← Retour · ← Accueil · ← Retour à la liste
[Briefing de l'ADRN] Les périls de la Convention de l'ONU sur la cybercriminalité pour la liberté d'expression et la vie privée : un cartel mondial des gouvernements pour plus de pouvoir et de données
Note de l'éditeur
Kyung Sin Park, professeur à l'Université de Corée et directeur d'Open Net, examine les menaces potentielles que la Convention des Nations Unies (ONU) sur la cybercriminalité fait peser sur la liberté d'expression et le droit à la vie privée. Park souligne que le projet de Convention contient des dispositions qui pourraient involontairement criminaliser l'expression légitime, imposer une surveillance accrue sans garanties adéquates et permettre le partage de données entre États tout en contournant les protections de la vie privée. De plus, des définitions vagues de crimes pourraient être exploitées par des régimes autoritaires pour réprimer la dissidence. Park appelle à des amendements substantiels du traité pour garantir sa conformité avec les normes internationales en matière de droits de l'homme, en soulignant la nécessité de garanties solides en matière de vie privée et de protections pour les activités en ligne légitimes.
La Convention des Nations Unies (ONU) sur la cybercriminalité, si elle entre en vigueur, sera un traité multilatéral par lequel les États parties «s'engagent à (1) criminaliser non seulement certains comportements de type cyberattaque, mais aussi certains comportements cyber-habilités en vertu de leurs lois nationales respectives (c'est-à-dire les réglementer en tant que « cybercriminalité ») ; (2) collecter, enregistrer, saisir et obliger d'autres à conserver des données électroniques dans le cadre de l'enquête sur tous les crimes par diverses méthodes que les États parties n'étaient auparavant pas tenus de mettre en œuvre en vertu du droit international ; et (3) partager ainsi les données acquises entre eux pour faciliter les enquêtes sur la cybercriminalité ou les « crimes graves ». En tant que l'une des rares normes obligeant les gouvernements du monde entier à renforcer leurs restrictions sur la conduite des individus et leur capacité à espionner leurs sujets, les préoccupations relatives aux droits de l'homme abondent. Ce nouveau traité international présente des périls pour la liberté d'expression et la vie privée. Certains des comportements requis pour être criminalisés peuvent inclure des discours légitimes ; la surveillance étatique est maintenant une obligation internationale sans obligation claire de protéger la vie privée ; et le partage inter-États de données non seulement doublera ou triplera l'ampleur des atteintes à la vie privée, mais contournera également les garanties de vie privée existantes telles que l'exigence de mandat de qualité constitutionnelle appropriée. Par conséquent, ce nouveau traité nécessite des amendements sérieux s'il doit être ratifié à l'avenir.
Risque pour la liberté d'expression : « Ce qui est criminalisé hors ligne doit-il l'être aussi en ligne ? »[1]
Tout d'abord, toute obligation de criminaliser certains comportements cybernétiques portera inévitablement atteinte à la liberté d'expression. En effet, le « comportement cybernétique », par définition, implique la transmission et la réception de messages, qui constituent une expression. Les traités sur la cybercriminalité sont le fruit de la prise de conscience que, la vie des gens dépendant profondément d'Internet, certains types d'expression ou d'activités cybernétiques peuvent devenir unilatéralement nuisibles et nécessitent donc une coopération internationale pour les prévenir par le biais de la loi. Par conséquent, le projet de Convention, comme son prédécesseur, la Convention de Budapest, oblige les États parties à restreindre certaines formes d'expression ou de comportement cybernétique en les obligeant à les criminaliser. Il est donc important de ne pas franchir la ligne entre les expressions unilatéralement nuisibles comme les cyberattaques et les expressions ordinaires protégées par les droits de l'homme.
La liste actuelle de ces infractions obligatoires semble anodine en surface. Les sept premières infractions sont des activités de type cyberattaque tirées de la Convention de Budapest. Il s'agit de l'accès non autorisé, de l'interception non autorisée, de l'interférence avec les données, de l'interférence avec le système, de l'utilisation abusive d'appareils, de la falsification informatique et de la fraude informatique. D'autres sont des crimes « cyber-habilités » : les infractions liées à la pédopornographie sont également tirées de la Convention de Budapest et les trois nouvelles infractions de sollicitation ou de dévoiement de mineurs, de diffusion d'images intimes non consensuelles et de blanchiment d'argent ne semblent pas controversées.
Cependant, la définition de la « fraude » à l'article 13 a été élargie d'une manière qui permet de l'utiliser pour créer et appliquer les crimes de « fausses nouvelles ». Ceux-ci ont été utilisés comme prétextes par les gouvernements autoritaires pour réprimer les journalistes dissidents et les défenseurs des droits de l'homme. Il exige la criminalisation de «la perte de propriété d'une autre personne par le biais de... toute tromperie sur des circonstances factuelles faite en utilisant [un système informatique] [un dispositif de technologie de l'information et de la communication] qui amène une personne à faire ou à omettre de faire quelque chose que cette personne ne ferait pas autrement ». Les notions de « tromperie » et d'« omission de faire quelque chose » sont extrêmement vagues et pourraient potentiellement être utilisées pour criminaliser et poursuivre des activités légitimes. L'exigence d'une perte de propriété pour une autre personne peut être satisfaite si quelqu'un subit un préjudice financier. Par exemple, un défenseur des droits de l'homme qui lance un boycott de consommateurs en ligne d'une entreprise soutenant une dictature militaire pourrait facilement être poursuivi en vertu de ce crime si les forces de l'ordre peuvent identifier des inexactitudes factuelles mineures dans la littérature du boycott.
De plus, le concept d'« interférence avec un système d'information et de communication » à l'article 10 du projet de Convention, hérité de la Convention de Budapest, a le potentiel d'entraver l'utilisation de la technologie par les défenseurs des droits de l'homme. Par exemple, en Corée du Sud, un militant politique a été arrêté et inculpé pour avoir commenté et aimé «en masse » dans une campagne apparente pour soutenir certaines vues politiques en exagérant le soutien populaire pour celles-ci (Park 2019). Ce qui le distinguait des autres militants politiques, c'est qu'il utilisait les identités cybernétiques d'autres personnes, bien que sans leur consentement, et automatisait la génération de commentaires et de « j'aime » par le biais de logiciels. Il a été accusé du crime vieux de plusieurs décennies en vertu de la loi nationale d'« interférence avec les affaires par l'utilisation illégitime des réseaux d'information et de communication », qui a été la principale disposition utilisée pour punir le piratage informatique. Cependant, le droit à la communication anonyme, tel qu'affirmé par la décision de 2012 de la Cour constitutionnelle coréenne sur la loi sur les noms réels sur Internet et l'affaire de 1995 de la Cour suprême américaine Terry v. Ohio, permet aux gens d'assumer des identités fictives ou pseudonymes. Certes, les véritables propriétaires des identités ne se sont pas plaints de préjudice ou de manque de consentement. Le fait qu'il ait utilisé l'automatisation ne devrait pas être la base de l'illégitimité. L'automatisation de l'exercice de la liberté d'expression ne devrait pas être considérée comme un crime, bien qu'elle puisse être considérée comme impolie et bruyante, similaire à l'utilisation d'amplificateurs dans une salle de classe. Si de telles actions sont jugées criminelles, alors la création d'un site Web serait également considérée comme un crime. Un tel commentaire automatisé est différent du piratage qui nuit au fonctionnement normal du réseau.
En extrapolant de l'exemple ci-dessus, nous pouvons voir comment la définition de la cybercriminalité par la Convention peut être élargie pour réprimer les activités politiques légitimes qui dépendent de la technologie numérique. L'obligation de la criminaliser dans le projet de Convention, tout comme la Convention de Budapest, devrait être accompagnée de certaines garanties pour éviter de devenir un outil de suppression de la démocratie.
De plus, comme le but initial des traités sur la cybercriminalité était de protéger l'intégrité des systèmes d'information et de communication, il est paradoxal que ni la Convention de Budapest ni le nouveau projet de Convention n'imposent d'exceptions aux chercheurs en sécurité légitimes (c'est-à-dire les « white hat hackers »). Le projet de Convention ne fait que des remarques passagères sur les contributions de ces chercheurs dans la section discutant des « Mesures préventives » contre d'autres cybercriminalités, reconnaissant leur rôle important dans l'amélioration de l'intégrité du système.
Ce qui est encore plus problématique, c'est que l'article 4 du projet de Convention oblige les États parties à étendre leurs lois pénales existantes, établies en vertu de traités internationaux, à leurs homologues en ligne. Il semble suggérer un principe d'équivalence, selon lequel « ce qui est criminalisé hors ligne doit l'être aussi en ligne ». Par exemple, une loi criminalisant les menaces de violence physique peut être appliquée à un militant dissident qui utilise un langage agressif contre les dirigeants de son pays par le biais d'une publication en ligne (Freedom Online Coalition Advisory Network 2024). Le projet de Convention tente de répondre à cette préoccupation avec l'article 6 qui exige la « conformité » avec le droit international des droits de l'homme et interdit toute interprétation « comme permettant la suppression des droits de l'homme ou des libertés fondamentales, y compris... les libertés d'expression, de conscience, d'opinion, de religion ou de croyance, de réunion pacifique et d'association ». Il reste à voir si cette référence vague est suffisante. Bien que la majorité des gouvernements européens semblent satisfaits (Ministère des Affaires étrangères des Pays-Bas 2024), il n'est pas surprenant que les titulaires du pouvoir acceptent de se donner plus de pouvoir sur (et plus de données sur ! – voir les sections suivantes) leurs sujets que ce que les personnes soumises à des restrictions et à la surveillance souhaiteraient autoriser.
La surveillance désormais une obligation légale internationale : les dangers d'un traité sur la surveillance en l'absence d'un traité sur la vie privée
Deuxièmement, les États parties, qui n'étaient auparavant pas obligés de mener des activités de surveillance, seront désormais tenus de mener des activités de surveillance par devoir en vertu de cette nouvelle loi internationale. Les six mesures de surveillance obligatoires sont les suivantes : conservation accélérée des données électroniques stockées, conservation accélérée et divulgation partielle des données de trafic (dans le cadre des données électroniques stockées conservées), ordonnance de production, perquisition et saisie de données électroniques stockées, collecte en temps réel des données de trafic et interception des données de contenu (ci-après, identique à la Convention de Budapest).[2] Par exemple, aucun État n'était auparavant obligé d'adopter une législation autorisant l'interception des données de contenu, une exigence désormais inscrite dans la Convention. Un tel devoir découle non seulement des crimes de cyberattaque ou des crimes « cyber-habilités », mais de tous les crimes. Ce qui est choquant, c'est qu'il n'existe actuellement aucun traité international protégeant la vie privée, à l'exception du Pacte international relatif aux droits civils et politiques (PIDCP), et que son article 17 sur la vie privée est très bref et n'a pas été pleinement opérationnalisé pour contenir l'appétit des gouvernements mondiaux pour la surveillance de leurs propres citoyens ou des citoyens d'autres pays d'ailleurs. En revanche, l'article 19 du PIDCP sur la liberté d'expression, sur lequel le Comité des droits de l'homme de l'ONU, l'organe chargé de surveiller la conformité des États parties au PIDCP, a publié une observation générale (Observation générale n° 34) en 2011, relativement récemment, après avoir tiré les leçons de l'ère numérique depuis l'arrivée d'Internet au début des années 1990. L'Assemblée générale des Nations Unies a également nommé et bénéficié des services du Rapporteur spécial sur la liberté d'opinion et d'expression, qui a amélioré et concrétisé les normes de liberté d'expression pendant des décennies par ses rapports thématiques et de visite d'État. Les règles spécifiques sur la diffamation, les coupures d'Internet, la neutralité du réseau, la radiodiffusion, l'exonération de la responsabilité des intermédiaires, ont été promulguées pour une application spécifique dans divers litiges sur la liberté d'expression dans le monde.
Cependant, il y a eu comparativement peu d'actions sur la question de la vie privée. Les lois sur la protection des données sont devenues populaires et se sont répandues dans un nombre croissant de pays, dont certains ont créé le seul traité international sur la vie privée, à savoir la Convention 108/108+. Cependant, les normes nationales et internationales de protection des données incluent généralement des exceptions importantes pour les fonctions des agences gouvernementales telles que la surveillance et le traitement des données autorisé par la loi, ce qui les rend inefficaces pour réglementer la collecte de données par les gouvernements à des fins d'enquête criminelle. Les promoteurs du projet de Convention semblent ignorer les implications d'un traité qui encourage, voire exige, les gouvernements mondiaux à restreindre la vie privée des personnes en l'absence d'un traité compensatoire qui la protège et la promeut.
Toute cette érosion généralisée de la vie privée pourrait être justifiable si la convention sur la cybercriminalité se limitait aux crimes graves d'importance universelle. Malheureusement, cependant, tant dans la Convention de Budapest que dans le nouveau projet de Convention, le mandat des mesures de surveillance s'applique à «tous les crimes ». La limitation aux « crimes graves » ne s'applique qu'au partage international de données, qui sera discuté plus tard. Bien que ces mesures de surveillance obligatoires doivent être modérées par les lois nationales existantes (telles que le droit constitutionnel protégeant les droits des personnes surveillées) en vertu de l'article 24, paragraphe 1, il n'y a aucune garantie que ces lois nationales fonctionnent dans le sens de la promotion de la vie privée. Alors que la Convention de Budapest fait explicitement référence au PIDCP et à d'autres traités relatifs aux droits de l'homme auxquels ces lois nationales doivent être conformes, le projet de Convention mentionne simplement le « droit international des droits de l'homme ».
Heureusement, l'article 24, paragraphe 2, inclut (comme le fait la disposition comparable de la Convention de Budapest) « un contrôle judiciaire ou autre contrôle indépendant, le droit à un recours effectif, les motifs justifiant l'application, et la limitation de la portée et de la durée d'un tel pouvoir ou d'une telle procédure », ce qui correspond aux mandats judiciaires dans de nombreuses démocraties. On aurait pu espérer que de nombreux pays où la surveillance a été effectuée sans approbation judiciaire soient désormais obligés de mettre en œuvre des exigences d'approbation judiciaire pour la surveillance future. Cependant, le paragraphe 2 de l'article 24 anéantit cet espoir en introduisant une limitation : « [c]onformément et en vertu du droit interne de chaque État partie ».[3] Bien sûr, le droit interne est censé « assurer la protection des droits de l'homme conformément à ses obligations en vertu du droit international des droits de l'homme » en vertu du paragraphe 1, mais comme nous l'avons discuté précédemment, il manque de spécificité. En l'absence d'un traité spécifique qui exige une approbation judiciaire pour la surveillance, les dispositions du paragraphe 2 de l'article 24 sont rendues inefficaces.
Le fait que ces mesures de surveillance, bien qu'elles soient déjà administrées volontairement par de nombreux gouvernements, deviennent une obligation en vertu du droit international est préoccupant lorsque le risque de risque moral parmi les gouvernements en place, prompts à accepter de se donner plus de données, n'a pas été couvert par un traité compensatoire protégeant la vie privée.
Surveillance doublée et non vérifiée : nous devrions avoir le droit de faire examiner nos mandats de perquisition par des juges obligés de respecter notre vie privée
Troisièmement, le partage des fruits de la surveillance entre les États parties déroge naturellement à la vie privée de la personne surveillée. Si une agence d'application de la loi effectue une perquisition et une saisie sur un individu et partage les informations résultantes avec une autre agence d'application de la loi, cela équivaut à deux agences distinctes menant leurs activités de surveillance respectives sur cet individu. Une telle double restriction de la vie privée peut se produire de la même manière lorsque les nationalités des deux agences d'application de la loi sont différentes, comme dans un scénario typique envisagé par le projet de Convention.
Le droit international des droits de l'homme et la procédure pénale constitutionnelle se concentrent sur le point où les données privées franchissent la frontière entre le domaine privé d'une personne et l'application de la loi, mais pas tant sur ce qu'il advient des données par la suite. La loi sur la protection des données a le potentiel de réglementer l'utilisation ou le transfert de données obtenues à la suite d'activités de surveillance. Cependant, cela peut être contourné par toute loi qui autorise un tel partage, car la plupart des normes de protection des données font des exceptions pour les mandats statutaires ou l'utilisation à des fins d'agence publique. Or, le projet de Convention exige le partage des données acquises entre les États parties.
Un tel partage de données non seulement érode quantitativement l'intérêt de la vie privée de la personne surveillée, puisque plus d'un État partie aura désormais accès aux données, mais souffre d'un défaut important de qualité constitutionnelle : l'acquisition des données par le «récepteur » État partie n'est vérifiée par personne quant à l'équilibre entre le besoin d'une telle surveillance et la vie privée de l'individu qui en fait l'objet. Cela implique que l'État partie récepteur peut obtenir les informations pour des raisons qui ne justifient pas la restriction de la vie privée dont a souffert l'individu surveillé. Un scénario plus diabolique est lorsqu'un journaliste dissident vivant dans l'État A est perquisitionné et que son serveur de messagerie situé dans l'État B est saisi, par les forces de l'ordre de ce dernier pour, par exemple, violation du droit d'auteur, et que l'État B partage les résultats de la perquisition et de la saisie avec l'État A, qui peut alors utiliser les informations pour enquêter sur son crime politique chez lui. Dans ce scénario, aucun magistrat neutre n'a pesé et justifié la violation de la vie privée par la nécessité et la proportionnalité de l'enquête criminelle de l'État A. Le juge de l'État B, sans aucune obligation constitutionnelle de respecter la vie privée du journaliste vivant dans l'État A, n'aura pesé que la vie privée de l'opérateur du serveur de messagerie par rapport au besoin de l'État B d'enquêter sur la violation du droit d'auteur. Le résultat final est que la vie privée du journaliste aura été restreinte sans garanties appropriées. Les appels de l'article 24 à un « contrôle judiciaire indépendant » comme garantie des droits de l'homme deviennent un cri dans le vide.
La Convention de Budapest atténue ce risque en permettant aux États parties de refuser le transfert de données si les États parties requérants les demandent pour l'enquête sur une « infraction politique ». Il n'y a pas une telle limitation dans le projet de Convention. La seule limitation est qu'il s'agisse de l'une des cybercriminalités définies dans le projet de Convention ou de « crimes graves (crimes passibles de plus de 4 ans d'emprisonnement) ». Cela signifie que si un État partie qui punit l'homosexualité ou la dissidence politique par une peine d'emprisonnement de 4 ans fait une demande de données, l'État répondant a le devoir de coopérer en vertu du projet de Convention. La double incrimination (c'est-à-dire l'exigence que le crime pour lequel la demande de données est faite soit également un crime dans l'État répondant), si elle était une condition obligatoire pour un tel partage de données, aurait atténué le préjudice à la vie privée susmentionné, mais elle a été rendue facultative. Les promoteurs du projet de Convention soutiennent que les États parties sont libres de rejeter la demande de données pour motif de double incrimination ou pour d'autres raisons. Cependant, une telle réponse peut être valable d'un point de vue de souveraineté nationale, mais elle ferme les yeux sur le fait que le partage des données lui-même érode et nuit à la vie privée de la personne surveillée, comme démontré ci-dessus, car un tel refus est discrétionnaire de l'État partie répondant. N'oubliez pas que la personne sur laquelle porte le partage de données n'a jamais été incluse dans ce qui pourrait s'avérer être une cartelisation entre gouvernements en place cherchant plus de données ! ■
Références
Freedom Online Coalition Advisory Network. 2024. « Proactive Advice: UN Convention Against Cybercrime. » 16 septembre. https://freedomonlinecoalition.com/foc-advisory-network-proactive-advice-un-convention-against-cybercrime/?hilite=UN+Convention+Against+Cybercrime(Consulté le 16 décembre 2024)
Park, Kyung-sin. 2019. « Politics and Internet is an Inevitably Explosive Mix: the case of online opinion rigging. » Open Net. 13 avril. http://old.opennetkorea.org/en/wp/2540(Consulté le 16 décembre 2024)
Le Ministère des Affaires étrangères des Pays-Bas. 2024. « Freedom Online Coalition Chair’s Response to the FOC-AN’s Proactive Advice on the UN Cybercrime Treaty. »
[1] Cette célèbre phrase est un jeu de mots sur les résolutions souvent répétées du Conseil des droits de l'homme des Nations Unies depuis 2012. L'original se lit : « Ce qui est protégé hors ligne doit être protégé aussi en ligne. »
[2] Il existe d'autres mesures obligatoires nouvellement ajoutées à la Convention, telles que la confiscation des produits du crime, la protection des témoins et l'assistance aux victimes, dont je ne discuterai pas ici.
[3] Article 24. Conditions et garanties
1. Chaque État partie veille à ce que l'établissement, la mise en œuvre et l'application des pouvoirs et procédures prévus dans le présent chapitre soient soumis à des conditions et garanties prévues par son droit interne, qui assurent la protection des droits de l'homme, conformément à ses obligations en vertu du droit international des droits de l'homme, et qui incorporent le principe de proportionnalité.
2. Conformément et en vertu du droit interne de chaque État partie, ces conditions et garanties comprennent, le cas échéant, compte tenu de la nature de la procédure ou du pouvoir concerné, notamment, un contrôle judiciaire ou autre contrôle indépendant, le droit à un recours effectif, les motifs justifiant l'application, et la limitation de la portée et de la durée d'un tel pouvoir ou d'une telle procédure. (emphase ajoutée)
■ Kyung Sin Park est Professeur à la Faculté de Droit de l'Université de Corée et Directeur d'Open Net.
■ Publié par Hansu Park, Chercheur Associé
Pour toute demande : 02 2277 1683 (poste 204) | hspark@eai.or.kr
*Ce texte est une traduction par IA d'un original rédigé en anglais. Certaines traductions ou nuances peuvent être inexactes.