Lettre ouverte à l’attention de la présidente du comité ad hoc intergouvernemental chargé de l’élaboration d’une convention internationale sur la lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles
22 décembre 2021
Votre Excellence,
Nous, les organisations soussignées, travaillons pour protéger et faire progresser les droits de l’Homme, en ligne et hors ligne. Les efforts déployés pour lutter contre la cybercriminalité nous préoccupent, à la fois parce que la cybercriminalité constitue une menace pour les droits de l’Homme et les moyens de subsistance, et parce que les lois, politiques et initiatives en matière de cybercriminalité sont actuellement utilisées pour porter atteinte aux droits des personnes. Nous demandons donc que le processus par lequel le Comité ad hoc effectue son travail comprenne une solide participation de la société civile à toutes les étapes de l’élaboration et de la rédaction d’une convention, et que toute convention proposée comprenne des garanties en matière de droits de l’homme applicables à ses dispositions de fond et de procédure.
Contexte
La proposition d’élaborer une “convention internationale sur la lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles” complète est présentée au moment même où les mécanismes des droits de l’Homme de l’ONU tirent la sonnette d’alarme quant à l’abus des lois sur la cybercriminalité dans le monde. Dans son rapport 2019, le rapporteur spécial de l’ONU sur les droits à la liberté de réunion pacifique et d’association, Clément Nyaletsossi Voule, a observé : “Une poussée de la législation et des politiques visant à lutter contre la cybercriminalité a également ouvert la porte à la punition et à la surveillance des militants et des manifestants dans de nombreux pays du monde.” En 2019 et une fois de plus cette année, l’Assemblée générale des Nations unies s’est déclarée gravement préoccupée par le fait que la législation sur la cybercriminalité est utilisée à mauvais escient pour cibler les défenseurs des droits humains ou entraver leur travail et mettre en danger leur sécurité d’une manière contraire au droit international. Cette déclaration fait suite à des années de rapports d’organisations non gouvernementales sur les violations des droits de l’homme découlant de lois sur la cybercriminalité trop larges.
Lorsque la convention a été proposée pour la première fois, plus de 40 organisations et experts de premier plan en matière de droits numériques et de droits de l’Homme, dont de nombreux signataires de cette lettre, ont exhorté les délégations à voter contre la résolution, avertissant que la convention proposée constitue une menace pour les droits de l’Homme.
A l’approche de la première session du Comité ad hoc, nous réitérons ces préoccupations. Si une convention des Nations unies sur la cybercriminalité doit être adoptée, l’objectif doit être de combattre l’utilisation des technologies de l’information et de la communication à des fins criminelles sans mettre en danger les droits fondamentaux de ceux qu’elle cherche à protéger, afin que les gens puissent jouir et exercer librement leurs droits, en ligne et hors ligne. Toute proposition de convention doit comporter des garanties claires et solides en matière de droits de l’Homme. Une convention dépourvue de telles garanties ou qui dilue les obligations des États en matière de droits de l’Homme mettrait les individus en danger et rendrait notre présence numérique encore plus incertaine, menaçant ainsi les droits fondamentaux de l’Homme. Alors que le Comité ad hoc entame son travail de rédaction de la convention dans les mois à venir, il est d’une importance vitale d’appliquer une approche basée sur les droits de l’Homme pour s’assurer que le texte proposé ne soit pas utilisé comme un outil pour étouffer la liberté d’expression, porter atteinte à la vie privée et à la protection des données, ou mettre en danger les individus et les communautés en danger. L’important travail de lutte contre la cybercriminalité doit être conforme aux obligations des États en matière de droits de l’Homme énoncées dans la Déclaration universelle des droits de l’Homme (DUDH), le Pacte international relatif aux droits civils et politiques (PIDCP) et d’autres instruments et normes internationaux relatifs aux droits de l’homme. En d’autres termes, les efforts de lutte contre la cybercriminalité doivent également protéger les droits de l’Homme, et non les affaiblir.
Nous rappelons aux Etats que les mêmes droits que les individus ont hors ligne doivent également être protégés en ligne.
Portée des dispositions pénales de fond
Il n’existe pas de consensus sur la manière de s’attaquer à la cybercriminalité au niveau mondial, ni de compréhension ou de définition commune de ce qui constitue la cybercriminalité. Du point de vue des droits de l’homme, il est essentiel de limiter le champ d’application de toute convention sur la cybercriminalité. Ce n’est pas parce qu’un crime peut impliquer la technologie qu’il doit être inclus dans la convention proposée. Par exemple, les lois expansives sur la cybercriminalité se contentent souvent d’ajouter des sanctions en raison de l’utilisation d’un ordinateur ou d’un appareil dans la commission d’une infraction existante. Ces lois sont particulièrement problématiques lorsqu’elles incluent des crimes liés au contenu. Des lois sur la cybercriminalité formulées en termes vagues et censées combattre la désinformation et le soutien ou l’apologie en ligne du terrorisme et de l’extrémisme peuvent être utilisées à mauvais escient pour emprisonner des blogueurs ou bloquer des plateformes entières dans un pays donné. En tant que telles, elles ne respectent pas les normes internationales en matière de liberté d’expression. Ces lois mettent en danger les journalistes, les militants, les chercheurs, les communautés LGBTQ et les dissidents, et peuvent avoir un effet dissuasif sur la société en général.
Même les lois qui se concentrent plus étroitement sur les crimes cybernétiques sont utilisées pour porter atteinte aux droits. Les lois criminalisant l’accès non autorisé à des réseaux ou systèmes informatiques ont été utilisées pour cibler des chercheurs en sécurité numérique, des lanceurs d’alerte, des militants et des journalistes. Trop souvent, les chercheurs en sécurité, qui contribuent à assurer la sécurité de tous, sont pris au piège de lois vagues sur la cybercriminalité et font l’objet de poursuites pénales pour avoir identifié des failles dans les systèmes de sécurité. Certains Etats ont également interprété les lois sur l’accès non autorisé de manière si large qu’ils criminalisent effectivement toute dénonciation ; selon ces interprétations, toute divulgation d’informations en violation d’une politique d’entreprise ou de gouvernement pourrait être traitée comme un “cybercrime”. Toute convention potentielle devrait inclure explicitement un critère d’intention malveillante, ne devrait pas transformer les politiques d’utilisation des ordinateurs des entreprises ou des gouvernements en responsabilité pénale, devrait fournir une défense d’intérêt public clairement articulée et étendue, et inclure des dispositions claires permettant aux chercheurs en sécurité de faire leur travail sans crainte de poursuites.
Droits de l’Homme et garanties procédurales
Nos informations privées et personnelles, autrefois enfermées dans un tiroir de bureau, se trouvent désormais sur nos appareils numériques et dans le nuage. Dans le monde entier, la police utilise un ensemble d’outils d’investigation de plus en plus intrusifs pour accéder aux preuves numériques. Souvent, leurs enquêtes traversent les frontières sans garanties appropriées et contournent les protections prévues par les traités d’assistance juridique mutuelle. Dans de nombreux contextes, il n’y a pas de contrôle judiciaire et le rôle des régulateurs indépendants de la protection des données est mis à mal. Les lois nationales, y compris la législation sur la cybercriminalité, sont souvent inadéquates pour protéger contre une surveillance disproportionnée ou inutile.
Toute convention potentielle devrait détailler les solides garanties procédurales et de droits de l’Homme qui régissent les enquêtes criminelles menées dans le cadre d’une telle convention. Elle devrait garantir que toute ingérence dans le droit à la vie privée respecte les principes de légalité, de nécessité et de proportionnalité, notamment en exigeant une autorisation judiciaire indépendante des mesures de surveillance. Elle ne devrait pas non plus interdire aux Etats d’adopter des garanties supplémentaires qui limitent l’utilisation des données personnelles par les services de répression pénale, car une telle interdiction porterait atteinte à la vie privée et à la protection des données. Toute convention éventuelle devrait également réaffirmer la nécessité pour les Etats d’adopter et d’appliquer “une législation forte, solide et complète sur la protection de la vie privée, y compris sur la confidentialité des données, qui soit conforme au droit international des droits de l’homme en termes de garanties, de surveillance et de recours pour protéger efficacement le droit à la vie privée“.
Il existe un risque réel que, dans le but d’inciter tous les Etats à signer une proposition de convention des Nations unies sur la cybercriminalité, les mauvaises pratiques en matière de droits de l’Homme soient acceptées, ce qui entraînerait une course vers le bas. Par conséquent, il est essentiel que toute convention potentielle renforce explicitement les garanties procédurales pour protéger les droits de l’Homme et résiste aux raccourcis autour des accords d’assistance mutuelle.
Une participation significative
À l’avenir, nous demandons au Comité spécial d’inclure activement les organisations de la société civile dans les consultations – y compris celles qui traitent de la sécurité numérique et les groupes qui aident les communautés et les personnes vulnérables – ce qui n’a pas été le cas lorsque ce processus a commencé en 2019 ou depuis.
Par conséquent, nous demandons au Comité de :
- Accréditer les experts technologiques et universitaires et les groupes non gouvernementaux intéressés, y compris ceux qui ont une expertise pertinente en matière de droits de l’Homme mais qui n’ont pas le statut consultatif auprès du Conseil économique et social de l’ONU, en temps opportun et de manière transparente, et permettre aux groupes participants d’inscrire plusieurs représentants pour tenir compte de la participation à distance à travers différents fuseaux horaires.
- Veiller à ce que les modalités de participation reconnaissent la diversité des parties prenantes non gouvernementales, en accordant à chaque groupe de parties prenantes un temps de parole suffisant, étant donné que la société civile, le secteur privé et le monde universitaire peuvent avoir des points de vue et des intérêts divergents.
- Assurer la participation effective des participants accrédités, y compris la possibilité de recevoir en temps utile les documents, de fournir des services d’interprétation, de prendre la parole lors des sessions du Comité (en personne et à distance), et de soumettre des avis et des recommandations écrits.
- Tenir à jour une page web dédiée contenant des informations pertinentes, telles que des informations pratiques (détails sur l’accréditation, l’heure/le lieu et la participation à distance), des documents organisationnels (c’est-à-dire des ordres du jour, des documents de discussion, etc.), des déclarations et autres interventions d’États et d’autres parties prenantes, des documents de référence, des documents de travail et des projets de résultats, et des rapports de réunion.
La lutte contre la cybercriminalité ne doit pas se faire au détriment des droits fondamentaux et de la dignité de ceux dont la vie sera touchée par cette proposition de convention. Les Etats doivent s’assurer que toute proposition de convention sur la cybercriminalité est conforme à leurs obligations en matière de droits de l’Homme, et ils doivent s’opposer à toute proposition de convention qui serait incompatible avec ces obligations.
Nous vous serions reconnaissants de bien vouloir faire circuler la présente lettre auprès des membres du Comité ad hoc et de la publier sur le site Internet du Comité ad hoc.
Signataires (liste actualisée le 14 février 2022) :
1. Access Now – International
2. Alternative ASEAN Network on Burma (ALTSEAN) – Burma
3. Alternatives – Canada
4. Alternative Informatics Association – Turkey
5. AqualtuneLab – Brazil
6. ArmSec Foundation – Armenia
7. ARTICLE 19 – International
8. Asociación por los Derechos Civiles (ADC) – Argentina
9. Asociación Trinidad / Radio Viva – Trinidad
10. Asociatia Pentru Tehnologie si Internet (ApTI) – Romania
11. Association for Progressive Communications (APC) – International
12. Associação Mundial de Rádios Comunitárias (Amarc Brasil) – Brazil
13. ASEAN Parliamentarians for Human Rights (APHR) – Southeast Asia
14. Bangladesh NGOs Network for Radio and Communication (BNNRC) – Bangladesh
15. BlueLink Information Network – Bulgaria
16. Brazilian Institute of Public Law – Brazil
17. Cambodian Center for Human Rights (CCHR) – Cambodia
18. Cambodian Institute for Democracy – Cambodia
19. Cambodia Journalists Alliance Association – Cambodia
20. Casa de Cultura Digital de Porto Alegre – Brazil
21. Centre for Democracy and Rule of Law – Ukraine
22. Centre for Free Expression – Canada
23. Centre for Multilateral Affairs – Uganda
24. Center for Democracy Technology – United States
25. Center for Justice and International Law (CEJIL) – International
26. Centro de Estudios en Libertad de Expresión y Acceso (CELE) – Argentina
27. Civil Society Europe
28. Coalition Direitos na Rede – Brazil
29. Código Sur – Costa Rica
30. Collaboration on International ICT Policy for East and Southern Africa (CIPESA) – Africa
31. CyberHUB-AM – Armenia
32. Data Privacy Brazil Research Association – Brazil
33. Dataskydd – Sweden
34. Derechos Digitales – Latin America
35. Defending Rights Dissent – United States
36. Digital Citizens – Romania
37. DigitalReach – Southeast Asia
38. Digital Rights Watch – Australia
39. Digital Security Lab – Ukraine
40. Državljan D / Citizen D – Slovenia
41. Electronic Frontier Foundation (EFF) – International
42. Electronic Privacy Information Center (EPIC) – United States
43. Elektronisk Forpost Norge – Norway
44. Epicenter.works for digital rights – Austria
45. European Center For Not-For-Profit Law (ECNL) Stichting – Europe
46. European Civic Forum – Europe
47. European Digital Rights (EDRi) – Europe
48. eQuality Project – Canada
49. Fantsuam Foundation – Nigeria
50. Free Speech Coalition – United States
51. Foundation for Media Alternatives (FMA) – Philippines
52. Fundación Acceso – Central America
53. Fundación Ciudadanía y Desarrollo de Ecuador
54. Fundación CONSTRUIR – Bolivia
55. Fundación EsLaRed de Venezuela
56. Fundación Karisma – Colombia
57. Fundación OpenlabEC – Ecuador
58. Fundamedios – Ecuador
59. Garoa Hacker Clube – Brazil
60. Global Partners Digital – United Kingdom
61. GreenNet – United Kingdom
62. GreatFire – China
63. Hiperderecho – Peru
64. Homo Digitalis – Greece
65. Human Rights in China – China
66. Human Rights Defenders Network – Sierra Leone
67. Human Rights Watch – International
68. Igarapé Institute – Brazil
69. IFEX – International
70. Institute for Policy Research and Advocacy (ELSAM) – Indonesia
71. The Influencer Platform – Ukraine
72. INSM Network for Digital Rights – Iraq
73. Internews Ukraine
74. InternetNZ – New Zealand
75. Instituto Beta: Internet Democracia (IBIDEM) – Brazil
76. Instituto Brasileiro de Defesa do Consumidor (IDEC) – Brazil
77. Instituto Educadigital – Brazil
78. Instituto Nupef – Brazil
79. Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.rec) – Brazil
80. Instituto de Referência em Internet e Sociedade (IRIS) – Brazil
81. Instituto Panameño de Derecho y Nuevas Tecnologías (IPANDETEC) – Panama
82. Instituto para la Sociedad de la Información y la Cuarta Revolución Industrial – Peru
83. International Commission of Jurists – International
84. The International Federation for Human Rights (FIDH)
85. IT-Pol – Denmark
86. JCA-NET – Japan
87. KICTANet – Kenya
88. Korean Progressive Network Jinbonet – South Korea
89. Laboratorio de Datos y Sociedad (Datysoc) – Uruguay
90. Laboratório de Políticas Públicas e Internet (LAPIN) – Brazil
91. Latin American Network of Surveillance, Technology and Society Studies (LAVITS)
92. Lawyers Hub Africa
93. Legal Initiatives for Vietnam
94. Ligue des droits de l’Homme (LDH) – France
95. Masaar – Technology and Law Community – Egypt
96. Manushya Foundation – Thailand
97. MINBYUN Lawyers for a Democratic Society – Korea
98. Open Culture Foundation – Taiwan
99. Open Media – Canada
100. Open Net Association – Korea
101. OpenNet Africa – Uganda
102. Panoptykon Foundation – Poland
103. Paradigm Initiative – Nigeria
104. Privacy International – International
105. Radio Viva – Paraguay
106. Red en Defensa de los Derechos Digitales (R3D) – Mexico
107. Regional Center for Rights and Liberties – Egypt
108. Research ICT Africa
109. Samuelson-Glushko Canadian Internet Policy Public Interest Clinic (CIPPIC) – Canada
110. Share Foundation – Serbia
111. Social Media Exchange (SMEX) – Lebanon, Arab Region
112. SocialTIC – Mexico
113. Southeast Asia Freedom of Expression Network (SAFEnet) – Southeast Asia
114. Supporters for the Health and Rights of Workers in the Semiconductor Industry (SHARPS) – South Korea
115. Surveillance Technology Oversight Project (STOP) – United States
116. Tecnología, Investigación y Comunidad (TEDIC) – Paraguay
117. Thai Netizen Network – Thailand
118. Unwanted Witness – Uganda
119. Vrijschrift – Netherlands
120. West African Human Rights Defenders Network – Togo
121. World Movement for Democracy – International
122. 7amleh – The Arab Center for the Advancement of Social Media – Arab Region Individual Experts and Academics
1. Jacqueline Abreu, University of São Paulo
2. Chan-Mo Chung, Professor, Inha University School of Law
3. Danilo Doneda, Brazilian Institute of Public Law
4. David Kaye, Clinical Professor of Law, UC Irvine School of Law, former UN Special Rapporteur on Freedom of Opinion and Expression (2014-2020)
5. Wolfgang Kleinwächter, Professor Emeritus, University of Aarhus; Member, Global Commission on the Stability of Cyberspace
6. Douwe Korff, Emeritus Professor of International Law, London Metropolitan University
7. Fabiano Menke, Federal University of Rio Grande do Sul
8. Kyung-Sin Park, Professor, Korea University School of Law
9. Christopher Parsons, Senior Research Associate, Citizen Lab, Munk School of Global Affairs Public Policy at the University of Toronto
10. Marietje Schaake, Stanford Cyber Policy Center
11. Valerie Steeves, J.D., Ph.D., Full Professor, Department of Criminology University of Ottawa