Le projet de convention des Nations Unies sur la cybercriminalité est un vaste pacte de surveillance qui impose des mesures de surveillance nationale intrusives et oblige les États à coopérer en matière de surveillance et de partage de données. Elle exige que les États s’entraident dans les enquêtes et les poursuites en matière de cybercriminalité, en permettant la collecte, la préservation et le partage de preuves électroniques pour tout crime jugé grave par le droit national d’un pays, avec des garanties minimales en matière de droits humains. Cette coopération s’étend même aux pays ayant un mauvais bilan en matière de droits humains. Les négociations pour ce traité ont débuté en 2022, initiées par une proposition controversée de la Fédération de Russie. S’il est adopté, il réécrira les lois sur la surveillance dans le monde entier. Des millions de personnes, notamment des défenseurs des droits humains, des journalistes, des chercheurs en sécurité et ceux qui disent la vérité au pouvoir, seront touchés. Sans garanties claires et applicables, le traité risque de devenir un outil d’abus étatique et de répression transnationale plutôt que de protéger les droits humains. Voici nos principales préoccupations. Pour une liste complète, veuillez vous référer à nos lignes rouges et faire appel aux délégués de l’UE. 

Les principales préoccupations de l’EFF

Le titre du projet de convention est trompeur et problématique : la cybercriminalité est un problème réel, mais l'assimiler à tout crime impliquant les TIC est conceptuellement et pratiquement préjudiciable. Des efforts récents au niveau national pour élargir sa définition ont conduit à la criminalisation d'activités légitimes, telles que la critique en ligne, l'expression religieuse ou le soutien aux LGBTQ. Dans le traité proposé, il encourage des interprétations larges qui pourraient conduire à des violations des droits humains et à une répression transnationale. Recommandation : restreindre la définition aux « cybercrimes fondamentaux » comme les attaques techniques contre les ordinateurs, les appareils, les données et les systèmes de communication. Exclure les activités protégées des droits humains du champ d'application du traité afin d'éviter les abus et de garantir que ces droits ne soient pas injustement ciblés en assimilant la cybercriminalité à tout crime utilisant les TIC.

 

Portée étendue et risques de surcriminalisation : le chapitre sur la criminalisation du projet de Convention élargit dangereusement sa portée en incluant des délits tels que le « grooming » et l'exploitation sexuelle, et pas seulement la cybercriminalité. Sa définition CSAM risque de criminaliser les comportements consensuels entre mineurs. Pire encore, un protocole proposé pourrait ajouter deux sessions ad hoc supplémentaires pour discuter d'encore plus de crimes, élargissant ainsi sa portée. Recommandation : la criminalisation doit être limitée aux articles 7 à 11. Limiter la portée de l'article CSAM pour cibler uniquement les actions intentionnelles et malveillantes, exclure de la criminalisation les activités consensuelles entre mineurs, rendre obligatoires les exemptions pour les contenus auto-générés par des mineurs, garantir que les dispositions en matière de financement ciblent uniquement ceux qui sont sciemment impliqués dans des activités illégales, et excluent l'utilisation dans l'intérêt public de ces documents, tels que les preuves dans les enquêtes criminelles et les documents scientifiques ou artistiques.

La portée trop large des pouvoirs de collecte de preuves permettra l’espionnage national et transfrontalier des actes d’expression : la portée illimitée des chapitres IV et V risque de saper la coopération des forces de l’ordre sur les véritables infractions de cybercriminalité en diluant les ressources. Il permet aux gouvernements d’espionner les gens afin de rassembler des preuves potentielles de tout crime commis à l’aide des TIC. Cela permet également à un État d’en aider un autre dans la surveillance de tout crime dit grave. Ces extensions transforment le traité en un vaste pacte de surveillance. L’article 23(2)(c) donne le feu vert à des mesures invasives pour des délits mineurs et des expressions protégées abusivement criminalisées dans certains pays. L’article 35(1)(c) désigne la coopération pour les crimes graves, définis comme des infractions passibles de quatre ans ou plus, qui peuvent inclure des actes d’expression considérés comme des infractions graves dans le droit national. Cette vaste portée risque d’entraîner des abus de pouvoir massifs. Recommandation : limiter les articles 23(2)(c) et 35(1)(c) aux articles 7 à 11 et supprimer l’article 23(2)(b). Soutenir la recommandation du HCDH de réviser la définition des crimes graves pour y inclure uniquement « ceux entraînant la mort, des blessures ou d'autres préjudices graves », car le simple fait de suggérer le respect des droits humains dans une portée aussi large est important mais insuffisant car il manque de protections exécutoires contre l'abus et abus. Veiller à ce que la coopération soit limitée aux situations dans lesquelles il existe des soupçons raisonnables que l’assistance juridique produira des preuves d’une infraction pénale.

Garanties insuffisantes en matière de droits humains : l'article 24, qui traite des conditions et des garanties et inclut le principe de proportionnalité, n'inclut pas explicitement d'autres principes cruciaux tels que la légalité, la nécessité et la non-discrimination. Une protection efficace des droits humains nécessite l'approbation judiciaire avant d'effectuer une surveillance, la transparence sur les mesures prises et la notification aux utilisateurs lorsque leurs données sont consultées, à moins que cela ne compromette l'enquête. Le nouveau projet omet ces garanties et, pire encore, il renvoie les quelques garanties existantes aux législations nationales qui peuvent varier considérablement et n'offrent pas toujours les protections nécessaires. Il manque également de garanties pour les informations juridiquement privilégiées, ne parvient pas à empêcher l’auto-incrimination forcée et omet de protéger les avocats de la défense pénale. Ces lacunes suscitent des inquiétudes quant à l’érosion des droits humains : le traité ne relève pas la barre contre la surveillance invasive mais confirme plutôt même les protections les plus faibles, sapant potentiellement les normes robustes existantes.

Pouvoirs d’espionnage secret hautement intrusifs sans garanties solides : le projet autorise une surveillance secrète étendue avec des garanties faibles, posant des risques importants tant au niveau national qu’international. Au niveau national, il permet l'interception en temps réel des données de trafic pour tout délit, tandis que l'interception de contenu est limitée aux délits graves, des délits passibles de quatre ans ou plus dans les lois nationales. Les prestataires de services sont obligés de contribuer à ces activités de surveillance, souvent sous le coup d'ordres perpétuels de silence, empêchant toute notification même lorsque les enquêtes ne sont plus compromises. Au niveau international, le projet autorise un État à en aider un autre à mener une telle surveillance pour des crimes graves, obligeant les entreprises à se conformer aux demandes de surveillance étrangères, également dans le secret perpétuel. Ce manque de transparence et de responsabilité est une recette pour des abus de pouvoir incontrôlés et sape la confiance dans les services numériques. Recommandation : Supprimer les articles 29, 30, 45, 46.

Assistance technique obligatoire : le projet exige que les pays disposent de lois permettant aux autorités d'obliger toute personne connaissant un système informatique particulier à fournir les informations nécessaires pour en faciliter l'accès. Cela peut impliquer de demander à un expert technique ou à un ingénieur de vous aider à déverrouiller un appareil ou d'expliquer ses fonctionnalités de sécurité, ce qui peut compromettre la sécurité ou révéler des informations confidentielles. (c'est-à-dire qu'un ingénieur peut être arbitrairement tenu de divulguer une faille de sécurité non corrigée ou de fournir des clés de cryptage signées qui protègent les données). Recommandation : supprimer l'article 28, paragraphe 4.

Une coopération anarchique entre les forces de l’ordre risque d’éroder les droits humains : le libellé actuel de l’article 47 risque de soutenir une coopération illimitée entre les forces de l’ordre sans détailler les limitations et les garanties nécessaires requises par le droit international des droits humains. Les États ne devraient pas utiliser cette Convention pour autoriser ou exiger le partage de données personnelles au-delà de la portée des traités d’entraide judiciaire existants, des garanties établies dans le cadre de la MLA et du mécanisme de vérification de la MLA. La suppression de ces garanties sans prévoir des protections et des limitations comparables incite à une utilisation abusive du cadre d’entraide judiciaire à des fins d’abus et/ou de répression. Recommandation : limiter l'article 47(1) aux articles 7 à 11, supprimer les articles 47(1)(b), (c) et (f), et faire référence aux articles 24 et 36 dans l'article 47(2).

Protection insuffisante des chercheurs en sécurité et autres travaux d’intérêt public : le projet de convention ne parvient pas à exempter la recherche sur la sécurité, le journalisme et les lanceurs d’alerte de la criminalisation, ce qui présente des risques importants pour la cybersécurité et la liberté de la presse à l’échelle mondiale. Cela inclut les personnes impliquées dans les tests autorisés ou la protection des systèmes TIC. Cependant, les dispositions du projet sur l'accès illégal, l'interception et l'ingérence manquent d'exigences obligatoires en matière d'intention criminelle et de préjudice, ce qui menace de pénaliser les efforts de recherche en matière de sécurité. Liste complète des recommandations disponibles ici.

Risques pour les droits LGBTQ et de genre : La vaste portée de la convention continue de présenter des risques importants pour les droits LGBTQ+ et de genre. Le chapitre sur la coopération nationale et internationale pourrait être exploité pour cibler des individus en fonction de leur genre ou de leur orientation sexuelle, en particulier si les lois nationales criminalisent ces expressions comme des crimes graves. Cela est particulièrement préoccupant compte tenu de l’utilisation abusive des lois sur la cybercriminalité pour persécuter des groupes marginalisés. Recommandation : restreindre la portée de la collecte de preuves aux principaux cybercrimes. Réviser la définition de la criminalité grave conformément à la recommandation du HCDH.