La cybercriminalité sans frontières bientôt combattue au niveau mondial ? C’est l’objectif de la Convention des Nations unies contre le cybercrime, en cours d’élaboration. Entre tensions politiques, enjeux sécuritaires et respect des droits fondamentaux, comment se négocie un tel accord ? Karine Bannelier suit de près ces négociations pour un Think Tank. Elle raconte.

Délit de fake news poussé par la Chine, absence de référence à la protection de la vie privée comme garantie procédurale voulu par les États-Unis, crime d’extrémisme proposé par la Russie… Le projet de Convention des Nations unies pour lutter contre la cybercriminalité va-t-il devenir un cimetière des libertés publiques ? À force de compromis, va-t-il au contraire être l’éléphant qui accouche d’une souris ?

Les États doivent naviguer entre ces écueils, nous explique Karine Bannelier, représentante du Cross Border Data Forum (CBDF) dans les négociations au sein du « Comité ad hoc des Nations unies pour l’adoption d’une Convention des Nations unies contre la cybercriminalité ». Professeur associée de droit international, directeur du Cyber Security Institute (CyberAlps) à l’Université de Grenoble Alpes (UGA), Senior Fellow sur la cybercriminalité (CBDF), directeur du Master « Sécurité internationale, cybersécurité et défense » (UGA/Paris ILERI), elle dévoile pour inCyber les coulisses de ces négociations au plus haut niveau.

La quatrième session du comité de l’ONU chargé de rédiger un projet de Convention de lutte contre la cybercriminalité s’est achevée à Vienne le 20 janvier dernier. Une session houleuse…

En effet. Les trois premiers jours ont été consacrés à distinguer deux groupes d’articles, ceux qui pouvaient faire l’objet d’un certain consensus et les autres, relégués dans des groupes informels où ils font l’objet de discussions pour voir si certains d’entre eux pourraient être réintroduits plus tard dans la Convention.

Mais plusieurs États ont par ailleurs proposé des dispositions controversées, comme la Chine avec le crime de fausse information ou les États-Unis, qui ont souhaité supprimer les références à la protection de la vie privée et des données personnelles ainsi qu’aux principes de proportionnalité, de nécessité et de légalité qui constituent pourtant des garanties essentielles pour contrebalancer les pouvoirs d’enquête judiciaire.

Quels sont les articles qui font l’objet de consensus à ce stade de la négociation ?

Il semble y avoir un consensus entre les États autour de ce qu’on appelle les crimes « cyber-dépendants », qui ne peuvent être commis qu’avec Internet. En gros, ce sont les crimes que l’on retrouve déjà dans la Convention de Budapest sur la cybercriminalité, comme l’accès illégal (article 6) ; l’interception illégale (article 7), l’interférence avec des données et informations numériques (article 8), l’interférence avec des systèmes ou dispositifs de communication (article 9), l’utilisation abusive de dispositifs ou de programmes (article 10), la falsification de données (article 11), la fraude informatique (article 12). Seuls les crimes relatifs au « matériel d’exploitation ou d’abus sexuel d’enfants en ligne » (article 18) font consensus sans être des crimes « cyber dépendant ».

Les articles polémiques sont donc plus liés à des crimes dits de contenu ?

Les crimes de contenu, notamment des crimes liés à la notion d’extrémisme, à la diffusion de fausses informations, ceux liés au terrorisme, font en effet polémique. Leur interprétation est très subjective et ils pourraient être utilisés pour attenter à la liberté d’expression. Ces crimes de contenu font par ailleurs partie d’une catégorie controversée de crimes, les « cyber enabled crimes ».

Dites-nous en plus sur ces « cyber enabled crimes »

Il s’agit de crimes qui peuvent être commis dans le cyberespace, mais qui existent déjà par ailleurs, comme l’obstruction à la justice, proposée par les États-Unis, ou le blanchiment d’argent sale. Parmi eux, seule la pédopornographie fait consensus. J’en ai discuté avec certains négociateurs et personne ne semble penser qu’il pourrait y avoir un agenda caché de la part de certains États à propos de ce crime, comme cela peut être le cas avec les « content crimes » : il s’agit vraiment de lutter contre un fléau reconnu par tous.

La proposition des États-Unis, qui visait à ne pas mentionner parmi les garanties la protection des données personnelles et la préservation de la vie privée dans le cadre d’enquêtes judiciaires, a également fait polémique.

C’est le fameux article 42 : La France, les pays membres de l’UE et d’autres encore considèrent que l’enquête policière peut être très intrusive en matière de vie privée et de données personnelles et qu’il faut donc apporter des garanties concernant la protection de la vie privée et des données personnelles, le respect des principes de nécessité, proportionnalité et légalité.

Cet article a été très débattu à Vienne. Certains États ont proposé de le supprimer complètement, comme le Pakistan, la Russie… D’autres, comme les États-Unis, tout en soulignant l’importance de cet article, ont estimé que ces références ne devaient pas y figurer, notamment la protection des données personnelles, au motif que ce n’était pas une notion universelle présente dans les instruments internationaux.

Quelle a été votre réaction ?

Avec A. Trotry, qui prépare actuellement une thèse de doctorat sur la question, nous avions anticipé cet argument et nous avions fait une soumission à l’ONU en amont de la négociation à Vienne pour le contrer. Nous avons montré qu’il existe de nombreux instruments à travers le monde qui s’intéressent vraiment à cette question, notamment en lien avec la lutte contre le crime. Citons la Convention africaine sur la cybersécurité, mais aussi des exemples dans le cadre sud-américain, au sein de l’ASEAN et de l’APEC ou encore dans la Convention des Nations unies contre la corruption, qui est l’un des modèles utilisés dans les négociations sur la Convention contre la cybercriminalité.

Vous évoquiez la convention de Budapest. Qu’est-ce que la convention des Nations unies apporterait de plus ?

En matière de lutte contre la cybercriminalité, il n’existe qu’un seul instrument en vigueur, c’est la Convention de Budapest, du Conseil de l’Europe. Y participent tous les États membres, à l’exception de l’Irlande et de la Russie, exclue du Conseil de l’Europe depuis son invasion de l’Ukraine. Elle compte aussi plus d’une vingtaine d’États non-membres, comme les États-Unis, le Brésil, le Sénégal… pour un total de 68 États. Une quinzaine d’autres pourraient la rejoindre à court ou moyen terme.

Cela fait déjà une belle coopération internationale, mais tous les États ne la rejoindront pas, pour différentes raisons. Un instrument universel serait donc utile. Et ça, c’est dans le cadre des Nations unies que l’on peut le faire.

La convention des Nations unies ne va-t-elle pas faire double-emploi ou ne risque-t-elle pas, à force de compromis, d’être vidée de sa substance ?

Si l’instrument est très faible, cela sera bien sûr une déception. Le risque, toutefois c’est que les Nations unies créent une convention qui ne soit pas bien calée avec celle de Budapest, qui engendre des doubles standards, des contradictions. Ce serait alors très inquiétant, car les États ne pourraient pas coopérer sur certains points et cela aboutirait à une concurrence entre ces conventions et finalement à leur affaiblissement mutuel, ce qui ferait le bonheur des cybercriminels.

Où en sont les travaux à l’issue de la session de Vienne ?

En janvier, les États se sont penchés sur la rédaction des trois premiers chapitres du projet de Convention, soit 55 articles. Certains d’entre eux ont été mis de côté faute de consensus. Les États ont donc vraiment négocié sur la rédaction précise d’une trentaine d’articles. La présidente et son secrétariat doivent maintenant rassembler tous ces travaux et proposer des articles dont la formulation pourrait faire l’objet d’un consensus. C’est un travail complexe, car cette convention doit in fine être rédigée dans les six langues officielles des Nations unies.

Cette phase de définition des cybercrimes est vitale, car les mécanismes de coopération internationale qui seront négociés lors de la prochaine session, en avril, en dépendent largement.

Dans quelle mesure cette Convention sera-t-elle contraignante ?

Si tout va bien, elle pourrait être adoptée en 2024 et elle sera ensuite ouverte à la participation des États. Une fois qu’elle sera entrée en vigueur, elle s’imposera aux États parties qui auront alors notamment l’obligation d’introduire dans leur ordre juridique interne les crimes identifiés par cette convention, de donner à leurs forces de police les moyens de conduire des investigations sur ces crimes et de faire droit aux demandes de coopération internationale issues d’États tiers.

Une fois la Convention signée, peut-elle évoluer ?

En elle-même, il y a eu des chances, mais il faut rester vigilant. Certains États ont en effet déjà émis l’idée que l’on pourrait adopter des protocoles additionnels pour certains types de crimes, comme les « content crimes » qui auraient éventuellement été exclus de la Convention. Il serait dangereux que certains comportements soient criminalisés sur la scène internationale alors qu’il s’agit de crimes de contenus qui pourraient être utilisés par des régimes autoritaires pour porter atteinte à la liberté d’expression.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.