Réflexion sur les accords internationaux actuels en matière de cybercriminalité

Depuis 15 ans, le développement de l’Internet a entraîné une nouvelle forme de délinquance, qui en utilisant les NTIC, menace à la fois les individus, les entreprises et les Etats. La cybercriminalité constitue cette nouvelle forme de menace.

La cybercriminalité désigne à la fois les attaques de tout type sur les systèmes informatiques (virus, tentatives d’intrusion…), la diffusion de contenus illégaux (racisme, pédophilie…), l’usurpation d’identité numérique, l’escroquerie en ligne, le cyber-blanchiment d’argent, la question des atteintes aux droits de la propriété intellectuelle… Les cyber-attaques peuvent avoir trois types de conséquences : des conséquences économiques, la perturbation d’infrastructures essentielles et des menaces pour la sécurité nationale des Etats.

Ce nouveau type de menace implique évidemment de nombreux acteurs qui ont un rôle à jouer sur la gouvernance de l’Internet : On y trouve les Etats, le secteur privé et la société civile.

Ces derniers doivent alors élaborer et appliquer dans le cadre de leurs rôles respectifs, des principes/normes/règles/programmes communs destinés à assurer et à garantir une « meilleure » utilisation d’internet, notamment en terme de sécurité. Ces acteurs ont très vite senti la nécessité de mener une action internationale, collective et concertée et de prendre des mesures harmonisées pour mener à bien cette bataille contre ce nouveau fléau menaçant le cyberespace.

faut cependant attendre 2001 pour que véritablement apparaisse la première idée d’un « ordre universel sur le cyberespace ». Cet idéal à atteindre a été lancé par la World Federation of Scientists et désignait par « ordre universel sur le cyberespace » un concept prioritaire pour gérer l’ère numérique et maîtriser les diverses menaces, allant de la cybercriminalité à la cyberguerre. Mais quel organisme international accepterait de coordonner des actions en la matière ? Ce sont les Nations Unies qui ont accepté cette lourde tache, notamment à travers de nombreuses initiatives telle que l’organisation de sommets mondiaux sur la société de l’information, et la mise en place de travaux concernant la cybercriminalité en coordination avec de nombreux organismes (l’UIT, Conseil de l’Europe…).

Ce mouvement insufflé par les Nations Unies mène donc activement, depuis 2001, sa mission à bien.

I. Des SMSI à la Convention Cybercrime

A. Solutions théoriques définies par le SMSI et lignes de conduites à suivre

Dès les années 80, une action concertée de la communauté internationale et des mesures harmonisées mises en place par de nombreux Etats pour gérer la criminalité internationale ont été envisagées.

En 2001, la World Federation of Scientists avança la première l’idée d’un « ordre universel sur le cyberespace ». Depuis, cette idée a fait son chemin avec la publication de l’Institut des Nations Unies pour la formation et la recherche (UNITAR). L’une des recommandations de la World Federation of Scientists souligne, en effet, qu’en raison de son caractère universel, le système des Nations Unies devrait diriger les activités intergouvernementales sur le fonctionnement et la protection du cyberespace.

Par chance, l’ONU semble décider à jouer un rôle majeur, puisque elle a confié à l’UIT (Union Internationale de Télécommunications), qui constitue son institution spécialisée en la matière, l’ensemble des questions inhérentes à la gouvernance de l’Internet et de certaines problématiques telles que la cybercriminalité ou encore la gestion des technologies de l’information et de la communication.

Le forum né de cette symbiose entre UIT et ONU a été appelé Sommet Mondial de la Société de l’Information (SMSI) et s’est déroulé en deux phases. La première, s’est tenue à Genève du 10 au 12 décembre 2003 et  avait pour but d’adopter une déclaration de principe et un plan d’action. La seconde, à Tunis en novembre 2005, visait à approfondir les thèmes liés au développement et à effectuer une première évaluation des actions mises en œuvre depuis le Sommet de Genève ; ces deux textes principaux étaient l’Engagement et l’Agenda de Tunis.

En vertu des articles 35 et 36 de la Déclaration issue du SMSI de Genève, «…Une culture globale de la cybersécurité doit être encouragée, développée et mise en oeuvre en coopération avec tous les partenaires et tous les organismes internationaux compétents… », «…Il est nécessaire d’éviter que les ressources et les technologies de l’information soient utilisées à des fins criminelles ou terroristes, tout en respectant les droits de l’homme… ».

Pourtant, c’est l’Agenda de Tunis issue du SMSI de 2005 qui insiste plus particulièrement sur la question de la cybersécurité à plusieurs reprises dans son texte  :

« …nous nous engageons à assurer la stabilité et la sécurité de l’Internet en tant que ressource mondiale et à garantir la nécessaire légitimité de sa gouvernance, sur la base de la participation pleine et entière de toutes les parties prenantes… » (art.31),

« …Nous cherchons à instaurer un climat de confiance et de sécurité pour l’utilisation des TIC…Nous réaffirmons qu’une culture mondiale de la cybersécurité doit être encouragée, développée et mise en oeuvre en collaboration avec toutes les parties prenantes comme défini par l’Assemblée générale des Nations Unies dans sa Résolution 57/239… » (art.35),

« …Nous affirmons que les mesures prises pour garantir la stabilité et la sécurité de l’Internet et pour lutter contre la cybercriminalité et le spam doivent respecter la vie privée et la liberté d’expression… » (art.42),

« …Nous affirmons qu’il est nécessaire de trouver un terrain d’entente sur les questions se rapportant à la sécurité de l’Internet et d’accroître la coopération… » (art.45)…

L’Agenda de Tunis a également lancé l’idée de l’organisation d’un Forum sur la Gouvernance de l’Internet (Internet Government Forum -IGF) dont la mission vise à traiter « …des questions de politique publique relatives aux principaux éléments de la gouvernance de l’Internet afin de contribuer à la viabilité, à la robustesse, à la sécurité, à la stabilité et au développement de l’Internet… » (art.72).

Le premier IGF s’est mise en place à Athènes du 30 octobre au 2 novembre 2006. Les questions de la sécurité, l’authentification et d’identification ont été discutées durant ce forum. De plus, le rôle de l’utilisateur et le besoin d’une coopération internationale pour une gouvernance plus efficace en matière de sécurité ont été de nouveau mis en exergue.

En novembre 2007, la 2ème IGF s’est tenue à Rio de Janeiro. La discussion principale concernait l’aspect législatif de la problématique de la sécurité sur Internet. La conclusion a été la suivante : Les législations nationales sont assez prévoyantes en matière d’infractions commises sur Internet mais elles ne doivent pas aller néanmoins jusqu’à une « hyper-réglementation »; l’importance d’une coopération internationale constituait une fois de plus un sujet capital et elle a été examinée lors de ce Forum sous l’angle des entraves rencontrées à son application (notamment des questions financières, adaptation des juges et de la police à l’environnement numérique et au cyberespace etc…).

Les deux derniers Forums prévus ont eu lieu du 3 au 6 décembre 2008 en Inde et du 15 au 18 novembre 2009 en Egypte.

Le dernier forum qui s’est tenu en Egypte à Sharm el Sheik s’attachait plus spécifiquement à trouver un consensus sur la protection et la sécurité de l’enfant sur internet, la pénalisation de la vente en ligne de médicaments contrefaits ou encore à renforcer la protection et le respect des droits de l’homme et de la démocratie sur Internet.

En outre, le Conseil de l’Europe s’est efforcé d’obtenir l’adhésion d’Etats qui ne sont pas membres de l’Organisation à des conventions internationales telles que la Convention sur la cybercriminalité, la Convention sur la protection des enfants contre l’exploitation et les abus sexuels ou encore la Convention pour la prévention du terrorisme.

En tout état de cause, ce dernier forum a eu un mérite. La Commission Européenne a en effet accueilli favorablement une étape essentielle vers un internet véritablement mondial à travers l’annonce de l’introduction des «noms de domaine internationalisés». Jusqu’à présent, les noms de domaines internet n’étaient entièrement ou partiellement composés que de caractères latins (A à Z). L’ICANN (Internet Corporation for Assigned Names and Numbers), organisme qui gère le répertoire principal de l’internet, a annoncé qu’une procédure accélérée serait mise en place aujourd’hui pour que les domaines nationaux de premier niveau («.eu» dans l’adresse «europa.eu» par exemple) puissent contenir des caractères non latins. Cela signifie que certains Européens, notamment les Grecs, les Bulgares et les Chypriotes, pourront dorénavant visualiser les noms de domaine dans leurs propres alphabets. Cela représente une avancée importante en faveur du multilinguisme.

Malgré tout, ne risque-t-on pas d’assister comme le soulignent certaines critiques à une « balkanisation », une fragmentation de la Toile pouvant  mise à profit par les Etats non démocratiques en profitant d’un espace fermé ?

Une nouvelle convention contre la contrefaçon de produits médicaux et crimes similaires est en train d’être préparée en mettant l’accent sur la protection de la santé publique. Elle devrait être ouverte à la signature en 2010 lors du 5ème IGF qui se tiendra en Lituanie à Vilnius du 14 au 17 septembre 2010.

L’Union internationale des télécommunications (UIT) mérite une attention particulière dans ce processus, non seulement en tant qu’organisateur du Sommet mondial sur la société de l’information mais aussi en tant que principal dépositaire multilatéral des questions de cybersécurité. L’approche multipartite nécessaire pour s’attaquer aux problèmes de cybersécurité est ancrée dans ses traditions puisqu’il est un pôle de convergence mondial où se retrouvent pouvoirs publics/secteur privé. En adoptant récemment le Global Cybersecurity Agenda – qui vise à réduire la cybercriminalité dans un délai de deux ans – et en mettant en ligne le Portail cybersécurité (Cybersecurity Gateway), l’UIT remplit remarquablement son rôle de direction pour les questions de cybersécurité et pour la mise en œuvre du SMSI. Elle a tout le potentiel pour devenir la principale instance globale d’information sur ces activités. D’autres institutions participent à l’organisation des SMSI : La Commission de la science et de la technique au service du développement ou encore le Groupe des Nations Unies sur la société de l’information.

Enfin, le multipartisme de ces Sommets et Forums demeurant leur « caractéristique » principale, c’est pour cette raison qu’il faut aussi évoquer les acteurs de la Société de l’Information, en dehors de l’ONU, que sont les participants des SMSI et  IFG :

  • Gouvernements (plus de 150 représentants de gouvernement, y compris plus de 40 chefs d’Etat ou de Gouvernement, ont pris la parole dans le cadre de la deuxième phase du SMSI à Tunis).
  • Société civile (syndicats, médias, créateurs et acteurs culturels, pouvoirs publics locaux et municipaux, ONG, représentant des peuples autochtones, des personnes handicapées,  de différents groupes tel que le groupe sur les droits de l’homme, groupe sur la gouvernance de l’Internet, etc.).
  • (Groupe de coordination des interlocuteurs commerciaux (CCBI), présidé par la Chambre de commerce internationale (CCI).
  • Organisations Internationaux diverses (ex. Conseil de l’Europe, OIF, Ligue Arabe).

B. Les applications concrètes dans la lutte contre la cybercriminalité.

L’ensemble des textes issus des 2 SMSI et les 4 IGF illustrent, malgré l’absence de valeur juridique contraignante, la « bonne volonté » des acteurs de la gouvernance de l’Internet. Pour l’instant, le seul accord international dédié à la lutte contre la cybercriminalité informatique véritablement « contraignant » et efficace sur le plan international est la Convention sur la Cybercriminalité du Conseil de l’Europe adoptée en 2001 avec son Protocole Additionnel de 2003 relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais des systèmes informatiques.

La Convention est le fruit de 4 années de travail d’un Comité d’experts du Conseil de l’Europe, auxquels étaient associés des experts des Etats-Unis, du Canada, du Japon et d’autres Etats non-membres du Conseil de l’Europe (ex. Afrique du Sud) dite « Comité d’experts sur la criminalité dans le cyberespace ».

La Convention a finalement été ouverte à la signature à Bucarest le 23 novembre 2001 et a été signée le 30 septembre 2004 par 30 Etats du Conseil de l’Europe  ainsi que par 4 pays non européens. Les trois axes de réglementation qu’elle préconise sont :

  1. l’harmonisation des législations nationales concernant la définition des infractions sur Internet ;
  2. la définition de moyens d’enquêtes et des poursuites pénales adaptées à la mondialisation des réseaux ;
  3. la mise en place d’un régime rapide et efficace de coopération internationale.

Selon le texte de la Convention les infractions commises par le biais de l’Internet peuvent être répertoriées dans 4 grandes catégories : 1) les infractions contre la confidentialité, l’intégrité et la disponibilité des données et système (accès illégal, interception illégale, atteinte à l’intégrité de données, atteinte à l’intégrité du système, abus de dispositifs), 2) les infractions informatiques (falsification et fraude informatique), 3) les infractions se rapportant au contenu (actes de reproduction, diffusion, possession de pornographie enfantine), 4) les atteintes à la propriété intellectuelle et aux droits connexes (distribution a grande échelle de copies illégales d’œuvres protégées, etc.).

Le point fort de la Convention réside dans le fait  qu’elle prévoit des mesures concrètes destinées à être intégrées obligatoirement dans les législations nationales, comme la collecte en temps réel et la conservation des données relatives  au trafic nécessaire pour connaître la source et la destination, les compétences des juridictions concernées, l’entraide aux investigations et l’extradition. La clef de voûte des mesures de la coopération internationale étant la mise en place d’un réseau de points de contact disponibles 24h/24 et 7j/7 afin de faciliter les enquêtes internationales et la prise de mesures immédiates.   (en France : c’est l’OCLCTIC qui constitue le maillon de ce réseau).

Au 1er février 2010, la Convention a été ratifiée par 25 des 47 Etats membres du Conseil de l’Europe et seul les Etats-Unis appartiennent aux Etats non membres du Conseil de l’Europe l’ayant ratifié. Néanmoins, malgré le faible taux de ratification, le fait que des Etats non-membres du Conseil de l’Europe (Canada, Costa Rica, Japon, Mexico, Afrique du Sud) aient aussi signé la Convention atteste clairement de sa valeur juridique ; une fois entrée en vigueur dans tous ces Etats,  la Convention sur la cybercriminalité va mettre en place des règles de jeu commun au niveau international pour la gestion des cybermenaces.

Le Conseil de l’Europe du 10 au 11 mars 2009 a tenu à Strasbourg une Conférence sur le sujet de la « Coopération contre la Cybercriminalité », focalisée plus particulièrement sur la coopération entre les services de répression et les fournisseurs de services, la traçabilité de l’argent sale sur Internet, l’identification de nouvelles menaces de la cybercriminalité, l’état et l’effectivité de la législation dans le domaine de la cybercriminalité ainsi que sur l’effectivité de la coopération internationale des points de contact « 24/7 ».

Mais s’il est vrai que de nombreuses actions théoriques et concrètes ont débouché sur l’éclosion d’un véritable « cadre international » dans la lutte contre la cybercriminalité, il n’en demeure pas moins qu’il reste beaucoup à faire concrètement sur ce sujet.

II. Les solutions envisagées pour une meilleure gouvernance de l’Internet en matière de Cybercriminalité

A. Les limites théoriques et pratiques rencontrées dans la lutte contre la cybercriminalité

Les limites rencontrées sont de plusieurs ordres :

D’une part, on note en effet des insuffisances importantes dans le cadre du travail élaboré sous l’égide de l’UIT et des textes résultant des SMSI.

En effet, la première insuffisance porte nécessairement sur la valeur contraignante des déclarations et de l’ensemble des textes élaborés dans le cadre des SMSI : A quoi servent les déclarations prises lors de ces SMSI/forums mondiaux dès lors qu’elles n’ont aucune valeur juridique contraignante ?

On ne peut en effet que regretter l’impact limité de ces textes au final, tempéré il est vrai par leur valeur politique et médiatique sur la scène internationale. Mais est-ce suffisant pour permettre une application concrète et surtout, imposer des sanctions en cas de violation des principes dégagés par ces textes ?

On peut aussi regretter le fait que ces SMSI ou les forums mondiaux sur la gouvernance de l’internet qui se sont tenus par la suite (Athènes en 2006, Brésil en 2007, Inde en 2008) n’aient aucun pouvoir décisionnel.

Même la Chine, réputée pour être très protectionniste sur la Toile,  s’est montrée critique lors de sa venue à la 4ème IGF se déroulant en Egypte sur le rôle non contraignant des décisions prises par le forum et insistait sur la mise en place d’une organisation multilatérale de l’Internet sur le modèle de l’O0rganisation des Nations Unies.

Il faut aussi souligner le poids important des américains aussi bien au sein des rares institutions « internationales » en matière de gouvernance de l’Internet, tel que l’ICANN ou encore dans la cadre des SMSI ou des forums mondiaux sur la gouvernance de l’Internet.

En effet, ces derniers sont plus soucieux de défendre leurs propres intérêts que des trouver des solutions concrètes et concertées avec ses partenaires en matière de cybercriminalité.

Plusieurs exemples illustrent ainsi tout à fait cette forme déguisée de protectionnisme :

  • Alors qu’ils avaient approuvé en 2001 la Convention et ses protocoles additionnels réglementant la cybercriminalité, les États-Unis se sont opposés le 15 novembre 2002 à un avenant condamnant les actes à motivation raciste et xénophobe. Ce protocole visait à criminaliser la diffusion de matériel raciste et xénophobe par le biais de systèmes informatiques, ainsi que les menaces et l’insulte à motivation raciste et xénophobe, la négation, la minimisation grossière, l’approbation ou la justification du génocide ou des crimes contre l’humanité. Les Etats-Unis ont refusé de signer ce protocole dans la mesure où ses dispositions violent le sacro-saint principe de la liberté d’expression consacré par le 1er amendement de la Constitution américaine
  • Il existe un paradoxe : Malgré la volonté farouche affichée par Washington depuis 2001 de combattre le terrorisme, que ce soit sur le terrain ou sur la toile, force est de constater l’existence de nombreux sites de groupes terroristes hébergés aux Etats-Unis (qui bien que protégés par le principe du « freedom of speech » n’en sont pas moins surveillés étroitement) : c’est le cas de sites soutenus par le Hamas ou des FARC.

D’autre part, il est nécessaire de souligner les difficultés pesant sur les acteurs de la gouvernance de l’Internet qui visent à mettre en place un véritable cadre international harmonisé de lutte contre la cybercriminalité.

En effet, la fracture numérique est telle qu’il est impossible d’imposer les mêmes critères permettant à tous les Etats de cette planète de voir « l’instauration d’un climat de confiance et de sécurité pour l’utilisation des TIC » promis lors de la déclaration du SMSI à Tunis en 2005.

Ainsi, avant que ce principe soit effectif, n’est-il pas nécessaire sinon indispensable de permettre à tous les continents (Afrique, Amérique du Sud…) de disposer d’infrastructures et de réseaux internet performants ? Une coopération entre pays développés et pays sous-développés est nécessaire en terme d’investissement en matière de formation, d’aides techniques, mise en place d’un réseau d’entraide entre autorités policières etc…pour endiguer, entre autre, les trop nombreuses failles exploitées par les organisations criminelles installant leurs serveurs (cyber blanchiment d’argent, fraude bancaire…) dans des pays ou la réglementation en matière de cybercriminalité est mince ou n’existe pas (Russie, pays de l’est, Corée, pays africains…)

Enfin, des raisons d’ordre géopolitique, sociologique, historique ont aussi un impact négatif sur la mise en place d’un véritable cadre harmonisé de lutte contre la cybercriminalité (Exemple : réticence naturelle des Etats africains à adopter des règles, principes, programmes, conventions synonymes d’une nouvelle forme de « colonisation » cybernétique imposée par les Etats occidentaux).

B. La nécessité d’élaborer des règles de droit international

Face au constat rencontré dans notre première sous-partie, on est amené à penser que la meilleure solution pour lutter efficacement contre la cybercriminalité repose sur la mise en place d’un régime international, résultant d’une coopération de tous les gouvernements nationaux sans exception, œuvrant ensemble dans l’élaboration d’une politique de cybersécurité qui se voudrait « uniforme ».

On remarque en effet que les institutions ou organisation régionales qui ont œuvré dans ce sens n’ont pas recueilli l’adhésion de la majorité des Etats de la planète : Exemple du conseil de l’Europe avec la convention Cybercrime. Beaucoup de chemin reste donc à parcourir et en attendant, les « cybercriminels » en profitent en exploitant les failles et lacunes des législations nationales et régionales, incapables de mettre en place des cadres juridiques intéropérables…

Seule l’élaboration de règles de droit international sur la cybercriminalité, menée par une institution/organisation internationale serait susceptible d’entrainer un relatif consensus de la majorité des Etats.

Cependant, cette solution qui doit déboucher sur une forme de Convention/traité internationale ayant une valeur juridique contraignante auxquelles auraient participé tous les Etats soulève des questions dont nous n’avons pas la réponse :

Comment permettre alors à plus de 200/250 pays de trouver un consensus sur la qualification de la notion de cyberattaques ? Comment aboutir rapidement à une concertation qui déboucherait sur l’élaboration d’un cadre juridique définissant les actions cybernétiques légitimes et illégales des Etats et des acteurs non étatiques ?

De plus cette concertation entre Etats n’auraient aucune efficacité si d’autres acteurs, tels que les entreprises, n’y participent pas, pour pallier entre autre à l’absence des applications ou systèmes logiciels vulnérables offrant des services de base aux internautes (cybersanté, administration publique en ligne, commerce électronique…), sécurisant ainsi l’accès à la société de l’information.

Le constat est similaire en matière d’absence de structures organisationnelles adaptées (système d’authentification des internautes, certification numérique…)

En tout état de cause, seule une véritable concertation entre tous les acteurs de la gouvernance de l’Internet pourrait permettre une uniformisation des actions à mener face à la cybercriminalité.

Mais on voit bien que ce processus sera long, difficile et pose des nombreuses questions dont il est très difficiles d’apporter des réponses : quelle institution/organisation va coordonner les débats ? Qui va les contrôler ? Comment des centaines d’acteurs vont pouvoir aboutir ensemble à des objectifs concertés et communs en matière de cybercriminalité ?

Enfin, il ne faut pas oublier l’impact des utilisateurs « directs » que sont les internautes.

En matière de cybersécurité, une meilleure sensibilisation de ces derniers est indispensable et aura une répercussion notable dans le recul de la cybercriminalité.

Ainsi, des enfants surfant sur le net dans un cybercafé doivent savoir ne serait ce que de façon rudimentaires, comment ils peuvent profiter des TIC en toute sécurité, tout en évitant certains de leurs dangers (existence de « prédateurs » sur le cyberespace, ne pas divulguer ses données personnelles…).

Bibligraphie

Ouvrages

  • Christiane Feral-Schuhl, « Cyberdroit », Dalloz, 2006
  • Claude Birraux, Henri Revol, « Audition publique sur la gouvernance de l’Internet du 8 décembre 2005 », Assemblée nationale, Sénat, Office parlementaire d’évaluation des choix scientifiques et technologiques, 2005

Rapports

  • Maura Conway (chargé de cours à la School of Law and Government de l’université de Dublin) « Le terrorisme et la gouvernance de l’Internet : les questions cruciales »
  • Henning Wegener (ambassadeur, ancien diplomate allemand et Président du groupe permanant de surveillance sur la sécurité de l’information de la World Federation of Scientist) « Qui se charge de maîtriser les dangers du cyberespace ? »
  • Programme mondial cybersécurité (Global Cybersecurity Agenda) de l’UIT

Liens

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.