Le développement des réseaux de communication, la généralisation d’Internet dans les entreprises, de même que l’accès facilité et continu aux informations ou données sensibles au sein des organisations, ont conduit à l’accroissement de la cybercriminalité. SI la criminalité est inhérente aux sociétés, elle n’en demeure pas moins une problématique quant à son évolution. Liée au développement économique des espaces terrestres, maritime et aérien, elle l’est désormais aussi à celui du cyberespace. En effet, c’est dans le cyberespace, que de multiples infractions sont effectivement commises, ces dernières produisant des dommages considérables aux dépenses des acteurs économiques. Dès lors, la cybercriminalité est une réalité qui ne peut être ignorée par le droit et les entreprises.
Dans cet article, nous vous invitons à plonger dans les méandres du processus de dépôt de plainte en cas de cyberattaque. Nous mettrons en lumière les étapes à suivre et les précautions à prendre pour garantir une réaction efficace face à cette menace omniprésente.
I. L’obligation du dépôt de plainte dans les 72h suivant la prise de connaissance de la cyberattaque pour garantir une prise en charge assurantielle
L’article 5 de la loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur impose depuis le 24 avril 2023, les victimes professionnelles d’une cyberattaque à déposer plainte dans un délai de 72 heures suivantes la connaissance d’une cyberattaque.
A défaut, l’assurance peut s’opposer à indemniser son client victime d’une cyberattaque.
En effet, l’article L. 12-10-1 du code des assurances dispose que :
« Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime ».
Les articles 323-1 à 323-3-1 couvrent le fait d’accéder ou de se maintenir frauduleusement dans un STAD, d’entraver ou fausser le fonctionnement d’un STAD, d’introduire frauduleusement des données dans un STAD ou d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement des données et finalement la mise à disposition ou détention d’un outil pouvant porter atteinte à un STAD
II. Les différentes possibilités de déposer plainte suite à une cyberattaque
A. Le dépôt de plainte en commissariat de police ou de gendarmerie
La possibilité de déposer une plainte est bien connue et ne requiert pas d’approfondissement, sauf pour exposer les inconvénients éventuels. Dans le cas d’une cyberattaque, le chef d’entreprise se voit contraint de se rendre au commissariat de police ou à la gendarmerie pour effectuer cette démarche. Il se retrouve alors en face d’un agent, souvent non spécialisé dans les infractions liées aux cyberattaques, qui se contentera de recueillir les informations fournies par le chef d’entreprise et les transcrire dans un procès-verbal.
Par méconnaissance du fonctionnement du système pénal, le chef d’entreprise peut même mettre en cause la responsabilité de son entreprise et de ses dirigeants. En effet, il est à souligner qu’ne cas de cyberattaque, l’entreprise est certes victime d’une atteinte à son système informatique cependant elle peut ne même temps avoir commis des infractions ou des fautes en lien avec la cyberattaque. (Non-respect RGPD, négligence, fuite de données personnelles, violation du secret d’affaires…)
Outre le manque de qualification des infractions et de détails, la plainte risque de se perdre parmi les nombreux autres dépôts de plaintes de droit commun. Un article paru dans Le Monde du 26 octobre 2023 mentionnait que plus de 2,7 millions de procédures étaient en attente, ce qui signifie que la plainte du chef d’entreprise pour atteinte au système informatique de l’entreprise aura peu de chances d’être traitée.
Le seul avantage notable du dépôt de plainte en commissariat est sa rapidité, un aspect à ne pas négliger puisque l’entreprise dispose de seulement 72 heures, conformément à l’article L12-10-1 du code des assurances, pour déposer plainte après avoir pris connaissance de la cyberattaque.
Le cabinet recommande donc vivement de déposer plainte en commissariat en ayant recours à l’assistance d’un avocat, ou du moins après avoir consulté un avocat. L’objectif du dépôt initial de plainte est simplement de respecter le délai imparti de 72 heures, afin de préparer ensuite une plainte plus détaillée à déposer auprès du procureur de la République, voire une plainte avec constitution de partie civile.
B. Le dépôt de plainte auprès du procureur de la République
Juridiquement, le dépôt de plainte auprès du procureur de la République ne se distingue pas fondamentalement du dépôt de plainte effectué au commissariat. Toutefois, déposer une plainte directement auprès du procureur de la République, rédigée par un avocat, présente plusieurs avantages significatifs. En effet, cela permet de saisir directement le parquet compétent, facilitant ainsi le travail des enquêteurs et réduisant le risque de retard ou de non-traitement dans des commissariats souvent surchargés.
Il convient de souligner que le parquet de Paris détient une compétence concurrente en matière d’atteintes au système de traitement automatisé de données, notamment les rançongiciels. Conformément à l’article 706-72-1 du code de procédure pénale, le procureur de la République près le tribunal judiciaire de Paris exerce une compétence concurrente à celle prévue à l’article 43 du même code pour la poursuite de ces infractions.
Ainsi que le précise une dépêche du garde des Sceaux du 10 mai 2017, le parquet référent est tenu d’informer le parquet de Paris des affaires pouvant relever de sa compétence, favorisant ainsi une centralisation des rançongiciels par famille et une cohérence dans la saisine des services d’enquête.
En déposant une plainte qualitative auprès du procureur de la République, cela permet donc la saisine du parquet spécialisé, la mobilisation de brigades de gendarmerie ou de police spécialisées en cybercriminalité, ainsi que le croisement d’informations avec d’autres cyberattaques.
En complément du dépôt de plainte au commissariat pour respecter le délai de 72 heures, le cabinet recommande vivement de déposer une plainte auprès du procureur de la République afin de garantir la qualité de la plainte et son suivi efficace.