IRIS Actions / Cybercrime /

Projet de Convention du Conseil de l'Europe sur la cybercriminalité

Lettre des membres de GILC - 12 décembre 2000
Version française : Jacques Balu, pour Iris
Deutsch, English (original) , Español

Dossier cybercriminalité

Le 12 décembre 2000

À
Monsieur Walter Schwimmer, Secrétaire général du Conseil de l'Europe,
Mesdames et Messieurs les membres du comité d'experts sur la criminalité dans le cyberespace,

 

Le 18 octobre 2000, nous vous avons adressé une lettre au nom d'un large éventail d'organisations de la société civile pour affirmer notre opposition à la proposition de Convention sur la cybercriminalité. Dans cette lettre, nous nous élevions contre les dispositions concernant la criminalisation des outils, la disposition sur la responsabilité, les sanctions sur le copyright, le développement de l'assistance judiciaire mutuelle, et l'accroissement des pouvoirs d'investigation. Nous faisions valoir que la version 22 de la Convention traduisait le souci d'un renforcement de la loi, et échappait à toute responsabilité. De ce fait, son manque de considération envers les libertés civiles était stupéfiant.

Nous constatons avec consternation et inquiétude que la Convention continue de menacer les droits de l'individu tandis qu'elle étend les pouvoirs des autorités de police, crée, uniformément dans les différents pays, une protection de bas niveau des droits, et ignore de très importants principes de protection des données.

Bien que quelques modifications aient été apportées dans la version 24-2, nous demeurons insatisfaits quant à l'essentiel de la Convention. Le sous-comité chargé de la Convention a prêté attention à notre précédente lettre, mais nous maintenons qu'on ne s'est pas préoccupé de façon adéquate de la protection des droits individuels. Nous nous interrogeons sur la validité d'un processus qui se poursuit dans un environnement fermé et secret. Par conséquent, nous poursuivons avec cette nouvelle lettre en réaffirmant nos préoccupations précédentes, en abordant quelques-uns des changements et en apportant plus de lumière sur une partie de ces préoccupations.

Les exceptions sont l'indice d'un problème plus vaste

Un changement significatif dans la Convention est le nombre des exceptions et avertissements autorisés dans la version actuelle du projet. Bien que ces exceptions soient assez peu importantes, cela indique une préoccupation croissante au sein du Conseil de l'Europe quant aux pouvoirs accordés par la Convention.

- L'effet de la suppression de l'article 37.2 qui limitait dans la version 22 l'importance de la flexibilité accordée aux États signataires, apparaît comme l'indice de désaccords croissants parmi les rédacteurs et des États membres sur ce sujet.

- Dans la section 2, portant sur les techniques d'investigation, avait été ajouté un article 14.2 pour assurer "une protection adéquate des droits de l'homme et, dans les cas concernés, la proportionnalité des mesures à la nature et aux circonstances de l'infraction". Alors que le Conseil de l'Europe envisageait d'autoriser les États signataires à restreindre les situations d'utilisation des nouveaux pouvoirs d'investigation, y compris pour des infractions mentionnées dans la Convention, ceci n'a pas été repris dans la version 24-2. La Convention encourage toujours l'usage de techniques intrusives pour toutes les infractions, à l'exception des interceptions qui ne peuvent être utilisées, selon l'article 21.1, qu'en cas de "graves infractions à définir dans le droit interne". Pour autant, ces limitations sont de peu d'effet puisque la définition d'infraction grave est laissée à l'appréciation des législateurs nationaux, alors que certains États membres ont une définition extrêmement large des infractions graves autorisant les interceptions de communications électroniques.

- Des ajouts de cohérence avec un article précédent ont été apportés aux articles 29 et 30 pour permettre à un État signataire de refuser l'assistance mutuelle seulement si l'État en question considère que l'infraction est politique. Bien que cette possibilité existait déjà dans un autre article de la version 22, et demeure cohérente avec des documents précédents du Conseil de l'Europe, il apparaît que le Conseil est averti des différences de régimes et de nature des "infractions" dans les États potentiellement signataires. Ces exceptions sont bien rendues nécessaires par défaut d'exigence de la double criminalité.

- L'ajout du sous-article 35(bis).4 stipule que la partie transfèrant des données peut exiger de la partie qui les reçoit qu'elle explique l'usage fait de l'information partagée entre les États. Cette information a posteriori est souhaitable, mais insuffisante. Les objectifs de la proportionnalité et de finalité doivent aussi être satisfaits par l'exigence d'information dès la demande d'assistance, de sorte que la partie sollicitée puisse vérifier les motivations de l'investigation demandée par la partie requérante.

- Quand un État émet de telles "réserves", l'article 43 contient un nouveau sous-article pour exercer une pression sur cet État afin qu'il se conforme aux pleins pouvoirs de la Convention. Le sous-article 43.2 invite les États signataires à retirer leurs réserves "dès que les circonstances le permettent", tandis que le sous-article 43.3 autorise le Secrétaire Général à contacter périodiquement ces États pour qu'ils retirent leurs réserves. Le Conseil de l'Europe semble considérer que les droits de l'homme sont négociables, périodiquement.

Recommandations sur les exceptions

- Nous continuons à soutenir que l'usage de pouvoirs particulièrement intrusifs ne doit s'appliquer que pour des crimes.

- La proportionnalité est un concept qui doit être défini au niveau international, uniformément et unilatéralement accepté, ou par référence à la jurisprudence de la Cour Européenne des Droits de l'Homme.

- La méthode envisagée d'autoriser des exceptions et réserves de la part de certains États est erronée et risquée pour les droits de l'homme, en ce qu'elle n'établit pas une limite mutuellement acceptée dans les atteintes à la confidentialité autorisées par le traité.

- Nous insistons pour que la double commission d'infraction soit exigée comme pré-requis à toute forme d'assistance mutuelle, et pour que ces délits soient énoncés explicitement.

- Nous insistons aussi pour que soit ajouté un système cohérent de protection des libertés civiles dans les pouvoirs d'investigation.

Nous insistons pour que les dispositions du projet de Convention soient cohérentes avec les dispositifs internationaux de protection des droits de l'homme :

- Déclaration Universelle des Droits de l'Homme, article 12, article 19 ;

- Convention Internationale sur les Droits Civils et Politiques, article 17 et article 19 ;

- Convention Européenne des Droits de l'Homme, article 8 et article 10.

Influence sur le développement et la distribution

Nous notons aussi l'ajout d'un préambule sur l'intérêt de l'utilisation et du développement des technologies de l'information. Nous nous opposons à la création d'une situation dans laquelle les techniques proportionnées au regard de l'authentification sont écartées au profit de techniques de traçabilité totale. Nous recommandons la suppression de cette clause.

Pouvoirs d'intrusion

Nous continuons à nous opposer aux pouvoirs d'interception et de conservation des données sans contraintes suffisantes.

- L'article 19.4 continue à autoriser l'auto-incrimination en ordonnant à un individu qui a connaissance des méthodes de sécurité appliquées à des données présentant de l'intérêt de fournir toute l'information nécessaire pour faciliter la recherche et la saisie. Nous persistons à craindre que cela ne facilite l'accès gouvernemental aux clés de chiffrement et pensons que cela serait en contradiction avec l'article 6 de la Convention Européenne des Droits de l'Homme.

- L'article 20 sur l'accès aux données de trafic ne reconnaît pas les aspects intrusifs de telles données, et la distinction évolutive entre contenu et données de trafic. De même, il n'y a pas de définition des "données de contenu".

- L'ajout de l'article 20.2 sur "la collecte et l'enregistrement en temps réel des données de trafic par des moyens techniques" semble encourager des systèmes tels que Carnivore.

- L'ajout de l'article 21.2 est similaire pour "la collecte et l'enregistrement en temps réel des données de contenu par des moyens techniques."

Recommandations sur les pouvoirs

- Nous demandons des limites claires aux pouvoirs accordés dans des situations où les libertés civiles sont menacées. En particulier, nous attendons que l'usage de techniques intrusives soit limité aux cas de crimes, respecte l'interdiction de l'auto-incrimination et garantisse d'autres droits inaliénables, comme le droit à la confidentialité et à la liberté d'expression, garantis par la Convention européenne des droits de l'homme, la Déclaration universelle des droits de l'homme et la Convention internationale sur les droits civils et politiques.

- Nous considérons la collecte des données de trafic comme intrusive et demandons que soit fixée une contrainte uniforme et suffisante préalablement à la collecte.

- Nous demandons une définition claire des "données de contenu" et leur différenciation d'avec le "trafic de données".

- Nous exigeons que soient limités les pouvoirs d'interception et les dispositifs de collecte de données de telle sorte que l'intrusion soit absolument limitée. Nous recommandons que les articles 20.2 et 21.2 soient remplacés par un article protecteur assurant que si des moyens techniques sont utilisés, ces moyens séparent le trafic des utilisateurs précis sous investigation, ne collectent que les données légalement autorisées, interdisent l'altération, et respectent la frontière évolutive entre données de contenu et données de trafic. Si cela ne peut être garanti par un audit indépendant, ces techniques doivent être considérées comme illégales (comme dans l'article 3) et aucun accès à des données, aucun partage, ne peuvent avoir lieu.

- L'interception des communications est une technique intrusive souvent utilisée contre les dissidents et les militants des droits de l'homme à travers le monde. Nous continuons à vous exhorter de ne pas instaurer cette exigence dans un réseau moderne de communication particulièrement quand ces réseaux en sont encore au stade du développement et de la configuration.

- Le Conseil de l'Europe a exposé publiquement la différence entre rétention et conservation des données. Cependant, au vu de la discussion dans le cadre du G8 et, récemment, au Royaume-Uni, nous estimons que cette distinction exige des protections explicites. Nous voulons le respect international de la protection des données comme institué dans la Convention de 1981 du Conseil de l'Europe sur la protection des données et la Directive de 1995 de l'Union européenne sur la protection des données, et nous voulons que ces instruments soient appliqués aux données de trafic. Dans le cadre de pouvoirs croissants, la Convention doit aussi établir une limite maximum aux techniques d'investigation acceptables ; l'accès non judicieux et le stockage de données sont de grossières atteintes aux libertés civiles.

Accès sans Droits

Il a été déclaré que la signature de cette Convention sera soumise éventuellement à des États non membres du Conseil de l'Europe. Nous souhaitons que tout État invité à signer cette Convention fasse preuve d'un niveau de respect des droits de l'homme et de responsabilité démocratique suffisant. En particulier, ces États invités ne sont pas signataires de la Convention Européenne des Droits de l'Homme et n'ont pas forcément transposé dans leurs lois nationales les principes de protection de ces droits. Il en résulte que nous considérons cette invitation comme une atteinte à l'intégrité de la Convention. Nous demandons au minimum que soit ajoutée à l'article 37 l'exigence qu'un niveau suffisant d'adéquation à la protection des droits de l'homme soit requis et évalué pour ces États avant d'envisager leur adhésion.

Extraterritorialité indue

La Convention contient de nombreuses affirmations d'extraterritorialité, contenues en particulier dans deux articles :

- L'article 23 crée une portée supranationale pour les États signataires. Bien qu'une exception existe dans le sous-article 23.2, comme nous l'avons déclaré précédemment, si une exception existe, c'est souvent parce que la mesure a un champ d'application trop grand.

- La note infrapaginale 29, en rapport avec l'assistance mutuelle évoquée par l'article 27, stipule que "le simple fait que le système judiciaire de la partie sollicitée ne reconnaisse pas une telle procédure n'est pas un motif suffisant pour refuser d'appliquer la procédure diligentée par la partie demandeuse". Par conséquent, les États signataires peuvent être forcés à agir au-delà de leur volonté.

Recommandations sur l'extraterritorialité :

Nous considérons toutes les indications d'extraterritorialité comme de grossières atteintes à la souveraineté des nations par rapport à la protection des droits de l'individu.

- Nous demandons que la note infrapaginale 29 soit retirée et que la philosophie qui la sous-tend soit considérée comme antidémocratique.

- Nous demandons que les États ne soient autorisés à agir que dans les formes pour lesquelles ils disposent d'une procédure légale, démocratiquement établie comme dans la Convention Européenne des Droits de l'Homme ; sans quoi, cela tiendrait compte de l'extraterritorialité de pouvoirs excessifs, tel l'accès controversé du gouvernement du Royaume-Uni aux clés de chiffrement dans le "RIP act 2000" récemment promulgué.

- Nous recommandons que soit instituée une clause concernant l'assistance mutuelle, stipulant que quand une partie A demande l'assistance d'une partie B, la partie B ne puisse agir en utilisant des pouvoirs plus grands que ceux autorisés par la juridiction de la partie A, et que la partie B ne puisse agir que selon la loi de la partie B, selon un processus approprié.

Nous ne voulons pas que l'assistance mutuelle apparaisse comme un arbitrage entre États dans lesquels des négociations auraient lieu pour instaurer des pouvoirs accrus et de plus bas niveaux de protection.

Maintien de l'opposition au texte

Nos inquiétudes formulées originellement dans notre lettre du 18 octobre 2000 persistent ; veuillez considérer ceci comme une déclaration complémentaire d'opposition.

Nous continuons d'attendre un progrès concernant notre demande précédente d'un examen attentif des intrusions dans la vie privée. Le Conseil de l'Europe devrait clarifier ces dispositions, sachant que la Section 2 fourmille de dispositions sur l'accès aux données sans nécessiter de niveau unilatéral minimum de vérification et de procédure adéquat. Nous nous inquiétons aussi de voir que la Convention ne confirme pas les droits à la confidentialité affirmés dans la Convention Européenne des Droits de l'Homme, pour les protéger dans le contexte numérique. Nous recommandons de se référer à la Déclaration Universelle des Droits de l'Homme, particulièrement à l'article 12 qui stipule : "Nul ne peut être soumis à une ingérence arbitraire dans sa vie privée, sa famille, son domicile ou sa correspondance". En raison de son absence de considération des droits de l'homme, la Convention est, en l'état, indéfendable.

Le Conseil de l'Europe fournit aux États la terminologie et l'élan pour agir contre la cybercriminalité ; nous espérons que le Conseil saisira cette occasion pour donner aux États signataires la terminologie et l'élan pour agir dans l'intérêt des droits de l'homme. Nous demandons donc que des limites à l'action soient formulées explicitement, comme l'exigence d'un examen de constitutionnalité, la prémunition contre l'auto-incrimination, la finalité de la collecte des données, la proportionnalité des moyens utilisés en toutes occasions, et le respect des principes de protection des données, pour ne citer que quelques exemples.

Nous continuons à penser que le processus d'élaboration de cette Convention viole les exigences de transparence et est en contradiction avec les processus décisionnels démocratiques. Nous espérons seulement que même à cette étape tardive, le Conseil de l'Europe peut apprendre et pratiquer l'écoute et la consultation en incorporant et protégeant les droits de l'homme.

Nous appelons les États membres du Conseil de l'Europe à ne pas signer le traité en sa forme actuelle. Nous appelons également le Conseil des ministres du Conseil de l'Europe à rejeter la Convention dans sa forme actuelle, dans la mesure où elle n'offre pas une égale protection aux droits fondamentaux dans le même temps où elle cherche à prévenir et détecter la cybercriminalité.

Nous, soussignés, continuons à proposer notre aide au Conseil de l'Europe avec des experts du domaine pour fournir une meilleure version d'une Convention qui aurait pour but non seulement de punir, mais aussi de prévenir la délinquance informatique, et de protéger les droits fondamentaux.

Signatures (membres de GILC) :

- American Civil Liberties Union - ACLU (États-Unis) - http://www.aclu.org
- Associazione Libertà nella Comunicazione Elettronica Interattiva - ALCEI (Italie) - http://www.alcei.it
- Bits of Freedom - BOF (Pays-Bas) - http://www.bof.nl
- Center for Democracy and Technology - CDT (États-Unis) - http://www.cdt.org
- Computer Professionals for Social Responsibility - CPSR (États-Unis) - http://www.cpsr.org
- Cyber-Rights & Cyber-Liberties - CR&CL (Royaume-Uni) - http://www.cyber-rights.org
- Digital Freedom Network - DFN (États-Unis) - http://www.dfn.org
- Electronic Frontiers Australia - EFA (Australie) - http://www.efa.org.au
- Electronic Frontier Foundation - EFF (États-Unis) - http://www.eff.org
- Electronic Privacy Information Center - EPIC (États-Unis) - http://www.epic.org
- Feminists Against Censorship (Royaume-Uni) - http://fiawol.demon.co.uk/FAC/
- Förderverein Informationstechnik und Gesellschaft - FITUG (Allemagne) - http://www.fitug.de
- Imaginons un réseau Internet solidaire - IRIS (France) - http://www.iris.sgdg.org
- Kriptopolis (Espagne) - http://www.kriptopolis.com
- LINK Centre, Wits University (Afrique du Sud) - http://www.link.org.za
- NetAction (États-Unis) - http://www.netaction.org
- Networkers against Surveillance Taskforce - NaST (Japon) - http://www.jca.apc.org
- OpenNet - http://www.opennet.org
- Privacy International - PI (Royaume-Uni) - http://www.privacyinternational.org
- Privacy Ukraine (Ukraine) - mailto:privacy@ukrnet.net
- Quintessenz (Autriche) - http://www.quintessenz.at
- Verein für Internet Benutzer - VIBE!AT (Autriche) - http://www.vibe.at

Notes complémentaires :

- Intervention de John Fennel, membre du comité de rédaction du projet de Convention, au forum EPING. Bruxelles, 5 décembre 2000.
- Département de la Justice des États-Unis, questions fréquemment posées sur le projet de Convention sur la cybercriminalité du Conseil de l'Europe (projet N.24-2), 1er décembre 2000. http://www.usdoj.gov/criminal/cybercrime/COEFAQS.htm.

Documents de référence :

- Conseil de l'Europe, Projet de Convention sur la cybercriminalité, version N.24-2. http://conventions.coe.int/treaty/FR/projets/cybercrime24.htm
- Conseil de l'Europe, Convention de sauvegarde des droits de l'homme et des libertés fondamentales. http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm
- Conseil de l'Europe, Dossier Conventions. http://conventions.coe.int/treaty/FR/cadreprincipal.htm
- Lettre des membres de GILC du 18 octobre 2000, http://www.iris.sgdg.org/info-debat/gilc-coe-fr-1000.html
- Internet Architecture Board/Internet Engineering Steering Group, Motion à propos de l'accord de Wassenaar. http://www.iab.org/iab/121898.txt
- Internet Engineering Task Force, Politique de l'IETF en matière de surveillance des communications (RFC 2804). ftp://ftp.isi.edu/in-notes/rfc2804.txt
- Imaginons un réseau Internet solidaire (IRIS), Dossier cybercriminalité. http://www.iris.sgdg.org/actions/cybercrime
- Organisation de Coopération et Développement Économique, Lignes directrices en matière de politique de cryptographie (1997). http://www.oecd.org/dsti/sti/it/secur/prod/f_97-204.pdf
- Organisation de Coopération et Développement Économique, Lignes directrices en matière de sécurité des systèmes d'information (1992). http://www.oecd.org/dsti/sti/it/secur/prod/reg97-2f.pdf
- Privacy International, Dossier cybercriminalité. http://www.privacyinternational.org/issues/cybercrime
- Groupe de spécialistes de la sécurité, praticiens, enseignants et vendeurs, Lettre à propos du projet de Convention du Conseil de l'Europe sur la cybercriminalité. http://www.cerias.purdue.edu/homes/spaf/coe/TREATY_LETTER.html
- Nations-Unies, Déclaration universelle des droits de l'homme. http://www.unhchr.ch/udhr/lang/frn.htm

Contact en France (IRIS) :
Meryem Marzouki (Meryem.Marzouki@iris.sgdg.org) - Tél : 0144749239

Contact GILC :
info@gilc.org

(dernière mise à jour le ) - webmestre@iris.sgdg.org