L’article publié ce matin par le quotien « Le Monde » mettant en lumière le piratage de la plateforme d’échange de cryptomonnaies Bybit, qui aurait perdu l’équivalent d’1,5 milliard de dollars, illustre à quel point les cyberattaques peuvent placer de nombreux utilisateurs en situation de vulnérabilité. L’ampleur de cette fraude, attribuée au groupe de hackers nord-coréen Lazarus, suscite de multiples interrogations quant aux recours juridiques à la disposition des victimes. Au-delà de l’émotion légitime que suscite un tel événement, il est crucial d’examiner, avec méthode et rigueur, les mécanismes qui permettent aux épargnants floués de faire valoir leurs droits devant les juridictions françaises.
Dans un premier temps, il convient de rappeler que la cybercriminalité, en France, est encadrée par plusieurs dispositions législatives, tant pénales que civiles. Sur le plan pénal, l’article 323-1 du Code pénal réprime l’accès ou le maintien frauduleux dans un système de traitement automatisé de données, ainsi que la suppression ou la modification des données qu’il contient. En outre, l’escroquerie en ligne (appelée « fraude informatique » lorsqu’elle se manifeste par la mise en place de manœuvres pour induire une victime en erreur) est également punissable, sur le fondement des articles 313-1 et suivants du Code pénal, qui sanctionnent l’escroquerie en général. Les victimes d’un piratage de grande ampleur, telles que celles touchées par l’attaque visant Bybit, peuvent donc déposer plainte auprès des autorités françaises compétentes, que ce soit auprès du commissariat, de la gendarmerie ou directement auprès du procureur de la République. Ce dépôt de plainte permet d’enclencher des investigations afin d’identifier les auteurs des faits, même lorsque ceux-ci se trouvent hors du territoire national. Certes, l’exécution concrète des poursuites peut se heurter à des obstacles pratiques et diplomatiques (coopération avec les autorités étrangères, conflits de compétence, complexité des techniques de dissimulation utilisées par les cybercriminels), mais il est essentiel que les plaignants entreprennent ces démarches : d’une part, parce qu’il s’agit d’un préalable indispensable au déclenchement d’éventuelles actions pénales et, d’autre part, parce que ce dépôt de plainte constitue souvent une étape-clé pour l’obtention d’une indemnisation dans le cadre du procès pénal. De plus, la question de la responsabilité de la plateforme elle-même se pose.
Dans la mesure où Bybit est censée veiller à la sécurité des fonds déposés, une action en responsabilité civile pourrait également être engagée, sur le terrain contractuel comme extra-contractuel. En droit français, l’article 1217 du Code civil permet au créancier d’une obligation (ici, l’utilisateur dont le compte a été vidé) de poursuivre l’exécution forcée, la réduction de prix, l’allocation de dommages et intérêts, voire la résolution du contrat, en cas d’inexécution ou de mauvaise exécution contractuelle. Il s’agira de déterminer si la plateforme a rempli ses engagements de sécurité et d’information, engagements qui peuvent relever de ce que l’on appelle l’obligation de moyens renforcée ou, dans certains cas, l’obligation de résultat si le contrat le stipule expressément. L’article 1240 du Code civil, qui fonde la responsabilité délictuelle en cas de faute, peut également trouver à s’appliquer lorsque la victime démontre une faute de la plateforme (par exemple, un manquement grave à ses obligations de sécurité) et un préjudice direct. La jurisprudence tend à exiger un haut niveau de précaution de la part des acteurs du numérique, spécialement lorsqu’ils se présentent comme des intermédiaires financiers. Les nouvelles dispositions relatives à la lutte contre le blanchiment et le financement du terrorisme, inscrites dans le Code monétaire et financier, renforcent cette exigence de diligence et d’information. Bien que l’application concrète de ces règles à une plateforme domiciliée à l’étranger comme Bybit puisse relever du contentieux international privé, les victimes françaises peuvent tenter de saisir les juridictions françaises si elles démontrent un lien de rattachement suffisamment fort avec la France (par exemple, la localisation de l’utilisateur en France et l’accessibilité du site sur le territoire français). Dans un cas de piratage massif, la stratégie la plus efficace consiste parfois à se regrouper, soit de manière informelle afin de mutualiser les coûts d’avocat et les échanges d’informations, soit en envisageant une action collective, à la condition que la qualité de « consommateur » ou d’« investisseur particulier » soit reconnue et que la loi le permette.
De récentes évolutions législatives ont élargi les possibilités de recours collectifs, notamment en matière de consommation, mais l’action de groupe en France demeure plus encadrée qu’aux États-Unis. Dans tous les cas, chaque victime doit établir la preuve du dommage subi et du lien de causalité avec la faute ou la négligence imputée à la plateforme. Une question cruciale est la justification du préjudice financier. Les cryptoactifs, par nature volatils, peuvent être difficiles à évaluer. Cependant, les tribunaux français ont déjà eu l’occasion de se prononcer sur la nature patrimoniale du bitcoin et de l’ethereum, considérant ces actifs numériques comme des biens incorporels ayant une valeur économique.
Si la plateforme a communiqué un relevé de compte, si l’utilisateur dispose de ses propres enregistrements ou de captures d’écran attestant du solde avant l’attaque, il sera possible de présenter un chiffrage précis du préjudice. Par ailleurs, il peut être opportun de solliciter une expertise judiciaire pour évaluer le montant des pertes subies et déterminer la corrélation entre l’attaque subie et la perte des fonds. Sur un plan plus pratique, il est recommandé aux victimes de l’attaque d’informer leur banque ou leur établissement de paiement de toute opération suspecte, notamment si, suite au piratage, des tentatives de phishing ou d’usurpation d’identité sont constatées.
Bien que le sujet de l’article du Monde porte essentiellement sur la perte de fonds en cryptoactifs, un vol de données personnelles peut également constituer un préjudice supplémentaire, justifiant d’autres recours, y compris au titre du Règlement général sur la protection des données (RGPD) si des informations nominatives ont été compromises. Toutefois, il convient de souligner que la mise en cause de Bybit pour manquement aux règles de protection des données en Europe suppose une présence ou une activité substantielle sur le territoire de l’Union européenne. La difficulté principale pour les victimes de fraudes à l’étranger demeure souvent l’identification de la juridiction compétente et l’exécution des décisions de justice.
Lorsque l’auteur du piratage est localisé dans un État tiers, tel que la Corée du Nord, l’exécution d’un jugement français peut se révéler extrêmement complexe, voire impossible si cet État n’a pas signé de conventions bilatérales ou multilatérales en matière d’entraide judiciaire. Dans un tel contexte, la responsabilité de l’intermédiaire financier peut alors paraître la voie la plus fructueuse pour obtenir réparation. Les avocats spécialisés dans la cybercriminalité et la fintech conseillent souvent d’explorer également la piste de la médiation ou de la transaction, surtout si la plateforme souhaite préserver sa réputation et rassurer ses clients en proposant, par exemple, des indemnisations partielles ou un mécanisme d’assurance.
En France, une clause d’assurance couvrant le vol de cryptoactifs ou la cybercriminalité peut être envisagée, mais elle demeure assez rare et dépend des conditions générales des contrats conclus. Il n’est pas exclu qu’une plateforme de renom prenne en charge, volontairement ou sous la pression de son assureur, tout ou partie des pertes de ses clients dans un souci de fidélisation.
Au demeurant, l’article du Monde mentionne que Bybit aurait tenté de prendre des mesures auprès du créateur de l’Ethereum pour envisager un « rollback » (annulation de transactions sur la blockchain). Si cette manœuvre est rarement mise en œuvre et suscite de vifs débats dans la communauté des développeurs, elle souligne la volonté de la plateforme de rechercher une solution technique à ce dommage. Toutefois, une telle action, si elle était possible techniquement, pourrait créer un précédent et soulever la question de la confiance dans l’immuabilité de la blockchain, composante cardinale de l’écosystème des cryptomonnaies. Sur un plan purement juridique, cette piste, même si elle aboutissait, n’empêcherait pas les victimes de se retourner contre la plateforme si elles considèrent que les mesures de sécurité n’ont pas été suffisantes. En France, la demande de réparation du préjudice et la preuve de la faute n’ont pas pour seul fondement l’échec d’une solution technique. Elles relèvent du respect, par le prestataire de services, de ses obligations légales et contractuelles, et ce indépendamment d’une éventuelle annulation de la transaction sur la blockchain.
En conclusion, l’attaque ayant frappé Bybit, décrite par « Le Monde », met en évidence l’importance pour les utilisateurs de plateformes de cryptomonnaies de faire valoir leurs droits, que ce soit au plan pénal ou civil. Le droit français offre des armes pour poursuivre les cybercriminels et tenir responsables, le cas échéant, les intermédiaires qui auraient failli à leurs obligations. Toutefois, l’exécution des décisions reste complexe dans un contexte international, et les victimes doivent être accompagnées par des professionnels du droit afin de définir la meilleure stratégie contentieuse ou négociée.
Dans un domaine aussi innovant et technique que celui de la blockchain, la rigueur dans l’établissement de la preuve, la bonne compréhension du régime juridique des actifs numériques et la connaissance des mécanismes de coopération internationale constituent autant de clés pour, sinon récupérer les fonds dérobés, du moins obtenir une réparation ou une indemnisation. L’affaire Bybit sera sans doute suivie de près par les spécialistes du droit des nouvelles technologies, car elle illustre toute la complexité du contentieux transnational associé aux cryptomonnaies.
Les ressortissants français, en particulier, pourront saisir leurs tribunaux nationaux pour tenter d’être indemnisés, en s’appuyant sur les articles du Code pénal relatifs aux infractions informatiques et sur les dispositions du Code civil sanctionnant la responsabilité contractuelle et délictuelle.
Pour toute question complémentaire, n'hésitez pas à nous contacter.
Comments