Le terme de « cybercriminalité » regroupe l’ensemble des infractions pénales susceptibles de se commettre sur les réseaux de télécommunications en général et plus particulièrement sur le réseau Internet.  La cybercriminalité recouvre deux types d’infractions pénales :

• les infractions directement liées aux technologies de l’information et de la communication (TIC) dans lesquelles l’informatique est l’objet même du délit,
• et les infractions dont la commission est liée ou facilitée par les TIC et pour lesquelles l'informatique n’est qu’un moyen.

Ainsi, la fraude à la carte bleue (utilisation par autrui sans votre consentement), la vente par petites annonces ou aux enchères d’objets volés ou l’encaissement du paiement sans livraison des marchandises, la diffusion d’images pédophiles, de méthodes pour se suicider, de recettes d'explosifs ou d’injures raciales, la diffusion auprès des enfants de photographies pornographiques ou violentes…constituent ces nouvelles formes de délinquance.

Le réseau Internet a un caractère transnational. A ce titre, l’information sur Internet se caractérise non seulement par sa volatilité mais aussi par la fugacité des sites. Il existe donc un problème pour collecter les preuves (les éléments matériels constitutifs) d’un délit. Concernant la fugacité, le constat d’huissier au moment de l’acte peut s’avérer difficile à effectuer (l’information peut disparaître avant tout constat, et rendre impossible toute poursuite au pénal). Le problème est donc très matériel : comment organiser les enquêtes et les poursuites pénales ? Tout d’abord, il y a le problème du paradoxe de la lenteur des commissions rogatoires et de la fugacité des sites. Par exemple, lorsqu’il y a une atteinte à la liberté d’expression en France, alors que cette atteinte n’est pas admise aux Etats-Unis, la procédure peut être très longue. En effet, concernant le lancement des commissions rogatoires aux Etats-Unis, une plainte sera déposée auprès du Parquet français, le Quai d’Orsay sera saisi et enverra une commission rogatoire à l’ambassade des Etats-Unis. Il faut savoir à quel Etat s’adresser, ce qui peut déjà prendre un mois et parfois se faire opposer un avis d'incompétence du « State Department ». Ensuite, se pose le problème de la coopération policière. Celle-ci demeure assez peu efficace. Effectivement, il existe des organisations telles qu’Interpol ou Europol, des conventions bilatérales d’entraide judiciaire  sont également conclues entre les pays  ; mais dans la pratique, la mise en œuvre de ces outils  n’est pas si facile. Depuis le 11 septembre 2001, la coopération pénale internationale s’est axée sur le terrorisme. Mais en dehors du terrorisme, celle-ci ne fonctionne pas, même entre les pays de Schengen.

En France, il existe par ailleurs, une police spécialisée en matière de cybercriminalité : il s’agit de l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication. Celui-ci surveille les sites, cherche à entrer dans les forums et les tchats et observe longuement la manière dont tout cela se passe. L’observation peut durer jusqu’à 2 ans car il faut mettre en confiance les sites potentiellement incriminables afin qu’ils ne disparaissent pas et ainsi permettre un constat d’huissier.

On peut donc observer que la pratique de telles enquêtes est différente de celle des enquêtes classiques.

Selon l’infraction considérée ce sont les textes pénaux généraux qui s’appliqueront ou des textes spécifiquement créés dans le Code pénal. Tout d’abord, il y a le nouveau crime consistant à pirater, s’introduire ou espionner les systèmes informatiques d’autres personnes ou organisations. Les opinions divergeaient quant à savoir si le simple fait de regarder était un crime, d’autant que les tout premiers « bidouilleurs » (hackers) détectaient souvent des brèches dans la sécurité des systèmes et avaient le sentiment d’être des citoyens tout à fait respectables en les signalant. Cela n’a de tout évidence rien à voir avec le fait de pénétrer dans un système dans un but criminel. Ensuite, il y a les cas dans lesquels le crime est ancien mais le système est nouveau, comme dans le cas des tentatives d’escroquerie par internet. Les arnaques commerciales existent depuis toujours, les arnaques téléphoniques depuis des décennies, et nous avons aujourd’hui les arnaques par internet. Il en va de même pour la pornographie et le non-respect du copyright Pour ces infractions, ce sont les infractions de droit commun qui se voient appliquer.

Concernant la première catégorie d’infractions (infractions directement liées aux TIC), le dispositif pénal se trouve essentiellement dans la loi du 5 janvier 1988 relative aux atteintes aux Systèmes de Traitements Automatisé des Données, dits STAD. Les articles 323-1 à 323-7 c. pén. sont issus de cette loi. Ces dispositions ont été aggravées par la LCEN.

L’article 323-1 c. pén. prévoit donc l’incrimination de l’accès et/ou le maintien frauduleux dans tout ou partie d’un STAD. En pratique, ceci pose un problème, notamment pour les enquêtes car les actes ne sont pas signés. De plus, il est possible de se trouver soi même, et sans le vouloir, sur un site sur lequel on ne devrait pas être. Souvent, soit le caractère frauduleux de l’acte n’existe pas, soit il est difficile à prouver.

Comme la jurisprudence donne une définition très large du STAD, il peut s’agir d’un système qui commence sur notre terminal jusqu’au système du fournisseur.

En revanche, pour qu’il y ait altération du système, il faut un acte actif de la part de la personne accusée. Ainsi, lorsqu’un individu pénètre dans un système informatique sans rien faire d’autre, il y a accès et maintien frauduleux mais pas entrave.

Le fait d’entraver ou de fausser le fonctionnement d’un STAD est incriminé et prévu par l’article 323-2 c. pén. (ajout par la LCEN). Ainsi, l’envoi de spams est couvert par cet article.

Enfin, notons que les cas les plus récents  de fraudes sur Internet  sont le « phishing » et l’usurpation d’identité. Les pouvoirs publics ont crée une Commission d’enquête laquelle a rendu un rapport (rapport du sénateur Jean-René Lecerf) relatif au vol d’identité. De son côté, la Commission européenne a effectué des travaux sur l’usurpation d’identité et encourage les législateurs nationaux à légiférer en la matière.

Il y a beaucoup de travaux et de nombreux débats concernant l’opportunité d’une nouvelle incrimination sur l’usurpation d’identité.

Sur le plan international, un dispositif pénal est également mis en place. D’une part, la Décision-cadre du Conseil des Ministres de la Commission européenne relative aux attaques visant l’information (1^ère décision en avril 2002 mise à jour par la Commission européenne) incite les Etats membres à mettre à niveau leur dispositif législatif pour renforcer la coopération. Dans son article 3, la Décision utilise la notion d’accès illicite à l’information. Il doit s’agir d’un « accès intentionnel sans en avoir le droit » lequel doit être commis lorsqu’il y a une protection spécifique.

Par ailleurs, la Décision traite des interférences illicites avec le système d’information ; l’incitation, l’aide, la complicité ; la responsabilité des personnes morales etc.

D’autre part, la première convention internationale sur la cybercriminalité a été adoptée par les pays membres du Conseil de l’Europe le 8 novembre 2001, elle est ouverte à la signature depuis le 23 novembre 2001. La convention a pour but de « mener en priorité, une politique pénale commune destinée à protéger la société de la criminalité dans le cyberespace, notamment par l’adoption d’une législation appropriée et par l’amélioration de la coopération internationale ». La Convention détermine trois principaux axes de réglementation : l'harmonisation des législations nationales concernant la définition des crimes, la définition des moyens d'enquêtes et de poursuites pénales adaptés à la mondialisation des réseaux et la mise en place d'un système rapide et efficace de coopération internationale. Un Protocole additionnel à la Convention sur la cybercriminalité demandant aux Etats de criminaliser la diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques a été adopté le 7 novembre 2002 par le Comité des Ministres.
Ses deux objectifs majeurs sont d'harmoniser le droit pénal et d'améliorer la coopération internationale afin de mieux lutter contre le racisme et la xénophobie sur l'Internet.

Il y a donc de multiples réponses juridique à une atteinte aux systèmes d’informations.