Cybercriminalité : du danger d'un projet de « traité fourre-tout »
Analyse d'IRIS - 1er février 2001
Préambule
Dans le cadre de son action de sensibilisation à propos du projet de Convention du Conseil de l'Europe sur la cybercriminalité, IRIS analyse dans ce document les derniers développements intervenus depuis le mois de décembre 2000 : nouvelle version du projet de Convention, déclarations - et absence de déclarations - en France, très récente Communication de la Commission européenne.
L'action d'IRIS contre le projet de Convention du Conseil de l'Europe se poursuit, et nous appelons les organisations françaises soucieuses du respect des droits de l'homme et des libertés publiques à soutenir cette action en se joignant à la liste des signataires pour dénoncer ce projet en l'état : http://www.iris.sgdg.org/actions/cybercrime/sign-coe.html.Sommaire de ce document :
- Introduction
- Le silence assourdissant du Conseil de l'Europe et de la France
- Première mention de la lutte contre la propagande raciste
- Les dangers persistent
- Limiter le champ d'application du projet
- S'inspirer de la Directive « Télévision sans frontières » pour la compétence des juridictions
- L'Union européenne entre en scène
- RéférencesIntroduction
Tout le monde s'accorde à reconnaître le besoin de faciliter la coopération et l'entraide judiciaire internationales, et IRIS l'a préconisé dès 1997, dans son rapport sur Internet et les libertés publiques [1]. Pour autant il ne s'agit pas, au nom de la lutte contre une cybercriminalité dont aucun pays n'est encore capable de chiffrer l'importance réelle, d'adopter des mesures portant gravement atteinte aux droits fondamentaux.C'est pourtant ce que persiste à faire le projet de traité du Conseil de l'Europe sur la cybercriminalité. La version 25 de ce projet a été rendue publique le 22 décembre 2000 [2]. Il s'agit de la troisième version déclassifiée. Les versions précédentes (22-2 et 24-2) ont chacune déjà fait l'objet d'une réaction très ferme de la part de la coalition internationale GILC, dont IRIS est membre. En France, la campagne de signatures, lancée par IRIS sur la base de ces réactions pour dénoncer les dangers du projet de traité, est toujours en cours pour les organisations françaises [3], et nous vous appelons à poursuivre et élargir cette mobilisation.
Le silence assourdissant du Conseil de l'Europe et de la France
Mais le Conseil de l'Europe reste, pour l'essentiel, sourd aux exigences de la société civile. Par ailleurs, en France, non seulement le représentant en charge des négociations (Bruno Nedelec, MAE) ne daigne même pas répondre à la lettre d'IRIS demandant des clarifications sur la position française [2], mais le cabinet du Premier ministre déclarait à l'association, au cours d'une entrevue le 21 décembre 2000, que le dossier n'était « pas encore remonté » à ce cabinet. Voilà des réactions pour le moins étonnantes de la part des pouvoirs publics, alors que le gouvernement français est très actif dans les négociations et que la ministre de la Justice déclare publiquement vouloir étendre le projet, conformément à certaines demandes [4].Quant au président de la République, sans doute dans le souci de ne pas laisser le gouvernement s'arroger seul le bénéfice politicien de préoccupations liées à Internet, il fait référence à ce projet dans un message [5] adressé aux participants aux rencontres d'Autrans organisées par l'ISOC-France. S'adressant dans la plus pure langue de bois à ceux qui veulent « autoriser l'appropriation de méthodes de commercialisation sur Internet en premier lieu mais aussi de procédés de transmission du savoir ou de diffusion de richesses culturelles » (la liste des sponsors de la manifestation n'a pas dû échapper aux conseillers du chef de l'État), Jacques Chirac qualifie la future Convention de « pionnière », tout en se félicitant de qualités du texte dont la coalition GILC dénonce justement l'absence dans ce projet : respect de la souveraineté des États, rejet d'un système répressif international, garanties des libertés publiques « si chèrement acquises par nos peuples ». Quand on constate que les problèmes les plus cruciaux dénoncés dans les deux lettres [6] de la coalition GILC adressées au Conseil de l'Europe persistent dans la nouvelle version du projet, on ne peut que recommander aux conseillers de Jacques Chirac une lecture plus attentive des textes.
Première mention de la lutte contre la propagande raciste
Parmi les rares nouveautés de la version 25 du projet de Convention, on remarque toutefois l'apparition de la lutte contre la propagande raciste, pour l'instant mentionnée dans une simple note explicative. La note 15 indique en effet : « Le PC-CY a étudié la possibilité d'inclure des infractions se rapportant au contenu autres que celles qui sont définies à l'article 9, comme la diffusion de propagande raciste par le biais de systèmes informatiques. Une grande majorité était favorable à l'inclusion de cette dernière en tant qu'infraction pénale, mais la question n'a pu être approfondie, faute de temps. Il a été décidé que le PC-CY proposerait au Comité européen pour les problèmes criminels (CDPC) d'examiner la possibilité de rédiger dès que cela s'avère faisable l'élaboration d'un protocole additionnel à la présente convention, qui serait consacré à cette question ». Il semble que l'absence de consensus (pudiquement expliquée par le manque de temps) entre les États demeure, non seulement au sein des membres du Conseil de l'Europe (le Danemark était indiqué comme opposé à un tel ajout), mais également avec d'autres États associés à l'élaboration du projet (les États-Unis, bien entendu, à cause du Premier amendement de leur Constitution). Toutefois, l'ajout de cette note semble plus indiquer une concession démagogique qu'une réelle intentionalité : vu les précautions toutes diplomatiques prises dans la rédaction de cette note, le protocole additionnel en question ne verra sans doute pas le jour avant la première révision de la Convention, qui ne devrait intervenir que trois ans après son entrée en vigueur.Les dangers persistent
Il n'en reste pas moins que le Conseil de l'Europe, poursuivant son projet de traité, est sur une voie dangereuse : au lieu de ne se préoccuper que, d'une part, d'infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes informatiques (traitées en France par la loi Godfrain [7]) et d'autre part, de procédure judiciaire et de coopération judiciaire internationale, avec notamment la question de la compétence des États, le projet devient de plus en plus un texte fourre-tout, où l'on traite de pédophilie au même titre que d'infraction à la propriété intellectuelle, et bientôt de propagande raciste, voire d'autres infractions non encore précisées se rapportant au contenu. Ce faisant, les différents États parties au projet escomptent une justification populaire de mesures disproportionnées, liberticides, attentatoires aux droits fondamentaux et à la souveraineté des États, comme celles explicitement dénoncées dans les deux lettres de la coalition GILC.Limiter le champ d'application du projet
On ne peut pas considérer que l'abus sexuel des enfants et l'atteinte à la propriété intellectuelle, par exemple, sont sur un même plan de gravité. Il serait en revanche plus raisonnable de convenir de dispositions générales moins sécuritaires pour les enquêtes et procédures pénales, tout en ménageant la possibilité de mesures plus intrusives dans les seuls cas de gravité exceptionnelle comme la pédophilie, cas à énumérer et à encadrer strictement. En effet, si le Conseil de l'Europe continue à avoir une vision aussi étendue de la cybercriminalité, il ne tardera pas à vouloir couvrir toute infraction liée au contenu possible des données dans un État ou un autre, et le texte restera forcément lettre morte. Quant à l'harmonisation des législations, elle reste nécessaire pour certains crimes ou atteintes graves à la conscience universelle de l'humanité : la pédophilie, le racisme, en font partie à notre sens. C'est pourquoi ils doivent être reconnus comme tels, à un niveau international plus large, dans des textes d'un autre ordre que ce projet de Convention et ayant d'autres objectifs.S'inspirer de la Directive « Télévision sans frontières » pour la compétence des juridictions
De plus, le projet de Convention du Conseil de l'Europe est en train de perdre une occasion unique de résoudre une série de problèmes dont on ne voit que les prémices avec le jugement rendu en France le 20 novembre contre la société américaine Yahoo Inc. L'article 23 du projet de Convention traite en effet de la compétence des États relativement à une infraction mentionnée dans le projet. S'agissant d'un texte sur la procédure pénale internationale, il serait important de traiter de la compétence en matière de contenus publiquement accessibles de manière adaptée à la diffusion d'informations à travers le réseau Internet. Or le texte ne propose que des dispositions somme toute classiques de compétence pénale, moyennant des réserves possibles qui ne font que contourner les problèmes. Une initiative originale et importante pourrait être au contraire de s'inspirer, en les adaptant, des dispositions contenues dans la Directive européenne « Télévision sans frontières » de 1997 [8], qui détermine la compétence de la juridiction principalement en fonction du lieu du siège social effectif de l'émetteur ou de celui où les décisions de la direction relatives à la programmation sont prises. Cette disposition pourrait être étendue et adaptée à tous les contenus sur Internet, en fonction soit du siège social soit du lieu de résidence ou de la nationalité de l'auteur du contenu diffusé. Une telle initiative, couplée à l'harmonisation des législations nationales pour des crimes et atteintes graves à la conscience universelle de l'humanité, permettrait d'éviter la juxtaposition de conceptions différentes de la circulation de l'information par l'adoption de systèmes de filtrage et le renforcement des frontières sur le réseau, comme le fait craindre le précédent du jugement français rendu contre la société américaine Yahoo Inc.L'Union européenne entre en scène
Dans le cadre du développement de l'initiative « e-Europe », la Commission européenne vient de publier une Communication [9] visant à « créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité ». Cette communication n'est qu'une première étape de travail au niveau de l'Union européenne sur ce thème. Elle ne propose en particulier aucune mesure législative précise pour l'instant, mais pose les problèmes et surtout rappelle les principaux textes européens et internationaux garants des droits fondamentaux et des libertés, dont certains sont ignorés dans le projet du Conseil de l'Europe. Les initiatives subséquentes prévues par la Commission européenne s'articuleront, certes, avec les travaux du Conseil de l'Europe, mais on note d'ores et déjà dans cette première Communication une distance certaine par rapport à certains aspects du projet de Convention. En particulier, les points les plus préoccupants de ce projet [6], comme les interceptions du contenu des communications électroniques, la volonté de suppression de la double incrimination, ainsi que les atteintes possibles à la protection des données personnelles et au droit à l'anonymat, sont traités avec la plus grande prudence par la Commission européenne. De même, la nécessaire distinction entre infractions liées au contenu et atteintes à l'intégrité des données et des systèmes informatiques est affirmée. Cette tonalité de la Communication de la Commission européenne, accompagnée d'une volonté affichée de concertation, y compris avec les organisations de la société civile, nous semble positive, sans préjuger toutefois des évolutions futures possibles. Il y a lieu en particulier d'examiner de près le forum européen qui sera mis en place par la Commission très rapidement. Les objectifs de ce forum sont déjà identifiés, et les ressources nécessaires à son fonctionnement sont également évaluées. On notera que ce forum ne cherche pas à se doter d'une représentativité a priori, contrairement à l'organisme de « corégulation » français dont la mise en place est en cours [10]. IRIS suivra ces travaux pour y faire entendre ses positions, en concertation avec ses partenaires européens de la coalition internationale GILC [11]. Les prochaines étapes déjà prévues par la Commission européenne sont un appel à commentaires sur le texte de la Communication (jusqu'au 23 mars) et une audition publique le 7 mars.Références
- [1] IRIS. « Libertés individuelles et libertés publiques sur Internet ». Rapport au Conseil d'État. Octobre 1999. http://www.iris.sgdg.org/documents/rapport-ce
- [2] IRIS. Dossier cybercriminalité. Régulièrement mis à jour. http://www.iris.sgdg.org/actions/cybercrime
- [3] IRIS. Campagne de signature ouverte aux organisations françaises soucieuses de dénoncer le projet de traité. http://www.iris.sgdg.org/actions/cybercrime/sign-coe.html
- [4] Marilyse Lebranchu, ministre de la Justice. « Le racisme sur Internet : une fatalité ? ». Discours prononcé au cours du colloque « Racisme et Internet » organisé par la Licra. 16 novembre 2000. http://www.justice.gouv.fr/discours/d161100.htm
- [5] Jacques Chirac, président de la République. Message adressé aux participants aux 5èmes rencontres de l'ISOC-France à Autrans. http://www.isoc.asso.fr/PRESSE/president.htm
- [6] GILC. Lettres adressées au Conseil de l'Europe à propos du projet de Convention sur la cybercriminalité. Version 22-2. 18 octobre 2000. http://www.iris.sgdg.org/info-debat/gilc-coe-fr-1000.html. Version 24-2. 12 décembre 2000. http://www.iris.sgdg.org/actions/cybercrime/gilc-coe-fr-1200.html
- [7] Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique (dite loi Godfrain). http://www.admi.net/jo/JUSX8700198L.html
- [8] Union Européenne. Directive « Télévision sans frontières », adoptée le 30 juin 1997 (97/36/EC). Publié au JOEC le 30 juillet 1997 sous le numéro L0036. http://europa.eu.int/eur-lex/fr/lif/dat/1997/fr_397L0036.html
- [9] Commission européenne. Communication en vue de « créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité ». Texte accessible en différentes langues à : http://europa.eu.int/ISPO/eif/InternetPoliciesSite/Crime/crime1.html.
- [10] IRIS. « "Organisme de corégulation" : l'intérêt général soumis aux mécanismes de marché ». Lettre d'IRIS, 24 janvier 2001. http://www.iris.sgdg.org/documents/coregulation.html
- [11] GILC. Global Internet Liberty Campaign. http://www.gilc.org