Traité des Nations Unies sur la cybercriminalité – Lettre de la société civile

Le premier projet de Convention des Nations Unies sur la cybercriminalité supprime des dispositions troublantes, mais des pouvoirs de surveillance transfrontalière dangereux et illimités sont toujours sur la table

Traité des Nations Unies sur la cybercriminalité – Lettre de la société civile

Première partie d’un article en deux parties sur le premier projet de la Convention des Nations Unies sur la cybercriminalité. La première partie présente le contexte des négociations et analyse notre première vision de l’Avant-projet et de ses implications pour les droits de l’homme. La partie II analyse les dispositions les plus problématiques du projet.

Le premier projet officiel négocié très attendu de la proposition de Convention des Nations Unies sur la cybercriminalité – façonné par plusieurs mois de négociations menées par les États membres dans lesquelles l’EFF a été profondément impliqué – est maintenant public.

La convention, si elle est approuvée, entraînera la réécriture des lois pénales du monde entier traitant de l’accès des forces de l’ordre aux données personnelles au-delà des frontières, de l’utilisation des technologies de surveillance par un pays pour espionner les personnes dans un autre pays et de la mesure dans laquelle les pays peuvent s’obliger mutuellement à coopérer, par exemple pour l’interception en temps réel des communications des personnes. L’EFF et ses partenaires internationaux défendent les utilisateurs depuis que la convention a été proposée pour la première fois il y a plusieurs années, appelant à de solides protections des droits de l’homme, révisant le libellé de la convention proposée, soumettant des recommandations et s’opposant aux dispositions concernées, et s’adressant aux États membres en personne lors des sessions de négociation cette année et dernière.

Avec la sortie de ce « zéro brouillon,”Les États membres entameront des négociations article par article pour parvenir à un consensus sur un projet final lors d’une session marathon de deux semaines du 21 août au 1er septembre. L’EFF sera là, poursuivant nos efforts en faveur de solides protections des droits de l’homme dans le traité.

L’EFF et Privacy International se sont penchés sur l’avant-projet et ont envoyé aux États membres notre première série d’amendements . Mais avant de nous plonger dans les caractéristiques les plus préoccupantes du texte, voici un bref récapitulatif de la façon dont nous en sommes arrivés là.

Un récapitulatif rapide de la Convention des Nations Unies sur la cybercriminalité

Dès le début des négociations , l’EFF s’est opposé au projet de convention dans son ensemble, le jugeant inutile. Malgré nos réserves, nous nous sommes activement engagés de bonne foi à chaque étape du processus de négociation. Nous voulons nous assurer que la convention proposée est spécifique et limitée dans son champ d’application, et qu’elle n’incorpore pas d’infractions liées au contenu ou n’autorise pas des pouvoirs de surveillance intrinsèquement arbitraires, excessifs ou illimités. En outre, toutes les autorités de surveillance, y compris celles qui sont transnationales, devraient être soumises à des limitations appropriées.

Nous espérons ardemment que la convention proposée ne deviendra pas un instrument de répression transnationale, comme cela s’est produit par le passé avec d’autres mécanismes de coopération en matière d’application de la loi. INTERPOL , par exemple, est une organisation intergouvernementale de 193 pays qui facilite la coopération policière mondiale. Mais Human Rights Watch a documenté de nombreuses allégations sur la manière dont la Chine , Bahreïn et d’autres pays ont abusé du système de notices rouges d’INTERPOL , une liste internationale de “personnes recherchées”, pour localiser des critiques pacifiques des politiques gouvernementales ” pour des délits mineurs et surtout à des fins politiques”..” Le traité de l’ONU ne devrait pas donner aux gouvernements une base juridique pour justifier l’utilisation de pouvoirs de surveillance illimités pour des crimes mal définis qui pourraient être exploités à des fins politiques, des délits mineurs ou des crimes qui sont intrinsèquement incompatibles avec le droit international des droits de l’homme, en particulier lorsque cela peut conduire à des horreurs telles que la torture ou des disparitions forcées. Nous continuerons à plaider pour des garanties renforcées afin de limiter l’utilisation abusive des pouvoirs de surveillance par les forces de l’ordre.

La convention proposée devrait représenter une norme minimale plutôt qu’une limite maximale – elle doit servir de référence et non de seuil supérieur. Et il ne doit pas être utilisé pour saper les solides garanties nationales préexistantes en matière de droits de l’homme.

La convention proposée devrait être adoptée en janvier 2024. Nous prévoyons que les États membres s’efforceront de parvenir à un consensus pour encourager une adoption généralisée du projet de texte. Un vote peut avoir lieu si le consensus ne peut être atteint après avoir épuisé toutes les tactiques de négociation, car les enjeux et les menaces auxquels cette proposition de convention répond sont importants. Pour l’instant, il n’est pas clair si les États membres parviendront à un accord en janvier ou si le délai devra être prolongé.

Ce sont deux articles résumant nos premiers plats à emporter après un premier examen des brouillons zéro; nous aurons plus à dire avant la réunion de New York le mois prochain. Cela vaut la peine de réitérer le principe des négociations multilatérales selon lequel « rien n’est convenu tant que tout n’est pas convenu » – le projet de texte pourrait changer dans les négociations futures.

Qu’y a-t-il dans le Zero Draft ?

La plupart des propositions visant à inclure explicitement des infractions autres que la cybercriminalité sont atténuées, mais des textes ambigus persistent

Les textes précédents de dispositions non négociées  contenaient plus de 30 infractions , telles que le trafic de drogue, incluses uniquement parce que des systèmes informatiques avaient été utilisés dans la commission du crime. Le nouveau projet supprime certaines de ces infractions et ne fait plus explicitement référence aux infractions autres que la cybercriminalité. En effet, cela signifie qu’en vertu de cette convention, seuls les cybercrimes “essentiels” – pas les crimes où un auteur a utilisé le courrier électronique, mais les crimes ciblant les systèmes informatiques, tels que l’utilisation de logiciels malveillants pour s’introduire dans un système informatique – devraient être les seuls définis comme des “cybercrimes”. Cependant, c’est une victoire douce-amère.comme nous l’avons préconisé . Seuls 11 des 30 crimes sont explicitement répertoriés dans l’avant-projet. Malheureusement, ces infractions ne sont pas entièrement éliminées, bien qu’elles ne soient pas revenues sous leur forme originale. Les États ont fait un compromis, réduisant la longue liste de crimes, mais laissant plus de place aux pouvoirs d’espionnage transfrontaliers pour enquêter et poursuivre ces longues listes de crimes.

En outre, l’avant-projet de préambule (paragraphe 3) fait toujours référence aux préoccupations des États concernant l’impact des systèmes informatiques sur l’ampleur, la vitesse et la portée d’infractions pénales comme le « terrorisme », « la traite des personnes, le trafic de migrants », « la fabrication et le trafic illicites d’armes à feu, de leurs pièces, éléments et munitions » et « le trafic de drogue et le trafic de biens culturels ».

Cela suggère une volonté d’élargir la portée de la collecte et du partage des preuves, y compris au-delà des frontières, au-delà des crimes explicitement énoncés dans le texte, ce qui peut être tenté, par exemple, en invoquant l’article 17 à composition non limitée ou le concept de « crimes graves », « autres crimes » ou simplement d’actes illégaux. Le préambule n’est généralement pas juridiquement contraignant ou directement exécutoire, cependant, conformément à la Convention de Vienne sur le droit des traités, il joue un rôle crucial dans la détermination du contexte d’interprétation de la convention et la clarification de l’intention des rédacteurs.

Les infractions liées à la parole ne sont plus explicites dans le traité, mais des inquiétudes demeurent

Comme dans la section ci-dessus, les versions antérieures du texte non négocié menant à l’avant-projet avaient proposé des dizaines de nouveaux crimes liés au contenu en ligne. Cela aurait criminalisé certains discours en tant que cybercrime simplement parce qu’ils ont été publiés en ligne. Il comprenait des dispositions que nous avions critiquées comme étant trop larges, mal définies et subjectives; comme nous l’avons notéauparavant, des dispositions similaires dans différents pays ont été largement utilisées contre des journalistes, des militants et des défenseurs des droits humains. Il s’agissait notamment d’infractions dépourvues de définitions universellement convenues – dont de nombreux États ont abusé pour réprimer la liberté d’expression ou d’association – telles que la violation du droit d’auteur, les “infractions liées à l’extrémisme”, les “infractions liées au terrorisme” et la distribution de matériel “motivé par la haine politique, idéologique, sociale, raciale, ethnique ou religieuse”, et “la propagation de conflits, de sédition, de haine ou de racisme”, entre autres .

Cette longue liste d’infractions liées au contenu a été retirée du chapitre sur la criminalisation. Malheureusement, l’avant-projet de nouvel article 17 oblige les États à appliquer la convention aux crimes “établis conformément à d’autres conventions et protocoles internationaux”, ce qui pourrait être utilisé comme une échappatoire pour réintroduire certains de ces crimes au motif que d’autres traités les ciblent à des fins de collecte et de partage de preuves.

Les techniques d’enquête spéciales ont été entièrement supprimées, mais les pouvoirs de collecte et d’interception en temps réel demeurent Des versions antérieures du texte non négocié  autorisaient étrangement les États membres à adopter une législation qui permettra l’utilisation de « techniques d’enquête spéciales », sans définir ce qu’elles sont. Un tel langage aurait pu permettre n’importe quel type de technologie de surveillance, des logiciels malveillants aux capteurs IMSI, en passant par la police prédictive et d’autres outils de surveillance de masse. Cependant, il existe encore d’autres dispositions d’enquête dans l’avant-projet, y compris des pouvoirs très intrusifs pour la collecte en temps réel des données de trafic et l’interception des communications.

Ces deux pouvoirs de surveillance ont été écartés lors des « consultations informelles » lors des sessions précédentes, et sont maintenant de retour dans l’avant-projet, et seront discutés pour la première fois lors de la réunion plénière de la session d’août. Nous avons déjà demandé la suppression de ces pouvoirs parce que nous avons constaté un manque de consensus sur l’inclusion de solides garanties juridiques parmi les États membres. Mais nos préoccupations vont au-delà de cela: il existe d’énormes disparités entre les États membres en ce qui concerne le niveau de protection de ce type de données, y compris des préoccupations concernant l’État de droit et le manque d’impartialité et d’indépendance du pouvoir judiciaire.

Copier, coller, répéter : le langage de la Convention de Budapest de 2001 est revenu, maintenant avec des garanties diluées contre les pouvoirs de surveillance

Les propositions sur les pouvoirs d’application de la loi et la coopération gouvernementale dans les versions antérieures étaient souvent assez draconiennes, mais maintenant ces dispositions sont basées directement, presque mot pour mot, sur le texte préexistant de la Convention de Budapest de 2001 sur la cybercriminalité – qui a beaucoup de problèmes, mais que de nombreux pays ont déjà signé. Malheureusement, certaines dispositions problématiques de la Convention de Budapest ont été importées en masse et, lorsque des modifications ont été apportées, elles ont affaibli les garanties et les limitations des pouvoirs de surveillance.

Occasion manquée : les pouvoirs de surveillance de la police transfrontalière doivent être dotés de garanties à toute épreuve pour protéger la vie privée et la liberté d’expression des utilisateurs

La Convention de Budapest contient une disposition sur les conditions et les garanties qui mettent des freins et contrepoids à l’utilisation des pouvoirs de surveillance, un élément positif bien qu’il ne soit pas aussi solide que nous le souhaiterions. L’avant-projet, dans l’un des rares écarts par rapport à la langue de Budapest, dilue en fait les garanties. S’il conserve la référence au principe de proportionnalité, il omet d’inclure explicitement le principe de nécessité. Le projet de convention, à défaut d’autre chose, devrait non seulement conserver les principes énoncés à l’article 15 de la Convention de Budapest, mais devrait étendre l’article pour y incorporer des garanties supplémentaires.

Il devrait notamment nécessiterune base factuelle justifiant l’accès ou l’application des pouvoirs de surveillance ; et l’obligation d’exiger une justification valable et étayée pour invoquer et appliquer ces pouvoirs procéduraux. Ces pouvoirs devraient être fondés sur des faits objectifs et vérifiables et établir des normes minimales claires. Sans de telles dispositions, la convention pourrait permettre une utilisation arbitraire, biaisée ou spéculative de la surveillance. Une autorisation préalable indépendante, de préférence judiciaire, des pouvoirs de surveillance devrait être obligatoire. Cette garantie sert de couche de protection supplémentaire pour prévenir les abus potentiels, renforcer la responsabilité et faire respecter l’État de droit. L’article devrait également exiger des États qu’ils publient « la divulgation périodique de données statistiques sur l’utilisation des pouvoirs et des procédures », afin d’améliorer encore la transparence et la responsabilité.

Bien que le maintien et l’extension des garanties constituent une étape initiale cruciale vers l’adoption d’une convention qui respecte les droits de l’homme, ces garanties en elles-mêmes resteront insuffisantes. Comme nous l’avons noté précédemment, il y a une absence flagrante d’un système solide et efficace pour faire respecter les droits de l’homme au niveau international, et la majorité des pays occidentaux ont montré une hésitation à contrôler leurs propres pouvoirs de surveillance excessifs. Prenons, par exemple, les efforts de l’OCDE pour restaurer la confiance dans les flux de données transfrontaliers, à la suite des révélations de Snowden. L’initiative énonce les principes essentielsqui incluent le principe de proportionnalité, de nécessité et de légalité. Cependant, ironiquement, le texte indique également que les pratiques de surveillance des signataires sont conformes aux droits de l’homme, bien que de nombreux contre-exemples  suggèrent le contraire.

Enfin, pour que la convention devienne véritablement un instrument respectueux des droits de l’homme, elle devrait, à tout le moins, autoriser les organes des droits de l’homme de l’ONU à contrôler la mise en œuvre de la convention et à évaluer le respect par les États des garanties de la convention, ainsi que des obligations des États en matière de traités en matière de droits de l’homme.

Conclusion

Dans la partie II de nos analyses, nous passerons en revue les dispositions troublantes de l’avant-projet de texte qui élargissent la portée des mesures de procédure pénale, la coopération internationale, traitent la double incrimination comme facultative et laissent de côté les garanties des droits de l’homme. Nous continuerons à fournir des mises à jour au fur et à mesure que nous développerons nos positions et nous préparerons à discuter de ces préoccupations en personne le mois prochain à New York.

PAR KATITZA RODRÍGUEZ

Cet article a été publié en partenariat avec EFF