À quelques jours de la dernière session de négociation visant à approuver le traité des Nations Unies sur la cybercriminalité, l'EFF et 21 organisations internationales de la société civile ont appelé aujourd'hui de toute urgence les délégués des États de l'UE et de la Commission européenne à s'attaquer aux nombreux défauts du projet de convention, qui incluent un champ d'application trop large qui accordera des pouvoirs de surveillance intrusifs sans garanties solides en matière de droits humains et de protection des données.
Le moment est désormais venu d'exiger des modifications du texte afin de restreindre la portée du traité, de limiter les pouvoirs de surveillance et de préciser les principes de protection des données. Sans ces solutions, le projet de traité risque de donner aux pratiques abusives des gouvernements un vernis de légitimité internationale et devrait être rejeté.
Lettre ci-dessous :
Appel urgent pour remédier aux failles critiques du dernier projet de Convention des Nations Unies sur la cybercriminalité
À la veille de la reprise de la session de clôture du Comité ad hoc des Nations Unies sur la cybercriminalité (AHC) à New York plus tard ce mois-ci, nous, les organisations soussignées, souhaitons attirer de toute urgence votre attention sur les défauts critiques persistants du dernier projet de la convention des Nations Unies sur la cybercriminalité (ci-après la Convention sur la cybercriminalité ou la Convention).
Malgré les récentes modifications, nous continuons de partager de profondes préoccupations concernant les lacunes persistantes du projet actuel et nous exhortons les États membres à ne pas signer la Convention sous sa forme actuelle.
Principales préoccupations et propositions de solutions :
- Portée trop large et incertitude juridique :
- Le champ d'application du projet de Convention reste excessivement large, incluant les infractions cybernétiques et d'autres délits liés au contenu. Le titre proposé pour la Convention et l’introduction du nouvel article 4 – avec sa référence ouverte aux « infractions établies conformément à d’autres conventions et protocoles des Nations Unies » – créent une insécurité juridique importante et étendent la portée à une liste indéfinie d’infractions possibles. les crimes ne seront déterminés qu’à l’avenir. Cette ambiguïté risque de criminaliser l’expression légitime en ligne, ce qui aurait un effet dissuasif préjudiciable à l’État de droit. Nous continuons de recommander de restreindre le champ d’application de la Convention aux seuls crimes cyberdépendants clairement définis et déjà existants, afin de faciliter son application cohérente, de garantir la sécurité et la prévisibilité juridiques et de minimiser les abus potentiels.
- Le projet de Convention à l'article 18 manque de clarté concernant la responsabilité des plateformes en ligne pour les infractions commises par leurs utilisateurs. Le projet actuel de l'article ne requiert pas de participation intentionnelle à des infractions établies conformément à la Convention, ce qui contredit également l'article 19 qui exige une intention. Cela présente le risque que les intermédiaires en ligne puissent être tenus responsables des informations diffusées par leurs utilisateurs, même sans avoir réellement connaissance de la nature illégale du contenu (comme le prévoit la loi européenne sur les services numériques), ce qui encouragera les efforts de modération de contenu trop étendus de la part des plateformes au détriment de la liberté d'expression. En outre, la formulation est beaucoup plus large (« pour la participation ») que celle de la Convention de Budapest (« engagé au profit de la coopération ») et mériterait d’être clarifiée dans le sens du paragraphe 125 du rapport explicatif du Conseil de l’Europe à la Convention de Budapest.
- La proposition contenue dans le projet de résolution révisé d'élaborer un projet de protocole complémentaire à la Convention représente une nouvelle impulsion pour élargir la portée des infractions, risquant de créer un cadre sans limites et de plus en plus punitif.
- Protection insuffisante des acteurs de bonne foi :
- Le projet de Convention ne parvient pas à incorporer des termes suffisants pour protéger les acteurs de bonne foi, tels que les chercheurs en sécurité (qu’il s’agisse de tests autorisés ou de protection d’un système de technologie de l’information et de la communication), les lanceurs d’alerte, les militants et les journalistes, contre une criminalisation excessive. Il est crucial que l’élément mens rea dans les dispositions relatives aux crimes cyberdépendants fasse référence à l’intention criminelle et au préjudice causé.
- Absence de garanties spécifiques en matière de droits humains :
- L'article 6 n'inclut pas de garanties spécifiques en matière de droits de l'homme – comme le proposent les organisations de la société civile et le Haut-Commissaire des Nations Unies aux droits humains – pour garantir une compréhension commune entre les États membres et pour faciliter l'application du traité sans limitation illégale des droits humains ou des droits fondamentaux. libertés. Ces garanties devraient être :
- applicable à l'ensemble du traité pour garantir que les efforts en matière de cybercriminalité assurent une protection adéquate des droits humains ;
- être conforme aux principes de légalité, de nécessité et de proportionnalité, de non-discrimination et d'objectif légitime;
- intégrer le droit à la vie privée parmi les droits humains spécifiés ;
- remédier au manque d'intégration efficace du genre pour garantir que la Convention ne porte pas atteinte aux droits de l'homme sur la base du genre.
- Mesures procédurales et application de la loi :
- La Convention devrait limiter la portée des mesures procédurales aux enquêtes sur les infractions pénales énoncées dans la Convention, conformément au point 1 ci-dessus.
- Afin de faciliter leur application et – compte tenu de leur caractère intrusif – de minimiser les risques d'abus, ce chapitre de la Convention devrait incorporer les conditions et garanties minimales suivantes, telles qu'établies par le droit international des droits de l'homme. Plus précisément, les éléments suivants devraient être inclus à l’article 24 :
- les principes de légalité, de nécessité, de proportionnalité, de non-discrimination et de finalité légitime ;
- autorisation préalable indépendante (judiciaire) des mesures de surveillance et contrôle tout au long de leur application ;
- une notification adéquate des personnes concernées dès que cela ne compromet plus les enquêtes ;
- et des rapports réguliers, comprenant des données statistiques sur l'utilisation de ces mesures.
- Les articles 28/4, 29 et 30 devraient être supprimés, car ils incluent des mesures de surveillance excessives qui ouvrent la porte à des interférences avec la vie privée sans garanties suffisantes et qui portent potentiellement atteinte à la cybersécurité et au cryptage.
- Coopération internationale :
- La Convention devrait limiter la portée de la coopération internationale uniquement aux crimes énoncés dans la Convention elle-même afin d'éviter toute utilisation abusive (comme indiqué au point 1 ci-dessus). Le partage d'informations aux fins de la coopération entre les services répressifs devrait être limité à des enquêtes criminelles spécifiques avec une protection explicite des données et des droits humains garanties des droits.
- L'article 40 exige « la mesure la plus large d'entraide judiciaire » pour les infractions établies conformément à la Convention ainsi que pour toute infraction grave au regard du droit interne de l'État requérant. Plus précisément, lorsqu’aucun traité d’entraide judiciaire ne s’applique entre les États parties, les paragraphes 8 à 31 établissent des règles détaillées sur les obligations d’entraide judiciaire avec tout État partie dont les garanties en matière de droits humains et les motifs de refus sont généralement insuffisants. Par exemple, le paragraphe 22 place la barre très haut en matière de « motifs sérieux de croire » pour que l’État requis refuse l’assistance.
- Lorsque les États parties ne peuvent pas transférer des données personnelles conformément à leurs lois applicables, telles que le cadre de protection des données de l'UE, l'obligation contradictoire de l'article 40 d'accorder à l'État requérant « la mesure d'entraide judiciaire la plus large » peut indûment encourager le transfert des données personnelles. les données à caractère personnel sont soumises à des conditions appropriées en vertu de l'article 36, paragraphe 1, point b), par ex. par le biais de dérogations pour des situations spécifiques prévues à l'article 38 de la directive européenne relative à l'application des lois. L’article 36(1)(c) de la Convention encourage également les États parties à conclure des accords bilatéraux et multilatéraux pour faciliter le transfert de données personnelles, ce qui crée un risque supplémentaire de porter atteinte au niveau de protection des données garanti par le droit de l’UE.
- Lorsque les données personnelles sont transférées en pleine conformité avec le cadre de protection des données de l'État requis, l'article 36(2) devrait être renforcé pour inclure des normes claires, précises, sans ambiguïté et efficaces pour protéger les données personnelles dans l'État requérant et pour éviter que des données personnelles ne soient transférées. les données sont traitées ultérieurement et transférées vers d'autres États d'une manière qui peut violer le droit fondamental à la vie privée et à la protection des données.
Conclusion et appel à l'action :
Tout au long du processus de négociation, nous avons souligné à plusieurs reprises les risques que le traité, sous sa forme actuelle, fait peser sur les droits de l’homme et sur la cybersécurité mondiale. Malgré les dernières modifications, le projet révisé ne répond pas à nos préoccupations et continue de risquer de rendre les individus et les institutions moins sûrs et plus vulnérables à la cybercriminalité, compromettant ainsi son objectif même.
Ne pas restreindre la portée de l'ensemble du traité aux crimes cyberdépendants, protéger le travail des chercheurs en sécurité, des défenseurs des droits humains et d'autres acteurs légitimes, renforcer les garanties des droits humains, limiter les pouvoirs de surveillance et préciser la protection des données. Ces principes donneront aux pratiques abusives des gouvernements un vernis de légitimité internationale. Cela rendra également les communications numériques plus vulnérables aux cybercriminalités que la Convention est censée lutter. En fin de compte, si le projet de Convention ne peut être corrigé, il devrait être rejeté.
Alors que la session de clôture du Comité spécial des Nations Unies sur la cybercriminalité est sur le point de reprendre, nous appelons les délégations des États membres de l'Union européenne et la délégation de la Commission européenne à redoubler d'efforts pour combler les lacunes mises en évidence et garantir que le projet de convention sur la cybercriminalité soit étroitement ciblé dans son champ d'application matériel et ne soit pas utilisé pour porter atteinte aux droits de l'homme ou à la cybersécurité. En l’absence de changements significatifs pour remédier aux lacunes existantes, nous exhortons les délégations des États membres de l’UE et la Commission européenne à rejeter le projet de convention et à ne pas le soumettre à l’Assemblée générale des Nations Unies pour adoption.