Cybercriminalité : l’ONU examine un texte promu par la Russie, la Chine, la Syrie et la Corée du Nord

Une vingtaine de régimes autoritaires ont réussi à inscrire à l'agenda des Nations Unies l'élaboration d'une « convention internationale globale sur la lutte contre l'utilisation des technologies de l'information et de la communication à des fins criminelles » qui pourraient contraindre des démocraties à collaborer avec leurs services répressifs, sans prendre en compte les droits humains.

Une vingtaine d'ONG de défense des droits et libertés numériques viennent d'adresser un « appel urgent » à l'intention des délégués de l'Union Européenne et de la Commission européenne. Celui-ci est envoyé en prévision de la reprise de la session de clôture du Comité spécial ad hoc des Nations Unies sur la cybercriminalité à New York, censé durer du 29 juillet au 9 août.

Les signataires y demandent de s'attaquer aux « nombreuses lacunes » du projet de convention de l'ONU sur la cybercriminalité, et de refuser de le soumettre à l'Assemblée générale des Nations Unies pour adoption.

La lettre ouverte, co-signée notamment par Access Now, le Committee to Protect Journalists, European Digital Rights (EDRi), Privacy International et la World Association of News Publishers (WAN-IFRA), fait suite à un long travail de décryptage du projet de texte mené, depuis des années, par l'Electronic Frontier Foundation (EFF), pionnière en la matière.

Droits de l'homme « facultatifs », surveillance « obligatoire »

L'essayiste et romancier Cory Doctorow, qui travailla quatre ans durant pour l'EFF, résume le projet comme suit : « les pays signataires du traité sur la cybercriminalité seront tenus d'aider les autres pays à lutter contre la "cybercriminalité", quelle que soit la définition qu'ils en donnent » :

« Ils seront tenus de fournir des données de surveillance, par exemple en obligeant les services en ligne situés sur leur territoire à communiquer les données privées de leurs utilisateurs, ou même en faisant pression sur leurs employés pour qu'ils installent des portes dérobées dans leurs systèmes en vue d'une surveillance continue. »

Or, si ces obligations d'aide à la surveillance sont obligatoires, « une grande partie du traité sur la cybercriminalité est facultative », ironise Doctorow :

« Qu'est-ce qui est facultatif ? Les garanties en matière de droits de l'homme. Les États membres "devraient" ou "peuvent" créer des normes en matière de légalité, de nécessité, de proportionnalité, de non-discrimination et de but légitime. Mais même s'ils le font, le traité peut les obliger à prêter leur concours à des ordres de surveillance émanant d'autres États qui ont décidé de ne pas créer ces normes. »

Une obligation d'entraide d'autant plus problématique que le projet de traité donne en outre une définition « extrêmement vague » de la cybercriminalité, un manque de rigueur qualifié de « délibéré » par Cory Doctorow :

« Dans les États autoritaires comme la Chine et la Russie (dont les délégations sont à l'origine de ce traité), la "cybercriminalité" en est venue à signifier "tout ce que le gouvernement désapprouve, si vous le faites à l'aide d'un ordinateur". La "cybercriminalité" peut concerner la critique en ligne du gouvernement, les professions de foi ou les documents soutenant les droits des LGBTQ. »

La liste de la vingtaine de pays à l'origine de cette demande de traité international encadrant la « Lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles », datant de 2019 et faisant elle-même suite à une proposition de la Russie faite en 2017, comprend en effet de nombreux pays autoritaires et connus pour les atteintes aux droits humains, tels que le Bélarus, Cuba, l'Égypte, Érythrée, la République islamique d’Iran, le Kazakhstan, Myanmar, la République arabe syrienne et la « République populaire démocratique de Corée » (du Nord, ndlr).

De plus, huit articles « établissent des obligations de secret indéfini » concernant la surveillance entreprise au nom d'autres pays signataires, de sorte qu'il soit impossible de pouvoir les contester en Justice, faute d'en avoir été tenu informé :

« Cela signifie que votre gouvernement peut être invité à vous espionner et à espionner les personnes que vous aimez, qu'il peut ordonner à des employés d'entreprises technologiques d'ouvrir des portes dérobées sur votre compte et vos appareils, et que ce fait restera secret pour toujours. »

Une liste indéfinie d'infractions possibles

Les ONG estiment ainsi que le projet de texte « accordera des pouvoirs de surveillance intrusifs sans garanties solides en matière de droits de l'homme et de protection des données », pourrait « compromettre le cadre de protection des données de l'UE », et demandent instamment aux États membres de ne pas signer la Convention sous sa forme actuelle.

Les ONG déplorent aussi un champ d'application « excessivement large, incluant les infractions cyber et d'autres crimes liés au contenu », qui créent une « incertitude juridique » importante en étendant le champ d'application à « une liste indéfinie d'infractions possibles qui ne seront déterminées que dans le futur » :

« Cette ambiguïté risque de criminaliser l'expression légitime en ligne, ce qui aurait un effet dissuasif préjudiciable à l'État de droit. Nous continuons à recommander de limiter le champ d'application de la Convention aux seuls crimes cyber clairement définis et déjà existants, afin de faciliter son application cohérente, d'assurer la sécurité juridique et la prévisibilité et de minimiser les abus potentiels. »

Les signataires estiment que l'article 18 « manque de clarté en ce qui concerne la responsabilité des plateformes en ligne », à mesure qu'il « n'exige pas la participation intentionnelle » aux infractions commises par leurs utilisateurs :

« Les intermédiaires en ligne risquent ainsi d'être tenus pour responsables des informations diffusées par leurs utilisateurs, même s'ils n'ont pas connaissance ou conscience de la nature illégale du contenu (comme le prévoit la loi sur les services numériques de l'UE), ce qui incitera les plateformes à déployer des efforts de modération du contenu trop importants, au détriment de la liberté d'expression. »

Pas de protection des lanceurs d'alerte, chercheurs, journalistes

Les ONG déplorent également l'absence de garanties spécifiques en matière de droits de l'homme, comme l'ont pourtant proposé les organisations de la société civile et le Haut Commissaire des Nations unies aux droits de l'homme, de sorte de s'assurer que les efforts en matière de cybercriminalité :

• • soient conformes aux principes de légalité, de nécessité et de proportionnalité, de non-discrimination et de but légitime ;

• • intégrent le droit à la vie privée parmi les droits de l'homme spécifiés ;

• • s'assurent que la Convention ne porte pas atteinte aux droits de l'homme sur la base du genre.

De plus, le projet de convention « ne contient pas de dispositions suffisantes pour protéger les acteurs de bonne foi », tels que les chercheurs en sécurité (qu'il s'agisse d'essais autorisés ou de protection d'un système de technologie de l'information et des communications), les lanceurs d'alerte, les activistes et les journalistes, d'une « criminalisation excessive ».

Les ONG, ainsi que le Haut Commissariat des Nations unies aux droits de l'homme, mais également la Chambre de commerce internationale (ICC), appellent aussi à la suppression de trois articles (les 28/4, 29 et 30) qui portent, respectivement, sur la perquisition et saisie de données électroniques, la collecte en temps réel de données de trafic et l'interception de données de contenu, « car ils prévoient des mesures de surveillance excessives qui ouvrent la voie à des ingérences dans la vie privée sans garanties suffisantes et risquent de compromettre la cybersécurité et le chiffrement », précisent les ONG.

Privacy International relève en outre que le paragraphe 4 de l'article 28 conduirait les États à « imposer à des tiers, tels que les fournisseurs de services de communication, l'obligation de divulguer les vulnérabilités de certains logiciels ou de permettre aux autorités compétentes d'accéder à des communications chiffrées » :

« Il convient de noter que, si les autorités sont autorisées à exploiter ces vulnérabilités, elles auront très probablement intérêt à constituer un "arsenal" de failles de sécurité afin de pouvoir attaquer une cible en cas d'enquête. Cet intérêt, à son tour, les empêchera de notifier le fabricant de systèmes informatiques concerné, qui peut aider à colmater la faille de sécurité. Si cela se produit, cela signifie que le risque pour la sécurité au niveau mondial l'emporterait largement sur l'éventuelle facilitation des poursuites dans des cas individuels. »

Un moment charnière pour les droits de l'homme à l'ère numérique

En matière de coopération internationale, les ONG estiment que le partage d'informations entre services répressifs « devrait être limité à des enquêtes criminelles spécifiques assorties de garanties explicites en matière de protection des données et des droits de l'homme ».

Or, l'article 40 exige « l'entraide judiciaire la plus large possible » pour les infractions établies conformément à la convention ainsi que pour « toute infraction grave prévue par le droit interne de l'État requérant ».

Le projet de convention devrait dès lors être renforcé pour « inclure des normes claires, précises, non ambiguës et efficaces » afin d'éviter que des données à caractère personnel ne soient traitées ultérieurement et transférées vers d'autres États d'une manière qui « pourrait violer le droit fondamental à la vie privée et à la protection des données ».

« Tout au long du processus de négociation, nous n'avons cessé de souligner les risques que le traité, dans sa forme actuelle, fait peser sur les droits de l'homme et la cybersécurité mondiale », concluent les signataires. Or, et malgré les dernières modifications, le projet révisé « ne répond pas à nos préoccupations et continue de risquer de rendre les individus et les institutions moins sûrs et plus vulnérables à la cybercriminalité, sapant ainsi son objectif même » :

« Il est temps d'exiger des changements dans le texte afin de réduire le champ d'application du traité, de limiter les pouvoirs de surveillance et d'énoncer des principes de protection des données. Sans ces modifications, le projet de traité risque de conférer aux pratiques abusives des gouvernements un vernis de légitimité internationale et doit être rejeté. »

Le Haut Commissariat des Nations unies aux droits de l'homme (HCDH) qualifie de son côté cette session de clôture de « moment charnière pour les droits de l'homme à l'ère numérique ». Rappelant que la lutte contre la cybercriminalité et la coopération internationale dans les enquêtes criminelles « doivent aller de pair avec la défense et la promotion des droits de l'homme », le HCDH « demande instamment à toutes les parties aux négociations de tout mettre en œuvre pour que le nouveau traité intègre les droits de l'homme dans l'ensemble du texte » :

« L'absence d'une telle intégration pourrait mettre en péril la protection des droits de l'homme dans le monde entier, compromettre la fonctionnalité de l'infrastructure de l'internet, créer de nouveaux risques pour la sécurité et compromettre les opportunités commerciales et le bien-être économique. »

La roulette russe

Ni la Russie ni la Chine, pas plus que la Syrie ou la Corée du Nord, ne font partie des 75 pays ayant ratifié la Convention sur la cybercriminalité (dite Convention de Budapest) rédigée par le Conseil de l'Europe en 2001 et entrée en vigueur en 2005.

Considérée comme « le porte-drapeau de la coopération en matière de lutte contre la cybercriminalité », des pays comme la Russie et la Chine « ont toutefois rejeté cette convention et demandé un traité international », relève la Global Initiative against Transnational Organized Crime, une ONG genevoise qui suit et couvre la négociation depuis 2019, dans un article intitulé « La roulette russe ».

Le processus de négociation du traité, initié par la Russie et confronté à « une forte opposition des pays occidentaux » durant ces deux dernières années de négociations, débouche aujourd'hui sur un « éventail large et ambigu » d'infractions susceptibles d'être couvertes par le traité, des dispositions donnant aux gouvernements « une grande latitude pour accéder aux données et les partager », une définition de la cybercriminalité « conforme à la terminologie privilégiée par la Russie » et la possibilité d'inclure des protocoles additionnels « susceptibles d'élargir encore davantage le champ d'application de la convention ».

Or, résume la Global Initiative, « sans une intervention urgente des États qui ont plaidé en faveur d'une criminalisation plus ciblée et d'une meilleure protection des droits, ces objectifs russes pourraient déboucher sur une convention qui ferait entrer le monde dans une nouvelle ère de contrôle de l'internet et de l'information sous l'égide des Nations unies » :

« Bien que le projet de traité ne corresponde pas à l'original soumis par la Russie avant le début du processus de négociation, un protocole parviendrait à introduire un grand nombre d'éléments identiques à ceux recherchés par la Russie. Et si la redéfinition de la cybercriminalité et des systèmes informatiques tient la route, il s'agira d'une victoire majeure pour la Russie aux Nations unies. »

Ces divergences de vues pourraient finalement conduire à « un retard indéfini ou à l'adoption du traité sous la contrainte », par un vote. Le résultat pourrait aussi être un traité « techniquement approuvé » par les Nations unies, mais qui n'obtient pas pour autant l'approbation de nombreuses assemblées législatives pour une véritable ratification, « et qui n'entre donc pas en vigueur », souligne la Global Initiative :

« Alors que le champ d'application du traité s'élargit et que le texte est presque achevé, les garanties et les protections juridiques sont devenues encore plus cruciales pour limiter un traité qui semble prêt à adopter les principaux objectifs de la Russie en matière de terminologie et de champ d'application sous le couvert d'un compromis. »