Convention des Nations Unies sur la cybercriminalité : le remède pourrait-il être pire que le mal ?
Les négociations en vue d’un traité international visant à résoudre le problème transfrontalier de la cybercriminalité pourraient avoir des conséquences considérables sur les droits fondamentaux des personnes. Alors que la date limite de conclusion des négociations approche à grands pas, aucun accord de base n’a été trouvé sur le champ d’application du traité, la définition des crimes qu’il couvrirait et les garanties nécessaires pour éviter qu’il ne devienne un moyen pour les États autoritaires de réprimer les activités en ligne légitimes. La société civile s’engage dans le processus pour tenter d’empêcher que cela ne se produise, consciente du fait que l’absence d’accord serait un bien meilleur résultat qu’un accord donnant aux États répressifs des outils d’autant plus puissants pour étouffer la dissidence.
Si vous n’avez jamais entendu parler de la Convention sur la cybercriminalité, vous n’êtes pas seul. Et si vous vous interrogez sur la pertinence de conclure un traité international pour lutter contre la cybercriminalité, vous êtes également en bonne compagnie. Beaucoup de ceux qui participent activement aux négociations, qu’il s’agisse d’États ou de la société civile, s’opposaient initialement à l’idée, mais ont été entraînés dans le processus lorsqu’il a été lancé par les Nations Unies (ONU).
Les négociations sont en cours depuis plus de trois ans : la dernière session de négociation s’est tenue en avril, et une consultation multipartite vient de s’achever. Une sixième session est prévue en août, et un projet de texte de la convention devrait être approuvé d’ici février 2024, avant d’être soumis au vote de l’Assemblée générale des Nations Unies (AGNU) plus tard dans l’année. Mais il reste encore beaucoup à déterminer et de gros écueils potentiels à venir.
Des débuts controversés
En décembre 2019, l’AGNU a voté en faveur de l’ouverture de négociations sur un traité relatif à la cybercriminalité. La résolution de lancement a été parrainée par la Russie, qui, deux ans plus tôt, avait commencé à faire circuler un projet de proposition. L’initiative de la Russie a été coparrainée par plusieurs des régimes les plus répressifs du monde : Le Belarus, le Cambodge, la Chine, l’Iran, le Myanmar, le Nicaragua, la Syrie et le Venezuela. Nombre de ces États ont déjà adopté des lois nationales sur la cybercriminalité qu’ils utilisent pour étouffer la dissidence et la surveillance légitimes sous prétexte de lutte contre une série de crimes en ligne vaguement définis : notamment, ces lois parlent d’insulte aux autorités, de diffusion de « fake news », de discours de haine, d’extrémisme, de sédition ou d’incitation à la terreur.
La lutte contre la cybercriminalité requiert certainement une certaine forme de coopération internationale, puisqu’il s’agit d’une forme de criminalité qui traverse les frontières. C’est un phénomène mondial qui touche de nombreuses personnes et qui les préoccupe à juste titre. Un traité faciliterait potentiellement la coopération internationale en fournissant aux pays un moyen de collaborer, notamment par l’échange d’informations et le partage d’expertise. La coopération permettrait ainsi de prévenir, enquêter et poursuivre les cybercrimes. Ce traité pourrait inciter les États à aligner leur législation nationale sur les normes internationales, garantissant la cohérence, simplifiant les enquêtes transfrontalières et renforçant la sécurité juridique.
Mais cela n’impose pas forcément la conclusion d’un nouveau traité. Les organisations de la société civile (OSC) ont encore des doutes. L’organisation de défense de la liberté d’expression Article 19, par exemple, insiste sur le fait que le traité n’est pas nécessaire. Des experts ont souligné que le vrai problème réside plutôt dans l’application insuffisante des accords internationaux existants, en particulier la Convention de Budapest du Conseil de l’Europe de 2001. Ouverte aux États du monde entier, elle n’a été ratifiée que par 68 d’entre eux et n’est pas encore totalement opérationnelle.
Lorsque la résolution russe a été soumise au vote, l’Union européenne (UE), les États-Unis et de nombreux autres pays, ainsi que des organisations de défense des droits humains et des droits numériques, ont exhorté l’Assemblée générale des Nations Unies à la rejeter. Mais une fois la résolution adoptée, ils se sont engagés dans le processus en essayant d’éviter le pire résultat possible, à savoir un traité dépourvu de garanties en matière de droits humains et susceptible d’être utilisé comme outil de répression. Pour les observateurs de la société civile les plus critiques, cela signifie que les États sont de plus en plus prêts à faire des compromis, en introduisant et en acceptant des amendements qui pourraient entraîner l’érosion de garanties essentielles en matière de droits humains.
La résolution de décembre 2019 a créé un « Comité spécial chargé d’élaborer une convention internationale générale sur la lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles » (CS), présidé par l’Office des Nations Unies contre la drogue et le crime (UNODC) et ouvert à la participation de tous les États membres des Nations Unies et d’autres observateurs, y compris de la société civile.
La première réunion du CS pour fixer les règles de procédure a eu lieu à la mi-2021, retardée par la pandémie. La proposition du Brésil selon laquelle un vote à la majorité des deux tiers serait nécessaire pour la prise de décision – et ce seulement lorsqu’un consensus ne pourrait être atteint – a été acceptée, à la place de la règle de la majorité simple préconisée par la Russie. Une liste de parties prenantes autorisées à participer a été approuvée, comprenant des OSC, des institutions universitaires et des représentants du secteur privé.
Une autre décision procédurale clé a été prise lors de la première session de négociation en février 2022, selon laquelle des consultations intersessions seraient organisées entre les sessions de négociation pour solliciter la contribution des parties prenantes, y compris des OSC de défense des droits humains. Ces consultations ont permis aux OSC de faire des présentations et de participer aux discussions avec les États.
Des voix en première ligne
Ian Tennant est le président de l’Alliance des ONG pour la prévention du crime et la justice pénale, un vaste réseau d’OSC qui fait progresser les questions de prévention du crime et de justice pénale, et dirige la représentation multilatérale de Vienne et el Fonds de résilience de l’Initiative mondiale contre la criminalité transnationale organisée. Les deux organisations participent en tant qu’observateurs aux négociations du traité des Nations unies sur la cybercriminalité.
Les négociations du traité ont été ouvertes aux OSC pour qu’elles puissent contribuer au processus par le biais d’une approche qui ne permet pas aux États d’opposer leur veto à des OSC individuelles. Les OSC ont la possibilité d’apporter leur contribution à chaque point de l’ordre du jour, ainsi qu’aux réunions intersessions lors desquelles elles peuvent présenter et mener des discussions avec les États membres. Ce processus est, d’une certaine manière, un modèle que d’autres négociations de l’ONU pourraient suivre comme meilleure pratique.
Les OSC, ainsi que le secteur privé, apportent des perspectives essentielles sur les impacts potentiels des propositions faites dans le cadre des négociations du traité, sur les questions pratiques, sur la protection des données et sur les droits humains. Fondamentalement, les OSC vérifient les faits et fournissent des preuves pour étayer ou contester les arguments avancés par les États membres lorsque des propositions sont faites et que des compromis potentiels sont discutés.
Cela dépend des négociateurs de toutes les parties et de la distance qu’ils sont prêts à parcourir pour parvenir à un accord : c’est cela qui déterminera si le traité a un impact significatif sur la cybercriminalité tout en restant fidèle aux normes internationales en matière de droits humains et à l’éthique générale des Nations Unies en matière de droits humains. Ce serait le résultat optimal, mais compte tenu de l’atmosphère et des défis politiques actuels, il sera difficile à atteindre.
Il est possible que le traité soit adopté sans garanties adéquates et que, par conséquent, seul un petit nombre de pays le ratifie. Cela non seulement diminuerait son utilité, mais également ferait porter les risques en matière de droits sur les seuls pays signataires. Il est également possible que le traité contienne des normes très élevées en matière de droits humains, mais que, là encore, peu de pays le ratifient, ce qui limiterait son utilité pour la coopération mais neutraliserait les risques qu’il présente pour les droits humains.
Ceci est un extrait de notre conversation avec Ian. Lisez l’intégralité de l’entretien ici.
Préoccupations en matière de droits humains
Plusieurs OSC de défense des droits humains et des droits numériques – notamment Access Now, Article 19, CyberPeace Institute, Derechos Digitales, Electronic Frontier Foundation, Global Partners Digital, Human Rights Watch, Privacy International et R3D – tentent d’influencer le processus d’élaboration du traité, individuellement ou dans le cadre de coalitions plus larges de la société civile et de parties prenantes multiples.
Comme l’a déclaré l’Electronic Frontier Foundation, ce traité a « le potentiel de réécrire les lois pénales du monde entier, en ajoutant éventuellement plus de 30 infractions pénales et de nouveaux pouvoirs de police étendus pour les enquêtes criminelles nationales et internationales ». Compte tenu des enjeux, environ 130 OSC et experts ont, avant la première session de négociation, demandé au CS d’intégrer des garanties en matière de droits humains dans le traité, avertissant que, dans le cas contraire, celui-ci pourrait devenir « une puissante arme d’oppression » et entraîner « un nivellement par le bas entre les juridictions dont les protections en matière de droits humains sont les plus faibles ».
Des voix en première ligne
Stéphane Duguin est directeur général de l’Institut CyberPeace, une OSC fondée en 2019 pour aider les OSC humanitaires et les communautés vulnérables à limiter les dommages causés par les cyberattaques et à promouvoir un comportement responsable dans le cyberespace.
Le principal défi a été la définition du champ d’application du nouveau traité, c’est-à-dire de la liste des infractions à incriminer. Les États s’accordent globalement sur le fait que le traité devrait inclure les infractions cyberdépendantes. L’inclusion des crimes facilités par la technologie est toutefois plus controversée. Il n’existe pas de définition internationalement reconnue des crimes facilités par la technologie. Certains États considèrent les infractions liées au contenu en ligne, telles que la désinformation ou l’incitation à l’extrémisme et au terrorisme, comme des crimes cybernétiques. Ces infractions sont fondées sur la parole et leur incrimination peut conduire à la criminalisation de discours ou de l’expression en ligne, ce qui aurait des conséquences négatives sur les droits humains et les libertés fondamentales.
De nombreux États susceptibles d’être futurs signataires du traité utilisent ce type de langage pour faire taire les dissidents. Toutefois, il y a un soutien général pour l’inclusion d’un nombre limité d’exceptions concernant les crimes facilités par la technologie, tels que l’exploitation sexuelle des enfants et les abus sexuels en ligne, ainsi que la fraude informatique.
Il est impossible de parvenir à une délimitation large des crimes cybernétiques si elle n’est pas accompagnée de garanties très strictes en matière de droits humains. En l’absence de garanties, le traité ne devrait porter que sur un nombre limité de crimes. Mais il n’y a pas d’accord sur les garanties et leur mise en place, en particulier en ce qui concerne la protection des données personnelles.
Or tant pour les victimes comme pour les auteurs de crimes, il n’y a aucune différence entre les crimes cybernétiques et les crimes cyberdépendants. Une victime de l’un est victime des deux. De nombreux groupes criminels – tout comme des acteurs étatiques – utilisent les mêmes outils, infrastructures et processus pour mener les deux types d’attaques.
Même s’il est nécessaire d’inclure davantage de crimes cybernétiques, la manière dont cela est fait n’est pas la bonne, car il n’y a pas de garde-fous ou de définitions claires. La plupart des États qui font pression en ce sens ont abondamment démontré qu’ils ne respectent ni ne protègent les droits humains, et certains – dont la Chine, l’Égypte, l’Inde, l’Iran, la Russie et la Syrie – ont même proposé de supprimer toute référence aux obligations internationales en matière de droits humains.
Ceci est un extrait édité de notre conversation avec Stéphane. Lisez l’intégralité de l’entretien ici.
Dès la première session de négociation, il est devenu apparent qu’il n’y avait pas de définition claire sur ce qui constitue la cybercriminalité et les cybercrimes qui devraient être régis par le traité. Il n’y a toujours pas une telle clarté.
L’ONUDC distingue deux grands types de cybercriminalité : la criminalité cyberdépendante, telle que l’intrusion dans un réseau, l’interférence dans un système informatique ou la diffusion de logiciels malveillants, qui ne peut être commise qu’en utilisant les technologies de l’information et de la communication (TIC), et la criminalité facilitée par les TIC mais qui peut aussi être commise sans elles, telle que le trafic de drogue ou d’armes, le blanchiment d’argent ou la distribution illégale de produits de contrefaçon.
Tout au long du processus de négociation, il y a eu des désaccords sur la question de savoir si le traité devait se concentrer sur un ensemble limité de crimes cyberdépendants ou s’il devait également traiter d’une variété de crimes cybernétiques. Les groupes de défense des droits humains mettent en garde contre le fait que ces derniers comprennent diverses infractions liées au contenu qui pourraient être invoquées pour réprimer les libertés civiques fondamentales d’association, d’expression et de réunion pacifique.
Ces préoccupations ont été soulignées par le Haut-Commissaire des Nations Unies aux droits de l’homme, qui a maintenu que le traité ne devrait pas inclure d’infractions liées au contenu de l’expression en ligne et a souligné qu’il devrait faire clairement et explicitement référence aux accords internationaux contraignants en matière de droits humains, tels que le Pacte international relatif aux droits civils et politiques, afin de garantir qu’il soit interprété et appliqué conformément aux principes universels en matière de droits humains.
Les objectifs du nouveau traité sont de réduire la probabilité d’attaques et, lorsqu’elles se produisent, de limiter les dommages et de veiller à ce que les victimes aient accès à la justice et à des réparations. Il ne s’agit pas de protéger les États, mais les personnes.
Un deuxième désaccord majeur concerne le champ d’application et les conditions de la coopération internationale. S’ils ne sont pas clairement définis, les accords de coopération pourraient aboutir à un partage massif de données, en violation des dispositions relatives à la protection de la vie privée et des données, plutôt qu’à l’échange d’éléments de preuve spécifiques liés aux enquêtes. En l’absence du principe de double incrimination – selon lequel l’extradition ne peut s’appliquer qu’à une action qui constitue un crime à la fois dans le pays qui fait la demande d’extradition et dans celui qui la reçoit – les autorités nationales pourraient être amenées à enquêter sur des activités qui ne constituent pas des crimes dans leur propre pays pour le compte d’autres États. Elles pourraient ainsi devenir exécutantes de la répression d’autrui.
La société civile a fait pression pour la reconnaissance d’une série de principes d’application des droits humains à la surveillance des communications. Selon ces principes, la double incrimination doit prévaloir et, lorsque les lois diffèrent et que celles de plusieurs États peuvent s’appliquer, le niveau de protection des droits le plus élevé doit être appliqué. Il faut veiller à ce que les États n’utilisent pas les accords d’assistance mutuelle et les demandes de coopération étrangère pour contourner les restrictions légales nationales. Les procès déployés pour se conformer à ces accords doivent être clairement documentés, accessibles au public et soumis à des garanties d’équité procédurale.
Ahead of the negotiations to tackle #cybercrime, ARTICLE 19 warned against the Convention, deeming it to be ‘unnecessary and ill-advised.’
— ARTICLE 19 (@article19org) April 11, 2023
⤵️ We recently stated why the latest draft does not meet international human rights standards on #FreeSpeechhttps://t.co/s059wRE43D
Qui est qui
Dirigé par la Russie, le groupe d’États qui préconise un traité de grande envergure sans garanties explicites en matière de droits humains est beaucoup plus uni que ceux qui recherchent l’inverse. Ce groupe comprend la Chine et de nombreux États d’Afrique et des Caraïbes, ainsi que des membres du groupe arabe.
De l’autre côté, les États membres de l’UE, le Japon, les États-Unis, plusieurs États d’Amérique latine et d’autres pays qui ont adopté la convention de Budapest soutiennent un traité qui inclut un nombre limité de crimes cyberdépendants avec des garanties solides en matière de respect de la vie privée, de protection des données et de droits humains. Ce groupe est d’accord sur les principes fondamentaux mais n’est pas d’accord sur plusieurs questions clés, notamment les clauses de protection des données, certains délits liés au contenu tels que la violation des droits d’auteur et l’étendue acceptable de la coopération. En particulier, l’UE et les États-Unis sont en désaccord sur les questions de protection de la vie privée et des données.
Au sein du second groupe, certains États ont changé de position. Par exemple, alors que les négociations entraient dans leur quatrième session, certains ont accepté un niveau de coopération plus large dans le cadre du traité, tant que le champ d’application des crimes inclus restait suffisamment étroit. Mais depuis, certains sont revenus sur ce point en insistant sur la nécessité d’une coopération à portée limitée pour atténuer les risques encourus par les journalistes, les dénonciateurs, les chercheurs et les militants de la société civile.
Les membres du premier groupe semblent toutefois s’enhardir, allant récemment jusqu’à remettre en question l’inclusion du langage des droits humains dans le préambule du traité et à proposer l’élimination des protections fondamentales des droits humains contre les pouvoirs de surveillance.
Une divergence plus récente entre les deux groupes est apparue au sujet des conditions formelles d’entrée en vigueur du traité, le groupe dirigé par la Russie faisant pression pour un processus rapide nécessitant seulement 30 signatures, tandis que l’autre groupe souhaite une barre plus élevée de 70 signatures.
Un avenir incertain
À la suite de la troisième consultation multipartite qui s’est tenue en novembre 2022, le CS a publié un projet de texte connu sous le nom de « document de négociation consolidé ». Lors de la quatrième session de négociation en janvier 2023, les principales préoccupations de la société civile se sont concentrées sur le nombre important et croissant d’infractions pénales énumérées dans le projet, dont beaucoup sont liées au contenu – y compris désormais, à l’initiative de la Chine, celle de « diffusion de fausses informations ».
Cependant les questions les plus controversées, telles que l’inclusion de crimes liés au contenu définis de manière vague et la définition de procédures pour l’interception de contenu, la collecte et le stockage de données et l’administration de preuves électroniques, n’ont pas été discutées lors des sessions plénières, mais plutôt dans des groupes informels qui n’étaient pas ouverts à la société civile.
La cinquième session de négociation a permis de mettre en place un mécanisme – une « conférence des parties » telle qu’employée dans d’autres traités – pour la mise en œuvre de l’accord, mais n’a pas permis de dégager un consensus sur les questions de fond. Cela signifie qu’un accord a été conclu sur les modalités de mise en œuvre d’un traité qui n’existe pas encore et qui ne se concrétisera peut-être jamais complètement.
Un manque de clarté persiste sur comment le CS compte combler le fossé profond actuel pour produire l’avant-projet qui devrait être partagé dans les prochaines semaines. Si les questions litigieuses sont laissées en suspens afin de respecter le délai, la prochaine session, prévue en août, pourrait passer de la recherche de consensus au vote – à moins que les États négociateurs ne décident de se donner un peu plus de temps.
À ce jour, le processus pourrait encore s’achever dans les délais prévus, ou avec une extension limitée, à la suite d’un vote forcé sur un traité néfaste qui ne ferait pas l’objet d’un consensus et n’entrerait donc pas en vigueur, ou le ferait pour un nombre limité d’États qui le ratifieraient. Il peut aussi être reporté à plusieurs reprises, perdre de son élan et s’éteindre. La société civile engagée dans le processus pourrait bien penser qu’une telle évolution n’est pas si mauvaise : mieux vaut pas d’accord qu’un accord qui donne aux États répressifs des outils plus puissants pour étouffer la dissidence.
NOS APPELS À L’ACTION
-
Les États doivent limiter le champ d’application du traité à un ensemble clairement défini de crimes cyberdépendants.
-
Les États doivent s’assurer que des garanties explicites en matière de procédure et de droits humains figurent dans chaque section du traité.
-
Les États devraient montrer leur volonté de lutter contre la cybercriminalité en adhérant à la convention de Budapest.
Illustration de couverture par CIVICUS