L'interaction entre la police et la technologie remonte aux origines des institutions policières. Originellement créée pour contrer la criminalité issue de la migration urbaine provoquée par les technologies de la révolution industrielle (Wall, 2007), la police, suivant le rythme du progrès, a intégré, dans ses activités et son fonctionnement, de nouvelles technologies. À leurs tours, ces technologies ont modifié le rôle du policier et redéfinirent l'action policière. Le téléphone, l'automobile, la radio et la répartition assistée par ordinateur ont peu à peu redirigé une part importante de l'activité policière vers le service d'urgence, catalysé un mode d'action réactif et répressif, redéfini l'appel du citoyen comme un important facteur de mobilisation des effectifs et placé la rapidité d'intervention à l'égal des principaux indicateurs de l'efficacité policière. Toutefois, comme le souligne Wall (2007), ces avancées technologiques n'entraient pas en conflit avec les principes traditionnels de la police Peelienne. Malgré l'intégration de ces nouveaux dispositifs, la nature de la police demeurait la même : une force locale bureaucratiquement organisée dont la fonction est d'assurer le maintien de l'ordre et l'application des lois. De la même façon, les policiers persistent comme un groupe distinct du public, tant au niveau de l'apparence que des pouvoirs, professionnels dans leurs actions et redevables envers la loi et les citoyens (Wall, 2007).

Toutefois, l'Internet, en tant que nouvelle technologie, s'harmonise difficilement avec la pratique policière. En considérant les technologies passées qui sont parvenues à s'implanter dans le fonctionnement de l'organisation policière, un constat primordial se dégage : ces dispositifs présentaient, dès le premier regard, de nouvelles possibilités qui amélioraient clairement le travail policier. Ainsi, ces technologies furent adoptées de plein gré par les institutions policières dans le but, non pas de transformer l'organisation, mais de perfectionner le rendement policier. Les changements que ces technologies ont suscités au niveau des activités et de la définition du rôle du policier sont survenus a posteriori, c'est-à-dire qu'ils sont conséquents à l'adoption des nouveaux dispositifs. Cependant, cette situation n'est pas applicable dans le cas d'Internet. Bien que le réseau mondial présente certaines utilités et nouvelles possibilités pour les institutions policières, il n'est pas un outil qui annonce explicitement une révolution au niveau de la pratique policière. Au contraire, plutôt que de s'intégrer naturellement à l'organisation policière et déclencher une quelconque évolution de la pratique, Internet requiert plutôt des changements de la part de la police avant d'être utilisé efficacement. Or, il est reconnu, la police publique est une institution fortement conservatrice et fidèle à ses traditions; elle répond donc difficilement et lentement aux changements imposés par un élément extérieur.

Conséquemment, une série d'obstacles se dresse entre les méthodes policières classiques et la régulation des comportements déviants ayant lieu sur le réseau informatique universel. Alors que la criminalité est définie nationalement, Internet fusionne les frontières nationales pour relocaliser la criminalité à un niveau international. Cela crée pour le policier plusieurs problèmes au niveau juridictionnel et augmente la nécessité d'une coopération internationale. De même, Internet modifie le visage de la criminalité. D'un phénomène tangible et concret, où l'action criminelle laisse généralement des traces matérielles ou corroborées, la criminalité passe à un état abstrait, où les traces sont liées à la technologie informatique et réseautique. L'acte déviant ne se manifeste plus dans un espace physique, la scène de crime traditionnel passe à la scène de crime virtuel. Les techniques d'enquêtes doivent alors être révisées et de nouveaux savoirs doivent être développés et transmis. Le policier doit aussi faire face à une criminalité modifiée par les paramètres intrinsèques à l'Internet tels que l'anonymat et l'interchangeabilité de l'identité. L'objectif du présent ouvrage sera de présenter les principales entraves auxquelles se heurte le travail policier lorsqu'il s'agit d'assurer la régulation de la déviance sur Internet.

1. Agir dans l'ombre : les lacunes du renseignement criminel en matière de cybercriminalité

Jusqu'à tout récemment, alors que les philosophies de l'État providence primaient, le courant criminologique dominant consistait à concevoir la criminalité comme le résultat de la privation sociale. Ainsi, la lutte contre le crime passait par l'amélioration des conditions sociales et des rapports que le délinquant entretient avec la collectivité. Toutefois, avec la hausse de la criminalité des années 60 et l'insécurité financière qui sévit depuis la crise pétrolière de 1972, l'État providence sombra dans une perte de popularité au profit d'une société de contrôle (Garland, 2001). Une des manifestations premières de la société de contrôle sera de chercher à administrer les populations déviantes plutôt que de les réformer. Le rôle de la police s'inscrit alors dans une philosophie de gestion des risques. Il n'est plus question d'agir pour améliorer le sort de la collectivité et la foi dans les capacités du délinquant à se réhabiliter s'éteint peu à peu. L'intérêt se déplace vers l'action « précrime », caractérisée par la prévention, où l'objectif est d'empêcher l'actualisation des tendances déviantes du délinquant potentiel. Le crime est alors repensé comme une fatalité, caractéristique inévitable des rapports dans la vie en société. Au lieu de vouloir faire disparaître totalement la criminalité, ambition autrefois prônée par les philosophies de l'État providence, l'idéologie du risque cherche à réduire et gérer l'occurrence de la criminalité et, en contrepartie la victimisation, afin de maintenir un seuil de criminalité acceptable.

Pour assurer la gestion des risques, la police doit être en mesure de connaître et de comprendre ces risques. À cette fin, la collecte et l'analyse de l'information ont évolué en un élément crucial de la police moderne. Les services de renseignement policier sont devenus des départements clés pour la prise de décision opérationnelle et stratégique; c'est la montée de la police de renseignement criminel (ou Intelligence-led policing , du terme anglais plus vocatif). L'objectif du renseignement criminel est de fournir un soutien aux autorités policières dans la prévention et la répression de la criminalité. Cette fonction de l'appareil policier a donc pour but d'accroître, renouveler et utiliser les connaissances sur un phénomène criminel afin d'orienter les décisions dans l'incertitude et de diriger les opérations sur les bonnes cibles (Lemieux, 2007). En matière de cybercriminalité, le renseignement criminel est toutefois déficient. Conséquemment, la police est incapable de produire une image claire de la déviance sur Internet. Ce handicap relègue l'intervention policière au tâtonnement, où l'action et la prise de décision, sans connaissance de cause, sont fortement soumises aux circonstances et perceptions sociales. Les quelques lignes qui succèdent seront dédiées aux raisons qui peuvent expliquer l'incapacité de la   police à produire un renseignement adéquat dans le domaine de la cybercriminalité.

1.1 Les problèmes relatifs à la définition de la cybercriminalité

1.1.1 L'absence d'une définition consensuellement acceptée

Tel que mentionné en introduction, la cybercriminalité reste un concept mal défini, une sorte de « puzzle formé de pièces hétéroclites produisant une image distordue dans laquelle il est de plus en plus difficile de différencier la réalité de la fiction. » (Leman-Langlois, 2006). Le terme cybercriminalité, en se taillant une place dans le langage et l'imaginaire collectif, s'est transposé en une réalité culturellement floue, alimentée par diverses sources de qualité variable, telles que les médias journalistiques, les experts en informatiques, les représentations cinématographiques et les perceptions du citoyen ordinaire. Ce terme forme alors, par sa nature imprécise et impropre, une faible base pour la recherche, la collecte de donnée et l'intervention.

Bien que plusieurs tentatives ont été effectuées afin d'offrir une définition et une classification de la cybercriminalité qui soit plus appropriée pour un usage théorique et pratique (Carter, 1995  ; Brenner, 2004 ; Leman-Langlois, 2006), une définition consensuellement acceptée reste hors de portée. Ainsi, il n'existe aucune signification unanimement reconnue de la cybercriminalité à laquelle les services de police peuvent se reporter. Au Canada, par exemple, un rapport de Statistique Canada (2002) révèle que la plupart des différents services de police canadiens ne disposent pas de définition officielle de la cybercriminalité ou alors utilisent une définition propre à leur service. Conséquemment, ce qui est considéré comme de la cybercriminalité par un service de police ne l'est pas nécessairement par un autre. Une organisation policière avec une définition large de la criminalité informatique pourrait envisager dans cette catégorie le vol d'un ordinateur portable, alors que d'autres services de police pourraient y inclure seulement les crimes qui ont lieu sur Internet. Dans l'absence d'une définition consensuelle, la police ne peut établir la nature et l'étendue réelle du problème (Goodman, 2001). La communication entre les différentes organisations policières s'effectuera donc difficilement, puisque l'objet de discussion n'est pas le même pour les deux parties. Dans ce contexte, la coopération entre les services, qui est d'autant plus importante dans le cadre de la cybercriminalité, devient plus complexe à établir. Dans ces conditions, tant et aussi longtemps qu'il n'existera pas de définition pour servir de base solide à l'étude de la cybercriminalité, l'intervention policière sur Internet souffrira puisque l'objet d'intervention variera en fonction des diverses interprétations possibles.

1.1.2 La relation symbiotique entre la cybercriminalité et les crimes traditionnels

La nature et la qualité des statistiques produites par les unités du renseignement policier sont directement reliées à la définition employée pour récolter ces données. La moindre modification de la définition peut provoquer d'importantes fluctuations dans les chiffres et rendre ardues les comparaisons entre différents services. La difficulté avec la définition de la cybercriminalité est qu'il s'agit d'un terme englobant une gamme extensive d'actes criminels de nature variée, dont l'unique point de convergence est la relation qu'ils entretiennent avec le domaine informatique. Ainsi, sous la nomenclature de la cybercriminalité se retrouvent divers crimes traditionnels tels que la fraude, la pornographie infantile, le harcèlement, la violation des droits d'auteurs, le vol d'identité, la vente de produits illégaux et le blanchiment d'argent. Le problème alors est de tracer la ligne de démarcation entre crime et cybercrime. Un vendeur de drogues qui utilise Internet pour écouler sa marchandise commet-il un crime traditionnel ou un crime informatique? De même, l'échange de pornographie infantile sur Internet doit-il être classé dans les crimes contre les mœurs ou comme un crime informatique? La réponse à ces questions dépend de la définition de la cybercriminalité que se donne l'organisation policière et, en l'absence d'un consensus quant à celle-ci, le traitement ainsi que la classification des crimes informatiques différeront selon le service policier en question. Ipso facto, cette proche symbiose entre crimes traditionnels et criminalité informatique aura de grands impacts sur la production de données statistiques fiables dans le domaine de la cybercriminalité. En effet, sans directive claire de classification, beaucoup de crimes informatiques seront inventoriés dans d'autres catégories telles que la fraude ou la vente de produits illicites. Il devient alors impossible d'obtenir un portrait fiable de la déviance en ligne puisque plusieurs des actes qui la composent se retrouvent catalogués sous divers autres crimes.

Une approche possible serait alors de ne considérer comme cybercrime que les actes qui ne sont qu'uniquement réalisables par le biais des réseaux informatiques, tels que la production de virus informatique et le hacking . Toutefois, une telle approche ne réglerait pas les problèmes puisque plusieurs crimes traditionnels commis sur Internet présentent les mêmes défis à l'intervention policière que les cybercrimes « purs ». Restreindre à ce point la portée de la cybercriminalité serait donc contre-productif dans le sens que cela isolerait de la problématique une part importante des actes déviants en ligne et diffuserait les problèmes de la cybercriminalité à divers départements policiers tels que celui de la fraude ou de la contrebande illicites.    

1.2 Le faible taux de crimes informatiques rapporté à la police

Les problèmes relatifs à la définition de la cybercriminalité ne sont pas l'unique entrave à la production d'un renseignement criminel de qualité en matière de cybercriminalité. Il est admis qu'une part importante de la criminalité connue par la police provient des dénonciations faites par les citoyens. Or, pour qu'un crime soit reporté ou dénoncé, il faut que quelqu'un, quelque part, en ait conscience. Dans le cas des crimes informatiques, en prenant place dans un univers immatériel, les chances qu'une personne s'en aperçoive sont réduites. Parallèlement, de pair avec la dénonciation vient le concept de la gravité du crime. Logiquement, plus un crime est jugé grave, plus sa représentation dans les statistiques policières sera fidèle à la réalité, car les témoins, les victimes et même les coupables seront plus motivés à reporter l'acte déviant à la police. Corollairement, pour le meurtre, archétype du crime grave, la police est en connaissance de presque la totalité des crimes de cette nature. À l'inverse, le renseignement policier produit généralement un portrait statistique hautement affecté par le chiffre noir lorsque la gravité du crime est dérisoire, puisque les actes sont généralement légion et leur sévérité faible ne justifie souvent pas la mobilisation policière. La majorité des actes composant la cybercriminalité ayant peu d'impact sur les victimes prise individuellement, peu de ces crimes sont donc relayés à la police.

1.2.1 Le silence de la victime

La victime est une source primordiale d'information pour le policier. Toutefois, si la victime ne reconnaît pas sa victimisation, les chances que le policier soit mis au courant du crime diminuent considérablement. Dans le domaine de la criminalité informatique, la victime rapporte rarement l'acte criminel subit. Une des raisons possibles s'actualise dans le fait que la victime n'est pas toujours consciente du geste criminel commis à son égard. Certains cybercrimes sont en effet de nature furtive et se réalisent à l'insu des personnes touchées. Le vol de donnée personnelle par exemple, est rarement détecté au moment de l'acte, puisque le « vol » ne prive pas le propriétaire légitime de son bien; le dérobeur s'enfuit avec une copie digitale des renseignements. Cette situation est particulièrement vraie pour les entreprises, où le nombre imposant de données emmagasinées, la complexité du réseau d'ordinateurs interne et la diversité des activités des employés rendent difficile la détection des intrusions informatiques. Semblablement, les logiciels espions, les porte-dérobées et certains virus s'infiltrent discrètement dans le système et échappent à la détection.

Dans d'autres cas, il se peut que la victime ne reconnaisse pas le caractère criminel du geste posé à son égard. Par exemple, une personne qui reçoit des insultes en ligne peut décider que les actions du harceleur ne sont pas assez sérieuses pour être qualifié de crime et retenir ainsi l'attention de la police. Pareillement, pour certains, les dommages causés par un virus informatique ou autres victimisations mineures peuvent être assimilés à « l'expérience » de la navigation en ligne, soit un phénomène banal qui est fréquent sur Internet et qui relève principalement du hasard, d'une simple malchance. Dans certains cas, la victimisation peut même être débattue, comme c'est le cas de l'exposition non sollicité à de la pornographie. Le silence de la victime peut aussi être le fruit d'une attitude défaitiste alors que celle-ci réalise que la police ne pourra rien faire pour sa situation. La personne victimisée n'aura donc pas, dans ce cas, d'incitatif à reporter le crime. Finalement, certaines victimes, particulièrement celles où la supercherie fut employée, peuvent avoir honte d'être tombées dans un piège tendu par autrui. Les fraudes nigériennes sont un bon exemple de crime où les victimes peuvent hésiter à révéler leur victimisation de peur de subir un jugement négatif de la part des autres. Ainsi, pour diverses raisons, les victimes de criminalité informatique reportent très peu leur victimisation à la police. En retour, cela affecte la capacité de la police à produire un portrait statistique du phénomène fidèle à la réalité.

1.2.2 Les priorités de l'entreprise privée

Dans l'univers des crimes informatiques, l'individu n'est pas la seule figure de victime. L'entreprise privée détient également une part importante de la victimisation, particulièrement dans le domaine de la fraude. Tout comme la personne, l'entreprise privée n'est pas encline à divulguer à la police sa victimisation. En effet, un sondage réalisé par Ernst et Young (2003) sur la fraude commise contre le secteur commercial révèle que seulement un quart des affaires ont été renvoyées à la police. Pire, le taux de satisfaction relativement au travail policier chez ceux qui ont fait appel à la police ne s'élève qu'à 28 %, laissant présager que ces entreprises ne seront pas portées à répéter l'expérience.

Considérant les motivations et objectifs de l'entreprise privée, l'absence de contact avec le milieu policier est souvent délibérée. Dans le milieu des affaires, de sérieux doutes planent quant à la capacité de la police publique à effectuer des enquêtes informatiques efficaces, rapides et confidentielles. L'une des craintes premières des institutions est que l'enquête policière exposera publiquement la négligence de l'entreprise au niveau de la sécurité. Faire appel à la police équivaut donc souvent à risquer sa réputation, à mettre en jeu la confiance des clients et des partenaires et à s'exposer à des pertes financières et de graves dommages à l'image de marque. Par exemple, une banque victime de fraude envoie l'image à ses clients qu'elle n'est pas en mesure de protéger leurs avoirs. Une part de la clientèle risque alors de déserter les rangs pour rejoindre une institution rivale, jugée plus compétente. Ainsi, la plupart du temps, les compagnies dont la cyber victimisation est révélée sur la place publique voient le prix de leurs actions chuter (Kirbie, 2001). Conséquemment, cette peur des impacts négatifs provoqués par la mauvaise publicité réduit grandement la volonté du secteur commercial à mobiliser la police en cas de victimisation, préférant poursuivre un modèle privé de justice, en faveur des intérêts égoïstes de l'entreprise, plutôt que de faire appel au système de justice publique, agissant au service du bien collectif (Wall, 2007).

Cette décision de traiter l'affaire à l'interne est aussi une question de rendement économique. Dans la plupart des situations, l'avenue policière ne permettra pas à l'entreprise privée de récupérer les pertes résultantes de la victimisation. Pire, l'enquête publique, par sa lourdeur procédurale, ralentit le rendement de l'entreprise en lui imposant des tâches et des restrictions contraires aux objectifs commerciaux. Par conséquent, faire appel à la police publique est un investissement en terme d'argent, de temps et d'efforts qui n'offre pratiquement aucun retour économique possible. Il s'agit d'un « mauvais investissement » (Smith, 2003) à proprement parler. Les objectifs de la police et du milieu économique sont, dans ces conditions, fondamentalement différents. Pour le milieu policier, une enquête réussie équivaut à une arrestation, à un dossier clos. De l'autre côté, pour l'entreprise privée, un succès se définit par l'arrêt des victimisations. Aucun bénéfice ne sera retiré du blâme social du coupable. À court terme, la victimisation risque de disparaître avec l'arrestation du criminel, mais cette situation est généralement temporaire, le risque étant que le délinquant mis hors service soit remplacé, à moyen ou long terme, par d'autres individus. Corollairement, l'entreprise sera favorable à assumer la perte initiale de la victimisation et déployer des moyens pour corriger les failles par lesquelles cet incident fut possible. L'application de nouvelles mesures préventives ou l'amélioration de celles déjà en place sont donc propices à remplacer la signalisation de l'affaire au milieu policier.   

Les statistiques du renseignement criminel remplissent un important rôle dans la direction des activités policières. Elles permettent aux décideurs d'allouer de manière plus appropriée les ressources limitées de la police (Goodman, 2001). À défaut d'une définition claire et commune de la cybercriminalité et devant le faible taux de crimes informatiques rapportés à la police, la police n'est pas en mesure de produire un portrait clair de la réalité criminelle sur Internet. Sans une idée cohérente de la situation, la police agit dans l'ombre et n'est pas en disposition à déterminer les actions à effectuer et à prioriser. Sans être capable de démontrer intelligiblement l'ampleur et la répartition du problème, le financement des unités policières de cybercrimes risque toujours d'être une pensée secondaire. Ainsi, en l'absence de renseignements adéquats en matière de criminalité informatique, l'action de régulation de la cybercriminalité ne peut être que diffuse, confuse, et risque fort de présenter des résultats peu satisfaisants.  

< Précédent Page principale Suivant >