Criminalité numérique à l’ère moderne : cadre juridique et sanctions du phishing et détournement de comptes

juin 9, 2025 John Sulivan Juridique Commentaires fermés sur Criminalité numérique à l’ère moderne : cadre juridique et sanctions du phishing et détournement de comptes

La montée en puissance du numérique a engendré une criminalité sophistiquée dont le phishing et le détournement de comptes constituent les manifestations les plus répandues. Ces infractions, qui consistent à usurper l’identité d’organismes légitimes pour soutirer des informations confidentielles aux victimes, représentent un défi majeur pour les systèmes judiciaires mondiaux. En France, le législateur a progressivement adapté l’arsenal juridique pour qualifier et sanctionner ces actes qui causent des préjudices considérables tant aux particuliers qu’aux entreprises. Face à des techniques frauduleuses en constante évolution, les tribunaux ont développé une jurisprudence substantielle, établissant les contours de la répression pénale applicable aux cybercriminels spécialisés dans ces formes d’escroquerie numérique.

Qualification juridique du phishing et du détournement de comptes

Le phishing et le détournement de comptes ne font pas l’objet d’incriminations spécifiques dans le Code pénal français. Ces comportements sont appréhendés à travers plusieurs qualifications juridiques existantes, adaptées aux spécificités du numérique. Cette approche permet une répression efficace sans nécessiter une refonte complète du droit pénal.

Sur le plan juridique, le phishing est principalement qualifié d’escroquerie au sens de l’article 313-1 du Code pénal. Cette infraction suppose la réunion de trois éléments constitutifs : l’emploi de manœuvres frauduleuses, la tromperie d’une personne physique ou morale, et la remise par cette dernière de fonds, valeurs ou biens. Dans le contexte du phishing, les manœuvres frauduleuses consistent en la création de sites internet imitant ceux d’institutions légitimes ou l’envoi de courriels usurpant l’identité d’organismes reconnus.

Le détournement de comptes, quant à lui, peut être qualifié d’accès frauduleux à un système de traitement automatisé de données (STAD) selon l’article 323-1 du Code pénal. Cette infraction est constituée dès lors qu’une personne accède ou se maintient frauduleusement dans tout ou partie d’un système informatique. La jurisprudence a confirmé que les comptes en ligne constituent des STAD protégés par la loi.

Cumul d’infractions et circonstances aggravantes

Les juridictions françaises appliquent fréquemment un cumul d’infractions pour sanctionner de manière adéquate les auteurs de phishing et de détournement de comptes. Outre l’escroquerie et l’accès frauduleux à un STAD, peuvent être retenues :

  • L’usurpation d’identité numérique (article 226-4-1 du Code pénal)
  • La contrefaçon et l’usage de faux (articles 441-1 et suivants)
  • Le vol de données informatiques (article 323-3)
  • Le blanchiment des fonds obtenus frauduleusement

La Cour de cassation a validé cette approche dans un arrêt notable du 20 mai 2015, reconnaissant la possibilité de cumuler les qualifications d’escroquerie et d’accès frauduleux à un STAD pour un même fait de phishing. Cette solution jurisprudentielle renforce l’arsenal répressif à disposition des magistrats.

Les circonstances aggravantes prévues par le législateur permettent d’alourdir les sanctions. L’appartenance à une bande organisée constitue une circonstance aggravante fréquemment retenue dans les affaires de phishing, compte tenu de la dimension souvent transnationale de ces opérations frauduleuses. De même, lorsque les victimes présentent une particulière vulnérabilité (personnes âgées, handicapées), les peines encourues sont sensiblement augmentées.

Dispositif répressif et échelle des peines applicables

L’arsenal répressif français prévoit un éventail de sanctions graduées pour punir les auteurs de phishing et de détournement de comptes. Cette gradation permet aux juridictions d’adapter la réponse pénale à la gravité des faits, au préjudice causé et au profil de l’auteur.

L’escroquerie, qualification principale du phishing, est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende selon l’article 313-1 du Code pénal. Ces peines sont portées à sept ans d’emprisonnement et 750 000 euros d’amende lorsque l’infraction est commise en bande organisée (article 313-2). La Chambre criminelle de la Cour de cassation a confirmé dans un arrêt du 14 novembre 2018 que l’utilisation d’un site internet frauduleux imitant celui d’une banque constituait bien les manœuvres frauduleuses caractérisant l’escroquerie.

L’accès frauduleux à un système de traitement automatisé de données est sanctionné par deux ans d’emprisonnement et 60 000 euros d’amende (article 323-1). Ces peines sont portées à trois ans d’emprisonnement et 100 000 euros d’amende lorsque l’accès frauduleux entraîne une suppression ou modification de données. La loi n°2015-912 du 24 juillet 2015 a renforcé ce dispositif en prévoyant des peines de cinq ans d’emprisonnement et 150 000 euros d’amende lorsque l’infraction est commise à l’encontre d’un système mis en œuvre par l’État.

Sanctions complémentaires et mesures accessoires

Au-delà des peines principales, les tribunaux peuvent prononcer diverses sanctions complémentaires à l’encontre des cybercriminels condamnés pour phishing ou détournement de comptes :

  • La confiscation des outils ayant servi à commettre l’infraction (ordinateurs, serveurs, téléphones)
  • L’interdiction des droits civiques, civils et de famille
  • L’interdiction d’exercer une activité professionnelle en lien avec l’informatique
  • La fermeture des établissements ayant servi à commettre l’infraction
  • L’interdiction du territoire français pour les condamnés de nationalité étrangère

Le Tribunal correctionnel de Paris a notamment prononcé en février 2021 une interdiction définitive d’exercer toute profession en lien avec l’informatique à l’encontre d’un récidiviste condamné pour avoir orchestré une vaste campagne de phishing ciblant les clients d’une grande banque française.

Pour les personnes morales reconnues coupables, l’amende peut atteindre le quintuple de celle prévue pour les personnes physiques. Elles encourent des sanctions spécifiques comme la dissolution, l’interdiction d’exercer certaines activités ou l’exclusion des marchés publics. Cette responsabilité pénale des personnes morales a été mise en œuvre dans plusieurs affaires impliquant des sociétés écrans utilisées pour le blanchiment des fonds obtenus par phishing.

Jurisprudence marquante et évolutions récentes

La jurisprudence française en matière de phishing et de détournement de comptes s’est considérablement enrichie ces dernières années, apportant des précisions essentielles sur l’interprétation des textes d’incrimination et l’application des sanctions. Ces décisions illustrent l’adaptation du droit pénal classique aux réalités de la cybercriminalité.

Dans un arrêt fondamental du 17 février 2016, la Cour de cassation a confirmé que l’envoi massif de courriels frauduleux imitant ceux d’un établissement bancaire constitue bien les manœuvres frauduleuses nécessaires à la caractérisation de l’escroquerie. Cette décision a consolidé la base juridique permettant de poursuivre efficacement les auteurs de phishing sous cette qualification.

Le Tribunal correctionnel de Nanterre, dans un jugement du 5 septembre 2019, a condamné les membres d’un réseau international de phishing à des peines allant jusqu’à huit ans d’emprisonnement. Cette décision marque une sévérité accrue des juridictions face à des infractions causant des préjudices considérables à de nombreuses victimes. Le tribunal a notamment retenu la circonstance aggravante de bande organisée, soulignant la dimension structurée et hiérarchisée du réseau criminel.

La Cour d’appel de Paris a précisé, dans un arrêt du 12 mars 2020, que le simple fait de détenir des identifiants et mots de passe obtenus par phishing, même sans les avoir utilisés, constituait le délit de recel de données informatiques frauduleusement obtenues. Cette interprétation extensive permet d’appréhender l’ensemble de la chaîne criminelle, y compris les intermédiaires.

Évolutions législatives et réglementaires récentes

Le cadre juridique applicable au phishing a connu plusieurs évolutions significatives ces dernières années :

  • La loi n°2022-309 du 3 mars 2022 a renforcé les moyens d’enquête en matière de cybercriminalité
  • Le règlement européen sur l’identification électronique (eIDAS) a imposé des obligations accrues de sécurisation des identités numériques
  • La directive NIS 2 a étendu les obligations de notification des incidents de sécurité

Une affaire particulièrement médiatisée jugée par le Tribunal judiciaire de Paris en novembre 2022 a abouti à la condamnation d’un groupe de hackers ayant dérobé plus de 2 millions d’euros via des campagnes de phishing sophistiquées. Les prévenus ont été reconnus coupables d’escroquerie en bande organisée, d’accès frauduleux à un STAD et de blanchiment. Cette affaire illustre la tendance des juridictions à prononcer des peines sévères face à des préjudices financiers importants.

Le Parquet National Financier s’est par ailleurs saisi de plusieurs dossiers majeurs impliquant des réseaux internationaux de phishing, soulignant la dimension économique et financière de ces infractions. Cette spécialisation des magistrats contribue à une meilleure appréhension de ces phénomènes criminels complexes.

Coopération internationale et défis transfrontaliers

La nature intrinsèquement transfrontalière du phishing et du détournement de comptes soulève des défis considérables en matière de poursuite et de répression. Les auteurs opèrent souvent depuis l’étranger, parfois depuis des juridictions peu coopératives, et utilisent des infrastructures techniques dispersées géographiquement pour compliquer leur identification.

La coopération judiciaire internationale s’avère indispensable pour lutter efficacement contre ces formes de criminalité. Les instruments juridiques de coopération se sont multipliés ces dernières années :

  • La Convention de Budapest sur la cybercriminalité constitue le cadre de référence pour la coopération internationale
  • Les équipes communes d’enquête (ECE) permettent aux enquêteurs de plusieurs pays de travailler ensemble
  • Le mandat d’arrêt européen facilite l’extradition des suspects entre États membres de l’UE
  • La décision d’enquête européenne simplifie l’obtention de preuves dans un autre État membre

Une affaire emblématique jugée en 2021 par le Tribunal judiciaire de Lille illustre l’efficacité de cette coopération. Grâce à une ECE associant la France, la Belgique et la Roumanie, un réseau international spécialisé dans le phishing a été démantelé, conduisant à la condamnation de dix-sept personnes à des peines allant jusqu’à sept ans d’emprisonnement. Cette opération, baptisée « Trawler », avait permis de mettre fin à une série d’attaques ayant causé un préjudice estimé à 15 millions d’euros.

Au niveau opérationnel, Europol et son Centre européen de lutte contre la cybercriminalité (EC3) coordonnent régulièrement des opérations ciblant les réseaux de phishing. L’opération « Emma » menée en 2020 a ainsi permis l’arrestation de 422 personnes impliquées dans des escroqueries en ligne dans 24 pays, dont de nombreux cas de phishing.

Obstacles juridiques et techniques persistants

Malgré ces avancées, plusieurs obstacles entravent l’efficacité de la répression :

Le premier défi concerne la compétence territoriale. L’article 113-2 du Code pénal français établit la compétence des juridictions françaises lorsqu’un des faits constitutifs de l’infraction a été commis sur le territoire national. La Cour de cassation a adopté une interprétation extensive de ce critère, considérant dans un arrêt du 14 décembre 2018 que la simple accessibilité d’un site frauduleux depuis la France suffisait à fonder la compétence des juridictions nationales.

Les délais d’entraide judiciaire constituent un second obstacle majeur. Les demandes d’assistance mutuelle peuvent prendre plusieurs mois, voire années, avant d’aboutir, ce qui complique considérablement la collecte de preuves numériques par nature volatiles. Pour contourner cette difficulté, les autorités françaises privilégient désormais les canaux de coopération policière informelle via Europol ou Interpol en complément des voies judiciaires traditionnelles.

L’absence d’harmonisation des législations nationales crée des « paradis numériques » où les cybercriminels peuvent opérer avec un risque limité de poursuites. Certains pays, notamment en Europe de l’Est, en Asie du Sud-Est ou en Afrique, ne disposent pas encore d’un arsenal juridique adapté ou de capacités techniques suffisantes pour traquer efficacement les auteurs de phishing.

Stratégies de défense et responsabilité des victimes

Face à des poursuites pour phishing ou détournement de comptes, les prévenus développent diverses stratégies de défense qui ont connu des fortunes variables devant les tribunaux français. Parallèlement, la question de la responsabilité des victimes fait l’objet d’une jurisprudence nuancée, notamment en matière de réparation du préjudice.

La contestation de l’élément intentionnel constitue une ligne de défense fréquemment invoquée. Les prévenus allèguent souvent avoir agi comme simples intermédiaires (« mules financières »), sans connaissance de l’origine frauduleuse des fonds. Cette défense a été systématiquement rejetée par la Cour de cassation, qui a rappelé dans un arrêt du 5 janvier 2022 que le dol général suffisait à caractériser l’élément moral de l’escroquerie, sans qu’un dol spécial soit nécessaire.

La contestation de la qualification juridique représente une autre stratégie. Certains prévenus soutiennent que leurs actes ne constituent pas des manœuvres frauduleuses au sens de l’article 313-1 du Code pénal mais relèvent simplement de l’abus de confiance ou de la filouterie. Cette approche a été fermement écartée par la Chambre criminelle dans un arrêt du 9 mars 2021, confirmant que la création d’un site internet frauduleux imitant celui d’un organisme légitime caractérise bien les manœuvres frauduleuses constitutives de l’escroquerie.

Responsabilité civile et indemnisation des victimes

La question de l’indemnisation des victimes de phishing soulève des problématiques juridiques complexes, notamment concernant le partage de responsabilité entre la victime et l’établissement bancaire. Plusieurs décisions récentes ont précisé les contours de cette responsabilité :

La Cour de cassation a posé un principe général dans un arrêt du 28 mars 2018, considérant que la victime qui communique ses données confidentielles en réponse à un courriel frauduleux commet une négligence grave au sens de l’article L133-19 du Code monétaire et financier. Cette négligence peut justifier un refus total ou partiel d’indemnisation par l’établissement bancaire.

Toutefois, cette position a été nuancée dans un arrêt du 18 janvier 2023, où la Cour a jugé que la sophistication croissante des attaques de phishing pouvait atténuer la responsabilité de la victime. Dans cette affaire, le site frauduleux présentait une imitation parfaite du site légitime, incluant un certificat SSL valide, rendant la fraude particulièrement difficile à détecter pour un utilisateur moyen.

Les tribunaux examinent désormais plusieurs critères pour apprécier la négligence éventuelle de la victime :

  • Le degré de sophistication de l’attaque de phishing
  • Le niveau de connaissance informatique de la victime
  • Les mesures de sécurité mises en place par l’établissement bancaire
  • La rapidité de réaction de la victime après la découverte de la fraude

La Cour d’appel de Lyon, dans un arrêt du 7 septembre 2022, a ainsi condamné un établissement bancaire à indemniser intégralement une victime de phishing, considérant que la banque avait manqué à son obligation de vigilance en n’ayant pas détecté des opérations atypiques sur le compte du client. Cette décision illustre une tendance jurisprudentielle récente à renforcer les obligations des établissements financiers en matière de détection et de prévention des fraudes.

Sur le plan pénal, les victimes peuvent se constituer partie civile pour obtenir réparation de leur préjudice. Outre le préjudice matériel correspondant aux sommes détournées, les tribunaux reconnaissent désormais un préjudice moral spécifique lié à l’usurpation d’identité et à l’atteinte à la vie privée numérique. Le Tribunal correctionnel de Marseille a ainsi accordé en 2022 une indemnisation de 3 000 euros au titre du préjudice moral à une victime dont l’identité avait été utilisée pour créer de multiples comptes frauduleux.

Perspectives d’évolution et défis futurs

L’écosystème criminel du phishing et du détournement de comptes connaît des mutations profondes qui posent de nouveaux défis aux autorités judiciaires. Face à ces évolutions, le cadre juridique et les pratiques répressives doivent s’adapter pour maintenir leur efficacité dans un environnement technologique en constante transformation.

Les techniques de phishing ont considérablement évolué ces dernières années, gagnant en sophistication et en ciblage. Le « spear phishing » (hameçonnage ciblé) utilise des informations personnelles obtenues via les réseaux sociaux ou des fuites de données pour personnaliser les attaques et augmenter leur crédibilité. Le « vishing » (phishing vocal) exploite la téléphonie pour obtenir des informations sensibles. Ces évolutions techniques posent la question de l’adaptation des qualifications juridiques traditionnelles à ces nouvelles formes d’attaques.

L’utilisation croissante de l’intelligence artificielle dans les attaques de phishing constitue un défi majeur. Des outils comme ChatGPT ou DALL-E permettent de générer des textes ou images convaincants, rendant les tentatives de phishing plus difficiles à détecter. La CNIL a alerté sur ce phénomène dans un rapport publié en avril 2023, soulignant que ces technologies pouvaient démocratiser des attaques auparavant réservées à des acteurs disposant de compétences techniques avancées.

Réformes législatives envisagées

Plusieurs projets de réforme sont actuellement à l’étude pour renforcer l’arsenal juridique contre le phishing :

  • La création d’une infraction spécifique de « fraude à l’identité numérique » distinct de l’usurpation d’identité classique
  • L’aggravation des peines lorsque les infractions sont commises à l’aide d’outils d’intelligence artificielle
  • L’extension du régime de la responsabilité des hébergeurs aux fournisseurs de services d’IA générative
  • Le renforcement des obligations de vigilance des établissements financiers

Le Parlement européen a adopté en mars 2023 une résolution appelant à une harmonisation des législations nationales en matière de lutte contre la cybercriminalité. Cette initiative pourrait aboutir à une directive spécifique sur le phishing, établissant des définitions communes et des sanctions minimales dans l’ensemble de l’Union européenne.

Au niveau national, la Commission supérieure du numérique et des postes a recommandé dans un avis du 15 février 2023 la création d’un pôle juridictionnel spécialisé dans les affaires de cybercriminalité, sur le modèle du Parquet National Financier. Ce Parquet National Cyber disposerait de moyens renforcés et d’une expertise technique pour traiter efficacement les affaires complexes de phishing transfrontalier.

La dimension préventive n’est pas négligée dans ces réflexions. Le ministère de l’Intérieur a lancé en 2022 le programme « Cyber Vigilance » visant à sensibiliser le grand public aux risques du phishing. Cette initiative s’inscrit dans une approche globale associant répression, prévention et coopération internationale.

L’enjeu pour les années à venir sera de maintenir un équilibre entre l’efficacité de la répression pénale et la protection des libertés numériques. La lutte contre le phishing ne doit pas servir de prétexte à une surveillance généralisée des communications électroniques ou à des restrictions disproportionnées à la liberté d’expression en ligne. Cette préoccupation a été exprimée par le Conseil d’État dans un avis consultatif du 7 décembre 2022, rappelant la nécessité de respecter le principe de proportionnalité dans la mise en œuvre des mesures de lutte contre la cybercriminalité.