« Droit du cyberespace » et violations de la vie privée sur le Web

Parce que la section Learn de TalkRights présente du contenu produit par des bénévoles de la CCLA et des entrevues avec des experts dans leurs propres mots, les opinions exprimées ici ne représentent pas nécessairement les politiques ou positions propres à la CCLA. Pour des publications officielles, des rapports clés, des documents de position, de la documentation juridique et des nouvelles à jour sur le travail de la CCLA, consultez la section In Focus de notre site web.

Au milieu des nombreuses lois sur le cyberespace adoptées à travers le monde pour répondre à la croissance constante des nouveaux enjeux rencontrés dans le monde en ligne, certains des plus grands crimes commis en ligne, y compris ceux liés à la vie privée, semblent rester impunis [1]. Par exemple, en 2014, Yahoo a déclaré que plus de 500 millions de ses comptes utilisateurs avaient été piratés et que les données personnelles qu’ils contenaient avaient été vendues [2]. Pourtant, bien qu’il soit allégué que Yahoo aurait caché sa connaissance de cette violation massive et ne l’aurait révélée que deux ans plus tard, en 2016, les conséquences auxquelles le géant des télécommunications a fait face à cette énorme faille de cybersécurité étaient financières et réputationnelles, non juridiques [3]. En effet, adopter une législation appropriée pour réglementer le comportement en ligne n’est que la moitié du combat : cela s’explique par le fait que, bien que de nouvelles lois soient créées pour faire face aux nouveaux problèmes qui surviennent, faire respecter la loi sur le cyberespace est intrinsèquement plus difficile que l’application des « lois traditionnelles », pour plusieurs raisons énumérées ci-dessous [4] :

Qu’est-ce que le droit du cyberespace?

Le droit du cyberespace, ou « droit du cyberespace », est un terme qui fait référence à l’agrégation de questions juridiques survenant sur Internet [5]. Le droit du cyberespace encadre de nombreux domaines, notamment le commerce électronique (c’est-à-dire la responsabilité des entreprises des fournisseurs d’accès Internet et des médias sociaux), les cybercrimes (crimes commis sur Internet, qui dans la plupart des cas ont un impact sur la vie privée des victimes) et les préoccupations en matière de vie privée [6].

1. Questions de compétence

La difficulté de poursuivre les comportements en ligne provient avant tout de questions relatives à la compétence[7]. Le terme « juridiction » fait référence à l’autorité d’un État souverain de réglementer certains comportements[8]. Cela s’explique par le fait que, avant qu’une agence d’application de la loi puisse enquêter sur une affaire de cybercrime, elle doit avoir compétence [9]. Essentiellement, le défi en matière de compétence réside dans la détermination de l’organisme ou du tribunal qui a l’autorité dans une affaire particulière d’administrer la justice [10]. C’est important car si un tribunal n’a pas compétence ou n’est pas compétent pour juger une affaire, les procédures sont annulées, peu importe la solidité des preuves ou la qualité de la conduite de l’affaire [11].

Les conflits de compétence peuvent être basés sur plusieurs facteurs, notamment : la branche du droit (ex. : droit criminel vs. droit international), le type de dossier (c’est-à-dire les affaires criminelles vs. les affaires de droit international), le « grade » (ou gravité) de l’infraction (c’est-à-dire infractions sommaires vs. infractions criminelles), des dommages-intérêts monétaires (c’est-à-dire que différents tribunaux traitent les cas selon les dommages-intérêts minimum ou maximum pouvant être obtenus d’un type particulier de poursuite), et le niveau de gouvernement (c’est-à-dire qu’il existe des lois distinctes, des agences d’application de la loi et des systèmes judiciaires pour les différents niveaux de gouvernement, par exemple, fédéral vs provincial. Par conséquent, la difficulté ici est de déterminer quelles lois s’appliquent à un cas ou à une infraction particulière selon le niveau de gouvernement)[12]. Enfin, la compétence et les questions de compétence dépendent en grande partie de la zone géographique [13].

La juridiction géographique est l’un des facteurs les plus importants qui rendent difficile pour les autorités policières de réguler le comportement en ligne; Cela s’explique par le fait qu’une agence ou un tribunal d’application de la loi particulier n’a compétence que sur les crimes ayant lieu dans la région géographique où l’agence ou le tribunal a autorité [14]. Cela inclut généralement l’emplacement de l’auteur, de la victime ou l’endroit où le crime a réellement eu lieu [15]. Dans le contexte d’Internet, cela peut souvent être beaucoup plus difficile à déterminer que dans le monde réel car, comme nous l’expliquerons plus tard, l’aspect anonyme d’Internet et la nature numérique des preuves rendent beaucoup plus difficile pour les autorités de traduire les coupables en justice [16]. Par exemple, déterminer la juridiction géographique pour les cybercrimes en ce qui concerne le droit du cyberespace est plus difficile que pour les crimes « traditionnels » (ou « terrestres »), car souvent le coupable ne se trouve pas dans la même ville ou pays que la victime[17].

Pour déterminer si un cabinet d’avocats ou un tribunal a compétence, il doit d’abord déterminer si un crime a effectivement eu lieu; Dans certains cas, il n’existe aucune loi qui couvre la circonstance particulière, et dans d’autres, l’acte répréhensible relève d’une affaire civile, et non criminelle [18]. Par exemple, si vous confiiez vos données à une entreprise (par exemple, Yahoo et d’autres plateformes de médias sociaux) et cette entreprise l’a perdue, même si les conséquences peuvent être désastreuses pour une personne, il n’y a aucun recours criminel disponible pour la victime [19]. Deuxièmement, si une infraction criminelle a eu lieu, l’étape suivante est de déterminer quelle loi a été violée [20].

Pourquoi la juridiction géographique pose-t-elle un si grand problème en matière de législation?

La juridiction géographique pose un gros problème lorsqu’il s’agit de réglementer le comportement en ligne, car les lois varient d’un pays à l’autre, et même d’une province à l’autre [21]; Par conséquent, un acte illégal à un endroit peut ne pas être illégal dans un autre [22]. Par exemple, si un auteur se trouve dans un endroit où ce qu’il fait n’est pas illégal mais constitue un crime à l’endroit où se trouve la victime, il sera difficile (voire impossible) de le poursuivre [23]. Cela s’explique par le fait que les agences d’application de la loi ne sont autorisées à faire respecter la loi que dans leur juridiction [24]. Par exemple, un policier en Ontario n’a pas l’autorité d’arrêter quelqu’un au Québec, et la Gendarmerie royale du Canada (GRC) n’a pas l’autorité d’arrêter quelqu’un aux États-Unis [25].

De plus, certaines mesures existent dans le droit international qui permettent de poursuivre des personnes ayant commis des crimes dans un autre pays, mais le processus est difficile, coûteux et long à accomplir[26]. Par exemple, même si le droit international n’oblige pas les pays à livrer un criminel ou un suspect à un autre, certains pays ont ce qu’on appelle des « traités d’assistance juridique mutuelle » par lesquels ils s’engagent mutuellement à le faire[27]. Cependant, ces traités exigent généralement la « double criminalité », ce qui signifie que l’action du coupable doit être considérée comme un crime tant dans la juridiction où se trouve l’auteur que dans celle où l’acte a été commis[28]. De plus, déterminer où l’acte a été commis dans le contexte en ligne est un autre défi en soi[29].

2. Anonymat et identité

L’anonymat est également considéré comme l’un des plus grands obstacles aux efforts mondiaux visant à réglementer le comportement en ligne [30]. Sur Internet, dissimuler son identité est beaucoup plus facile que dans la réalité, ce qui rend plus difficile pour les autorités policières de retrouver les auteurs et de découvrir leur identité [31]. En matière de législation, c’est important parce que si l’identité des coupables ne peut pas être retrouvée, toute loi mise en place pour tenir les individus ou les entreprises responsables de leurs actes sur Internet, peu importe à quel point elle est bien conçue ou intentionnelle, ne peut pas fonctionner et est donc complètement inutile [32]. En même temps, l’anonymat est une protection essentielle de la vie privée, dont on compte particulièrement pour les défenseurs des droits humains, les groupes vulnérables ou les individus dans des régimes oppressifs, ainsi que pour les citoyens ordinaires souhaitant communiquer en privé.

3. Nature des preuves (preuves numériques)

La nature numérique des preuves est un autre facteur qui rend les cybercrimes plus difficiles à poursuivre [33]. En effet, les preuves numériques peuvent facilement être perdues ou modifiées comparativement aux preuves du « monde réel » [34]. Par exemple, les cybercriminels ont une plus grande capacité à effacer des preuves, et les enquêteurs peuvent accidentellement perdre ou détruire les preuves simplement en les examinant ou en tentant d’y accéder [35]. En même temps, il est aussi possible que les preuves numériques puissent être restaurées dans certaines circonstances, et que des normes puissent être développées pour établir la valeur probante des preuves numériques au fil du temps.

La branche du droit qui comprend toutes les règles concernant la présentation des faits et des preuves lors des procédures devant un tribunal, y compris les règles qui déterminent quelles preuves sont recevables ou non, est la loi de la preuve [36]. De plus, le droit de la preuve varie selon les pays et les systèmes juridiques, ce qui explique encore pourquoi la compétence pose un problème majeur lorsqu’il s’agit de poursuivre les comportements répréhensibles en ligne [37].

4. Conception juridique et attente de vie privée

La dépendance de certains pays à des conceptions dépassées de la vie privée peut aussi compliquer la poursuite des cybercrimes[38]. Dans certains pays, la conception juridique de la vie privée repose encore (à certains égards) sur des concepts et précédents d’avant l’ère de l’information qui ne reflètent pas notre réalité[39]. Par exemple : dans California c. Greenwood, 486 U.S. 35 (1988), les déchets de l’accusé laissés dehors sur le trottoir ont été fouillés sans mandat et le matériel de drogue trouvé à l’intérieur a servi de preuve pour le condamner [40]. La Cour d’appel a confirmé que la vie privée de Greenwood n’avait pas été atteinte par la fouille parce qu’« il n’y avait aucune attente de vie privée pour les choses laissées [à l’extérieur] accessibles au public, et donc la vie privée ne s’appliquait pas aux déchets laissés à la vue du public » [41]. Bien que cette décision ait été adoptée en 1988 (c’est-à-dire avant qu’Internet ne devienne accessible au public en 1991), elle s’applique toujours à la technologie informatique actuelle et à Internet [42]. Certains chercheurs soutiennent que cela est important parce que cela signifie essentiellement que les informations personnelles laissées dans le domaine public ou sur Internet, qu’il s’agisse de déchets sur le trottoir ou d’un site web par exemple, sont perçues comme identiques d’un point de vue légal [43]. Les tribunaux canadiens, cependant, développent une vision plus nuancée dans les affaires récentes[44].

Conclusion

Bien que de nombreux pays adoptent des lois sur la cybersécurité afin de suivre le développement de la technologie informatique et l’environnement en ligne en constante évolution, le droit du cyberespace est un domaine relativement nouveau qui comporte des failles qui, comme expliqué plus haut, peuvent rendre l’application de ces lois assez difficile [45]. De plus, le concept d’« attente raisonnable de vie privée » est débattu, redéfini et problématisé à la lumière des façons changeantes dont l’information en ligne peut être collectée, partagée, stockée et accessible.

[1] Shinder, Deb. 2011. « Qu’est-ce qui rend les lois sur la cybercriminalité si difficiles à faire respecter? » Publié le 26 janvier 2011 le TechRepublic.com. Consulté le 4 janvier 2018 : https://www.techrepublic.com/blog/it-security/what-makes-cybercrime-laws-so-difficult-to-enforce/

[2] Fiegerman, Seth. 2016. « Yahoo dit 500 millions de comptes volés ». Publié le 23 septembre 2016 sur le site officiel de CNN. Consulté le 8^janvier 2017 : http://money.cnn.com/2016/09/22/technology/yahoo-data-breach/index.html

[3] Supra Note 2

[4] Valiquet, Dominique. 2011. « Cybercriminalité : enjeux ». Publications de recherche de la Bibliothèque du Parlement, document de fond no 2011-36-E. Publié le 5^avril 2011 sur le site Web du Parlement du Canada. Consulté le 9^janvier 2018 : https://lop.parl.ca/Content/LOP/ResearchPublications/2011-36-e.htm#a2

[5] LaManche. 2017. « Bibliothèque des avocats : Guide du droit du cyberespace ». Publié sur le site officiel de Legal Match. Consulté le 7 janvier 2017 : https://www.legalmatch.com/cyberspace-law-guide.html

[6] Supra Note 1

[7] Ajayi, E.F.G. 2016. « Défis à l’application des lois et politiques en matière de cybercriminalité ». Journal of Internet and Information Systems Vol. 6 (1). DOI : 10.5897/JIIS2015.0089. Publié en août 2016. Consulté le 9 janvier 2018 : http://www.academicjournals.org/journal/JIIS/article-full-text-pdf/930ADF960210. Page 4.

[8] Union internationale des télécommunications (UIT). 2015. « Comprendre la cybercriminalité : phénomènes, défis et réponse juridique ». Publié le 28^avril 2015 sur le site officiel de l’UIT. Consulté le 9^janvier 2018 : http://www.itu-ilibrary.org/science-and-technology/understanding-cybercrime_pub/80c0b5e9-en. Page 228.

[9] Supra Note 7, page 5.

[10] Supra Note 7, page 5.

[11] Note 7 supra, page 4.

[12] Supra Note 1

[13] Supra Note 1

[14] Supra-Note 7, page 5.

[15] Supra Note 1

[16] Note Supra-Note 8, pages 80, 227-228.

[17] Supra Note 1

[18] Supra Note 1

[19] Supra Note 2

[20] Supra Note 1

[21] Supra Note 1

[22] Supra Note 1

[23] Supra Note 8, page 235.

[24] Supra Note 7, page 5.

[25] Supra Note 1

[26] Supra Note 5

[27] Supra Note 5

[28] Supra Note 5

[29] Supra Note 5

[30] Supra Note 7, page 4.

[31] Note 7 supra, page 4.

[32] Supra Note 7, page 4.

[33] Supra-Note 7, page 7.

[34] Supra Note 7, page 7.

[35] Supra Note 8, pages 227 et 228.

[36] Supra Note 7, page 7.

[37] Debesu, Kahsay et Andualem Eshetu. 2012. « Preuves dans les systèmes juridiques civils et de common law ». Publié le 4 septembre 2012 sur le site officiel d’Abyssinia Law. Consulté le 9^janvier 2018 : http://www.abyssinialaw.com/study-on-line/item/934-evidence-in-civil-and-common-law-legal-systems

[38] Subramanian, Ramesh et Steven Sedita. 2006. « Les lois sur la cybercriminalité suivent-elles la triple convergence de l’information, de l’innovation et de la technologie? » Communications de l’IIMA , Vol. 6, Numéro 1, Article 4. Consulté le 9^janvier 2018 : http://scholarworks.lib.csusb.edu/ciima/vol6/iss1/4/. Page 43.

[39] Note 38 supra, page 43.

[40] Note Supra-Note 38, page 43.

[41] Supra Note 38, page 43.

[42] Supra Note 38, page 43.

[43] Supra Note 38, page 43.

[44] Voir par exemple R c. Marakah 2017 SCC 59 ou R c. Jones 2017 SCC 60.

[45] Supra Note 7, pages 1-2.