10 min

[Convention de Budapest] Un deuxième protocole pour lutter contre la cybercriminalité

Près de 20 ans, jour pour jour, après l’ouverture à la signature de la Convention de Budapest, un deuxième protocole additionnel vient d’être adopté, le 17 novembre, par le Comité des ministres du Conseil de l’Europe. Cette modification vient à point nommé, eu égard à l’évolution de la cybercriminalité, mais aussi en raison de l’importance croissante de la preuve numérique dans la criminalité classique.

Général d’armée (2S) Marc WATIN-AUGOUARD

Général d'armée (2S), Fondateur du FIC, Ancien inspecteur général des armées - Gendarmerie nationale, il fut directeur du centre de Recherche de l'Ecole des Officiers de la Gendarmerie Nationale (CREOGN) jusqu'en 2020.

Voir tous les articles

La genèse

Depuis le 23 novembre 2001, la Convention a vu croître le nombre d’États l’ayant ratifiée. Au nombre de 66 aujourd’hui, ils ne relèvent pas tous du Conseil de l’Europe, puisqu’on note la présence des États-Unis, du Canada, de l’Australie, du Japon et de pays d’Afrique ou d’Amérique latine. Ne sont pas signataires la Russie, la Chine, Cuba, l’Iran, la Corée du Nord, États dont les territoires (pour être diplomatiquement correct…) sont la base de départ de très nombreuses cyberattaques. L’Irlande n’a pas ratifié la Convention, alors qu’elle héberge les sièges européens des GAFAM.

Si le nombre d’États ayant ratifié la Convention semble encore insuffisant, eu égard au caractère planétaire de la cybercriminalité, plus de 20 d’entre eux ont fondé sur elle leur propre loi et plus de 50 s’en sont inspirés. La Convention bénéficie donc d’un rayonnement international certain. En 2003, la Convention a été complétée par un Protocole additionnel, relatif à l’incrimination des actes de nature raciste et xénophobe, commis par le biais de systèmes informatiques.

Depuis 2001, l’espace numérique a profondément évolué, notamment sous l’influence du développement du cloud. La Convention harmonise les éléments de droit pénal matériel interne des infractions et les dispositions connexes dans le domaine de la cybercriminalité. Elle prévoit les règles de procédures pénales internes nécessaires aux enquêtes et aux poursuites. Celles-ci concernent les infractions qui visent les systèmes informatiques comme celles commises au moyen de ces systèmes. La Convention a aussi pour objectif de faciliter le recueil des preuves numériques nécessaires à la résolution d’infractions qui n’ont pas de lien direct avec le cyberespace. La Convention met en place des mécanismes rapides et efficaces de coopération internationale. Parce qu’elle est neutre au regard des technologies, elle bénéficie d’une certaine stabilité. Mais elle doit évoluer en raison des mutations du cyberespace et de l’évolution des usages.

En vue de compléter ou d’amender la Convention, le Comité de la Convention sur la cybercriminalité (T-CY), en vertu des pouvoirs qu’il tire de l’article 46 de la Convention, a créé, en 2012, un groupe ad hoc sur l’accès frontalier aux données et sur les questions de compétence territoriale. En 2015, il a créé un « Groupe sur les preuves dans le nuage », avec pour domaine d’étude l’accès de la justice pénale aux preuves stockées dans le « nuage ». En 2016, ce groupe est arrivé à la conclusion que « la cybercriminalité, le nombre de terminaux, de services et d’utilisateurs (notamment de terminaux et services mobiles) et, partant, le nombre de victimes ont atteint des proportions telles que seule une infime partie de la cybercriminalité ou autres infractions impliquant des preuves électroniques sera jamais enregistrée et donnera jamais lieu à des enquêtes. L’immense majorité des victimes ne peut pas s’attendre à ce que justice soit rendue ». Ainsi a-t-il mis en évidence la difficulté d’obtention d’un accès efficace aux preuves électroniques et leur divulgation sous la triple contrainte de « l’informatique en nuage, la territorialité et la compétence ».

Au regard des conclusions du « Groupe sur les preuves dans le nuage », les Parties à la Convention ont conclu qu’il n’était pas nécessaire de modifier la Convention mais d’élaborer un deuxième protocole additionnel afin de renforcer l’efficacité de l’action de la justice pénale et de préserver l’État de droit. Le T-CY a donc engagé ses travaux entre septembre 2017 et mai 2021, émaillés de nombreuses consultations, notamment dans le cadre des Conférences Octopus sur la cybercriminalité qui se tiennent chaque année à Strasbourg et rassemblent des experts de 80 pays, de organisations internationales, du secteur privé et du monde universitaire.

Les défis à relever

Pour les rédacteurs du Protocole, il convenait de relever les défis liés à la territorialité, notion qui est peu pertinente dans un espace numérique sans frontière. Le stockage des données dans le cloud pose de nombreux problèmes aux enquêteurs. Confrontés à la rigidité des demandes d’entraide auprès d’autres États, les rédacteurs ont imaginé un mécanisme plus simple pour émettre des ordres ou des demandes aux fournisseurs de services d’autres parties afin de produire des informations sur les abonnés et des données relatives au trafic. Par ailleurs, devant les difficultés soulevées par le « Who is ? » permettant d’identifier les personnes ayant enregistré un nom de domaine, ils ont conçu un dispositif permettant d’obtenir auprès des registraires et registres les informations nécessaires.  Enfin, ils ont voulu renforcer les capacités d’action en cas d’urgence.

La preuve numérique, objet du Protocole

Le champ du nouveau protocole est large et dépasse celui des infractions « cyber » au sens strict. Il s’applique aux enquêtes ou procédures pénales spécifiques concernant des infractions pénales « liées à des données et systèmes informatiques ». Il concerne donc non seulement la cybercriminalité, mais toute infraction pénale pour laquelle les preuves se présentent sous forme électronique, « preuves numériques ». Les pouvoirs, procédures et mesures de coopération créés par le Protocole peuvent être utilisés lorsque l’infraction est commise par le biais d’un système informatique, ou lorsqu’une infraction qui n’a pas été commise par le biais d’un système informatique (par exemple un meurtre) implique des preuves électroniques.

Le Protocole prévoit des garanties au regard notamment du respect de la vie privée et du traitement de données à caractère personnel[1]. Les sept mesures de coopération principales sont contenues dans le chapitre II.

Les premières renforcent la coopération directe avec les fournisseurs et les entités dans les autres Parties. Il s’agit des articles dits de « coopération directe », qui permettent aux autorités compétentes d’une Partie de s’engager directement avec des entités privées.

L’identification des détenteurs de noms de domaine (Art. 6)

L’obtention des données d’enregistrement d’un nom de domaine est souvent une étape indispensable pour de nombreuses enquêtes criminelles, notamment pour localiser les Parties auxquelles il convient d’adresser des demandes de coopération internationale. Autrefois accessibles à tous, par des outils de recherche connus sous l’acronyme WHOIS (who is), certaines parties de l’information sont aujourd’hui d’accès restreint, ce qui produit des effets négatifs sur les missions des services judiciaires et répressifs. Les informations d’enregistrement de noms de domaine ne permettent pas de tirer des conclusions précises concernant la vie privée de quelqu’un. Leur divulgation peut donc être moins intrusive que celle d’autres catégories de données.

Le Protocole remédie à cette difficulté. Pour rattacher les noms de domaine à une personne et à un lieu, les autorités compétentes en matière d’enquête sont habilitées à émettre, auprès d’une entité fournissant des services d’enregistrement de noms de domaine, située sur le territoire d’une autre Partie, une demande d’information, en vue d’identifier ou de contacter la personne ayant enregistré un nom de domaine.

La Partie sur le territoire de laquelle est située cette entité (registraire, registre) doit prendre les mesures législatives nécessaires pour permettre la divulgation de l’information demandée.

La divulgation directe de données relatives aux abonnés (Art. 7)

La procédure d’entraide n’est pas le moyen le plus adapté pour traiter un nombre croissant de demandes de preuves électroniques volatiles. D’où la définition d’un mécanisme simplifié pour émettre des ordres ou des demandes aux fournisseurs de services d’autres parties afin de produire des informations. Cette disposition permet à « un procureur ou à une autre autorité judiciaire, sous la supervision de cette autorité ou sous une autre forme de supervision indépendante » de s’adresser directement à un fournisseur de services sur le territoire d’une autre Partie, par le biais d’une injonction de produire des données spécifiées et stockées relatives à des abonnés[2].

Les procédures renforçant la coopération internationale entre autorités pour la divulgation de données informatiques stockées

Il s’agit tout d’abord des injonctions d’une Partie sur autre Partie ordonnant à un fournisseur de services établi sur son territoire la production accélérée de données relatives aux informations sur les abonnés et au trafic[3] spécifiées et stockées, en la possession ou sous le contrôle du fournisseur de service (Art. 8).

Sont également prévues des procédures relatives à une demande d’entraide urgente.

La notion d’urgence correspond aux situations dans lesquelles le risque est grave et imminent, ce qui exclut les cas où le risque pour la vie ou la sécurité d’une personne est passé ou négligeable. Le risque futur, s’il existe, n’est pas immédiat. Sont ainsi évoqués dans le rapport explicatif « la prise d’otage, situation dans laquelle existe un risque crédible et imminent de décès, de blessure grave ou d’un autre préjudice comparable pour la victime ; la persistance des abus sexuels auxquels un enfant est soumis ; les scénarios immédiatement postérieurs à une attaque terroriste, dans lesquels les autorités cherchent à savoir avec qui les attaquants ont été en communication afin de déterminer si de nouvelles attaques sont imminentes, et les menaces pour la sécurité d’infrastructures essentielles s’accompagnant d’un risque grave et imminent pour la vie ou la sécurité d’une personne physique ».

Chaque Partie doit faire en sorte que son « point de contact » 24/7, prévu à l’article 35 de la Convention, puisse transmettre une demande à un Point de contact dans une autre Partie et recevoir une demande de ce dernier pour une assistance immédiate en vue de l’obtention par un fournisseur de services situé sur le territoire de la Partie concernée de la divulgation accélérée de données informatiques stockées spécifiées qui sont en la possession ou sous le contrôle dudit fournisseur de services, sans requête d’entraide judiciaire (Art. 9).

Chaque Partie peut demander une entraide judiciaire par les moyens les plus rapides lorsqu’elle estime qu’il y a urgence. Une personne de chaque Partie doit être disponible vingt-quatre heures sur vingt-quatre, sept jours sur sept, pour répondre à une demande présentée dans de telles circonstances (Art. 10)

Les procédures relatives à la coopération internationale en l’absence d’accords internationaux applicables.

La visioconférence ou les équipes communes d’enquête sont d’ores et déjà mises en œuvre en vertu d’instruments du Conseil de l’Europe (par exemple, le Deuxième Protocole additionnel à la Convention européenne d’entraide judiciaire en matière pénale, STE no 182, ci-après le « Deuxième Protocole STE no 182 ») ou d’autres accords bilatéraux et multilatéraux. Cependant, de tels mécanismes ne sont pas appliqués par toutes les Parties à la Convention, et le Protocole vise à combler cette lacune. L’article 11, intitulé « Vidéoconférence », et l’article 12, intitulé « Équipes communes d’enquête et enquêtes communes » prévoient des mesures de coopération internationale qui ne s’appliquent que lorsqu’il n’existe pas de traité ou d’arrangement d’entraide sur la base d’une législation uniforme ou réciproque en vigueur entre les Parties requérante et requise.

 

***

Les rédacteurs du Protocole ont également examiné d’autres mesures qui n’ont pas été retenues afin de ne pas retarder la publication du texte. En font notamment partie les « enquêtes clandestines à l’aide d’un système informatique » et l’extension du champ des perquisitions. Ces thématiques seront abordées dans un autre instrument juridique. Compte tenu de l’évolution du numérique, des usages et des mésusages, il est acquis que ce Deuxième protocole sera suivi d’autres initiatives, sauf à laisser le droit dériver face à la croissance qualitative et quantitative de la cybercriminalité.

 

[1] Ces garanties n’ajoutent rien à celles déjà prévues par l’UE au travers du Règlement général sur les données à caractère personnel (RGPD) et de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

[2] « Toute information, sous forme de données informatiques ou sous toute autre forme, détenue par un fournisseur de services et se rapportant aux abonnés de ses services, autres que des données relatives au trafic ou au contenu, et permettant d’établir: a. le type de service de communication utilisé, les dispositions techniques prises à cet égard et la période de service; b. l’identité, l’adresse postale ou géographique et le numéro de téléphone de l’abonné, et tout autre numéro d’accès, les données concernant la facturation et le paiement, disponibles sur la base d’un contrat ou d’un arrangement de services; c. toute autre information relative à l’endroit où se trouvent les équipements de communication, disponible sur la base du contrat ou de l’arrangement de service ».

[3] « Toutes données ayant trait à une communication passant par un système informatique, produites par ce dernier en tant qu’élément de la chaîne de communication, indiquant l’origine, la destination, l’itinéraire, l’heure, la date, la taille et la durée de la communication ou le type du service sous-jacent. »

Partager cet article avec un ami