Alors qu'un comité d'experts gouvernementaux du monde entier convoqué par l'ONU s'apprête à entamer des négociations pour rédiger un traité sur la cybercriminalité, il y a un manque prononcé de consensus parmi les États membres de l'ONU sur ce qui constitue un "cybercrime" et sur la portée du traité. Après des années de discussion, l'Assemblée générale des Nations Unies a voté pour commencer à négocier un traité sur la cybercriminalité qui a le potentiel de remodeler le maintien de l'ordre à l'échelle mondiale, avec de graves implications pour les droits de l'homme. La résolution 74/247 de l' ONU a créé le comité intergouvernemental ad hoc qui rédigera le traité proposé. Le comité doit tenir sa première session de négociation du 28 février au 11 mars 2022.
Alors qu'un comité d'experts gouvernementaux du monde entier convoqué par l'ONU s'apprête à entamer des négociations pour rédiger un traité sur la cybercriminalité, il y a un manque prononcé de consensus parmi les États membres de l'ONU sur ce qui constitue un "cybercrime" et sur la portée du traité.
La plupart des États s'accordent sur l'inclusion des cybercrimes dits « purs » comme l'intrusion dans le réseau ou l'interférence avec le fonctionnement d'un système informatique. Mais un éventail plus large de délits « cyberactivés » – tels que la fraude ou le trafic de drogue qui ne ciblent pas intrinsèquement les technologies de l'information et de la communication, mais où les technologies de l'information et de la communication (TIC) jouent parfois un rôle important – sont également sur la table. D'autres États avertissent que le traité doit rester axé sur la cybercriminalité et éviter de se plonger dans des questions plus larges de sécurité nationale, de cybersécurité ou de cyberguerre.
Notre analyse des premières soumissions au comité ad hoc de l'ONU par les États membres intéressés de l'ONU commence à brosser un tableau de ce que ce traité pourrait finalement inclure.
S'agit-il uniquement de crime ?
Un certain nombre d'États ont exprimé leur inquiétude quant au fait que le traité pourrait finalement inclure tout, de la cyberguerre à la sécurité nationale, en passant par un nouvel ensemble de règles pour la gouvernance de l'Internet. Ces préoccupations ont suscité des commentaires selon lesquels le traité devrait rester axé sur la criminalité et l'application de la loi.
Un certain nombre d'États, dont le Brésil , la République dominicaine , l' Union européenne (UE) , le Liechtenstein , la Norvège , la Suisse , le Royaume- Uni et les États- Unis , plaident particulièrement pour une approche plus étroite de la criminalité, mettant en garde contre l'utilisation de ce traité pour imposer des contrôles plus larges sur Internet. Au niveau mondial, la coordination technique et politique de l'Internet s'effectue actuellement à travers une série d'organismes multipartites tels que l'IETF, l'ICANN et le Forum sur la gouvernance de l'Internet. Les tentatives passées de « reprendre » le contrôle de ces organismes multipartites se sont révélées schismatiques , et il semble que ces divisions soient bel et bien vivantes.
Bon nombre des mêmes États mettent également en garde contre l'inclusion de la cybersécurité, de la sécurité nationale ou de la cyberguerre dans le champ d'application de ce traité. Par exemple, l'UE et ses États membres soulignent la nécessité d'exclure la "sécurité nationale" ou les "questions de comportement de l'État", tandis que le Brésil exclurait "la paix et la sécurité internationales" et la "cyberdéfense". En revanche, certains États (par exemple la Turquie) incluraient les crimes « liés à la sécurité des installations d'infrastructures critiques », ce qui pourrait signaler l'adoption de pouvoirs plus ouverts en matière de cybersécurité. La frontière entre la cybercriminalité d'une part et la sécurité nationale, la cybersécurité et la cyberguerre d'autre part s'est estompée, les agences militaires et de sécurité étant de plus en plus impliquées dans la lutte contre la criminalité en ligne. Mais ces agences exercent leurs pouvoirs étendus avec un minimum de surveillance et de contrôle qui ne devrait pas constituer la base des obligations découlant des traités.
Le consensus sur ce qui constitue des actes de guerre dans le cyberespace est également resté insaisissable et difficile à définir, ce qui rend le sujet mal adapté à un traité international. Un autre comité des Nations Unies (Groupe de travail à composition non limitée et Groupe d'experts gouvernementaux sur le comportement responsable des États dans les États du cyberespace) tente de parvenir à un consensus entre les gouvernements sur la manière dont ils devraient se comporter de manière responsable en cas de conflit international dans le cyberespace.
Un (cyber)crime sous un autre nom ?
Même lorsque les États acceptent de maintenir l'accent sur l'application de la loi ( Chili, États-Unis , Royaume-Uni, Canada, l'UE et ses États membres, Colombie, Nouvelle-Zélande, Australie, Norvège, Suisse, Nigéria, Indonésie) , des questions se posent quant aux crimes qui devraient être spécifiquement encodé dans le traité. De nombreux crimes, sinon la plupart, peuvent désormais avoir une dimension technologique, ce qui rend la portée substantielle de ce traité potentiellement vaste. En effet, un traité régional sur la cybercriminalité (la Convention de Budapest du Conseil de l'Europe) inclut même la violation du droit d'auteur parmi ses principales interdictions pénales.
Certains crimes impliquent intrinsèquement les technologies de l'information, et la plupart des États semblent convenir que ces cybercrimes « purs » devraient être couverts par la convention. Il s'agirait, par exemple, d'infractions où des données ou un système informatique sont la cible de l'infraction (Nigéria, États-Unis et, dans une certaine mesure, UE).
La plupart des autres États iraient plus loin. L'Australie , l'UE, la Nouvelle-Zélande , le Nigéria , la Suisse et les États-Unis, par exemple, soulignent la nécessité d'inclure les cybercrimes dans le traité. Mais définir ce qui constitue le « cyber-activé » peut être délicat. De nombreux crimes (corruption, trafic de drogue, terrorisme) sont déjà interdits au niveau international et un certain nombre d'instruments internationaux ont déjà créé des cadres de coopération policière (par exemple, la Convention des Nations Unies contre la criminalité transnationale organisée (UNTOC) et la Convention des Nations Unies contre la corruption (UNCAC) ). La duplication de ces instruments tout en essayant de saisir la composante « cyber » unique de chaque crime constitutif peut conduire à une duplication (comme l'ont souligné le Japon, le Liechtenstein, la Nouvelle-Zélande et la Suisse) ou même à la perturbation des efforts internationaux existants (comme l'avertit la Nouvelle-Zélande).
Certains États ont donc suggéré que seuls les crimes dont la portée, la rapidité et l'ampleur de l'infraction sont accrues par l'utilisation des technologies de l'information et de la communication devraient être légitimement inclus (Nouvelle-Zélande, Australie, Royaume-Uni et États-Unis), du moins dans la mesure où l'information les technologies sont un facteur. Les États-Unis et l'Australie soulignent également qu'un crime en ligne commis de manière anonyme peut jouer un rôle dans la définition des crimes dérivés qui relèvent légitimement du champ d'application du traité. L'Australie, par exemple, a suggéré que « ces crimes judicieusement, en élaborant un cadre clair pour identifier pourquoi certains crimes sont si significativement modifiés par un "élément cybernétique" qu'ils nécessitent une nouvelle norme internationale harmonisée qui élève ce comportement au-dessus des crimes "traditionnels" .
Certains États ont également appelé à l'inclusion des crimes liés au contenu, tels que l'incitation au terrorisme (Chine, Russie), la désinformation (Chine, Indonésie) et la violation du droit d'auteur (Indonésie, Liechtenstein, Mexique, Norvège, Russie, États-Unis). Le Haut-Commissariat des Nations Unies aux droits de l'homme ( HCDH ), en revanche, a fait valoir que toute inclusion d'infractions facilitées par la technologie (par opposition aux cybercrimes « essentiels ») devrait être limitée.
En termes d'infractions spécifiques, celles qui sont le plus souvent proposées pour une mention explicite dans le traité comprennent : l'accès illégal à un ordinateur ou à un système informatique ( Chine , UE, Indonésie , Liechtenstein, Norvège, Mexique , Russie , États-Unis), l'interception illégale de communications ou de trafic données (Indonésie, Liechtenstein, Norvège, Russie, États-Unis), interférence de données ou de système (Chili, UE, Indonésie, Liechtenstein, Norvège, Panama , Russie, États-Unis), utilisation abusive d'appareils (Liechtenstein, Norvège, Russie, États-Unis), cyber- fraude, (Australie, Chine, Indonésie, Mexique, Nouvelle-Zélande, Norvège, Russie, États-Unis), infractions liées aux atteintes au droit d'auteur et aux droits voisins (Indonésie, Liechtenstein, Mexique, Norvège, Russie, États-Unis), et infractions liées à la pédopornographie (Australie, UE, Indonésie, Chine, Russie, Nouvelle-Zélande, Norvège, Mexique, Royaume-Uni, États-Unis).
Une liste indicative d'autres crimes spécifiques qui ont été lancés par certains États comprend : l'utilisation d'Internet pour inciter et commettre des actes de terrorisme (Chine, Russie) ; désinformation, complot, canular (Chine, Indonésie) ; matériel contenant de l'hostilité raciale, nationale, religieuse ou politique (Indonésie), des infractions liées au trafic d'armes (Mexique, Russie), l'utilisation de crypto-monnaies et d'actifs à double usage à des fins criminelles (Mexique), l'accès non autorisé à des données personnelles (Russie , États-Unis), les infractions liées à la distribution de stupéfiants et de substances psychotropes (Russie) et la distribution illicite de médicaments et de produits médicaux contrefaits (Russie).
Au-delà de la liste des délits spécifiques, le champ de la culpabilité est également en cause. De nombreux États criminaliseraient les tentatives de commettre des infractions couvertes, ainsi que la complicité et le complot, voire la criminalisation du blanchiment des produits de la cybercriminalité (Chili, Chine, Nigéria, Norvège, Russie, États-Unis). Enfin et surtout, la responsabilité pénale des personnes morales (par opposition aux personnes physiques) semble également être sur la table, ce qui signifie que les entreprises peuvent être coupables d'un crime (Mexique, Russie, États-Unis).
Enfin, de nombreux États membres soulignent que le traité doit être évolutif pour survivre au développement rapide des technologies et au déploiement de nouvelles façons créatives de commettre des crimes dans le cyberespace, l'Australie, le Japon , le Liechtenstein, le Nigéria, le Royaume-Uni et les États-Unis plaident pour une et un langage technologiquement neutre pour éviter d'avoir à modifier fréquemment le traité à mesure que la technologie évolue.
Où vont les droits de l'homme ?
Le HCDH et la société civile ont déclaré que tout nouveau traité sur la cybercriminalité devrait inclure des garanties explicites pour l'intérêt public, car les lois sur la cybercriminalité ont été utilisées pour étouffer les activités légitimes.
Le HCDH met en garde contre l'inclusion de toute infraction de contenu, soulignant le danger que ces types de crimes soient appliqués de manière disproportionnée au niveau national. Par exemple, les lois censées lutter contre la désinformation et le soutien en ligne ou la glorification du terrorisme et de l'extrémisme ont été utilisées à mauvais escient pour emprisonner des blogueurs ou bloquer des plateformes entières dans certains États.
Une lettre de plus de 130 groupes de la société civile (que nous avons contribué à diriger) fait écho aux préoccupations du HCDH concernant les infractions basées sur le contenu, et les deux soulignent également la nécessité d'inclure des garanties explicites pour protéger le public, car les lois sur la cybercriminalité ont été utilisées pour étouffer les comportements licites. . La militarisation des cybercrimes pour cibler les journalistes, les lanceurs d'alerte, les dissidents politiques, les chercheurs en sécurité, les communautés LGBTQ et les défenseurs des droits de l'homme est, selon les termes du HCDH, une pratique « bien documentée ». Une définition précise de la conduite qui est criminalisée sera également essentielle pour que les droits de l'homme ne soient pas laissés pour compte lorsque ce traité sera finalement appliqué par divers États du monde au niveau national. Des lois sur la cybercriminalité formulées en termes vagues, telles que celles qui criminalisent l'accès non autorisé aux systèmes informatiques, ont été utilisées pour cibler des chercheurs en sécurité numérique , des dénonciateurs, des militants et des journalistes, certains gouvernements faisant valoir que toute divulgation d'informations en violation d'une politique d'entreprise ou gouvernementale pourrait être traitée comme " cybercriminalité. Comme l'a noté le HCDH, le principe de légalité exige que les dispositions du droit pénal soient « accessibles au public, claires et précises dans leur portée, afin que les individus puissent raisonnablement déterminer quelle conduite est interdite et adapter leur comportement en conséquence. Des définitions vagues et imprécises des infractions laissent place à des interprétations arbitraires et risquent de porter atteinte aux droits de l'homme.
De nombreuses soumissions initiales des États incluent également des appels à garantir le respect des normes des droits de l'homme et à accorder une attention particulière à l'impact négatif potentiel sur la liberté d'expression et d'autres droits de l'homme. En raison de la nature mondiale du traité, il est impératif que les droits de l'homme soient placés au premier plan dans les négociations du traité.
Conclusion
La cybercriminalité n'est pas un phénomène nouveau, et nous avons déjà vu beaucoup trop d'exemples de lois anti-cybercriminalité utilisées pour persécuter, refroidir les droits de l'homme et porter des accusations fallacieuses et disproportionnées contre des chercheurs, des militants et des lanceurs d'alerte. Les enjeux sont élevés, de sorte que les garanties des droits de l'homme dans le traité potentiel sur la cybercriminalité doivent être une priorité.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2022/02/un-committee-begin-negotiating-new-cybercrime-treaty-amid-disagreement-among le Tue, 15 Feb 2022 16:36:04 +0000.