Par Aude Géry, chercheuse, GEODE et Anne-Thida Norodom, Professeur de droit public, Université Paris Cité

Dans quel contexte ce texte a-t-il été élaboré ?

L’explosion de la cybercriminalité, qui désigne à la fois la criminalité classique accomplie avec des moyens numériques (pédopornographie par exemple) et la criminalité propre au numérique (rançongiciel notamment), ainsi que la nécessité d’accéder à des preuves numériques localisées à travers le monde ont rendu indispensables pour les États le fait de disposer de moyens juridiques et techniques pour enquêter et coopérer. Sur les 130 États dotés en 2023 d’une législation dans ce domaine, nombreux sont ceux également partie à l’une des quatre conventions régionales de lutte contre la cybercriminalité.

Sur ces quatre conventions, seule la Convention de Budapest du Conseil de l’Europe était ouverte à la ratification d’États non-membres (31 sur les 76 États parties). Pourtant, la Russie et d’autres États dénonçaient, depuis de nombreuses années, l’absence de convention universelle sur la cybercriminalité et le manque de mécanismes internationaux de lutte efficaces. En 2019, et contre l’avis de la plupart des États membres du Conseil de l’Europe, la Russie fit adopter par l’AGNU la résolution 74/247 créant un Comité ad hoc chargé d’élaborer une convention internationale.

Les travaux du Comité ad hoc se sont déroulés entre mai 2021 et août 2024 et ont vu la participation de la quasi-totalité des États membres de l’ONU. Les oppositions y furent nombreuses : sur la question de la participation de la société civile, des infractions listées dans la Convention, des modalités de coopération et d’assistance technique, ou encore l’inclusion des mesures de sauvegarde et de protection des droits de l’homme.

Que prévoit la Convention ?

Le texte de la Convention est composé d’un préambule et de neuf chapitres. Le Chapitre I est dédié aux dispositions générales et comporte des définitions et principes devant guider l’interprétation et l’application du texte. Le Chapitre II liste les comportements devant être érigés en infraction. Contrairement au souhait de plusieurs États, la liste ne contient pas d’infraction de contenu, mais elle inclut de nouvelles infractions par rapport aux conventions régionales, par exemple la diffusion non consentie d’images intimes (art. 16). Le Chapitre IV porte sur les mesures procédurales et de détection et répression applicables aux infractions définies au Chapitre II ainsi qu’aux autres infractions pénales commises aux moyens des TIC et à la collecte de preuves électroniques (art.23, paragraphe 2). Aux côtés des mesures relatives à la collecte, préservation et divulgation des données de trafic et de contenu, le Chapitre contient des dispositions relatives à la saisie du produit du crime (art. 31) ou encore à l’établissement des antécédents judiciaires (art. 32), dispositions susceptibles d’étendre les pouvoirs procéduraux des autorités nationales. Le Chapitre V organise la coopération au regard des infractions préalablement définies et autres infractions graves (art. 35). Il témoigne d’un équilibre entre protection des droits des individus (données personnelles, dispositions relatives à l’extradition et au transfèrement des personnes) et coopération policière et judiciaire (entraide judiciaire, y compris en matière d’accès et transferts de données, réseau 24/7, enquêtes conjointes, etc). Enfin, le Chapitre VII porte sur l’assistance technique et l’échange d’informations, indispensables pour renforcer les capacités des États dans la lutte contre la cybercriminalité.

Quels en sont les enjeux principaux?

Tout au long des négociations, de nombreux participants ont mis en garde contre le risque d’atteinte aux droits fondamentaux. La société civile et le secteur privé ont ouvertement dénoncé le texte et appelé les États à ne pas le ratifier au motif qu’il ne contenait pas les mesures de sauvegarde nécessaires à la protection de ces droits et qu’il pouvait servir de « véhicule pour la poursuite des négociations sur les outils de répression transnationale ». Ces inquiétudes ont été partagées par certains États.

Pour contrer ces arguments, les États européens et leurs affinitaires mettent en avant les similarités entre le texte et la Convention de Budapest, les garanties en matière de protection des données à caractère personnel et les motifs pouvant fonder un refus de coopérer. Selon eux, le texte ne peut être utilisé à des fins contraires aux droits de l’homme puisque l’article 6 prévoit explicitement qu’« [a]ucune disposition de la présente Convention ne doit être interprétée comme autorisant la répression des droits de l’homme ou des libertés fondamentales ».

Il est certain que la Convention emprunte largement au texte de la Convention de Budapest (mais non à ses protocoles additionnels) et contient plusieurs mesures de sauvegarde (voir not. art. 6, art. 24, art. 36, art. 40, paragraphe 21(c), art. 40, paragraphe 22). Elle va permettre de renforcer la coopération internationale entre des États qui ne sont aujourd’hui pas partie aux mêmes instruments régionaux en apportant plus de cohérence entre les systèmes juridiques et en offrant de nouveaux mécanismes de coopération. Elle fournit également une base solide pour établir l’assistance technique. En ce sens, elle est porteuse d’espoirs pour renforcer la lutte contre la cybercriminalité.

Il existe néanmoins plusieurs motifs de s’inquiéter de potentiels abus. Le texte laisse une importante marge d’interprétation aux États dans la mise en œuvre des dispositions à travers des renvois à leur droit interne, tant pour la définition de certaines infractions que la mise en œuvre de mesures de coopération. La rédaction des articles 6 et 24 sur le respect des droits de l’homme et les garanties n’est guère satisfaisante dans la mesure où les États sont loin de partager une conception harmonisée et protectrice des droits de l’homme et où le choix des termes peut être vu comme éloigné des standards européens dans ce domaine.

La Convention va être ouverte à signature et ratification en 2025. Seule sa mise en œuvre permettra d’évaluer si elle constitue un meilleur instrument de lutte contre la cybercriminalité ou un nouvel outil au service des États pour renforcer leur surveillance et poursuivre les délits d’opinion.