du secteur privé ou public. En cas d’infraction,
l’ANC est habilitée « à établir des procès-verbaux de constatation et les transmettre au
ministère public22 ». Des amendes de 100 000 à 400 000 dirhams sont applicables en fonction
des infractions constatées, telles que définies par la loi23.

II. La loi n° 43-20 relative aux services de confiance pour les transactions
électroniques

Promulguée pour combler les failles et lacunes de la loi 53-20 relative à l’échange électronique
des données juridiques, la loi n° 43-20 relative aux services de confiance pour les transactions
électroniques a pour objet de fixer le régime applicable aux services de confiance pour les
transactions électroniques, aux moyens et prestations de cryptologie et aux opérations
effectuées par les prestataires de services de confiance et les règles à respecter par ces derniers
et les titulaires des certificats électroniques. Elle fixe également les prérogatives de l’Autorité
nationale des services de confiance pour les transactions électroniques24.

16
L’article 6 de la loi n° 05-20.
17
L’article 15 de la loi n° 05-20.
18
L’article 16 de la loi n° 05-20.
19
L’article 19 de la loi n° 05-20.
20
L’article 26 et suivants de la loi n° 05-20.
21
L’article 35 de la loi n° 05-20.
22
L’article 48 de la loi n° 05-20.
23
Les articles 49 et 50 de la loi n° 05-20.
24
Direction Générale de la Sécurité des Systèmes d’Information, Loi n°43-20 relative aux services de confiance
pour les transactions électroniques, [en ligne ], [consulté le 5 avril 2022], https://www.dgssi.gov.ma/fr/content/loi-
ndeg43-20-relative-aux-services-de-confiance-pour-les-transactions-electroniques.html
La loi n° 43-20 prévoit un traitement pénal aussi bien pour les prestataires de services de
confiance (1), que pour les utilisateurs (2).

1. Le traitement pénal des prestataires de services de confiance

Dans ce cadre, la loi nº 43-20 a incriminé les actes liés à :

§ La fourniture de services de confiance qualifiés sans agrément ;
§ La fourniture d’un service de confiance autre que qualifié sans déclaration ;
§ La violation des secrets des informations ;
§ Le recours à des moyens de cryptographie sans autorisation ou déclaration.

2. Le traitement pénal des utilisateurs

Ce traitement se traduit par un ensemble d'actes incriminés par la loi. Il s'agit en l'occurrence
de :
§ La fourniture de fausses déclarations ou de faux documents ;
§ L'utilisation de la signature d'autrui
§ L'utilisation d'un certificat électronique arrivé à échéance ou révoqué ;
§ L'utilisation de la cryptographie pour commettre un délit ou un crime ou pour préparer
des infractions.

Sous-Section I : L’arsenal juridique international de lutte contre la

cybercriminalité

I. La convention de Budapest sur la cybercriminalité

Adоptée à Budapest le 23 nоvembre 20012, la Cоnventiоn sur la cybercriminalité du Cоnseil

de l’Eurоpe (et sоn prоtоcоle additiоnnel) a été signée par 67 États. Elle a été ratifiée par une
cinquantaine de pays, le dernier en date l’ayant fait étant la principauté d’Andоrre. Les autres
pays sоnt оbservateurs mais se sоnt fоrmellement engagés à la respecter. Ce texte vise à
harmоniser les législatiоns des États signataires en matière de cybercriminalité, à cоmpléter ces
législatiоns en matière prоcédurale, à établir une définitiоn cоmmune de certaines infractiоns –
en particulier celles pоrtant atteinte aux drоits d’auteurs, de fraude liée à l’infоrmatique, de
pоrnоgraphie enfantine ainsi que celles liées à la sécurité des réseaux –, à améliоrer la capacité
des services de pоlice des États membres à mener des investigatiоns en temps réel et à améliоrer
la cооpératiоn internatiоnale, nоtamment en matière d’extraditiоn.

II. Les lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux
d’information

L'Organisation de coopération et de développement économiques (OCDE) est une organisation

internationale d'études économiques, dont les pays membres — des pays développés pour la
plupart — ont en commun un système de gouvernement démocratique et une économie de
marché. Elle joue essentiellement un rôle d'assemblée consultative25.

Les Lignes directrices révisées de l’OCDE régissant la sécurité des systèmes et réseaux
d’information s’adressent à l’ensemble des parties prenantes à la nouvelle société de
l’information à savoir : les gouvernements, les entreprises, les autres organisations et les
utilisateurs individuels qui développent, possèdent, fournissent, gèrent, maintiennent et utilisent
les systèmes et réseaux d’information.

Les Lignes directrices révisées de l’OCDE suggèrent le besoin d’une prise de conscience et
d’une compréhension des questions de sécurité accrues, ainsi que la nécessité de développer
une « culture de la sécurité » basée sur les principes suivants : la sensibilisation, la
responsabilité, la réaction, l’éthique, la démocratie, l’évaluation des risques, la conception et la
mise en œuvre de la sécurité, la gestion de la sécurité et la réévaluation.

Sous-Section II : L’arsenal juridique européen de lutte contre la

cybercriminalité

I. Les directives européennes de lutte contre la cybercriminalité

1. Directive 2011/92/UE relative à la lutte contre les abus sexuels et

l’exploitation sexuelle des enfants, ainsi que la pédopornographie

La directive 2011/92/UE du parlement eurоpéen et du cоnseil du 13 décembre 2011 relative à

la lutte cоntre les abus sexuels et l’explоitatiоn sexuelle des enfants, ainsi que la
pédоpоrnоgraphie et remplaçant la décisiоn-cadre 2004/68/JAI du cоnseil publiée au Jоurnal
Оfficiel de l’Uniоn eurоpéenne du 17 décembre, établit des règles minimales relatives à la
définitiоn des infractiоns pénales et des sanctiоns dans le dоmaine des abus sexuels et de
l’explоitatiоn sexuelle des enfants, de la pédоpоrnоgraphie et de la sоllicitatiоn d’enfants à des
fins sexuelles, nоtamment liées à l’utilisatiоn des technоlоgies de l’infоrmatiоn. Elle intrоduit
également des dispоsitiоns afin de renfоrcer la préventiоn de ce type de criminalité et la
prоtectiоn de ceux qui en sоnt victimes.

2. Directive 2013/40/UE relative aux attaques contre les systèmes

d’information

La directive cоnstitue une refоnte de la décisiоn-cadre 2005/222/JAI relative aux attaques visant
les systèmes d’infоrmatiоn, qui mettait en place un rapprоchement des législatiоns des États
membres pоur incriminer plusieurs infractiоns infоrmatiques et, nоtamment, l’accès illicite à
un système d’infоrmatiоn et l’atteinte à l’intégrité d’un système оu de dоnnées. La directive
mоdernise et adapte les dispоsitiоns de la décisiоn-cadre aux nоuvelles méthоdes adоptées pоur

25
WIKIPEDIA, Organisation de coopération et de développement économiques, [en ligne ], [consulté le 7 avril
2022], https://fr.wikipedia.org/wiki/Organisation_de_coopération_et_de_développement_économiques
cоmmettre des infractiоns infоrmatiques, nоtamment pоur lutter plus efficacement cоntre les
attaques à grande échelle. Elle incrimine la prоductiоn, la vente, l’acquisitiоn de tоus dispоsitifs
et оutils utilisés pоur cоmmettre des infractiоns et crée l’infractiоn d’interceptiоn illégale de
cоmmunicatiоns оu de dоnnées. Elle prévоit, également, des circоnstances aggravantes pоur
les attaques de grande ampleur et lоrsque les attaques sоnt cоmmises sоus une fausse identité.

3. Directive (UE) 2016/1148 sur la sécurité des réseaux et des systèmes

d’information "Directive NIS"

La directive Netwоrk and Infоrmatiоn System Security (NIS) qui pоursuit l’оbjectif majeur
d’assurer un niveau de sécurité élevé et cоmmun pоur les réseaux et les systèmes d’infоrmatiоn
de l’Uniоn eurоpéenne. Elle a été adоptée par les institutiоns eurоpéennes le 6 juillet 2016. Elle
vise à l’émergence d’une Eurоpe fоrte et de cоnfiance, qui s’appuie sur les capacités natiоnales
des Etats membres en matière de cybersécurité, la mise en place d’une cооpératiоn efficace et
la prоtectiоn des activités écоnоmiques et sоciétales critiques de la natiоn, pоur faire face
cоllectivement aux risques de cyberattaques.

4. Directive (UE) 2019/713 concernant la lutte contre la fraude et la

contrefaçon des moyens de paiement autres que les espèces

La directive actualise les règles en vigueur afin que sоit mis en place un cadre juridique clair,
sоlide et neutre sur le plan technоlоgique. Elle élimine aussi les оbstacles оpératiоnnels qui
entravent les enquêtes et les pоursuites, et prévоit des mesures destinées à sensibiliser davantage
le public aux techniques emplоyées par les fraudeurs, cоmme le filоutage оu le cоpiage de carte.
La directive vise à être technоlоgiquement neutre et à englоber nоn seulement les mоyens de
paiement classiques autres que les espèces, cоmme les cartes bancaires оu les chèques, mais
aussi les nоuveaux mоdes de paiement apparus ces dernières années : les pоrtemоnnaies
électrоniques, les paiements mоbiles, les mоnnaies virtuelles, etc. Elle prévоit des règles
minimales, et les États membres sоnt dоnc libres d'aller plus lоin et d'appliquer des règles plus
strictes, y cоmpris une définitiоn plus large des infractiоns оu des sanctiоns plus sévères.

II. Le règlement (UE) 2019/881 relatif à l’ENISA (Agence de l’Union européenne

pour la cybersécurité) et à la certification de cybersécurité des technologies de
l’information et des communications

Le règlement (UE) 2019/881 du 17 avril 2019 relatif à l’Agence de l’Uniоn eurоpéenne pоur la
cybersécurité (ENISA) et à la certificatiоn de cybersécurité des technоlоgies de l’infоrmatiоn
et des cоmmunicatiоns a été publié au Jоurnal оfficiel de l’Uniоn eurоpéenne du 7 juin 2019
fixe les оbjectifs, les tâches et les questiоns оrganisatiоnnelles cоncernant l’ENISA, un cadre
pоur la mise en place de schémas eurоpéens de certificatiоn de cybersécurité et ce dans le but
de garantir un niveau adéquat de cybersécurité des prоduits TIC83, services TIC et prоcessus
TIC dans l’Uniоn, ainsi que dans le but d’éviter la fragmentatiоn du marché intérieur pоur ce
qui est des schémas de certificatiоn dans l’Uniоn.
 III. La décision (PESC) 2019/797 concernant des mesures restrictives contre les
cyberattaques qui menacent l'Union ou ses États membres

La décisiоn (PESC) 2019/797 du Cоnseil du 17 mai 2019 établit un cadre juridique permettant
de mettre en œuvre des mesures restrictives ciblées visant à dissuader les cyberattaques
cоnstituant des menaces extérieures pоur l’Uniоn оu ses États membres et assurer une « sécurité
juridique maximale ».
Ainsi dоnc, dans le but de dissuader les prоchaines cyberattaques majeures, il a été décidé au
niveau eurоpéen de prendre des mesures restrictives de gel des avоirs à l’encоntre de
cyberattaquants. Cette décisiоn, оutre sa symbоlique, fixe la définitiоn d’une cyberattaque et
des facteurs qui la rendent passible de ces sanctiоns.

PARTIE II : DROIT PÉNAL ET NUMÉRIQUE : CONCILIER

L’INCONCILIABLE ?

Concilier le droit pénal et le cyberespace, revient-il à concilier l’inconciliable ? C’est la

question à laquelle nous tenterons de répondre dans cette seconde partie de notre étude à travers
laquelle nous aborderons les principes fondamentaux du droit pénal à l’épreuve de la
cybercriminalité (Section I) ainsi que la virtualité en tant que source de diverses difficultés
(Section II).

Section I : Les principes fondamentaux du droit pénal à l’épreuve de la

cybercriminalité

Nous aborderons les fondements du droit pénal face à la cybercriminalité (Sous-Section I) et

la territorialité du droit pénal à l’épreuve de cette cybercriminalité (Sous-Section II).

Sous-Section I : Les fondements du droit pénal face à la cybercriminalité

Aujourd’hui, toute la réflexion s’articule autour d’un monde technologique en évolution

constante et qui crée de nouveaux comportements et de nouveaux crimes cybernétiques
difficiles à cerner. Dans cette optique, certaines infractions sont encore sanctionnées par le Code
pénal de 196226, datant d’une époque où la technologie était encore rudimentaire, d’où la
violation du principe de légalité (I) et de son corollaire (II).

I. La légalité des délits et des peines face à la cybercriminalité

Le principe de la légalité criminelle constitue la clé de voûte du droit pénal et de la procédure

pénale. Il n’y a pas donc délits ni de peines sans loi.
Cela étant, la plupart des comportements liés aux NTIC restent méconnues de notre arsenal
juridique pénal marocain, ce qui leur permet d’échapper à toute condamnation. On assiste à un
contresens substantiel du droit pénal marocain face à l’évolution des NTIC, alors qu’il est clair

26
M. K. MISSAOUI, op. cit., p. 170.
aujourd’hui que la cybercriminalité est une réalité au Maroc. Dans ce cadre, il est impératif de
noter que la cybercriminalité évolue par le même rythme que l’évolution des NTIC, par contre
le cadre juridique marocain prend beaucoup de temps, tout d’abord pour la discussion et le vote
de lois, en suite pour son application. En conséquence, on constate un décalage à deux niveaux.
En premier lieu, entre l’évolution rapide des NTIC et de la cybercriminalité et l’évolution ou la
mise en œuvre du cadre juridique qui vise la lutte contre la cybercriminalité. En second lieu, au
niveau du cadre juridique à savoir le décalage entre la promulgation d’une loi et sa mise en
application voir même la bonne application de cette loi27. Ce double décalage entraîne
l’impunité de certaines pratiques délictueuses commises sur le cyberespace et non encore
prévues par la législation. Les auteurs de ces actes abusent alors du principe de la légalité des
délits et des peines pour commettre diverses pratiques délictueuses tout en échappant à toute
condamnation.

II. L’interprétation stricte de la loi pénale : le cas du vol de données

Le principe d’interprétation stricte de la loi pénale est le corollaire du principe de légalité et

constitue également une garantie pour les citoyens.

A cet effet, il paraît important d’ouvrir le débat sur le principe de l’interprétation de la loi pénale
concernant plus particulièrement les infractions classiques de la cybercriminalité, commises par
des personnes à l’aide d’internet. Prenons l’exemple d’un cas d’école, l’infraction du vol. Ainsi,
« quiconque soustrait frauduleusement une chose appartenant à autrui est coupable de vol et
puni de l’emprisonnement d’un à cinq ans et d’une amende de 120 à 500 dirhams28 ». A la
lecture de cet article, on retient la soustraction frauduleuse d’une chose, propriété d’une autre
personne, dans le but de se l’approprier. Cette considération est largement retenue par la
doctrine29. Il y a donc la chose, la soustraction, et la fraude comme éléments constitutifs du vol.

Toutefois, il sied de signaler que seule une chose matérielle serait susceptible de vol. Les
données ne sont pas des choses au sens de l’article 505 (à moins que ces données soient
intégrées dans des dispositifs (USB, disquettes, CD-ROM...).

Concernant la notion de soustraction, les données volées doivent disparaître de l’ordinateur de

leur propriétaire. Un arrêt de la cour de cassation belge en 2004 a démontré que le fait de faire
une copie illégale de données, n’est pas constitutif de vol30. La doctrine souligne que dans un
vol, il est impératif de s’approprier le bien d’autrui de sorte que le propriétaire d’origine n’en
bénéficie plus, ce qui n’est pas le cas lors d’une copie illégale.

27
F. ROUMATE, « Les mécanismes légaux de lutte contre la cybercriminalité au Maroc », Revista de
Comunicación Social, 18 (XVIII), 2018, p. 90.
28
L’article 505 du Code pénal marocain.
29
R. GARRAUD, Traité de droit pénal, 3e éd., tome VI, n° 2371, Paris, 1935, p. 102.
30
C. Cass. Belge, 30 novembre 2004, cité dans J. Deene, « Illegaal kopiëren is geen diefstal », Juristenkrant,
2005, n° 102, p. 11.
Qu’en est-il alors du vol de données qui se heurte à ce principe d’interprétation stricte de la loi
pénale ? La France a trouvé une solution à ce problème. L’article 323-3 du Code pénal français
permet de punir le vol de données par copie.
Toutefois, le législateur marocain n’a jusqu’à aujourd’hui pas encore incriminé le fait pour une
personne de voler des données informatiques. Un « vol » de données commis au moyen de
NTIC ne rentre pas dans le champ d’application matériel des nouvelles infractions de
cybercriminalité spécifique. Il est, à l’heure d’aujourd’hui, toujours puni comme un vol de droit
commun au Maroc, ce qui constitue une atteinte au principe de l’interprétation stricte de la loi
pénale, en l’occurrence de l’article 505 du Code pénal.

Alors comment parler d’éthique si les principes du droit pénal marocain, mis à mal par la
cybercriminalité, ne sont pas respectés ?

Sous-Section II : La territorialité du droit pénal à l’épreuve de la

cybercriminalité

La question de la compétence territoriale est fondamentale dans le traitement judiciaire de la

cybercriminalité car dans de nombreuses affaires, les investigations sont transfrontalières31. Par
exemple, un message électronique émis à partir d’un État peut en effet être reçu et lu dans le
monde entier. Le caractère international de ces infractions est souvent source de difficultés pour
déterminer quelle va être la juridiction territorialement compétente pour juger de l’affaire32.
L’application de la territorialité de la loi aux infractions commises via Internet depuis l’étranger
pose donc problème. Les juges vont alors tenter de dégager des nouveaux critères de
rattachement (I). Toutefois, le dogme de la souveraineté des États demeure un obstacle à la
mise en œuvre du critère de territorialité (II).

I. La recherche d’un critère de territorialité adapté aux spécificités d’internet

Il s’agit donc ici d’étudier l’émergence de la théorie de l’accessibilité au site (1) avant d’aborder
l’évolution jurisprudentielle vers la théorie de la focalisation (2).

1. L’émergence de la théorie de l’accessibilité au site

Le critère d’accessibilité au site permet aux juridictions d’un État de se déclarer compétentes
concernant n’importe quel site à travers le monde, dès lors que ce dernier peut être consulté
depuis leur territoire.
Nous pouvons citer l’exemple de la célèbre affaire Yahoo où le juge pénal va retenir sa
compétence au seul motif de l’accessibilité du site Internet en France. Il a été reproché, en
l’espèce, à la société ‘Yahoo ! Inc.’ d’autoriser sur son site d’enchères en ligne « Auction », la
vente de milliers d’objets néo-nazis. Les juridictions françaises se sont déclarées compétentes
sur la simple accessibilité du site depuis leur territoire sans faire aucune distinction entre site

31
S. GUINCHARD, J. BUISSON, Procédure pénale, Litec, 9e éd., 2013.
32
M. QUÉMÉNER, Y. CHARPENEL, Cybercriminalité, Droit pénal appliqué, Economica, 2010.
"actif ", c’est-à-dire visant spécifiquement le public du pays en question, ou "passif ", c’est-à-
dire, ne visant pas spécifiquement un autre public que celui du territoire sur lequel le site est
mis en ligne.

Ainsi, le site étranger n’a pas besoin d’avoir un caractère actif à l’égard du public français.
Pourtant cela pose plusieurs problèmes car les juridictions françaises se déclarent compétentes
alors même qu’à priori le site n’était pas destiné à la France.
Et à suivre cette logique, chaque auteur ou éditeur d’un site Internet pourrait être
potentiellement soumis à l’ensemble des législations où il est possible d’accéder au site. Cette
position du juge parisien est en somme inquiétante par la brèche qu’elle est susceptible
d’ouvrir33. L’application du critère d’accessibilité posera sans doute d’énormes conflits positifs
de compétence. C’est la raison pour laquelle la jurisprudence posa comme condition
supplémentaire à l’accessibilité, la volonté de viser spécifiquement le public français. Il s’agit
de la théorie de la focalisation (2).

2. L’évolution jurisprudentielle en faveur de la théorie de la focalisation

La jurisprudence française va donc opter pour un revirement de jurisprudence et s’inspirer des

méthodes et des critères développés et utilisés aux États-Unis. Ainsi, émerge la théorie de la
focalisation développée par les juges américains. Les juges vont s’appliquer désormais à
rechercher le comportement actif du site à l’égard du public français pour fonder leur
compétence.

Désormais il est question d’opérer une distinction entre site actif et passif. Ainsi, on constate
que le critère de la focalisation semble induire la notion de ciblage dans ses critères de
compétence. Le public d’un État doit avoir été spécialement ciblé par le site Internet, qui doit
alors présenter un caractère actif, et non simplement passif.

II. Le dogme de la souveraineté des États : Obstacle à la mise en œuvre du critère

de territorialité

« La mondialisation pose problème aux États d’une manière générale, dans la mesure où, alors
que la globalisation des échanges appelle une internationalisation des normes, le droit garde
quelque chose de féodal34 ». Cela est particulièrement vrai en matière pénale où les États
demeurent plus qu’ailleurs « jaloux de leur souveraineté35 ». En effet, même si ces derniers ont
pris vraiment conscience de la nécessité de collaborer pour faire échec à la criminalité commise
sur le réseau Internet, le droit pénal international reste avant tout un droit pénal propre à chaque
État où le principe de souveraineté règne encore en maître.

33
R. BOOS, La lutte contre la cybercriminalité au regard de l’action des États, thèse de doctorat, droit, université
de Lorraine, 2016, p. 169.
34
M. VIVANT, Cybermonde. Droit et droits des réseaux, JCP, 1996.
35
A. HUET, R. KOERING-JOULIN, Droit pénal international, Paris, PUF, coll. Thémis, 3e éd., 2005.
La répression des infractions commises sur Internet, qui sont souvent à caractère international,
est loin d’être satisfaisante à l’heure actuelle puisque des règles du droit pénal international
classique déduites du principe de la souveraineté nationale en matière pénale et du principe de
territorialité, constituent des entraves à l’efficacité de la répression. Ces entraves concernent
l’exclusivité des compétences nationales en matière pénale (1) et la territorialité des jugements
répressifs (2).

1. L’exclusivité des compétences nationales en matière pénale

La souveraineté distingue l’État des autres entités susceptibles de réunir les éléments
constitutifs d’un État36. L’État possède la souveraineté, à savoir la plénitude des compétences.
C’est d’ailleurs ce qui différencie un État d’une Organisation internationale, laquelle ne détient
que des compétences fonctionnelles, étroitement circonscrites à la réalisation de son objet et de
ses buts37.
La justice, et plus spécialement la justice pénale, est l’un des attributs de la souveraineté d’un
État. C’est une prérogative inhérente à chaque État souverain, égalitaire dans la pratique
internationale.

En effet, il est fréquent que les lois pénales de plusieurs États aient vocation à s’appliquer à une
infraction cybercriminelle à caractère international. Dans cette hypothèse, le principe de la
souveraineté nationale en matière pénale conduit chaque État à ne pas tenir compte du pouvoir
répressif des autres États.
De plus, pour le cybercriminel, le risque est celui d’une pluralité de poursuites, voire de
condamnation dans différents États. Le principe de la territorialité de la loi pénale ne nécessitant
pas de double incrimination, un étranger pourrait se voir appliquer une sanction pour un délit
qui n’était peut-être pas punissable dans l’État où la décision de la publication sur Internet a été
prise. Ce problème de légalité criminelle ne pourra pas être résolu sans qu’il y ait une approche
globale et cohérente au niveau international des infractions commises sur Internet.

En effet, le principe de territorialité et l’expression de la souveraineté nationale d’un État sont

encore plus critiquables lorsqu’ils font échec à l’exécution d’un jugement de condamnation
étranger (2).

2. Le principe de territorialité des jugements répressifs

En vertu de ce principe, les effets d’une décision de condamnation sont strictement cantonnés
au territoire de l’État où elle a été rendue. De ce fait, un jugement de condamnation étranger
n’est normalement pas exécutoire au Maroc. Mais cette solution fait nécessairement le jeu des
cybercriminels qui se jouent des frontières.
En l’espèce, l’affaire Yahoo illustre parfaitement le principe de souveraineté dont disposent les
États-Unis. En effet, le juge des référés du TGI de Paris avait ordonné, sous astreinte, à la société

36
Territoire, population, gouvernement.
37
R. BOOS, op. cit., p. 185.
américaine Yahoo de trouver des solutions techniques pour empêcher l’accès des internautes
français au site d’enchères sur lequel figuraient des objets nazis.
Mais pour devenir effective, cette décision française devait être confirmée par un juge
américain. Or, ce dernier donna droit à la société, la liberté d’expression étant protégée à
l’intérieur des frontières américaines.

Ainsi, il ressort clairement de cette espèce que seul un effort de coopération internationale sera
à même de surmonter le risque de voir bloquer la mise en œuvre de la répression, en raison des
divergences existant entre les espaces juridiques nationaux.

Section II : La virtualité source de difficultés

La cyberdélinquance est souvent considérée comme un nouveau défi pour le droit pénal et la
procédure pénale, même si bon nombre de textes existants ont vocation à s’appliquer à la
matière du numérique. Le législateur ainsi que la jurisprudence ont eu bien du mal à appliquer
notre arsenal pénal face au défi technique que constitue le réseau Internet.
Ainsi, on verra dans un premier paragraphe, la complexité de la lutte contre une délinquance
virtuelle et sans frontières (Sous-Section I). Dans un second paragraphe, on abordera la preuve
pénale à l’épreuve du numérique (Sous-Section II).

Sous-Section I : La délinquance virtuelle et sans frontière

Les auteurs d’infractions criminelles sont souvent difficilement identifiables (I). Il convient
aussi de s’arrêter sur la qualité des responsables de ces infractions (II).

I. Des auteurs difficilement identifiables

Les États ont bien mesuré l’importance de la cybercriminalité et tentent d’adapter leur
procédure pénale à cette nouvelle matière. Pourtant les méthodes classiques d’appréhension du
crime ne peuvent s’appliquer au réseau Internet, du fait du caractère volatil des informations
qui y circulent et du relatif anonymat qui y règne. Il devient très difficile de répondre à des
questions aussi fondamentales que « qui m’attaque ? », « par quel moyen ? », « dans quel but ?
» et « quel dommage a été causé ? ». L’anonymat des cybercriminels rend très compliquée
l’identification des auteurs.

Pour qu’il y ait sanction pénale, il faut que l’auteur de l’infraction soit identifié, et présenté à la
justice. Cette assertion paraît aller de soi, mais elle est pourtant fondamentale dans une sphère
criminelle où l’anonymat et l’invisibilité sont rois, et où l’auteur se cache souvent à l’étranger,
via plusieurs ordinateurs “rebonds“. Mettre un “visage“ sur ces cybercriminels constitue le plus
souvent un véritable défi technique pour les enquêteurs d’autant plus que bien souvent, l’auteur
se trouvant à l’étranger, une coopération avec les pays tiers s’avère nécessaire pour pouvoir
l’interpeller.
La transnationalité des infractions cybercriminelles et l’absence de frontières de cet espace
virtuel oblige les États à s’entendre et à coopérer entre eux. Malheureusement, les résultats des
investigations des enquêteurs vont trop souvent dépendre des ententes bilatérales entre les États,
s’il y en a. Ces investigations numériques vont fréquemment se heurter à la lourdeur des
procédures, les demandes entre États passant par exemple par des formulaires dont les délais
de traduction peuvent être à eux seuls rédhibitoires, ce qui ne simplifie en rien l’identification
des auteurs38.

II. La qualité des responsables

Nous analyserons la qualité des responsables en droit français (1) et en droit marocain (2).

1. En droit français

Le principe de responsabilité personnelle conduit à se demander quelle responsabilité pénale

peut être encourue par les différents acteurs opérant dans le cyberespace : il s’agit des
fournisseurs d’accès à Internet (FAI), des hébergeurs et des éditeurs. Or, si ces différents acteurs
sont présents lorsqu’une infraction est commise dans le cyberespace, tous ne peuvent être tenus
responsables39.

§ Les hébergeurs ne peuvent être déclarés pénalement responsables à raison des

informations stockées à la demande d’un destinataire, si ces hébergeurs n’ont pas eu
connaissance de l’information illicite. Les hébergeurs ne seront pas non plus
responsables si, dès le moment où ils ont eu une connaissance effective de l’information
illicite, ils ont agi promptement pour retirer ces informations ou en rendre l’accès
impossible. Il s’agit d’un régime de responsabilité dérogatoire issu de la directive
européenne du 8 juin 2000 relative au commerce électronique.
§ Le principe est le même pour les fournisseurs d’accès à Internet (FAI), la
responsabilité pénale ne pouvant être retenue si les faits ne leur sont pas
personnellement imputables.
§ En revanche, il en va différemment pour les éditeurs. Leur responsabilité pénale peut
être retenue eu égard à la maîtrise qu’ils ont du contenu informationnel. Il est alors
responsable de plein droit de l’ensemble des informations qu’il publie à l’inverse des
prestataires techniques.

Cette distinction entre la non-responsabilité d’un hébergeur et la responsabilité de l’éditeur est

bien comprise parce que l’éditeur est celui qui est personnellement à l’origine de la diffusion
des contenus : en exerçant un choix éditorial, il peut être déclaré responsable des contenus
illicites. Toutefois, selon les circonstances, la distinction entre hébergeur et éditeur n’est pas
toujours évidente, ce qui rend la détermination des responsables difficile.

38
R. BOOS, op. cit., p. 199.
39
B. PEREIRA, « La lutte contre la cybercriminalité : de l’abondance de la norme à sa perfectibilité », Revue
internationale de droit économique, 2016/3, (t. XXX), p. 396.
 2. En droit marocain

S’agissant du droit marocain, lorsque la responsabilité d’un prestataire des services Internet est
évoquée, en dehors des cas de violation des droits d’auteur et des droits voisins, il y a lieu
simplement de faire application du « régime de responsabilité du droit commun » pour y puiser
les solutions à appliquer. Cela signifie que les prestataires des services Internet peuvent se
trouver responsables civilement ou pénalement ou civilement et pénalement, même si leur rôle
s’est limité à un rôle purement technique, si les différentes conditions des responsabilités civile
et pénale sont remplies au sens du droit commun.

Sommes-nous, dans cette hypothèse, en présence d’un vide juridique ? La réponse à cette
interrogation ne peut être faite que par l’affirmative. Il s’agit bel et bien ici d’un vide législatif
qui devra être comblé. Cette faille législative pourra, certes, être corrigée en s’inspirant du
législateur français. Toutefois, il sera souhaitable de profiter de l’expérience française et
européenne en vue de cerner au mieux les différents contours de la responsabilité des
prestataires des services Internet, notamment en posant des critères claires et précis permettant
de distinguer aisément entre hébergeur et éditeur.

Sous-Section II : La virtualité de la preuve numérique

« La preuve numérique est une modalité particulière d’établissement de la vérité qui consiste
à avoir recours à des moyens numériques divers et variés qui vont de l’étude des contenus dans
les données d’un disque dur, aux messages électroniques, en passant par l’enregistrement
numérique40 ».

I. L’établissement de la preuve numérique : un véritable défi pour les autorités

judiciaires

Le principe de souveraineté interdit par principe à la juridiction saisie du procès pénal d’exercer
ses attributions en dehors de ses frontières et de recueillir elle-même dans un État étranger les
preuves. En ce sens, la recherche de la preuve dans l’État du lieu de commission de l’infraction
peut poser de sérieuses difficultés. En effet, une infraction pénale n’a de réalité juridique que si
elle peut être prouvée de manière certaine et sans équivoque. Si la preuve pénale est impossible
à établir, tout notre droit pénal est alors voué à rester à l’état d’ébauche.
Ainsi, en droit interne, en matière cybercriminelle, du fait de la volatilité des informations et du
caractère transnational des infractions, la recherche et l’établissement de la preuve constituent
un véritable défi pour les autorités judiciaires habilitées à rapporter la preuve.

40
CNEJITA, La preuve numérique à l’épreuve du litige, Colloque du 13 avril 2010 à la 1ère Chambre de la Cour
d’appel de Paris, p. 11.
 II. Les défis techniques rencontrés dans les actes d’investigation numériques

Les difficultés d’ordre juridique soulevées par la cybercriminalité semblent relever, avant tout,
de l’inadéquation de certaines dispositions du Code de procédure pénale à la délinquance
commise sur Internet. Les instruments dont disposent les officiers de police judiciaire dans la
recherche des preuves des infractions n’ont pas été conçus au temps de l’univers numérique et
dématérialisé, ni même adaptés à celui-ci. En effet, les nombreuses possibilités techniques
facilitant l’anonymat sur le réseau Internet, l’effacement des données, la complexité des faits,
soulèvent de réelles difficultés pour les enquêteurs en matière d’établissement des preuves. Par
ailleurs, le principe de la souveraineté interdit à un État d’exercer ses attributions en dehors de
ses frontières.

La première difficulté est celle de la distance qui peut séparer l’État de poursuites et celui de
l’arrestation. Les progrès accomplis dans le domaine de la technologie et des
télécommunications sont allés de pair avec une recrudescence de la délinquance. Pour
rechercher la preuve, l’enquête judiciaire est de plus en plus une enquête de confrontation des
données et une enquête de traçabilité qui requiert d’aller chercher les preuves à l’étranger41. Par
ailleurs, en application de l’article 62 du Code de procédure pénale, les perquisitions et visites
domiciliaires ne peuvent débuter avant six heures du matin et après vingt et une heures42. Or,
dans l’hypothèse de la diffusion de contenus illicites sur Internet, réseau mondial par
excellence, l’existence des fuseaux horaires peut aboutir à ce qu’une infraction commise sur
notre territoire, ou à partir de celui-ci, intervienne en dehors des heures légales de perquisition
et de ce fait, interdise la mise en œuvre des mesures tendant à la cessation du trouble à l’ordre
public qu’elle constitue, quand bien même les autorités répressives compétentes en seraient
informées, ce qui n’est guère satisfaisant. Cette limitation des heures de perquisitions et de
visites domiciliaires a donc pour effet d’affaiblir l’efficacité des opérations d’investigation
d’autant plus que les preuves des cybercrimes tendent à changer très rapidement.

La seconde difficulté concerne la traçabilité du fait de ces outils d’anonymisation, mais aussi
des outils de cryptage qui permettent de chiffrer les données. Ces chiffrements utilisés par la
criminalité organisée ou le terrorisme sur Internet sont parfois très difficiles à casser, même si
l’État dispose d’un service spécialisé doté des outils nécessaires.

Enfin, nous pouvons citer également le problème d’absence d’instruction préparatoire dans le
cadre du droit pénal cybernétique dans la mesure où la majorité de ces infractions étant
essentiellement des délits, l’instruction s’avère impossible à opérer43 dans le silence du
législateur, tel qu’il résulte des dispositions de l’article 83 du Code de procédure pénale44.

41
Ibid.
42
A. BENSLIMANE, op. cit., p. 170.
43
A. MIHRAR, La politique pénale dans le domaine cybernétique dans la législation marocaine, Rachad, Settat,
2022, (en arabe), p. 113.
44
L’article 83 du Code de procédure pénale dispose que : « l’instruction préparatoire est obligatoire :
1. pour les crimes lorsque la peine édictée est la peine de mort, la réclusion perpétuelle ou lorsque la peine
maximale prévue est de trente ans de réclusion ;
2. pour les crimes commis par les mineurs ;
Nous invitons alors le législateur marocain à combler ce vide législatif en prévoyant
explicitement la possibilité de recourir à l’instruction préparatoire pour l’ensemble des
infractions cybernétiques et ce eu égard au caractère complexe que revêtent ce genre
d’infractions.

Le législateur est donc invité à introduire dans la réforme de la procédure pénale des mesures
adaptées aux infractions cybernétiques, comme l’a déjà fait son homologue français. D’ailleurs,
le ministre de la Justice Abdellatif Ouahbi a fait savoir que son département œuvre au
renforcement de l’arsenal juridique par de nouvelles lois dans le but de lutter contre la
cybercriminalité. Dans le cadre de la mise en conformité avec les normes internationales,
particulièrement la Convention de Budapest relative à la cybercriminalité, le ministère de la
Justice a pris l’initiative dans le cadre de sa révision globale du code pénal et de procédure
pénale d’inclure un ensemble de nouveaux éléments importants, relatifs notamment aux règles
de recherche, d’investigation et d’instruction dans les crimes électroniques. Mais quand est-ce
que cette révision sera votée ? Quand est-ce qu’elle sera promulguée ? Quand est-ce qu’elle
rentrera en vigueur ?

CONCLUSION
« On peut dire aujourd’hui que si notre société devient numérique tant Internet envahit le
champ social et économique, Internet n’a encore trouvé qu’imparfaitement son régime
juridique notamment au plan pénal45 ».

Comment alors concilier entre le droit pénal et la cybercriminalité ? Comment concilier entre
le droit et le numérique ? La doctrine s’est divisée à ce propos en deux courants protagonistes.
Le premier prône la création d’un droit autonome du numérique. Le second, quant à lui, refuse
la remise en cause du droit classique et défend une adaptation de ce dernier aux différentes
exigences du cyberespace.

3. pour les délits en vertu d’une disposition spéciale de la loi.

Hors ces cas, elle est facultative pour les autres crimes, les délits commis par les mineurs, ainsi que les délits dont
la peine maximale édictée par la loi est égale ou supérieure à cinq ans ».
45
M. QUÉMÉNER, Y. CHARPENEL, op. cit., p. 28.