Convention des Nations Unies sur la Cybercriminalité : un nouveau traité inquiétant
Le 9 août, les États membres des Nations Unies sont parvenus à un accord sur une convention mondiale sur la cybercriminalité. La convention a été initialement proposée par la Russie autoritaire et coparrainée par certains des États les plus répressifs du monde, clairement désireux de l’utiliser pour étouffer la dissidence. La société civile ne voulait pas de ce traité, mais au fur et à mesure que le processus avançait, elle s’est efforcée d’en limiter la portée et d’y introduire des garanties en matière de droits humains. Certaines des pires idées proposées par les États ont été rejetées, mais la convention pourrait encore avoir des impacts négatifs. La société civile continuera à travailler à tous les niveaux pour tenter d’empêcher les États répressifs d’utiliser la législation sur la cybercriminalité pour restreindre les droits humains.
Les États membres de l’Organisation des Nations Unies (ONU) ont récemment approuvé la version finale de la Convention sur la Cybercriminalité. L’Office des Nations Unies contre la drogue et le crime (ONUDC) a salué cette convention comme une « étape historique » dans la lutte contre les dangers en ligne.
Mais les organisations de défense des droits humains et de nombreux États ne sont pas si sûrs. Dès le départ ils ont pensé que le traité n’était pas une bonne idée et s’y sont opposés. Les experts ont souligné que les accords internationaux existants ne sont pas appliqués, en particulier la Convention de Budapest du Conseil de l’Europe de 2001, que chaque État est libre de ratifier, mais que la plupart n’ont pas ratifiée, ce qui fait qu’elle n’est que partiellement opérationnelle.
Fait inquiétant, la résolution qui a lancé le processus, adoptée par l’Assemblée générale des Nations Unies en décembre 2019, a été parrainée par la Russie autoritaire et soutenue par certains des régimes les plus répressifs du monde, notamment la Biélorussie, le Cambodge, la Chine, l’Iran, le Nicaragua, la Syrie et le Venezuela. Certains avaient déjà des lois sur la cybercriminalité qu’ils utilisaient pour étouffer la dissidence légitime et la surveillance sous le prétexte de lutter contre des délits en ligne vaguement définis tels que l’insulte aux autorités, la diffusion de fausses nouvelles ou de discours de haine et l’incitation à la sédition. Beaucoup d’autres ont depuis adopté des lois similaires et les utilisent activement pour criminaliser la dissidence.
Lorsque la résolution de la Russie a été soumise au vote, l’Union européenne (UE), les États-Unis et de nombreux autres pays, ainsi que les organisations de défense des droits humains et des droits numériques, ont exhorté les États à la rejeter. Mais une fois la résolution adoptée, ils n’ont eu d’autre choix que de s’engager dans le processus afin d’éviter le scénario le plus défavorable : un traité dépourvu de garanties en matière de droits humains, susceptible d’être utilisé comme instrument de répression.
Ils ont réussi à atténuer certains des pires aspects des premières versions, mais il reste encore beaucoup à faire.
Le processus du traité
La résolution de décembre 2019 a établi un comité ad hoc (CAH) pour diriger les négociations, présidé par l’ONUDC et ouvert à la participation de tous les États membres de l’ONU, ainsi qu’à d’autres en tant qu’observateurs, y compris la société civile.
La pandémie a retardé le processus, et la première réunion du CAH, axée sur l’établissement de règles de procédure, a eu lieu à la mi-2021. La proposition du Brésil d’exiger une majorité des deux tiers pour les décisions lorsque les États ne parviennent pas à un consensus l’a emporté sur la règle de la majorité simple préconisée par la Russie. Le CAH a approuvé une liste de parties prenantes éligibles, comprenant des organisations de la société civile (OSC), des institutions académiques et des représentants du secteur privé.
La première session de négociation en février 2022 a adopté une autre procédure importante : des consultations seraient organisées entre les sessions de négociation pour les parties prenantes, y compris les OSC de défense des droits humains, afin de fournir des contributions et des retours d’information.
De nombreuses OSC de défense des droits humains et des droits numériques, notamment Access Now, Article 19, CyberPeace Institute, Derechos Digitales, Electronic Frontier Foundation, Global Partners Digital, Human Rights Watch, Privacy International et R3D, ont pris part à ces consultations en se regroupant au sein de coalitions. Elles ont pu soumettre des contributions écrites, assister à des réunions en personne et en ligne, faire des interventions orales et participer aux consultations intersessions. Le CAH a également organisé des consultations informelles.
Des voix en première ligne
Pavlina Pavlova est experte en politiques numériques et membre de New America.
Les principales divisions remontent au début des négociations. Le processus a commencé par une proposition russe, avec la crainte de beaucoup d’autres que la convention ne finisse par servir des agendas autoritaires.
Le processus de négociation a révélé de profondes divisions au sein de la communauté mondiale quant au rôle des droits humains en ligne. Les principaux désaccords sur le texte tournaient autour de la portée des infractions pénales, des pouvoirs d’application de la loi et de l’accès aux données transfrontalières.
Une victoire conditionnelle pour les parties prenantes a été l’accord précoce sur les modalités de travail qui ont permis la participation des organisations intéressées, y compris la société civile et le secteur privé, aux parties formelles des négociations. Les groupes de la société civile ont également pu s’engager plus efficacement grâce à une coordination étroite, à la fois en personne lors des négociations et à distance entre les sessions. Cette collaboration a favorisé des partenariats et une flexibilité pour aborder collectivement les opportunités de plaidoyer et de sensibilisation. Elle a permis une approche plus stratégique de l’engagement des parties prenantes dans les négociations multilatérales et a élargi la portée de l’action des gouvernements dans l’ensemble des régions.
Il est remarquable que cette solide coopération se soit étendue à la coordination et aux déclarations communes avec des entreprises privées et la communauté de la cybersécurité. Cela a envoyé un message fort, démontrant que les positions des organisations n’étaient pas des points de vue isolés, mais répondaient à des préoccupations mondiales et partagées.
Ceci est un extrait édité de notre conversation avec Pavlina. Lisez l’intégralité de l’entretien (en anglais) ici.
Limiter les dégâts
Avant la première session de négociation, environ 130 organisations et experts ont signé une lettre exhortant le CAH à veiller à ce que le traité inclue des protections en matière de droits humains, avertissant que sinon, il pourrait devenir « une puissante arme d’oppression ». Ils se sont heurtés à de nombreux États qui n’étaient pas d’accord avec la nécessité d’inclure des garanties relatives aux droits humains.
Au début des négociations, la société civile s’interrogeait encore sur la nécessité d’une convention sur la cybercriminalité, estimant qu’elle ne ferait que légitimer et perpétuer l’abus des lois sur la cybercriminalité. Mais en avril 2022, de nombreux États qui étaient d’abord contre le traité ont commencé à s’engager activement, certains prenant même un rôle de leader dans les négociations. Cela a poussé la société civile à se concentrer sur comment limiter les dégâts. A ce stade, il était évident qu’il n’existait pas de définition claire de ce qui constitue une cybercriminalité et quelles cybercriminalités le traité devrait réglementer. Plusieurs États ont exercé une pression agressive pour obtenir des dispositions générales et ambiguës qu’ils prétendaient nécessaires pour lutter contre l’extrémisme, le discours de haine et le terrorisme.
La société civile a insisté sur le fait que le traité ne devrait pas être trop large et ne devrait couvrir que les cybercriminalités principales ou les crimes cyberdépendants c’est-à-dire ceux commis en utilisant les technologies de l’information et de la communication (TIC). Il s’agit d’infractions pénales commises contre des systèmes informatiques, des réseaux et des données, y compris le piratage, l’interférence avec les systèmes informatiques, les ransomwares (ou rançongiciels) et la propagation de logiciels malveillants. La société civile a averti que même dans le cas de ces infractions, les dispositions du traité ne devraient pas s’appliquer à la recherche en matière de sécurité, au travail des lanceurs d’alerte et à d’autres actions qui bénéficient au public.
La société civile a surtout insisté sur l’exclusion des crimes cybernétiques: ceux qui peuvent être facilités par les TIC mais qui peuvent aussi être commis sans elles, comme le trafic d’armes et de drogues, le blanchiment d’argent et la distribution illégale de produits de contrefaçon. Cette catégorie pourrait potentiellement inclure de nombreuses infractions qui réprimeraient l’exercice en ligne des libertés civiques.
Le Haut-Commissariat des Nations Unies aux droits de l’homme s’est fait l’écho des préoccupations de la société civile en déclarant que le traité ne devrait pas inclure d’infractions liées au contenu de l’expression en ligne. Il souligne que le traité devrait clairement et explicitement faire référence aux accords internationaux contraignants en matière de droits humains, tels que le Pacte international relatif aux droits civils et politiques. Cela garantirait qu’il soit interprété et appliqué conformément aux principes universels des droits humains.
Les entreprises technologiques ont également partagé les inquiétudes de la société civile quant à la possibilité d’une surveillance électronique élargie au nom de la lutte contre la criminalité.
L’étendue et les conditions de la coopération internationale constituent une deuxième préoccupation majeure. Ici aussi, la société civile a préconisé des définitions claires et un champ d’application plus restreint. Elle a soutenu que si ces conditions n’étaient pas clairement définies, les accords de coopération pourraient se traduire par une surveillance accrue et un partage de données en masse, violant ainsi les dispositions relatives à la vie privée et à la protection des données, plutôt qu’à l’échange de preuves spécifiques. La société civile a mis en garde sur l’absence du principe de double incrimination. Ce principe stipule que l’extradition ne peut s’appliquer qu’à une action constituant une infraction pénale à la fois dans le pays qui fait la demande et dans celui qui la reçoit. Les autorités nationales pourraient donc être amenées à enquêter sur des activités qui ne constituent pas des infractions dans leur pays pour le compte d’autres États et elles pourraient ainsi devenir les exécutants de la répression d’autrui.
Des voix en première ligne
Deborah Brown est directrice adjointe de la division Technologie, Droits et Enquêtes de Human Rights Watch.
L’impact de la convention ne sera réellement perceptible qu’une fois qu’elle aura été adoptée par l’Assemblée générale des Nations Unies et que nous verrons quels gouvernements la ratifient et comment ils la mettent en œuvre. Mais nous sommes déjà inquiets sur le fait qu’elle pourrait élargir les pouvoirs de surveillance des gouvernements et faciliter la coopération internationale sur un large éventail d’infractions sans garanties suffisantes.
La convention permettra aux gouvernements de recueillir des preuves électroniques et de les partager avec des autorités étrangères pour toute infraction nationale « grave », définie comme un délit passible d’une peine de quatre ans ou plus. Cela pourrait inclure des activités protégées par le droit international des droits humains que certains États criminalisent, telles que les relations entre personnes de même sexe, les critiques du gouvernement, le journalisme d’investigation, les manifestations et les actions des lanceurs d’alerte.
Des pouvoirs de surveillance accrus devraient s’accompagner de garanties plus solides contre les abus, mais la convention laisse en grande partie au droit national le soin de fournir des garanties en matière de droits humains. En conséquence, les personnes seraient soumises aux lois nationales au lieu de bénéficier des normes internationales telles que les principes de nécessité et de légalité ou le droit d’être informé de la surveillance pour pouvoir la contester. Même des garanties essentielles restent facultatives comme l’autorisation de surveillance délivrée par un tribunal indépendant. Certains gouvernements peuvent affirmer que la convention prévoit des motifs pour refuser des demandes qui pourraient conduire à des persécutions liées au genre, à la race, à la religion, à la nationalité ou aux opinions politiques. Cependant, ces motifs sont discrétionnaires et pourraient facilement devenir l’exception plutôt que la règle.
En conséquence, la convention risque de devenir un traité de surveillance mondiale et un outil pour les violations transfrontalières des droits humains. Nous craignons également que les gouvernements ne l’utilisent pour justifier des lois nationales problématiques sur la cybercriminalité.
Ceci est un extrait édité de notre conversation avec Deborah. Lisez l’intégralité de l’entretien (en anglais) ici.
Les droits humains mis de côté
Les représentants de la société civile impliqués dans le processus considèrent que le projet final n’est pas aussi mauvais qu’il aurait pu l’être, mais qu’il est bien pire qu’il n’aurait dû l’être, étant donné qu’il manque de protections claires, spécifiques et exécutoires en matière de droits humains. Plutôt que de les appliquer en tant que normes internationales, le traité laisse la protection des droits humains à la loi nationale de chaque État.
Le plaidoyer de la société civile a permis d’améliorer les premières ébauches, notamment en élargissant l’article sur les droits humains, qui fait référence aux libertés civiques, et qui inclut le droit à un recours effectif sur les conditions et les garanties. Les tentatives les plus flagrantes d’utiliser le traité pour criminaliser l’expression ont échoué, mais certains crimes cybernétiques ont tout de même été inclus dans le texte. Les activités des journalistes, des chercheurs en sécurité et des lanceurs d’alerte ne sont pas suffisamment protégées.
La convention comprend un chapitre sur les infractions pénales commises contre les systèmes informatiques, les réseaux et les données, ainsi qu’un nombre limité de crimes cybernétiques, tels que les abus sexuels sur les enfants. Toutefois, si la liste des infractions est finalement plus restreinte que ce qui avait été initialement proposé, le champ de coopération pour la collecte et l’échange de données s’est élargi, ce qui soulève de réels dangers d’ingérence de l’État sous la forme de surveillance et d’intrusion dans la vie privée. En vertu de la convention, les États pourront utiliser des pouvoirs de surveillance électronique étendus pour collecter et échanger des informations sur un large éventail d’infractions, y compris celles qui n’impliquent pas les TIC.
Il est encore temps
La partie n’est pas encore gagnée. Le texte final sera bientôt soumis au vote des 193 États membres de l’Assemblée générale des Nations Unies et, si une majorité l’approuve, les États devront ensuite ratifier la convention. Au moins 40 ratifications seront nécessaires pour qu’elle entre en vigueur, un processus qui pourrait prendre plusieurs années. Deux ans après le vote de l’Assemblée générale, les négociations devraient commencer sur un protocole additionnel couvrant d’autres infractions pénales, qui ne sera pas conclu tant que 60 États n’auront pas ratifié la convention. La société civile craint que ce soit à ce moment-là que les pires propositions visant à criminaliser les discours protégés, jusqu’à présent exclus, refassent surface.
La société civile encouragera les gouvernements à rejeter la convention et à adopter plutôt une approche axée sur les droits humains en matière de cybercriminalité. Une fois que l’Assemblée générale des Nations Unies aura approuvé la convention, la société civile encouragera les débats nationaux, mettra en garde contre les dangers qu’elle représente pour les droits humains et les libertés civiles et s’opposera à sa ratification.
Avec ou sans convention internationale, la société civile travaillera pour s’assurer que la législation sur la cybercriminalité à tous les niveaux respecte les normes les plus élevées en matière de droits humains, y compris le respect des libertés civiques, et ne soit pas utilisée comme un moyen de répression.
NOS APPELS À L’ACTION
-
Les États devraient consulter un large éventail de la société civile avant de prendre des mesures pour ratifier la Convention sur la Cybercriminalité.
-
La société civile, les États favorables et les entreprises technologiques doivent collaborer pour s’opposer à tout projet d’élaboration d’un protocole additionnel à la convention visant à élargir les types d’infractions qu’elle couvre.
-
Les États doivent veiller à ce que tous leurs efforts pour lutter contre la cybercriminalité respectent les normes les plus élevées en matière de droits humains.
Illustration de couverture par CIVICUS