Il s'agit du troisième article d'une série mettant en lumière les failles du projet de convention des Nations Unies sur la cybercriminalité. Consultez la première partie, notre analyse détaillée sur la criminalisation des activités de recherche en matière de sécurité, et la deuxième partie, une analyse des garanties en matière de droits de l'homme.

 

Alors que nous approchons de la dernière session de négociation du projet de traité des Nations Unies sur la cybercriminalité, les pays manquent de temps pour apporter les améliorations indispensables au texte. Du 29 juillet au 9 août, les délégués à New York ont ​​pour objectif de finaliser une convention qui pourrait remodeler radicalement les lois sur la surveillance mondiale. Le projet actuel favorise une surveillance étendue, établit de faibles garanties de confidentialité et renvoie la plupart des protections contre la surveillance aux lois nationales, créant ainsi une voie dangereuse qui pourrait être exploitée par des pays ayant différents niveaux de protection des droits humains.

Le risque est clair : sans de solides garanties en matière de respect de la vie privée et des droits humains dans le texte même du traité, nous assisterons à une intrusion accrue du gouvernement, à une surveillance incontrôlée et à un accès non autorisé aux données sensibles, laissant les individus vulnérables aux violations, aux abus et à la répression transnationale. Et pas seulement dans un seul pays.  Des garanties plus faibles dans certains pays peuvent conduire à des abus généralisés et à une érosion de la vie privée, car les pays sont obligés de partager les « fruits » de la surveillance entre eux. Cela aggravera les disparités en matière de protection des droits humains et créera un nivellement par le bas, transformant la coopération mondiale en un outil permettant aux régimes autoritaires d’enquêter sur des crimes qui n’en sont même pas des crimes en premier lieu.

Les pays qui croient en l’État de droit doivent se lever et soit rejeter la convention, soit limiter considérablement sa portée, en adhérant aux lignes rouges non négociables définies par plus de 100 ONG. Dans le cadre d'une alliance peu commune, la société civile et l'industrie se sont mises d'accord plus tôt cette année dans une lettre commune exhortant les gouvernements à suspendre leur soutien au traité dans sa forme actuelle en raison de ses défauts critiques.

 

Contexte et état actuel des négociations sur la Convention des Nations Unies sur la cybercriminalité

Le Comité ad hoc des Nations Unies chargé de superviser les négociations et la préparation d'un texte final devrait examiner dans son intégralité un texte révisé mais toujours imparfait, ainsi que les notes interprétatives, au cours de la première semaine de la session, en se concentrant sur toutes les dispositions non pertinentes. encore convenu ad referendum.[1] Cependant, conformément au principe des négociations multilatérales selon lequel « rien n’est convenu tant que tout n’est pas convenu », toutes les dispositions du projet qui ont déjà été convenues pourraient potentiellement être rouvertes.

Le texte actuel révèle des désaccords importants entre les pays sur des questions cruciales telles que la portée de la convention et la protection des droits humains. Bien entendu, le texte pourrait aussi être pire. Alors même que nous pensions que les États membres avaient supprimé de nombreux crimes préoccupants, ils pourraient réapparaître. La résolution de l’Assemblée générale du président du Comité ad hoc comprend deux sessions supplémentaires pour négocier non pas davantage de protections, mais l’inclusion de davantage de crimes. La résolution appelle à « un projet de protocole complémentaire à la Convention, traitant, entre autres, d’infractions pénales supplémentaires ». Néanmoins, certains pays attendent toujours que le dernier projet soit adopté.

Dans ce troisième article, nous soulignons les dangers de la définition large des « données électroniques » actuellement proposée par la Convention des Nations Unies sur la cybercriminalité et des garanties inadéquates en matière de confidentialité et de protection des données. Ensemble, ces éléments créent les conditions de graves violations des droits humains, d'une répression transnationale et d'incohérences entre les pays. dans la protection des droits humains.

Un examen plus approfondi de la définition des données électroniques

La proposition de convention des Nations Unies sur la cybercriminalité étend considérablement les pouvoirs de surveillance de l’État sous couvert de lutte contre la cybercriminalité. Le chapitre IV accorde au gouvernement une autorité étendue pour surveiller et accéder aux systèmes et données numériques, en catégorisant les données en données de communication : données d'abonnés, données de trafic et données de contenu. Mais il utilise également une catégorie fourre-tout appelée « données électroniques ». L'article 2(b) définit les données électroniques comme « toute représentation de faits, d'informations ou de concepts sous une forme adaptée au traitement dans un système de technologies de l'information et des communications, y compris un programme approprié pour permettre à un système de technologies de l'information et des communications d'exécuter une fonction. »

Les « données électroniques » sont éligibles à trois pouvoirs de surveillance : les ordonnances de conservation (article 25), les ordonnances de production (article 27) et les perquisitions et saisies (article 28). Contrairement aux autres catégories traditionnelles de données de trafic, de données d'abonné et de données de contenu, les « données électroniques » font référence à toutes les données stockées, traitées ou transmises par voie électronique, qu'elles aient ou non été communiquées à quelqu'un. Cela inclut les documents enregistrés sur des ordinateurs personnels ou les notes stockées sur des appareils numériques. Essentiellement, cela signifie que les pensées et informations privées non partagées ne sont plus sécurisées. Les autorités peuvent imposer la conservation, la production ou la saisie de toute donnée électronique, transformant ainsi potentiellement les appareils personnels en vecteurs d’espionnage, que les informations aient été ou non communiquées.

Il s’agit d’un territoire délicat qui mérite une réflexion approfondie et une véritable protection : nous sommes nombreux à utiliser désormais nos appareils pour conserver nos pensées et nos idées les plus intimes, et beaucoup d’entre nous utilisent également des outils tels que les outils de santé et de remise en forme d’une manière que nous n’avons pas l’intention de partager. Cela inclut les données stockées sur les appareils, telles que les analyses faciales et les données des appareils domestiques intelligents, si elles restent dans l'appareil et ne sont pas transmises. Un autre exemple pourrait être des photos que quelqu'un prend sur un appareil mais ne partage avec personne. Cette catégorie menace de confier nos pensées et nos actions les plus privées à l’espionnage des gouvernements, du nôtre et des autres.

Et le problème est encore pire lorsque l’on considère les technologies émergentes. Les capteurs des appareils intelligents, l’IA et les lunettes de réalité augmentée peuvent collecter un large éventail de données hautement sensibles. Ces capteurs peuvent enregistrer les réactions physiologiques involontaires aux stimuli, notamment les mouvements oculaires, les expressions faciales et les variations de la fréquence cardiaque. Par exemple, la technologie de suivi oculaire peut révéler ce qui capte l'attention d'un utilisateur et pendant combien de temps, ce qui peut être utilisé pour déduire ses intérêts, ses intentions et même ses états émotionnels. De même, l'analyse vocale peut fournir des informations sur l'humeur d'une personne en fonction du ton et de la tonalité, tandis que les capteurs portés sur le corps peuvent détecter des réponses physiques subtiles dont les utilisateurs eux-mêmes ne sont pas conscients, telles que des changements dans la fréquence cardiaque ou les niveaux de transpiration.

Ces types de données ne sont généralement pas communiqués via les canaux de communication traditionnels tels que les e-mails ou les appels téléphoniques (qui seraient classés comme données de contenu ou de trafic). Au lieu de cela, elles sont collectées, stockées et traitées localement sur l'appareil ou au sein du système, ce qui correspond à la définition large des « données électroniques » telle que définie dans le projet de convention.

Ces données ont probablement été plus difficiles à obtenir car elles n’ont peut-être pas été communiquées ou possédées par un quelconque intermédiaire ou système de communication. C’est donc un exemple de la façon dont le terme large « données électroniques » augmente le type (et la sensibilité) d’informations nous concernant qui peuvent être ciblées par les forces de l’ordre au moyen d’ordonnances de production ou de pouvoirs de perquisition et de saisie. Ces utilisations technologiques émergentes constituent une catégorie à part entière, mais elles s'apparentent davantage à du « contenu » dans la surveillance des communications, qui bénéficie généralement d'une protection élevée. Les « données électroniques » doivent bénéficier d’une protection égale à celle du « contenu » de la communication et être soumises à des garanties de protection des données à toute épreuve, ce que le traité proposé ne parvient pas à fournir, comme nous l’expliquerons ci-dessous.

Les problèmes spécifiques de sauvegarde

Comme les autres pouvoirs prévus dans le projet de convention, les larges pouvoirs liés aux « données électroniques » ne sont pas assortis de limites spécifiques pour protéger le droit à un procès équitable.

 

Garanties manquantes

Par exemple, de nombreux pays disposent de divers types d'informations qui sont protégées par un « privilège » légal contre la surveillance : le privilège avocat-client, le privilège conjoint, le privilège prêtre-pénitent, les privilèges médecin-patient et de nombreux types de protection des informations confidentielles. informations commerciales et secrets commerciaux. De nombreux pays accordent également des protections supplémentaires aux journalistes et à leurs sources. Ces catégories, et bien d’autres, prévoient divers degrés d’exigences supplémentaires avant que les forces de l’ordre puissent y accéder en utilisant des ordonnances de production ou des pouvoirs de perquisition et de saisie, ainsi que diverses protections après coup, comme empêcher leur utilisation dans des poursuites ou des actions civiles.

De même, la convention manque de garanties claires pour empêcher les autorités de contraindre des individus à fournir des preuves contre eux-mêmes. Ces omissions soulèvent d’importants signaux d’alarme quant au potentiel d’abus et d’érosion des droits fondamentaux lorsqu’un texte de traité implique autant de pays avec une grande disparité en matière de protection des droits humains.

L’absence de protections spécifiques pour la défense pénale est particulièrement troublante. Dans de nombreux systèmes juridiques, les équipes de défense bénéficient de certaines protections pour garantir qu'elles peuvent représenter efficacement leurs clients, notamment l'accès aux preuves à décharge et la protection des stratégies de défense contre la surveillance. Cependant, le projet de convention ne protège pas explicitement ces droits, ce qui à la fois laisse passer l'occasion d'exiger de tous les pays qu'ils fournissent ces protections minimales et compromet potentiellement encore davantage l'équité des procédures pénales et la capacité des suspects à monter une défense efficace dans les pays qui ne le font pas. Je ne fournis pas ces protections ou lorsqu'elles ne sont pas solides et claires.

 

Même les « garanties » de l’État prévues à l’article 24 sont manifestement insuffisantes

Même lorsque le texte de la convention parle de « garanties », la convention ne protège pas réellement les personnes. La section « sauvegarde », l’article 24, échoue de plusieurs manières évidentes :

Dépendance à l'égard du droit national : l'article 24(1) subordonne les garanties au droit national, qui peut varier considérablement d'un pays à l'autre. Cela peut entraîner des protections inadéquates dans les États où les lois nationales ne répondent pas aux normes élevées en matière de droits humains. En reportant les garanties au droit national, l'article 24 affaiblit ces protections, dans la mesure où les lois nationales ne fournissent pas toujours les garanties nécessaires. Cela signifie également que le traité ne relève pas la barre contre la surveillance invasive, mais confirme plutôt les protections les plus faibles.

Une garantie qui se conforme au droit national n'est pas du tout une garantie si elle laisse la porte ouverte à des abus et à des incohérences, compromettant ainsi la protection qu'elle est censée offrir.

Sauvegardes discrétionnaires : l'article 24(2) utilise des termes vagues comme « le cas échéant », permettant aux États d'interpréter et d'appliquer les garanties de manière sélective. Cela signifie que même si les pouvoirs de surveillance prévus dans la convention sont obligatoires, les garanties sont laissées à la discrétion de chaque État. Les pays décident de ce qui est « approprié » pour chaque pouvoir de surveillance, ce qui conduit à des protections incohérentes et à un affaiblissement potentiel des garanties globales.

Absence d'exigences obligatoires : les protections essentielles telles que l'autorisation judiciaire préalable, la transparence, la notification aux utilisateurs et les principes de légalité, de nécessité et de non-discrimination ne sont pas explicitement imposées. Sans ces exigences obligatoires, le risque d’utilisation abusive et abusive des pouvoirs de surveillance est plus élevé.

Pas de principes spécifiques en matière de protection des données : comme nous l'avons noté ci-dessus, le traité proposé n'inclut pas de garanties spécifiques pour les données hautement sensibles, telles que les données biométriques ou privilégiées. Cette surveillance rend ces informations vulnérables à une utilisation abusive.

Application incohérente : La nature discrétionnaire des garanties peut conduire à leur application incohérente, exposant les populations vulnérables à d’éventuelles violations de leurs droits. Les pays pourraient décider que certaines garanties ne sont pas nécessaires pour des méthodes de surveillance spécifiques, ce que le traité autorise, augmentant ainsi le risque d'abus.

Enfin, l'article 23, paragraphe 4, du chapitre IV autorise l'application des garanties de l'article 24 à des compétences spécifiques au sein du chapitre sur la coopération internationale (chapitre V). Toutefois, les pouvoirs importants du chapitre V, tels que ceux liés à la coopération répressive (article 47) et au réseau 24 heures sur 24 et 7 jours sur 7 (article 41), ne citent pas spécifiquement les pouvoirs correspondants du chapitre IV et peuvent donc ne pas être couverts par les garanties de l'article 24.

Recherche et saisie de données électroniques stockées

Le projet de convention des Nations Unies sur la cybercriminalité étend considérablement les pouvoirs de surveillance du gouvernement, notamment via l'article 28, qui traite de la recherche et de la saisie de données électroniques. Cette disposition accorde aux autorités des capacités étendues pour rechercher et saisir les données stockées sur n’importe quel système informatique, y compris les appareils personnels, sans garanties claires et obligatoires en matière de confidentialité et de protection des données. Cela constitue une menace sérieuse pour la vie privée et la protection des données.

L’article 28(1) autorise les autorités à rechercher et à saisir toute « donnée électronique » dans un système de technologie de l’information et des communications (TIC) ou un support de stockage de données. Il manque de restrictions spécifiques, laissant une grande partie à la discrétion des lois nationales. Cela pourrait conduire à d’importantes violations de la vie privée, dans la mesure où les autorités pourraient accéder à tous les fichiers et données présents sur l’ordinateur personnel, l’appareil mobile ou le compte de stockage cloud d’un suspect, le tout sans limites claires quant à ce qui peut être ciblé ou dans quelles conditions.

L’article 28(2) autorise les autorités à effectuer des recherches dans des systèmes supplémentaires si elles estiment que les données recherchées sont accessibles à partir du système initialement recherché. Alors que l’autorisation judiciaire devrait être une exigence pour évaluer la nécessité et la proportionnalité de telles perquisitions, l’article 24 impose uniquement « des conditions et des garanties appropriées » sans autorisation judiciaire explicite. En revanche, la loi américaine en vertu du Quatrième Amendement exige que les mandats de perquisition précisent le lieu à perquisitionner et les objets à saisir, empêchant ainsi les perquisitions et saisies abusives.

L'article 28(3) autorise les autorités à saisir ou à sécuriser des données électroniques, notamment en réalisant et en conservant des copies, en préservant leur intégrité et en les rendant inaccessibles ou en les supprimant du système. Pour les données accessibles au public, ce processus de retrait pourrait porter atteinte aux droits à la liberté d'expression et devrait être explicitement soumis aux normes de liberté d'expression pour éviter les abus.

L’article 28(4) exige que les pays disposent de lois permettant aux autorités d’obliger toute personne connaissant le fonctionnement d’un ordinateur ou d’un appareil particulier à fournir les informations nécessaires pour y accéder. Cela peut inclure de demander à un expert technique ou à un ingénieur de vous aider à déverrouiller un appareil ou d'expliquer ses fonctionnalités de sécurité. Ceci est préoccupant car cela pourrait obliger les gens à aider les forces de l’ordre d’une manière qui pourrait compromettre la sécurité ou révéler des informations confidentielles. Par exemple, un ingénieur pourrait être amené à divulguer une faille de sécurité qui n'a pas été corrigée, ou à fournir des clés de chiffrement protégeant les données, qui pourraient ensuite être utilisées à mauvais escient. Tel qu’il est rédigé, il pourrait être interprété comme incluant des ordonnances disproportionnées pouvant conduire à obliger des personnes à divulguer au gouvernement une vulnérabilité qui n’a pas été corrigée. Cela pourrait également impliquer d’obliger les gens à divulguer des clés de chiffrement telles que des clés de signature, au motif qu’il s’agit des « informations nécessaires pour permettre » une certaine forme de surveillance.

Privacy International et EFF recommandent fortement que l'article 28.4 soit supprimé dans son intégralité. Au lieu de cela, cela a été convenu ad referendum. Les rédacteurs doivent au moins inclure des éléments dans l’exposé des motifs qui accompagne le projet de convention pour clarifier les limites afin d’éviter de forcer les technologues à révéler des informations confidentielles ou à travailler pour le compte des forces de l’ordre contre leur gré. Encore une fois, il serait également approprié d’avoir des normes juridiques claires sur la manière dont les forces de l’ordre peuvent être autorisées à saisir et à examiner les appareils privés des personnes.

En général, les ordonnances de production, de perquisition et de saisie peuvent être utilisées pour cibler les secrets des entreprises technologiques et nécessiter un travail non rémunéré de la part des technologues et des entreprises technologiques, non pas parce qu'elles constituent des preuves d'un crime mais parce qu'elles peuvent être utilisées pour améliorer les capacités techniques des forces de l'ordre.

 

Ordonnances nationales accélérées de conservation de données électroniques

L'article 25 sur les ordonnances conservatoires, déjà adopté ad referendum, est particulièrement problématique. Il est très vaste et permettra de préserver les données des individus et de les rendre disponibles pour des poursuites judiciaires bien plus que nécessaire. Il ne comporte pas non plus les garanties nécessaires pour éviter les abus de pouvoir. En permettant aux forces de l’ordre d’exiger la préservation sans justification factuelle, cela risque de propager les lacunes familières du droit américain dans le monde entier.

L'article 25 exige que chaque pays crée des lois ou d'autres mesures permettant aux autorités de conserver rapidement des données électroniques spécifiques, en particulier lorsqu'il y a des raisons de croire que ces données risquent d'être perdues ou altérées.

L'article 25, paragraphe 2, garantit que lorsque des ordonnances de conservation sont émises, la personne ou l'entité en possession des données doit les conserver pendant une durée maximale de 90 jours, ce qui donne aux autorités suffisamment de temps pour obtenir les données par la voie légale, tout en permettant le renouvellement de cette période. Il n’y a pas de limite spécifiée quant au nombre de fois où l’ordonnance peut être renouvelée, elle peut donc potentiellement être réimposée indéfiniment.

Les ordonnances de saisie conservatoire ne devraient être émises que lorsqu’elles sont absolument nécessaires, mais l’article 24 ne mentionne pas le principe de nécessité et manque de notification individuelle, d’exigences de motifs explicites et d’obligations de transparence statistique.

L'article doit limiter le nombre de fois où les ordonnances de conservation peuvent être renouvelées afin d'éviter des exigences indéfinies en matière de conservation des données. Chaque renouvellement d’ordonnance de préservation doit nécessiter une démonstration de la nécessité continue et des motifs factuels justifiant la poursuite de la préservation.

L’article 25(3) oblige également les États à adopter des lois permettant aux ordonnances de confidentialité d’accompagner les ordonnances de conservation, interdisant aux prestataires de services ou aux particuliers d’informer les utilisateurs que leurs données faisaient l’objet d’une telle ordonnance. La durée d'un tel silence est laissée à la législation nationale.

Comme pour toutes les autres ordonnances de silence, l'obligation de confidentialité devrait être soumise à des limites de temps et n'être disponible que dans la mesure où la divulgation menacerait manifestement une enquête ou un autre intérêt vital. En outre, les personnes dont les données ont été conservées doivent être informées lorsqu'il est possible de le faire en toute sécurité sans compromettre une enquête. Des organismes de contrôle indépendants doivent superviser l’application des ordonnances de préservation.

En effet, des universitaires tels que l'éminent professeur de droit et ancien avocat du ministère américain de la Justice, Orin S. Kerr, ont critiqué des pratiques américaines similaires en matière de préservation des données en vertu de la loi 18 U.S.C. § 2703(f) pour permettre aux forces de l'ordre d'obliger les fournisseurs de services Internet à conserver tout le contenu du compte en ligne d'un individu à son insu, sans aucun soupçon préalable ou sans contrôle judiciaire. Cette approche, conçue comme une mesure temporaire pour sécuriser les données jusqu'à l'obtention d'une autorisation légale supplémentaire, ne dispose pas de l'examen juridique fondamental généralement requis pour les perquisitions et les saisies en vertu du Quatrième amendement, comme la cause probable ou les soupçons raisonnables.

L’absence de garanties obligatoires explicites soulève des préoccupations similaires concernant l’article 25 du projet de convention des Nations Unies. Kerr soutient que ces pratiques américaines constituent une « saisie » au sens du Quatrième Amendement, indiquant que de telles actions devraient être justifiées par une cause probable ou, à tout le moins, par des soupçons raisonnables – des critères manifestement absents dans le projet actuel de la convention des Nations Unies.

En nous appuyant sur l'analyse de Kerr, nous voyons un avertissement clair : sans garanties solides – notamment une exigence de motifs explicites, une autorisation judiciaire préalable, une notification explicite aux utilisateurs et la transparence – les ordonnances de conservation des données électroniques proposées dans le cadre du projet de Convention des Nations Unies sur la cybercriminalité risquent de reproduire la problématique. pratiques des États-Unis à l’échelle mondiale.

Ordres de production de données électroniques

Le traitement réservé aux « données électroniques » dans les ordonnances de production par l’article 27(a), à la lumière de la définition large de ce terme dans le projet de convention, est particulièrement problématique.

Cet article, déjà adopté ad referendum, permet de délivrer des ordonnances de production aux dépositaires de données électroniques, les obligeant à remettre des copies de ces données. Même si exiger des dossiers clients d'une entreprise constitue un pouvoir gouvernemental traditionnel, ce pouvoir est considérablement accru dans le projet de convention.

Comme nous l’expliquons ci-dessus, la définition extrêmement large des données électroniques, qui sont souvent de nature sensible, soulève de nouvelles et importantes préoccupations en matière de confidentialité et de protection des données, car elle permet aux autorités d’accéder à des informations potentiellement sensibles sans surveillance immédiate ni autorisation judiciaire préalable. La convention doit au contraire exiger une autorisation judiciaire préalable avant que de telles informations puissent être exigées des entreprises qui les détiennent.

Cela garantit qu'une autorité impartiale évalue la nécessité et la proportionnalité de la demande de données avant son exécution. Sans garanties obligatoires en matière de protection des données pour le traitement des données personnelles, les forces de l'ordre pourraient collecter et utiliser des données personnelles sans restrictions adéquates, risquant ainsi d'être exposées et utilisées à mauvais escient.

Le texte de la convention n’inclut pas ces garanties essentielles en matière de protection des données. Pour protéger les droits humains, les données doivent être traitées de manière licite, équitable et transparente à l'égard de la personne concernée. Les données doivent être collectées à des fins spécifiées, explicites et légitimes et ne doivent pas être traitées ultérieurement d'une manière incompatible avec ces finalités.

Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire aux finalités pour lesquelles elles sont traitées. Les autorités devraient demander uniquement les données essentielles à l’enquête. Les ordres de production doivent clairement indiquer la finalité pour laquelle les données sont demandées. Les données doivent être conservées dans un format permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles les données sont traitées. Aucun de ces principes n’est présent dans l’article 27(a) et ils doivent l’être.

 

Coopération internationale et données électroniques

Le projet de Convention des Nations Unies sur la cybercriminalité comprend des dispositions importantes pour la coopération internationale, étendant la portée des pouvoirs de surveillance nationale au-delà des frontières, par un État au nom d'un autre État. De tels pouvoirs, s’ils ne sont pas correctement garantis, présentent des risques importants pour la vie privée et la protection des données.

  • L'article 42 (1) (« Coopération internationale aux fins de conservation accélérée des données électroniques stockées ») permet à un État de demander à un autre d'obtenir la conservation des « données électroniques » dans le cadre du pouvoir national décrit à l'article 25.
  • L'article 44 (1) (« Entraide judiciaire pour accéder aux données électroniques stockées ») permet à un État de demander à un autre « de rechercher ou d'accéder de manière similaire, de saisir ou de sécuriser de manière similaire et de divulguer des données électroniques », vraisemblablement en utilisant des pouvoirs similaires à ceux de l'article 28, bien que cet article ne soit pas référencé dans l’article 44. Cette disposition spécifique, qui n’a pas encore été adoptée ad referendum, permet une coopération internationale globale en matière d’accès aux données électroniques stockées. Par exemple, si le pays A a besoin d'accéder aux e-mails stockés dans le pays B pour une enquête en cours, il peut demander au pays B de rechercher et de fournir les données nécessaires.

 

Les pays doivent protéger les droits humains ou rejeter le projet de traité

Le projet actuel de Convention des Nations Unies sur la cybercriminalité est fondamentalement erroné. Il étend dangereusement les pouvoirs de surveillance sans contrôles et contrepoids solides, porte atteinte aux droits humains et présente des risques importants pour les communautés marginalisées. Les définitions larges et vagues des « données électroniques », associées à de faibles garanties de confidentialité et de protection des données, exacerbent ces inquiétudes.

Les pouvoirs traditionnels de surveillance nationale sont particulièrement préoccupants car ils sous-tendent la coopération internationale en matière de surveillance. Cela signifie qu’un pays peut facilement se conformer aux demandes d’un autre, ce qui, s’il n’est pas correctement protégé, peut conduire à des excès de la part du gouvernement et à des violations des droits humains.

Sans principes stricts de protection des données et sans garanties solides de la vie privée, ces pouvoirs peuvent être utilisés à mauvais escient, menaçant les défenseurs des droits humains, les immigrants, les réfugiés et les journalistes. Nous appelons de toute urgence tous les pays attachés à l’État de droit, à la justice sociale et aux droits de l’homme à s’unir contre ce projet dangereux. Qu'elle soit grande ou petite, développée ou en développement, chaque nation a intérêt à garantir que la vie privée et la protection des données ne soient pas sacrifiées.

Des modifications importantes doivent être apportées pour garantir que ces pouvoirs de surveillance soient exercés de manière responsable et protègent les droits à la vie privée et à la protection des données. Si ces changements essentiels ne sont pas apportés, les pays doivent rejeter la convention proposée pour éviter qu’elle ne devienne un outil de violation des droits humains ou de répression transnationale.

 

[1] Dans le contexte des négociations de traités, « ad referendum » signifie qu'un accord a été conclu par les négociateurs, mais qu'il est soumis à l'approbation finale ou à la ratification par leurs autorités ou gouvernements respectifs. Cela signifie que les négociateurs se sont mis d’accord sur le texte, mais que l’accord n’est pas encore juridiquement contraignant tant qu’il n’a pas été formellement accepté par toutes les parties impliquées.

 

 

Related Issues

United Nations Cybercrime Treaty
Necessary and Proportionate
International
Cross Border Access

Related Updates

hands with circuit patterns on black background
Deeplinks Blog by Jillian C. York, Katitza Rodriguez | September 25, 2024

Los llamamientos para suprimir la Ley de Ciberdelincuencia de Jordania se hacen eco de los llamamientos para rechazar el Tratado sobre Ciberdelincuencia

In a number of countries around the world, communities—and particularly those that are already vulnerable—are threatened by expansive cybercrime and surveillance legislation. One of those countries is Jordan, where a cybercrime law enacted in 2023 has been used against LGBTQ+ people, journalists, human rights defenders, and those criticizing the government.
an eye covers a globe in multi-hued background
Deeplinks Blog by Karen Gullo | July 30, 2024

Calls Mount—from Principal UN Human Rights Official, Business, and Tech Groups—To Address Dangerous Flaws in Draft UN Surveillance Treaty

As UN delegates sat down in New York this week to restart negotiations, calls are mounting from all corners—from the United Nations High Commissioner for Human Rights (OHCHR) to Big Tech—to add critical human rights protections to, and fix other major flaws in, the proposed UN surveillance treaty, which as...

an eye covers a globe in multi-hued background
Deeplinks Blog by Karen Gullo | July 30, 2024

Weak Human Rights Protections: Why You Should Hate the Proposed UN Cybercrime Treaty

The proposed UN Cybercrime Convention dangerously undermines human rights, opening the door to unchecked cross-border surveillance and government overreach. Despite two and a half years of negotiations, the draft treaty authorizes extensive surveillance powers without robust safeguards, omitting essential data protection principles. This risks turning international efforts to fight cybercrime...

hands with circuit patterns in LGBTQ+ flag colors
Deeplinks Blog by Katitza Rodriguez, Karen Gullo | July 17, 2024

L'EFF et ses partenaires internationaux appellent les délégués de l'UE à contribuer à corriger les failles du projet de traité des Nations Unies sur la cybercriminalité qui peuvent porter atteinte au cadre de protection des données de l'UE

À quelques jours de la dernière session de négociation visant à approuver le traité des Nations Unies sur la cybercriminalité, l'EFF et 21 organisations internationales de la société civile ont appelé aujourd'hui de toute urgence les délégués des États de l'UE et de la Commission européenne à s'attaquer aux...

an eye covers a globe in multi-hued background
Deeplinks Blog by Katitza Rodriguez | June 14, 2024

Le projet de convention des Nations Unies sur la cybercriminalité est un chèque en blanc pour les abus en matière de surveillance

Il s'agit du deuxième article d'une série mettant en lumière les problèmes et les failles du projet de convention des Nations Unies sur la cybercriminalité. Consultez notre analyse détaillée sur la criminalisation des activités de recherche en matière de sécurité dans le cadre de la convention proposée. Le...