Projet de Convention du Conseil de l'Europe sur la cybercriminalité Lettre des membres de GILC - 18 octobre 2000 Version française : Jacques Balu, pour Iris -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Le 18 octobre 2000 À mesdames et messieurs les membres du comité d'experts sur la criminalité dans le cyberespace, du comité des ministres et de l'Assemblée parlementaire du Conseil de l'Europe Nous vous écrivons au nom d'un grand nombre d'organisations de la société civile dans le monde pour nous opposer à l'adoption du projet de convention sur la cybercriminalité. Nous estimons que le projet de traité proposé est contraire aux normes bien établies de protection de l'individu, qu'il étend abusivement les pouvoirs de police des gouvernements nationaux, qu'il sapera le développement des techniques de sécurité du réseau, et qu'il réduira la responsabilité des gouvernements dans la conduite future de l'application des lois. Précisément, nous nous opposons aux dispositions qui exigent des intermédiaires techniques sur Internet de conserver l'enregistrement des activités de leurs abonnés (Articles 17, 18, 24, 25). Ces dispositions introduisent un risque significatif pour la vie privée et les droits de l'homme des utilisateurs d'Internet et sont en contradiction avec les principes bien établis de protection des données personnelles tels qu'exprimés dans la Directive sur la protection des données personnelles de l'Union européenne. Des informations similaires ont été utilisées dans le passé pour identifier des dissidents ou persécuter des minorités. Nous vous exhortons à ne pas établir cette exigence dans un réseau moderne de communication. Selon nous, l'ensemble de l'article 18 est incompatible avec l'article 8 de la Convention européenne des droits de l'homme et avec la jurisprudence de la Cour européenne des droits de l'homme. Nous nous opposons en outre au concept de « dispositifs illégaux » établi par l'article 6. Nous estimons que ce concept manque des précisions nécessaires pour garantir qu'il ne deviendra pas une base permettant n'importe quelle enquête sur des individus impliqués dans une activité parfaitement légale liée à l'informatique. Comme l'ont montré des experts techniques, cette disposition découragera aussi le développement de nouveaux outils de sécurité et donnera aux gouvernements un rôle abusif dans la régulation de l'innovation scientifique. Nous nous opposons aussi à l'extension dramatique de la notion d'infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes telles que définies dans l'article 10 proposé. Il n'est guère établi que les peines criminelles soient un remède approprié aux infractions au copyright, ni que les traités auxquels il est fait référence imposent de telles exigences. De nouvelles infractions pénales ne devraient pas être établies par une convention internationale dans un domaine où la loi nationale est si instable. Plus généralement, nous sommes en désaccord avec les initiatives qui autorisent une assistance mutuelle lorsqu'il n'y a pas double commission d'infraction. Cette exigence est centrale pour préserver l'autorité souveraine des nations. Nous croyons en outre qu'il importe de convenir de procédures claires dans les enquêtes internationales et qu'aucune agence d'application de la loi d'une juridiction différente ne puisse agir au nom d'une autre nation sans claires procédures d'investigation à l'intérieur de sa propre juridiction. Différents pays ont des procédures différentes, certes, mais c'est maintenant l'occasion de les harmoniser, à la condition d'assurer un haut niveau d'uniformité des protections des droits individuels. Les exigences en matière criminelle des articles 9 et 11 pourraient mener à geler la libre circulation de l'information et des idées. Imposer la responsabilité des intermédiaires techniques sur les contenus d'un tiers fait peser une charge déraisonnable sur les fournisseurs des nouveaux services Internet et encouragera un contrôle injustifié des communications privées. L'article 14 stipulant les exigences en matière de perquisition et de saisie des données informatiques stockées manque des garanties de procédure nécessaires pour protéger les droits de l'individu et pour assurer un processus judiciaire adéquat. En particulier, il n'y a aucun effort pour assurer qu'un examen judiciaire indépendant, garantissant le respect des libertés fondamentales, aurait lieu avant que soit entreprise une perquisition par l'État. De telles recherches constitueraient une « intervention arbitraire » selon les normes légales internationales. Les articles 14 et 15 pourraient mener à l'exigence d'un accès gouvernemental aux clés de chiffrement et cela pourrait contraindre les individus à s'incriminer eux-mêmes, ce qui pourrait bien être incompatible avec l'article 6 de la Convention européenne des droits de l'homme et avec la jurisprudence de la Cour européenne des droits de l'homme. Nous nous interrogeons également sur l'ambiguïté qui naît de cet article sur l'accès des États aux clés de déchiffrement. Le Conseil de l'Europe devrait clarifier cette disposition pour que les États membres ne considèrent pas la convention comme un mandat pour outrepasser la loi en autorisant l'auto-incrimination. Nous nous opposons aussi en termes très vigoureux à la manière dont ce projet a été développé. Les organisations de police et de puissants intérêts privés agissant en dehors des règles démocratiques de contrôle ont cherché à utiliser un processus secret pour établir des règles qui auront pour effet de lier la législation. Nous croyons que cette démarche viole les exigences de transparence et ne convient pas à une prise de décision démocratique. Les experts en protection de la vie privée ont montré leur opposition à ce projet. Un expert a averti que les efforts pour développer une convention internationale sur la cybercriminalité conduirait à « des restrictions fondamentales sur la vie privée, l'anonymat et le chiffrement ». Les représentants officiels des agences de protection des données personnelles ont montré leur opposition à ce projet. Le Groupe de travail international sur la protection des données dans les télécommunications avait précédemment critiqué les tentatives d'exigence de conservation des données de trafic sur les réseaux et recommandé des améliorations de la sécurité dans les nouvelles lois pénales. Les experts techniques ont montré leur opposition à ce projet. Une lettre de spécialistes de la sécurité, praticiens, enseignants et vendeurs, déclare que « le traité proposé peut involontairement se traduire par la criminalisation de techniques et de logiciels couramment utilisés pour rendre les systèmes informatiques résistants aux attaques » et que le traité proposé « pourrait au contraire avoir des conséquences sur les praticiens, chercheurs et enseignants spécialistes de la sécurité ». Aujourd'hui, un nombre important d'organisations représentant la société civile à travers le monde montre clairement notre opposition à ce projet. Nous estimons que toute proposition de créer une nouvelle autorité d'investigations et de poursuites devrait soigneusement prendre en considération les articles 8 et 10 de la Convention européenne des droits de l'homme et la jurisprudence de la Cour européenne des droits de l'homme relative à cette Convention. Nous ne pensons pas que cet instrument a reçu la considération adéquate dans le développement de cette proposition. En outre nous estimons que les lignes directrices de l'OCDE en matière de politique de chiffrement et de politique de sécurité des systèmes d'information reflètent une vue plus équilibrée et plus évolutive du besoin de promouvoir des techniques fortes de sécurité pour réduire le risque de criminalité informatique que le projet actuellement envisagé. Enfin, la Déclaration universelle des droits de l'homme impose explicitement aux États de protéger le caractère privé des communications et de préserver la liberté d'expression dans les nouveaux médias. L'article 12 stipule que « Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance ». L'article 19 ajoute que « Tout individu a droit à la liberté d'opinion et d'expression, ce qui implique le droit de ne pas être inquiété pour ses opinions et celui de chercher, de recevoir et de répandre, sans considérations de frontières, les informations et les idées par quelque moyen d'expression que ce soit ». Nous vous exhortons à ne pas approuver ce traité en l'état. Nous, soussignés, sommes prêts a aider le Conseil de l'Europe en mettant à sa disposition des experts du domaine afin d'élaborer une meilleure version de ce document, visant non seulement à réprimer mais aussi à prévenir les délits informatiques. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.3 (MingW32) Comment: Version logiciel libre de PGP http://www.gnupg.org iD8DBQE57sNzU39mTT+ADVgRAoXuAJ9Vbpc0J85VoagZnTJNVODoOEpNJgCdGf6u k48xtYDaY3hDCer0uLvdGuE= =E1Pb -----END PGP SIGNATURE----- Signatures : - American Civil Liberties Union - ACLU (États-Unis) - http://www.aclu.org - Associazione Libertà nella Comunicazione Elettronica Interattiva - ALCEI (Italie) - http://www.alcei.it - Bits of Freedom - BOF (Pays-Bas) - http://www.bof.nl - Canadian Journalists for Free Expression - CJFE (Canada) - http://www.cjfe.org - Center for Democracy and Technology - CDT (États-Unis) - http://www.cdt.org - Computer Professionals for Social Responsibility - CPSR (États-Unis) - http://www.cpsr.org - Cyber-Rights & Cyber-Liberties - CR&CL (Royaume-Uni) - http://www.cyber-rights.org - Derechos Human Rights (États-Unis) - http://www.derechos.org - Digital Freedom Network - DFN (États-Unis) - http://www.dfn.org - Electronic Frontiers Australia - EFA (Australie) - http://www.efa.org.au - Electronic Frontier Foundation - EFF (États-Unis) - http://www.eff.org - Electronic Privacy Information Center - EPIC (États-Unis) - http://www.epic.org - Equipo Nizkor (Espagne) - http://www.derechos.org/nizkor/ - Feminists Against Censorship (Royaume-Uni) - http://fiawol.demon.co.uk/FAC/ - Förderverein Informationstechnik und Gesellschaft - FITUG (Allemagne) - http://www.fitug.de - Human Rights Network - HRO (Russie) - http://www.hro.org - Imaginons un réseau Internet solidaire - IRIS (France) - http://www.iris.sgdg.org - Internet Freedom (Royaume-Uni) - http://www.netfreedom.org - Internet Society - ISOC (International) - http://www.isoc.org - Internet Society Bulgaria - ISOC-BUL (Bulgarie) - http://www.isoc.bg - Kriptopolis (Espagne) - http://www.kriptopolis.com - LINK Centre, Wits University (Afrique du Sud) - http://www.link.org.za - National Council of Civil Liberties - Liberty (Royaume-Uni) - http://www.liberty-human-rights.org.uk - NetAction (États-Unis) - http://www.netaction.org - OpenNet - http://www.opennet.org - Privacy International - PI (Royaume-Uni) - http://www.privacyinternational.org - Quintessenz (Autriche) - http://www.quintessenz.at - Verein für Internet Benutzer - VIBE!AT (Autriche) - http://www.vibe.at - XS4ALL (Pays-Bas) - http://www.xs4all.nl Documents de référence : - Conseil de l'Europe, Projet de Convention sur la cybercriminalité. http://conventions.coe.int/treaty/FR/projets/cybercrime.doc - Conseil de l'Europe, Convention de sauvegarde des droits de l'homme et des libertés fondamentales. http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm - Conseil de l'Europe, Dossier Conventions. http://conventions.coe.int/treaty/FR/cadreprincipal.htm - Internet Architecture Board/Internet Engineering Steering Group, Motion à propos de l'accord de Wassenaar. http://www.iab.org/iab/121898.txt - Internet Engineering Task Force, Politique de l'IETF en matière de surveillance des communications (RFC 2804). ftp://ftp.isi.edu/in-notes/rfc2804.txt - Organisation de Coopération et Développement Économique, Lignes directrices en matière de politique de cryptographie (1997). http://www.oecd.org/dsti/sti/it/secur/prod/f_97-204.pdf - Organisation de Coopération et Développement Économique, Lignes directrices en matière de sécurité des systèmes d'information (1992). http://www.oecd.org/dsti/sti/it/secur/prod/reg97-2f.pdf - Privacy International, Dossier cybercriminalité. http://www.privacyinternational.org/issues/cybercrime - Security Focus, Commentaire sur la Convention du Conseil de l'Europe. http://www.securityfocus.com/news/39 - Groupe de spécialistes de la sécurité, praticiens, enseignants et vendeurs, Lettre à propos du projet de Convention du Conseil de l'Europe sur la cybercriminalité. http://www.cerias.purdue.edu/homes/spaf/coe/TREATY_LETTER.html - Nations-Unies, Déclaration universelle des droits de l'homme. http://www.unhchr.ch/udhr/lang/frn.htm Contact en France (IRIS) : Meryem Marzouki (Meryem.Marzouki@iris.sgdg.org) - Tél : 0144749239 Contact GILC : info@gilc.org