La convention, dont la ratification débute ce week-end, vise à améliorer la réponse à la cybercriminalité, mais les opposants affirment que son langage vague pourrait nuire à la cyberdéfense.
Les chercheurs en cybersécurité pourraient faire face à des accusations criminelles pour avoir effectué leur travail légitime si la Convention des Nations Unies contre la cybercriminalité était ratifiée lors d’un processus qui débuterait à Hanoï, au Vietnam, ce week-end, affirment les critiques.
Le groupe industriel technologique Cybersecurity Tech Accord a déclaré aujourd’hui que peu de choses ont changé depuis qu’il a présenté une critique détaillée de la Convention des Nations Unies contre la cybercriminalité il y a plus d’un an.
Le groupe, composé des poids lourds de la technologie Arm, Cisco, Cloudflare, Dell, Meta, Microsoft, Salesforce, SAP et plus de 100 autres, a averti que la convention ouvre la porte à la criminalisation des activités légitimes en ligne et rend plus difficile la lutte contre la cybercriminalité.
L’accord indique que la Convention a une portée floue et trop large, des dispositions de criminalisation vagues, des protections manquantes pour les chercheurs en cybersécurité, des dispositions d’accès aux données inutilement étendues et des pouvoirs de surveillance intrusifs sans garanties significatives pour protéger les individus et les victimes de la cybercriminalité contre les abus arbitraires du pouvoir exécutif. « En conséquence », dit-il, « le dernier projet ressemble plus à un traité de surveillance numérique des Nations Unies qu’à un instrument ciblé pour lutter contre la cybercriminalité ».
Par conséquent, il a exhorté les États membres de l’ONU à ne pas ratifier la Convention lorsque le processus débutera ce week-end.
Les chercheurs en sécurité en danger
Human Rights Watch, une organisation qui enquête et rend compte des abus commis dans le monde entier, est également opposée à la Convention. Dans un article publié peu après l’adoption de la Convention par l’ONU, l’ONU a déclaré que le traité allait bien au-delà de la cybercriminalité et exigeait que les États établissent de « larges pouvoirs de surveillance électronique » sans garanties adéquates en matière de droits de l’homme.
« La convention obligera les gouvernements à collecter des preuves électroniques et à les partager avec les autorités étrangères pour tout « crime grave », défini comme un délit passible d’au moins quatre ans d’emprisonnement en vertu du droit national », a écrit Deborah Brown, directrice adjointe de la technologie, des droits et des enquêtes, soulignant que de nombreux gouvernements traitent des activités telles que le journalisme d’investigation et les activités ordinaires des chercheurs en sécurité comme des infractions pénales.
Le Centre de recherche sur les droits de l’homme est l’un des nombreux autres groupes qui mettent en garde contre la Convention. « La mauvaise rédaction du Traité des Nations Unies sur la cybercriminalité démontre qu’un seuil minimum pour les activités constituant une cybercriminalité n’a pas été établi, illustrant une ligne problématique que les États membres doivent suivre pour faire respecter la justice nationale et internationale », a-t-il averti dans un article de mars 2025.
Cependant, Valence Howden, chercheur chez Info-Tech Research Group, a déclaré que la Convention s’est améliorée au cours du processus de rédaction, notamment en ce qui concerne la définition des actions qui constituent des cybercrimes.
« Le texte actuel de l’accord vise beaucoup plus à garantir que l’action a été prise avec l’intention d’être malveillante, donc je vois beaucoup d’intérêt à ce que cela avance », a-t-il déclaré. « Je ne pense pas que ce soit parfait, et nous pourrions avoir besoin d’une protection un peu plus explicite pour les individus qui ne font pas les choses avec une intention malveillante. Cependant, je pense que l’envie de le rendre hyper-spécifique permettra également des pinailles qui permettront d’empêcher que cela avance. Cette approche favorise les entreprises puissantes et protège la criminalité potentielle de leur part dans l’accès et l’exploitation des données pour l’IA. «
Mais, a-t-il ajouté, « nous devons voir et comprendre les signataires et comprendre comment ils mettent en œuvre, car il y a une certaine flexibilité (lue comme un flou) dans le traité. Tout comme les normes mondiales, il doit permettre une certaine flexibilité pour tenir compte des approches variables des différents pays et régions. Je soupçonne que le débat qu’il suscite est également bénéfique. »
David Shipley, PDG de Beauceron Sécurité, a également applaudi certaines facettes du Congrès.
« La bonne nouvelle ici est qu’après cinq longues années de négociations, certains éléments de base, comme s’assurer que les pays qui signent et ratifient ce traité ont tous des lois pénales en vigueur pour divers crimes numériques, sont une énorme victoire », a-t-il déclaré, rappelant une affaire dans laquelle il a assisté dans laquelle l’auteur d’une série de distributions d’images intimes non consensuelles a fui le pays vers une région où l’acte n’était pas considéré comme un crime.
« Dans ce scénario, si cette convention était en vigueur, si le pays vers lequel le suspect a fui avait signé, il aurait été tenu de traiter ce qui s’est passé comme un crime et, espérons-le, aurait coopéré à l’enquête et aux poursuites contre l’auteur », a-t-il déclaré. « Et la victime a peut-être obtenu une certaine justice. Au lieu de cela, elle n’a eu que le traumatisme de ce qui lui est arrivé. »
Il se réjouit que l’Union européenne ait décidé de soutenir le traité, car celui-ci prend la cybercriminalité au sérieux tout en protégeant la vie privée et les droits humains fondamentaux de ses citoyens. Cependant, il a noté : « Je pense que la clé ici est de se rappeler que chaque État membre doit non seulement signer, mais doit ratifier ce traité dans son gouvernement et adopter ou modifier les lois si nécessaire. Cela va prendre un certain temps. De plus, rien dans ce traité ne compromet les processus judiciaires ou policiers, donc si un régime autoritaire tente d’abuser de cette convention, les démocraties libérales occidentales avec de solides fondations dans l’État de droit auront des freins et contrepoids. »
Mieux vaut Budapest que Hanoï ?
Cependant, Nick Ashton-Hart, du Cybersecurity Tech Accord, qui dirigeait la délégation du groupe au comité de l’ONU créant le traité, a déclaré qu’au lieu de mettre en œuvre la Convention contre la cybercriminalité, les États membres de l’ONU devraient se tourner vers un autre accord : la Convention de Budapest du Conseil de l’Europe. Selon lui, « il s’agit d’un bien meilleur accord qui est déjà en vigueur avec une masse critique d’États membres parties, une liste croissante d’États souhaitant y adhérer, un historique éprouvé et des orientations détaillées sur la manière d’aborder la Convention dans le respect des droits ».
Il a ajouté : « J’espère que le secteur privé continuera à concentrer ses efforts sur le renforcement des capacités et l’assistance technique pour Budapest et ne donnera pas la priorité à la Convention des Nations Unies – à moins que les négociations du protocole (décrites dans les articles 61 et 62 de la Convention) ne résolvent ses problèmes. »
Malgré ces problèmes, Shipley estime que l’industrie devrait désormais se concentrer sur la bonne mise en œuvre de la Convention.
« Je comprends les inquiétudes soulevées par le secteur de la cybersécurité », a-t-il déclaré. « Ils ne sont pas favorables à une plus grande coopération pour éliminer les gangs. Ils visent le langage ambigu de la convention autour de l’accès non autorisé et le risque que les chercheurs en sécurité soient pris dans la ligne de mire pour avoir mené des recherches éthiques. Mais ce navire a navigué et nous ferions mieux de garantir que l’application de la convention dans les États qui choisissent de la signer inclut de solides protections pour la recherche en matière de sécurité. »
La Convention entrera en vigueur 90 jours après avoir été ratifiée par 40 États membres ou organisations d’intégration économique régionale ; le processus de ratification s’étend jusqu’au 31 décembre 2026.
