Projet de Convention du Conseil de l’Europe sur la
cybercriminalitéLettre des membres de GILC – 12 décembre
2000
Version française : Jacques Balu, pour Iris
English
(original)
Dossier cybercriminalité
Le 12 décembre 2000À
Monsieur Walter Schwimmer, Secrétaire général du Conseil de
l’Europe,
Mesdames et Messieurs les membres du comité d’experts sur la
criminalité dans le cyberespace,
Le 18 octobre 2000, nous vous avons adressé une lettre au nom d’un large
éventail d’organisations de la société civile pour affirmer notre
opposition à la proposition de Convention sur la cybercriminalité. Dans
cette lettre, nous nous élevions contre les dispositions concernant la
criminalisation des outils, la disposition sur la responsabilité, les
sanctions sur le copyright, le développement de l’assistance judiciaire
mutuelle, et l’accroissement des pouvoirs d’investigation. Nous faisions
valoir que la version 22 de la Convention traduisait le souci d’un
renforcement de la loi, et échappait à toute responsabilité. De ce fait,
son manque de considération envers les libertés civiles était stupéfiant.Nous constatons avec consternation et inquiétude que la Convention continue
de menacer les droits de l’individu tandis qu’elle étend
les pouvoirs des autorités de police, crée, uniformément dans les
différents pays, une protection de bas niveau des droits, et ignore de
très importants principes de protection des données.Bien que quelques modifications aient été apportées dans la version 24-2,
nous demeurons insatisfaits quant à l’essentiel de la Convention. Le
sous-comité chargé de la Convention a prêté attention à notre précédente
lettre,
mais nous maintenons qu’on ne s’est pas préoccupé de façon adéquate de la
protection des droits individuels. Nous nous interrogeons sur la validité
d’un processus qui se poursuit dans un environnement fermé et secret. Par
conséquent, nous poursuivons avec cette nouvelle lettre en réaffirmant nos
préoccupations précédentes, en abordant quelques-uns des changements et en
apportant plus de lumière sur une partie de ces préoccupations.Les exceptions sont l’indice d’un problème plus vaste
Un changement significatif dans la Convention est le nombre des exceptions
et avertissements autorisés dans la version actuelle du projet. Bien
que ces exceptions soient assez peu importantes, cela indique une
préoccupation croissante au sein du Conseil de l’Europe quant aux
pouvoirs accordés par la Convention.– L’effet de la suppression de l’article 37.2 qui limitait dans la
version 22 l’importance de la flexibilité accordée aux États
signataires, apparaît comme l’indice de désaccords croissants parmi
les rédacteurs et des États membres sur ce sujet.– Dans la section 2, portant sur les techniques d’investigation, avait été
ajouté un article 14.2 pour assurer « une protection adéquate des droits de
l’homme et, dans les cas concernés, la proportionnalité des mesures à
la nature et aux circonstances de l’infraction ». Alors que le Conseil
de l’Europe envisageait d’autoriser les États signataires à restreindre les
situations d’utilisation des nouveaux pouvoirs d’investigation, y
compris pour des infractions mentionnées dans la Convention, ceci n’a
pas été repris dans la version 24-2. La Convention encourage toujours
l’usage de techniques intrusives pour toutes les infractions, à
l’exception des interceptions qui ne peuvent être utilisées, selon
l’article 21.1, qu’en cas de « graves infractions à définir dans le
droit interne ». Pour autant, ces limitations sont de peu d’effet
puisque la définition d’infraction grave est laissée à l’appréciation
des législateurs nationaux, alors que certains États membres ont une
définition extrêmement large des infractions graves autorisant les
interceptions de communications électroniques.– Des ajouts de cohérence avec un article précédent ont été apportés aux
articles 29 et 30 pour permettre à
un État signataire de refuser l’assistance mutuelle seulement si
l’État en question considère que l’infraction est politique. Bien que
cette possibilité existait déjà dans un autre article de la version 22, et
demeure cohérente avec des documents précédents du Conseil de l’Europe, il
apparaît que le Conseil est averti des différences de
régimes et de nature des « infractions » dans les États potentiellement
signataires. Ces exceptions sont bien rendues nécessaires par
défaut d’exigence de la double criminalité.– L’ajout du sous-article 35(bis).4 stipule que la partie transfèrant
des données peut exiger de la partie qui les reçoit qu’elle explique l’usage
fait de l’information partagée entre les États. Cette information a
posteriori est souhaitable, mais insuffisante. Les objectifs de
la proportionnalité et de finalité doivent aussi être satisfaits par
l’exigence d’information dès la demande d’assistance, de sorte que la
partie sollicitée puisse vérifier les motivations de l’investigation
demandée par la partie requérante.– Quand un État émet de telles « réserves », l’article 43 contient un nouveau
sous-article pour exercer une pression sur cet État afin qu’il se conforme
aux pleins pouvoirs de la Convention. Le sous-article 43.2 invite les États
signataires à retirer leurs réserves « dès que les circonstances le
permettent », tandis que le sous-article 43.3 autorise le Secrétaire Général
à contacter périodiquement ces États pour qu’ils retirent leurs réserves.
Le Conseil de l’Europe semble considérer que les droits de l’homme sont
négociables, périodiquement.Recommandations sur les exceptions
– Nous continuons à soutenir que l’usage de pouvoirs particulièrement
intrusifs ne doit s’appliquer que pour des crimes.– La proportionnalité est un concept qui doit être défini au niveau
international, uniformément et unilatéralement accepté, ou par référence à
la jurisprudence de la Cour Européenne des Droits de l’Homme.– La méthode envisagée d’autoriser des exceptions et réserves de la
part de certains États est erronée et
risquée pour les droits de l’homme, en ce qu’elle n’établit pas une
limite mutuellement acceptée dans les atteintes à la confidentialité
autorisées par le traité.– Nous insistons pour que la double commission d’infraction soit
exigée comme pré-requis à toute forme
d’assistance mutuelle, et pour que ces délits soient énoncés
explicitement.– Nous insistons aussi pour que soit ajouté un système cohérent de protection
des libertés civiles dans les pouvoirs d’investigation.Nous insistons pour que les dispositions du projet de Convention soient
cohérentes avec les dispositifs internationaux de protection des
droits de l’homme :– Déclaration Universelle des Droits de l’Homme, article 12, article 19 ;
– Convention Internationale sur les Droits Civils et Politiques, article 17
et article 19 ;– Convention Européenne des Droits de l’Homme, article 8 et article 10.
Influence sur le développement et la distribution
Nous notons aussi l’ajout d’un préambule sur l’intérêt de l’utilisation
et du développement des technologies de l’information. Nous nous opposons à
la création d’une situation dans laquelle les techniques proportionnées
au regard de l’authentification sont écartées au profit de techniques de
traçabilité totale. Nous recommandons la suppression de cette clause.Pouvoirs d’intrusion
Nous continuons à nous opposer aux pouvoirs d’interception et de
conservation des données sans contraintes suffisantes.– L’article 19.4 continue à autoriser l’auto-incrimination en ordonnant à un
individu qui a connaissance des méthodes de sécurité appliquées à des
données présentant de l’intérêt de fournir toute l’information nécessaire
pour faciliter la recherche et la saisie. Nous persistons à craindre que
cela ne facilite l’accès gouvernemental aux clés de chiffrement et pensons
que cela serait en contradiction avec l’article 6 de la Convention
Européenne des Droits de l’Homme.– L’article 20 sur l’accès aux données de trafic ne reconnaît pas les aspects
intrusifs de telles données, et la distinction évolutive entre contenu et
données de trafic. De même, il n’y a pas de définition des « données de
contenu ».– L’ajout de l’article 20.2 sur « la collecte et l’enregistrement en temps
réel des données de trafic par des moyens techniques » semble encourager des
systèmes tels que Carnivore.– L’ajout de l’article 21.2 est similaire pour « la collecte et
l’enregistrement en temps réel des données de contenu par des moyens
techniques. »Recommandations sur les pouvoirs
– Nous demandons des limites claires aux pouvoirs accordés dans des
situations où les libertés civiles sont menacées. En particulier, nous
attendons que l’usage de techniques intrusives soit limité aux cas de
crimes, respecte l’interdiction de l’auto-incrimination et garantisse
d’autres droits inaliénables, comme le droit à la confidentialité et à
la liberté d’expression, garantis par la Convention européenne des
droits de l’homme, la Déclaration universelle des droits de l’homme et
la Convention internationale sur les droits civils et politiques.– Nous considérons la collecte des données de trafic comme intrusive et
demandons que soit fixée une contrainte uniforme et suffisante
préalablement à la collecte.– Nous demandons une définition claire des « données de contenu » et leur
différenciation d’avec le « trafic de données ».– Nous exigeons que soient limités les pouvoirs d’interception et les
dispositifs de collecte de données de telle sorte que l’intrusion soit
absolument limitée. Nous recommandons que les articles 20.2 et 21.2 soient
remplacés par un article protecteur assurant que si des moyens techniques
sont utilisés, ces moyens séparent le trafic des utilisateurs précis sous
investigation, ne collectent que les données légalement
autorisées, interdisent l’altération, et respectent la frontière
évolutive
entre données de contenu et données de trafic. Si cela ne peut être garanti
par un audit indépendant, ces techniques doivent être considérées comme
illégales (comme dans l’article 3) et aucun accès à des données, aucun
partage, ne peuvent avoir lieu.– L’interception des communications est une technique intrusive souvent
utilisée contre les dissidents et les militants des droits de l’homme à
travers le monde. Nous continuons à vous exhorter de ne pas instaurer cette
exigence dans un réseau moderne de communication particulièrement quand ces
réseaux en sont encore au stade du développement et de la configuration.– Le Conseil de l’Europe a exposé publiquement la différence entre
rétention et conservation des données. Cependant, au vu de la
discussion dans le cadre du G8 et, récemment, au Royaume-Uni, nous
estimons que cette distinction exige des protections explicites. Nous
voulons le respect international de la protection des données comme
institué dans la Convention de 1981 du Conseil de l’Europe sur la
protection des données et la Directive de 1995 de l’Union européenne
sur la protection des données, et nous voulons que ces instruments
soient appliqués aux données de trafic. Dans le cadre de pouvoirs
croissants, la Convention doit aussi établir une limite maximum aux
techniques d’investigation acceptables ; l’accès non judicieux et le
stockage de données sont de grossières atteintes aux libertés
civiles.Accès sans Droits
Il a été déclaré que la signature de cette Convention sera soumise
éventuellement à des États non membres du Conseil de l’Europe. Nous
souhaitons que tout État invité à signer cette Convention fasse
preuve d’un niveau de respect des droits de l’homme et de
responsabilité démocratique suffisant. En
particulier, ces États invités ne sont pas signataires de la Convention
Européenne des Droits de l’Homme et n’ont pas forcément transposé dans
leurs lois nationales les principes de protection de ces droits. Il en
résulte que nous considérons cette invitation comme une atteinte à
l’intégrité de la Convention. Nous demandons au minimum que soit
ajoutée à l’article 37 l’exigence qu’un niveau suffisant d’adéquation à
la protection des droits de l’homme soit requis et évalué pour ces
États avant d’envisager leur adhésion.Extraterritorialité indue
La Convention contient de nombreuses affirmations d’extraterritorialité,
contenues en particulier dans deux articles :– L’article 23 crée une portée supranationale pour les États signataires.
Bien qu’une exception existe dans le sous-article 23.2, comme nous
l’avons déclaré précédemment, si une exception existe, c’est souvent
parce que la mesure a un champ d’application trop grand.– La note infrapaginale 29, en rapport avec l’assistance mutuelle évoquée par
l’article 27, stipule que « le simple fait que le système judiciaire de la
partie
sollicitée ne reconnaisse pas une telle procédure n’est pas un motif
suffisant pour refuser d’appliquer la procédure diligentée par la partie
demandeuse ». Par conséquent, les États signataires peuvent être forcés à
agir au-delà de leur volonté.Recommandations sur l’extraterritorialité :
Nous considérons toutes les indications d’extraterritorialité comme de
grossières atteintes à la souveraineté des nations par rapport à la
protection des droits de l’individu.– Nous demandons que la note infrapaginale 29 soit retirée et que la
philosophie qui la sous-tend soit considérée comme antidémocratique.– Nous demandons que les États ne soient autorisés à agir que dans les formes
pour lesquelles ils disposent d’une procédure légale, démocratiquement établie
comme dans la Convention Européenne des Droits de l’Homme ; sans quoi,
cela
tiendrait compte de l’extraterritorialité de pouvoirs excessifs, tel
l’accès controversé du gouvernement du Royaume-Uni aux clés de chiffrement
dans le « RIP act 2000 » récemment promulgué.– Nous recommandons que soit instituée une clause concernant l’assistance
mutuelle, stipulant que quand une partie A demande l’assistance d’une
partie B, la partie B ne puisse agir en utilisant des pouvoirs plus grands
que ceux autorisés par la juridiction de la partie A, et que la partie B ne
puisse agir que selon la loi de la partie B, selon un processus approprié.Nous ne voulons pas que l’assistance mutuelle apparaisse comme un arbitrage
entre États dans lesquels des négociations auraient lieu pour
instaurer des pouvoirs accrus et de plus bas niveaux de protection.Maintien de l’opposition au texte
Nos inquiétudes formulées originellement dans notre lettre du 18 octobre
2000 persistent ; veuillez considérer ceci comme une déclaration
complémentaire d’opposition.Nous continuons d’attendre un progrès concernant notre demande précédente
d’un examen attentif des intrusions dans la vie privée. Le Conseil de
l’Europe devrait clarifier ces dispositions, sachant que la Section 2
fourmille de dispositions sur l’accès aux données sans nécessiter de
niveau unilatéral minimum de vérification et de procédure adéquat.
Nous nous inquiétons aussi de voir que la Convention ne confirme pas
les droits à la confidentialité affirmés dans la
Convention Européenne des Droits de l’Homme, pour les protéger dans le
contexte numérique.
Nous recommandons de se
référer à la Déclaration Universelle des Droits de l’Homme,
particulièrement à l’article 12 qui stipule : « Nul ne peut être soumis à
une
ingérence arbitraire dans sa vie privée, sa famille, son domicile ou sa
correspondance ». En raison de son absence de considération des droits de
l’homme, la Convention est, en l’état, indéfendable.Le Conseil de l’Europe fournit aux États la terminologie et l’élan pour
agir contre la cybercriminalité ; nous espérons que le Conseil
saisira cette occasion pour donner aux États signataires la
terminologie et l’élan pour agir dans l’intérêt des droits de l’homme. Nous
demandons donc que des limites à l’action soient formulées explicitement,
comme l’exigence d’un examen de constitutionnalité, la prémunition
contre l’auto-incrimination, la finalité de la collecte des données,
la proportionnalité des moyens utilisés en toutes occasions, et le
respect des principes de protection des données, pour ne citer que
quelques exemples.Nous continuons à penser que le processus d’élaboration de cette
Convention viole les exigences de transparence et est en contradiction avec
les processus décisionnels démocratiques. Nous espérons seulement que même
à cette étape tardive, le Conseil de l’Europe peut apprendre et pratiquer
l’écoute et la consultation en incorporant et protégeant les droits de l’homme.Nous appelons les États membres du Conseil de l’Europe à ne pas signer
le traité en sa forme actuelle. Nous appelons également le Conseil des
ministres du Conseil de l’Europe à rejeter la Convention dans sa forme
actuelle, dans la mesure où elle n’offre pas une égale protection aux droits
fondamentaux dans le même temps où elle cherche à prévenir et
détecter la cybercriminalité.Nous, soussignés, continuons à proposer notre aide au Conseil de l’Europe
avec des experts du domaine pour fournir une meilleure version d’une
Convention qui aurait pour but non seulement de punir, mais aussi de
prévenir la délinquance informatique, et de protéger les droits
fondamentaux.Signatures (membres de GILC) :
– American Civil Liberties Union – ACLU (États-Unis) –
– Associazione Libertà nella Comunicazione Elettronica
Interattiva – ALCEI (Italie) –
http://www.alcei.it
– Bits of Freedom – BOF (Pays-Bas) –
http://www.bof.nl
– Center for Democracy and Technology – CDT (États-Unis) –
– Computer Professionals for Social Responsibility – CPSR
(États-Unis) –
http://www.cpsr.org
– Cyber-Rights & Cyber-Liberties – CR&CL; (Royaume-Uni) –
http://www.cyber-rights.org
– Digital Freedom Network – DFN (États-Unis) –
http://www.dfn.org
– Electronic Frontiers Australia – EFA (Australie) –
http://www.efa.org.au
– Electronic Frontier Foundation – EFF (États-Unis) –
http://www.eff.org
– Electronic Privacy Information Center – EPIC
(États-Unis) –
http://www.epic.org
– Feminists Against Censorship (Royaume-Uni) –
http://fiawol.demon.co.uk/FAC/
– Förderverein Informationstechnik und Gesellschaft – FITUG
(Allemagne) –
http://www.fitug.de
– Imaginons un réseau Internet solidaire – IRIS (France) –
http://www.iris.sgdg.org
– Kriptopolis (Espagne) –
http://www.kriptopolis.com
– LINK Centre, Wits University (Afrique du Sud) –
http://www.link.org.za
– NetAction (États-Unis) –
http://www.netaction.org
– Networkers against Surveillance Taskforce – NaST (Japon) –
http://www.jca.apc.org
– OpenNet –
http://www.opennet.org
– Privacy International – PI (Royaume-Uni) –
http://www.privacyinternational.org
– Privacy Ukraine (Ukraine) –
mailto:[email protected]
– Quintessenz (Autriche) –
http://www.quintessenz.at
– Verein für Internet Benutzer – VIBE!AT (Autriche) –
http://www.vibe.at
Notes complémentaires :– Intervention de John Fennel, membre du comité de rédaction du projet
de Convention, au forum EPING. Bruxelles, 5 décembre 2000.
– Département de la Justice des États-Unis, questions fréquemment
posées sur le projet de Convention sur la cybercriminalité du
Conseil de l’Europe (projet N.24-2), 1er décembre 2000. http://www.usdoj.gov/criminal/cybercrime/COEFAQS.htm.Documents de référence :
– Conseil de l’Europe,
Projet de Convention sur la cybercriminalité, version N.24-2.
http://conventions.coe.int/treaty/FR/projets/cybercrime24.htm
– Conseil de l’Europe,
Convention de sauvegarde des droits de l’homme et des libertés
fondamentales.
http://conventions.coe.int/treaty/fr/Treaties/Html/005.htm
– Conseil de l’Europe,
Dossier Conventions.
http://conventions.coe.int/treaty/FR/cadreprincipal.htm
– Lettre des membres de GILC du 18 octobre 2000,
http://www.iris.sgdg.org/info-debat/gilc-coe-fr-1000.html
– Internet Architecture Board/Internet Engineering Steering Group,
Motion à propos de l’accord de Wassenaar.
http://www.iab.org/iab/121898.txt
– Internet Engineering Task Force,
Politique de l’IETF en matière de surveillance des communications (RFC
2804).
ftp://ftp.isi.edu/in-notes/rfc2804.txt
– Imaginons un réseau Internet solidaire (IRIS), Dossier
cybercriminalité.
http://www.iris.sgdg.org/actions/cybercrime
– Organisation de Coopération et Développement Économique,
Lignes directrices en matière de politique de cryptographie
(1997).
http://www.oecd.org/dsti/sti/it/secur/prod/f_97-204.pdf
– Organisation de Coopération et Développement Économique,
Lignes directrices en matière de sécurité des systèmes d’information
(1992).
http://www.oecd.org/dsti/sti/it/secur/prod/reg97-2f.pdf
– Privacy International,
Dossier cybercriminalité.
http://www.privacyinternational.org/issues/cybercrime
– Groupe de spécialistes de la sécurité, praticiens, enseignants et
vendeurs,
Lettre à propos du projet de Convention du Conseil de l’Europe sur la
cybercriminalité.
http://www.cerias.purdue.edu/homes/spaf/coe/TREATY_LETTER.html
– Nations-Unies,
Déclaration universelle des droits de l’homme.
http://www.unhchr.ch/udhr/lang/frn.htm
Contact en France (IRIS) :
Meryem Marzouki ([email protected]) – Tél :
0144749239
Contact GILC :
[email protected]