«Un compromis obtenu de haute lutte»

Au terme de deux ans et demi de négociations, la nouvelle Convention des Nations Unies contre la cybercriminalité a été approuvée par consensus en août 2024. Qu’est-ce que cela représente?

Irene Grohsmann (IG): C’est la première fois qu’une convention portant sur le thème de la cybercriminalité est adoptée par les Nations Unies. Le fait qu’elle ait finalement été approuvée par consensus est une victoire pour le multilatéralisme.

Sara Pangrazzi (SP): Ce résultat est encore plus impressionnant quand on se remémore la situation de départ, car au début, les positions étaient très éloignées les unes des autres. Il a fallu de longues discussions exploratoires avant même de pouvoir entrer dans le vif du sujet. Et jusqu’au bout, il y a eu des divergences. Le résultat est donc un compromis obtenu de haute lutte, pour lequel il a fallu tenir compte d’opinions différentes, et parfois même de systèmes juridiques divergents.

Que contient la convention approuvée?

Andrea Candrian (AC): Cet accord comporte trois axes principaux. Le premier est l’incrimination par les États membres. Viennent ensuite les questions de procédure: que prévoient les États, dans leur législation nationale, pour lutter contre les délits et la cybercriminalité? Le troisième axe est celui de la coopération internationale, à savoir comment les États membres collaborent pour lutter contre la cybercriminalité.

En 2019, la Suisse n’avait pas soutenu la résolution qui a lancé les négociations en vue de la Convention des Nations Unies contre la cybercriminalité. Quelle était la raison de ce scepticisme?

IG: On craignait que cette convention ne conduise à un affaiblissement du niveau de protection actuel. En effet, il existe déjà une convention traitant de cybercriminalité: la Convention de Budapest du Conseil de l’Europe, que la Suisse a ratifiée. On ne pouvait dire à l’avance s’il serait possible de définir, au niveau de l’ONU, des normes comparables à celles qui s’appliquent à l’échelle régionale du fait de la Convention de Budapest.

Pourquoi la Suisse a-t-elle fini par participer aux négociations, qui ont commencé en 2022?

IG: Pour la délégation suisse, il était clair que si le processus de négociations était effectivement entamé à l’ONU, nous y participerions. C’est pour nous la seule manière de faire valoir nos points de vue et de garantir certains éléments importants aux yeux de la Suisse. Il s’agit tout de même d’une convention de l’ONU. De plus, en tant que membre actif de l’ONU, la Suisse tient par principe à participer aux processus multilatéraux, et à les soutenir dès que possible.

De votre point de vue, cela valait-il la peine de participer aux négociations?

AC: Absolument! La Convention du Conseil de l’Europe sur la cybercriminalité, connue sous le nom de Convention de Budapest, a été ratifiée par près de 80 États membres. Plus de 120 pays s’en sont au moins inspirés quand ils ont modifié ou révisé leur législation pénale en matière de cybercriminalité. Mais elle reste un traité du Conseil de l’Europe. La Convention des Nations Unies nous donne la possibilité de gagner de nouveaux partenaires dans la lutte contre la cybercriminalité, sur une base qui fixe des garanties procédurales et des mécanismes de protection des droits de l’homme.

Quels étaient les principaux objectifs de la Suisse au début des négociations et dans quelle mesure ont-ils été atteints?

IG: Pour la délégation suisse, il était important que la convention dispose d’un champ d’application bien délimité et qu’elle comporte une liste claire d’infractions pénales. Cette liste devait s’en tenir à la cybercriminalité au sens strict. D’autre part, nous attachions beaucoup d’importance aux garanties de protection des droits de l’homme et à l’existence de motifs clairs pouvant justifier un refus de coopérer de la part de la Suisse. C’est uniquement à ces conditions que nos autorités peuvent travailler dans le cadre de ce que notre ordre juridique autorise.

Qu’est-ce qui était controversé, au début, dans le concept de cybercriminalité?

IG: Quand on parle de cybercriminalité, il peut s’agir d’infractions pénales facilitées par les technologies de l’information et de la communication (TIC) ou d’infractions spécifiques à ces technologies. La délégation suisse a œuvré pour que la convention soit le plus possible axée sur les infractions spécifiques aux TIC (core cybercrimes en anglais), dont un exemple est le piratage informatique (hacking), qui ne peuvent être commises que grâce à elles. En revanche, les infractions pénales facilitées par les TIC (c’est-à-dire des infractions qui peuvent avoir recours aux TIC, mais pas forcément) sont commises dans le monde réel, avec le soutien de ces technologies. Une telle conception de la cybercriminalité irait donc beaucoup plus loin. L’organisation d’un acte terroriste à l’aide d’un téléphone portable, par exemple, pourrait entrer dans cette catégorie.

Selon cette définition, il s’agirait de cybercriminalité.

IG: Tout à fait. Dans la convention, certains pays voulaient utiliser le concept de cybercriminalité dans cette acception beaucoup plus large. Cela les a amenés à proposer que le génocide, ou la diffusion de l’idéologie nazie, soient visés par la convention. Pour nous, cela aurait été trop loin. Dans sa version actuelle, la convention se limite essentiellement aux infractions spécifiques aux TIC. Seule l’exploitation sexuelle des enfants en ligne, qui en fait ne constitue pas une infraction spécifique aux TIC, figure désormais aussi dans la convention. De notre point de vue, c’est positif. 

Pour la délégation suisse, quelles étaient les lignes rouges?

AC: Une ligne rouge aurait été que la convention de l’ONU comporte des obligations de créer des dispositions pénales sur des questions relevant essentiellement de l’opinion, ou que le fait de «se réunir dans un but» soit présenté comme un crime menaçant la sûreté de l’État. Autre risque majeur: que sous couvert de la convention de l’ONU, les droits fondamentaux subissent des restrictions importantes.

SP: Pour la délégation suisse, il était décisif aussi que toute poursuite pénale soit accompagnée de normes de protection définies et devant être respectées aussi bien à l’échelon national que dans la coopération entre les États. En outre, il y a eu des discussions suggérant d’assouplir le principe de territorialité, c’est-à-dire la compréhension du rattachement juridique territorial, étant donné qu’Internet ne connaît pas les frontières. Mais la convention de l’ONU maintient le principe de souveraineté étatique. C’est important pour la conception de l’entraide judiciaire internationale, qui continue à émaner de l’entité qu’est l’État, coopérant avec un autre État, et pouvant à cette occasion examiner ses normes et les prendre en compte. Du point de vue de la délégation suisse, il n’aurait pas été acceptable que dans le cadre de poursuites pénales, la Suisse doive appliquer des règles moins strictes que les principes de procédure et les garde-fous en vigueur au niveau national.

En matière de cybercriminalité, il est crucial pour la Suisse que les droits de l’homme qui doivent être respectés hors ligne le soient aussi en ligne. La convention de l’ONU garantira-t-elle cela?

AC: Oui. Nous avons maintenant un projet de texte qui permet à la Suisse et à ses autorités d’entraide judiciaire de refuser de coopérer avec d’autres États si cela risque de porter atteinte à des droits fondamentaux comme la protection des droits de l’homme.

SP: Les articles protecteurs, par exemple les dispositions concrètes sur les droits de l’homme ou les motifs de refus de coopérer, ont été âprement discutés jusqu’au bout. Certains pays participants aux négociations se sont même opposés radicalement à leur intégration dans la convention, ou ont tenté de les atténuer fortement, et ce jusqu’à la fin des négociations. Il a fallu batailler sans relâche pour que ces articles figurent désormais dans la Convention.

Selon certaines ONG, «grâce» à la convention, il sera plus simple de surveiller les communications entre personnes privées et la protection des sources des journalistes pourra aussi être assouplie vis-à-vis des lanceurs d’alertes. Est-ce bien le cas?

SP: La convention comporte une disposition explicite, à l’art. 6, selon laquelle elle ne peut être utilisée pour poursuivre des personnes en raison de leurs opinions ou de leurs croyances, ni pour porter atteinte à d’autres droits de l’homme. Dans l’hypothèse où d’autres États interpréteraient différemment ces droits dans leur propre système juridique, nous disposons au-delà du mécanisme de protection de la double incrimination: une coopération avec un autre État n’est possible que pour des actes qui seraient aussi répréhensibles en Suisse.

Pour ce qui est de la surveillance «plus simple» des individus: dans ce domaine non plus, la convention ne réinvente pas des principes qui existent déjà. Comme auparavant, toute poursuite pénale ne peut être engagée que par rapport à un crime spécifique, selon des conditions strictement définies, et s’accompagne toujours, comme il est dit plus haut, de clauses de protection. Les droits procéduraux qui s’appliquent dans le cadre national ne sont donc pas simplement «supplantés».

En matière de technologies de l’information, 20 ans représentent une éternité. Depuis l’adoption de la Convention de Budapest, les évolutions ont été considérables. La convention de l’ONU permet-elle de combler des lacunes résultant des progrès technologiques que nous avons connus depuis?

AC: La Convention de Budapest a beau avoir 23 ans, elle est étonnamment actuelle. Cela tient au fait qu’elle a été en grande partie élaborée et formulée de manière neutre en termes technologiques. Elle ne s’égare pas dans les phénomènes informatiques contingents comme la problématique des spams ou de l’intelligence artificielle. Elle indique ce qui doit être criminalisé, ce que les États prévoient comme procédures, et comment ils coopèrent. C’est pour cela qu’elle continue à fonctionner relativement bien. Il n’est donc pas primordial de se demander quelles lacunes ont été comblées. À mes yeux, la valeur ajoutée qu’apporte la future convention de l’ONU tiendrait plutôt à l’élargissement du cercle des pays signataires et impliqués. Cela peut être utile pour les poursuites pénales internationales, et donc pour l’application du droit.

IG: La neutralité technologique de la Convention de Budapest est un aspect qui a été repris dans la liste des infractions pénales de la convention de l’ONU. Pour nous, il s’agit d’un succès.

Et maintenant? Le projet de texte va-t-il retourner devant l’Assemblée générale de l’ONU, qui l’avait mandaté?

IG: Exactement. Du côté des Nations Unies, le comité spécial chargé d’élaborer la convention a achevé son travail et a remis le projet à l’Assemblée générale, qui devrait l’adopter formellement en décembre 2024. La convention devra ensuite être ratifiée par chaque État.

Quelles seront les prochaines étapes en Suisse?

AC: Si elle a approuvé le résultat des négociations, la Suisse n’a pas encore décidé si elle signerait finalement la convention. Les autorités fédérales compétentes vont à présent analyser le texte, et soumettront au Conseil fédéral une proposition quant à la suite à donner.

D’autre part, la convention n’entrera en vigueur que lorsqu’elle aura été ratifiée par 40 États. Alors seulement, il sera possible de coopérer sur cette base. Ceci étant, la Suisse fait partie des pays où le droit pénal international issu d’une convention n’est pas directement applicable. Si la Suisse ratifie la convention, il faudra élaborer une base légale, ce qui impliquera de consulter les acteurs politiques, les associations, les partis ou les cantons, la décision finale revenant au Parlement.