Il a commencé par travailler dans une entreprise d’intelligence artificielle. Puis il a fait du droit mention pénal et pénal des affaires. Maître Djamel Belhaouci est aujourd’hui le seul avocat en France à combiner une véritable double expertise : une formation juridique renforcée par un DU droit de la cyberdéfense des TPE, PME et organismes publics. Depuis son cabinet, il intervient des deux côtés de la barre: pour les victimes comme pour les mis en cause, et surtout dans les cellules de crise des entreprises dès les premières heures d’une attaque. Sa conviction : un avocat spécialisé n’est pas un recours après la tempête. C’est une pièce du dispositif de confiance numérique, au même titre que le RSSI ou l’assureur cyber.
Vous avez commencé dans l’intelligence artificielle, suivi une formation spécifique cyber, puis rejoint le barreau. Quand avez-vous compris que ces deux mondes n’étaient pas deux carrières séparées, mais une seule ?
Quand j’ai réalisé que le monde pénal et le monde digital étaient en train de fusionner sous mes yeux. La digitalisation de la société, et avec elle, la digitalisation de la criminalité, crée un besoin très précis : des praticiens capables de comprendre à la fois la procédure pénale et le fonctionnement des technologies. Quand un cybercriminel utilise des outils techniques pour commettre une infraction, le dossier pénal doit le démontrer de façon incontestable et ça, ça suppose de comprendre ce qui s’est passé techniquement. Un avocat qui ne maîtrise que le droit est en difficulté. Un ingénieur qui ne maîtrise que la technique ne peut pas construire le dossier. Ma valeur ajoutée, c’est précisément d’avoir un profil qui appréhende les deux.
Le droit pénal du numérique reste très peu représenté au barreau. Qu’est-ce qui manque dans la formation des avocats face à une criminalité qui se joue désormais dans les systèmes d’information ?
La compréhension de l’écosystème numérique dans sa globalité. Le droit pénal classique couvre déjà la majorité des infractions commises en ligne: l’escroquerie reste de l’escroquerie, le harcèlement reste du harcèlement. Ce qui change, c’est la façon de collecter les preuves, de monter un dossier, et d’expliquer les faits à une juridiction qui n’est pas forcément familière avec les aspects techniques. Ajouter la notion de « cyber » à une infraction ne modifie pas le texte de loi fondamentalement, mais ça change les méthodes d’investigation et la façon de présenter l’affaire. Il faut que les avocats comprennent l’environnement numérique pour anticiper les failles que l’adversaire pourrait exploiter, ou, à l’inverse, pour construire un dossier de preuve si solide qu’il ne peut pas être contesté.
« J’interviens à l’intersection entre la procédure pénale et la compréhension technique. »
Vous défendez des victimes de cyberattaques, des entreprises en gestion de crise, et des personnes poursuivies pour cybercriminalité. C’est un grand écart. Comment vivez-vous ce double rôle ?
C’est justement ce double rôle qui rend un avocat efficace. Quand je défends une personne mise en cause, je cherches les lacunes du dossier que la partie adverse va nécessairement chercher à exploiter. Quand je représente une victime, je sais dès lors comment construire un dossier solide dans la mesure où j’aurai pu anticiper la stratégie de défense qui me sera opposée en face. Et quand j’interviens aux côtés d’une entreprise en crise, je connais les modes opératoires des groupements cybercriminels parce que j’en ai défendu. Cette connaissance des deux faces de la criminalité cyber n’est pas un paradoxe éthique, c’est une compétence.
La plupart des entreprises, quand elles subissent une cyberattaque, appellent leur prestataire informatique. Pas leur avocat. Qu’est-ce que cette absence coûte concrètement ?
Elle coûte des procès, des années après la crise, au moment où l’entreprise commence à peine à s’en remettre. Une cyberattaque fait naître des conséquences juridiques immédiates et multiples : par exemple l’entreprise ne peut souvent plus fournir ses services, ce qui expose à des mises en demeure pour inexécution contractuelle. Si des données personnelles étaient compromises, la déclaration à la CNIL devrait être faite dans les 72 heures, et elle devra être cohérente avec tous les autres actes juridiques qui suivront. Le dépôt de plainte doit être rédigé de façon à ne pas incriminer l’entreprise elle-même. Et pendant tout ce temps, les directeurs juridiques internes, quand il y en a, sont pour le plus souvent complètement submergés par la gestion de la cyberattaque et de la gestion juridique quotidienne de l’entreprise.
Ce qu’un avocat apporte dans une cellule de crise, c’est la garantie que chaque décision prise dans l’urgence ne viendra pas se retourner contre l’entreprise deux ans plus tard. Ne pas avoir d’avocat dès la première heure, c’est naviguer à vue dans une tempête juridique en croyant que seul le vent technique compte.
Le dépôt de plainte dans les 72h est souvent présenté comme une obligation pour l’indemnisation assurantielle. Qu’est-ce qu’un bon dépôt de plainte en matière cyber ?
Soyons précis : un simple dépôt de plainte dans les 72h à partir de la prise de connaissance de l’attaque cyber, même au commissariat de quartier, suffit pour déclencher la prise en charge de votre assurance cyber. L’assureur requiert uniquement que l’événement soit officiellement signalé à la police ou la gendarmerie. Mais « suffisant pour l’assureur » et « efficace pour les investigations » sont deux choses très différentes. Ce qui est recommande systématiquement, c’est de s’adresser au parquet J3 qui est le parquet spécialisé en cybercriminalité. Ce n’est pas obligatoire, mais c’est incomparablement plus efficace : le parquet J3 connaît les modes opératoires des groupements cybercriminels, il a la compétence pour se saisir de ces affaires et il peut déclencher des investigations réelles. Un dépôt au commissariat généraliste, dans la plupart des cas, dormira dans un tiroir, parce qu’il pourrait y avoir bien d’autres dossiers classés plus urgents à traiter avant.
« Déposer plainte au commissariat suffit pour l’assureur. Mais si vous voulez que quelqu’un enquête vraiment, c’est le parquet J3 qu’il faut saisir. »
Que se passe-t-il juridiquement quand une entreprise victime d’un ransomware décide de payer la rançon ?
C’est une zone grise. Payer une rançon n’est pas illégal en droit français, mais ça expose à des risques pénaux réels. Si les fonds parviennent à un groupement terroriste ou à toute autre une entité sanctionnée, le paiement peut être qualifié de voire de financement du terrorisme. En payant la rançon, on s’expose également à favoriser une opération de blanchiment menée par le groupement cybercriminel à l’origine de la demande. Ce sont des infractions très graves. Certaines entreprises paient pour gagner du temps, pour permettre à leurs équipes techniques de travailler pendant la négociation. D’autres paient pour obtenir la clé de déchiffrement. Les cybercriminels restituent généralement la clé : c’est au cœur de leur modèle économique, leur réputation en dépend. Mais une entreprise qui paie devient également immédiatement « fichée » comme bon payer dans les cercles cybercriminels, c’est à dire qu’elle sera ciblée à nouveau, car elle a démontré qu’elle cède.
Les DSI et RSSI ont-ils conscience de leur exposition pénale personnelle notamment depuis l’arrêt de la Cour de cassation du 2 septembre 2025 sur le maintien frauduleux dans un système d’information ?
Généralement non, et c’est préoccupant. Cet arrêt est très clair : disposer d’un accès technique généralisé à un système d’information ne confère pas un droit juridique d’utilisation illimitée. Un administrateur réseau qui consulte la messagerie de son supérieur hiérarchique, même s’il en a techniquement la possibilité, peut être condamné pour un accès et un maintien frauduleux dans un STAD (système de traitement automatisé des données), au sens de l’article 323-1 du Code pénal. L’élément intentionnel est déduit de la conscience qu’il avait de dépasser le cadre de sa mission. Ce que ça signifie concrètement pour les DSI et RSSI : accéder ou se maintenir dans une partie du réseau qui ne relève pas de leur périmètre autorisé constitue une infraction, même sans intention malveillante au sens commun du terme. La peine complémentaire la plus sévère, en dehors de tout lien avec une organisation criminelle, est l’interdiction d’exercer dans l’informatique pendant cinq ans. Ce n’est pas rien pour quelqu’un dont c’est le métier.
Vous intervenez dans des affaires de fraude crypto, pig butchering, plateformes fantômes, arnaques à l’investissement. Quelles sont les chances réelles de récupérer des fonds ?
Elles dépendent de deux facteurs : la rapidité de réaction et la façon dont le schéma d’escroquerie a été monté. Contrairement à ce qu’on croit, la cryptomonnaie n’est pas intraçable, c’est même tout le contraire. Les fonds sont traçables sur la blockchain. Ce qui permet d’établir un rapport de traçage, d’identifier des portefeuilles saisissables, ce qu’on appelle des hot wallets, des portefeuilles hébergés sur des plateformes enregistrées comme prestataires de services d’actifs numériques. La procédure est ensuite classique : dépôt de plainte, demande de gel des fonds, saisine du juge de l’exécution pour une saisie conservatoire, puis action en justice.
Mais le vrai obstacle, c’est la coopération judiciaire internationale. Au sein de l’Union européenne, ça fonctionne. Hors de l’UE, c’est une autre histoire : avec certains pays d’Asie, d’Afrique, et avec la Russie, la coopération est inexistante. Si les fonds ont transité par ces juridictions, les chances de récupération tombent à presque zéro. C’est pour ça que la rapidité est décisive : plus vite on agit, moins les fonds ont eu le temps de voyager vers des zones où la justice ne peut plus les atteindre.
Pour vous, qu’est-ce qu’une organisation « numériquement de confiance » ? Celle qui ne se fait pas attaquer, ou celle qui sait gérer l’attaque quand elle arrive ?
La deuxième, sans hésitation. Toutes les entreprises, quelle que soit leur taille, sont susceptibles d’être attaquées. La cybercriminalité opère par opportunité : elle cible les systèmes les plus accessibles, pas nécessairement les plus rentables. Penser qu’on est trop petit ou trop peu intéressant pour être ciblé, c’est le meilleur moyen de ne pas se préparer. Une entreprise numériquement de confiance, c’est une entreprise qui s’est organisée en amont : qui a identifié les éléments critiques de son système d’information, qui a mis en place un plan de continuité et de reprise d’activité, qui sait exactement qui appeler, et dans quel ordre, quand l’attaque survient. L’avocat fait partie de cette chaîne. Pas en dernier, après le forensic et l’assureur. Dès les premières heures.
Le droit court-il après les faits ou est-il un outil de construction de la confiance numérique ?
Il construit et bien plus qu’on ne le croit. Le RGPD, l’AI Act, le Cyber Resilience Act : l’Union européenne a produit en quelques années un arsenal législatif qui impose des standards de sécurité, de transparence et de responsabilité que beaucoup d’autres régions du monde n’ont pas. Ces textes ne sont pas parfaits, et leur application est parfois lente. Mais ils créent un cadre de confiance qui va bien au-delà du territoire européen, parce que toute entreprise qui veut accéder au marché européen doit s’y conformer. La vraie difficulté, c’est la dimension transfrontalière hors de l’UE. Là, le droit peine encore à suivre la réalité des attaques. Mais en Europe, le droit est un bâtisseur de confiance numérique pas un pompier qui arrive après l’incendie. À condition, bien sûr, de savoir s’en servir.
