B. UNE NÉCESSAIRE COOPÉRATION INTERNATIONALE
Face aux limites de la coopération internationale classique, le Conseil de l'Europe a mis en place une convention innovante dont la portée universelle inspire les législations et les pratiques au-delà du Vieux Continent. Dans ce schéma d'ensemble, il est essentiel que l'Union européenne continue de coopérer étroitement avec le Royaume-Uni pour lutter contre la cybercriminalité.
1. L'entraide judiciaire internationale et ses limites
Toutes les conventions d'entraide judiciaire pénale, qui sont nombreuses, peuvent contribuer à lutter contre la cybercriminalité dès lors que l'infraction concernée relève de l'espace « cyber ». C'est le cas, par exemple, du traité de Paris de décembre 1998 entre la France et les États-Unis. Néanmoins, ce cadre bilatéral a, par définition, une portée restreinte.
La commission rogatoire est l'outil procédural privilégié d'entraide judiciaire permettant de poursuivre les infractions transnationales telles que les cybercrimes. Consistant, pour un juge, à confier à toute autorité judiciaire relevant d'un autre État la mission de procéder en son nom à des mesures d'instruction ou à d'autres actes judiciaires, elle porte sur tout acte d'instruction, l'audition des témoins, les perquisitions et saisies ou encore l'arrestation des suspects. Elle permet ainsi en théorie de surmonter les difficultés liées aux frontières.
Pourtant, la commission rogatoire est une procédure lourde à manier et présentant de longs délais de réponse ; elle est donc un outil lent par rapport à la vitesse d'exécution des infractions informatiques et la volatilité des preuves numériques.
Elle connaît deux principales limites .
La première tient à la subordination de la commission rogatoire à l'existence d'accords bilatéraux ou multilatéraux entre les États. Bien que l'envoi d'une demande ne soit pas, en principe, subordonné à l'existence d'une convention bilatérale entre l'État demandeur et l'État requis, l'existence de celle-ci conditionne souvent l'acceptation et la coopération des États. En l'absence d'une telle convention, le demandeur n'est jamais sûr d'une réponse positive. La recevabilité de la demande de commission rogatoire relève de l'appréciation de l'autorité compétente de l'État requis, qui aura la possibilité d'invoquer l'exception de défaut de réciprocité et toute autre fin de non-recevoir. Le principe de souveraineté permet en effet aux États de se dérober à leur obligation de coopération , surtout lorsqu'il peut exister certaines tensions entre eux.
La seconde limite est relative aux difficultés liées à la portée de la commission rogatoire. L'exécution de la commission rogatoire dépend de la législation nationale de l'État qui reçoit la demande, la commission rogatoire étant exécutée conformément aux règles usuelles de procédures et de fond de l'État requis et non de l'État demandeur. Les traités bilatéraux, lorsqu'ils existent, peuvent limiter l'objet et la portée des commissions rogatoires. Certains traités limitent la commission rogatoire à l'audition de témoins ou la production de pièces à conviction ou des documents judiciaires. D'autres mesures d'instruction peuvent être subordonnées à des conditions particulières. Ainsi est-il généralement difficile d'obtenir des réponses positives de certains États tels que la Russie, la Chine ou Israël qui se montrent parfois réticents à communiquer des données stockées chez leurs fournisseurs d'accès à Internet. Il a également été indiqué aux rapporteurs que les services de police suisses souhaitaient rarement coopérer et qu'ils orientaient leurs collègues français vers cette procédure judicaire. Les autorités judiciaires américaines ne seraient pas non plus très allantes en matière d'entraide judiciaire internationale, alors que les GAFAM sont des entreprises américaines.
D'ailleurs, lors de la signature de la convention sur la cybercriminalité du Conseil de l'Europe, en 2001 ( cf . infra ), de nombreux États ont émis des réserves portant sur les demandes d'exécution de commission rogatoire, si la condition de double incrimination n'était pas remplie. En effet, la commission rogatoire suppose également une double incrimination, à savoir l'incrimination de l'infraction dans les deux États concernés. Or, de nombreuses cyberinfractions restent actuellement exclues de toute incrimination dans de nombreux États, rendant ainsi la commission rogatoire inopérante dans de nombreux cas . Cette différence des règles nationales applicables peut compromettre l'instruction des infractions transnationales, ce qui permet aux cybercriminels de continuer à échapper à la justice.
Cette difficulté peut se retrouver dans la lutte contre le blanchiment d'argent en ligne. Les standards du Groupe d'action financière (GAFI) définissent les modalités de coopération internationale et prévoient la réciprocité des échanges d'informations. Mais, selon Tracfin, la qualité des relations de travail diffère beaucoup selon la volonté de coopération de ses interlocuteurs étrangers : les échanges sont très bons en Europe, bons avec les pays d'Amérique centrale et du Sud et ceux du Golfe, qui ont adopté une démarche de coopération, mais ils le sont moins avec la Chine et même les États-Unis, d'autant plus que les services de renseignement financier de ces derniers seraient dotés de pouvoirs d'investigation bien plus limités, ce qui réduit l'intérêt des informations transmises.
2. La convention de Budapest, « l'un des plus beaux succès du Conseil de l'Europe »
La sécurité de l'espace numérique se négocie dans un contexte mondial marqué par des intérêts et des objectifs divergents. Si l'Europe se positionne en faveur d'un Internet ouvert, ce n'est pas nécessairement le cas de certains de ses partenaires. Les négociations de conventions internationales en matière numérique sont rendues plus complexes par ce facteur géopolitique. C'est pourquoi elles aboutissent généralement à des textes de portée générale, dont le champ géographique est seulement régional ; tel est le cas, par exemple, de la convention de Malabo sur la lutte contre la cybercriminalité, qui concerne l'Afrique.
L'Union européenne , quant à elle, dispose d'une réglementation de plus en plus large en matière de cybercriminalité et de cybersécurité ( cf . infra ), mais pas d'un traité global. C'est pourquoi elle soutient la convention sur la cybercriminalité du 23 novembre 2001, dite convention de Budapest , établie dans le cadre du Conseil de l'Europe, seul traité à portée universelle sur ce sujet . Son objectif principal est de poursuivre une politique pénale commune destinée à protéger la société de la criminalité dans le cyberespace , notamment par l'adoption d'une législation appropriée et l'amélioration de la coopération internationale.
Certains États contestent toutefois le caractère universel de la convention de Budapest. Ainsi, à l'initiative de la Russie, l'Assemblée générale de l'ONU a, le 27 décembre 2019, adopté une résolution visant à établir une convention des Nations unies en matière de lutte contre la cybercriminalité. L'Union européenne et ses États membres s'étaient alors opposés à ce texte, estimant que le cadre juridique international actuel était suffisant et qu'il convenait de porter les efforts de la communauté internationale sur le développement de législations nationales et le renforcement des capacités. Depuis l'adoption de cette résolution, l'Union et ses États membres se coordonnent pour éviter que le nouveau processus de négociation pour une convention des Nations unies ne remette en cause l'équilibre nécessaire entre renforcement des moyens dédiés à la lutte contre la cybercriminalité et respect des droits fondamentaux et de l'État de droit, qui prévaut actuellement dans le cadre de la convention de Budapest.
La convention de Budapest est ouverte à l'ensemble des pays , au-delà des 47 États membres du Conseil de l'Europe - la Russie ne l'a ni signée ni ratifiée, contrairement à la Turquie. Elle compte d'ailleurs actuellement 65 États parties , dont les États-Unis, et une centaine de pays s'inspireraient de ses dispositions dans leur législation nationale. Deux États membres de l'Union européenne l'ont seulement signée sans la ratifier : la Suède et l'Irlande.
Cette convention, sans donner de définition de la cybercriminalité, aborde ce phénomène sous deux angles : celui du droit pénal , en visant des infractions qui doivent être intégrées dans la législation nationale des États parties, et celui de la coopération internationale - « dans la mesure la plus large possible » stipule l'article 23 -, en facilitant l'extradition entre États parties et l'entraide pénale judiciaire, par exemple par des échanges de preuves numériques localisées dans ces États. Son champ d'application porte sur les atteintes aux systèmes d'information et de données, la fraude aux moyens de paiement et les atteintes aux mineurs en ligne.
La convention de Budapest a été qualifiée par l'une des personnes auditionnées par les rapporteurs d' « un des plus beaux succès du Conseil de l'Europe » . Cet instrument a en effet démontré son efficacité : il permet une harmonisation des outils d'entraide tels que la conservation des données informatiques, très utile aux enquêteurs pour obtenir des preuves, l'injonction de produire, la perquisition et la saisie de données informatiques stockées ou encore l'accès transfrontière à des données stockées, avec consentement ou lorsqu'elles sont accessibles au public. Ce texte permet de « figer les scènes de crimes numériques » et donne ainsi la possibilité de remonter jusqu'aux auteurs des infractions informatiques. Par exemple, il constitue le fondement de la base de données relative aux commissions rogatoires internationales initiées par les autorités françaises. Les États-Unis, le Canada, l'Australie, le Royaume-Uni, l'Allemagne ou encore les Pays-Bas, ainsi que la France, comptent parmi les États parties les plus impliqués dans la mise en oeuvre de la convention de Budapest.
La convention a également institué un « réseau 24/7 » , c'est-à-dire un point de contact joignable 24 heures sur 24, 7 jours sur 7, désigné par chaque État partie afin d'assurer une assistance immédiate pour mener des investigations concernant les infractions pénales liées à des systèmes et à des données informatiques, ou pour recueillir les preuves sous forme électronique d'une infraction pénale. Le point de contact français est l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), division de la sous-direction de la lutte contre la cybercriminalité au sein de la direction centrale de la police judiciaire du ministère de l'intérieur.
Le comité de la convention sur la cybercriminalité , qui représente les États parties, a pour objectif de faciliter l'usage et la mise en oeuvre effective de la convention, l'échange d'informations et l'examen de tout futur amendement à la législation. Il publie des rapports et des notes d'information sur tout sujet se rapportant à la convention, en particulier sur l'interprétation des dispositions de la convention au regard des évolutions techniques intervenues, ce qui permet une adaptation souple de l'application de la convention. Il publie également des formulaires d'utilisation concrète de la convention, sur la conservation des données par exemple.
Par ailleurs, la convention de Budapest donne lieu à des programmes de coopération en faveur des États parties les moins avancés, en Afrique, au Maghreb ou en Asie-Pacifique. Les actions de formation, en particulier le programme GLACY + , mis en oeuvre conjointement avec l'Union européenne, sont conduites et coordonnées par le Bureau de programme sur la cybercriminalité ( C-PROC ), institué par le Comité des ministres du Conseil de l'Europe en 2013, situé à Bucarest.
La convention de Budapest fait, depuis septembre 2017, l'objet d'importantes négociations visant à la doter d'un deuxième protocole additionnel 24 ( * ) .
Celui-ci a pour objectif de moderniser et compléter la convention sur plusieurs aspects : une entraide juridique plus efficace (régime simplifié pour les demandes d'entraide, injonctions de produire internationales, coopération directe entre autorités judiciaires pour les demandes d'entraide, enquêtes et équipes d'enquête communes, audition audio/vidéo des témoins, des victimes et des experts, procédures d'urgence pour les demandes d'entraide) ; la coopération directe avec des fournisseurs de services dans d'autres juridictions pour ce qui est des demandes relatives à des informations sur les abonnés, des demandes de conservation et des demandes en urgence ; un cadre plus clair et des garanties plus fortes concernant les pratiques existantes en matière d'accès transfrontière aux données, et des garanties, notamment quant aux conditions relatives à la protection des données.
La Commission européenne a mandat, depuis juin 2019, pour participer à ces négociations au nom de l'Union européenne et de ses États membres. Les négociations donnent souvent lieu à des débats et soulèvent des interrogations sur la souveraineté territoriale dans le cyberespace. Elles sont prévues pour se terminer fin 2020, mais seront sans doute prolongées, du fait à la fois de la crise sanitaire et de la longueur des discussions. Le deuxième protocole additionnel, après son adoption, devra être approuvé par l'Assemblée parlementaire du Conseil de l'Europe puis ratifié par l'ensemble des États parties.
3. Les conférences Octopus
La lutte contre la cybercriminalité donne lieu, depuis 2007 et tous les 12 à 18 mois, à l'organisation d'un événement international, connu sous le nom de conférence Octopus . La dernière édition de la conférence a été organisée à Strasbourg, du 20 au 22 novembre 2019, dans le cadre de la Présidence française du Comité des ministres du Conseil de l'Europe, avec un ordre du jour portant notamment sur les preuves dans le cyberespace, l'exploitation et les abus sexuels d'enfants en ligne, les enjeux de la protection des données et de la justice pénale, la coopération en matière de cybercriminalité et de cybersécurité ou encore les fake news et l'ingérence électorale.
Les conférences Octopus réunissent des ministres, des représentants d'organisations internationales et non gouvernementales, des universitaires, des associations, des entreprises privées, en particulier les GAFAM, ou encore des représentants des autorités nationales de protection des données, telles que la CNIL française, soit environ 250 personnes.
Elles permettent de débattre des dernières évolutions, les cyberviolences par exemple, et de « tester » les réactions des acteurs du cyberespace.
4. Veiller à la qualité de la relation future de l'Union européenne avec le Royaume-Uni
Compte tenu de la forte implication des services britanniques dans la lutte contre la cybercriminalité, il est important, après le Brexit, que le nouveau partenariat entre l'Union européenne et le Royaume-Uni accorde une place éminente à ce sujet essentiel pour la sécurité de l'ensemble du continent européen.
Tel est l'objectif poursuivi par le mandat de négociation adopté, le 25 février 2020, par le Conseil Affaires générales de l'Union européenne. Ce texte indique que le partenariat envisagé devrait permettre, notamment : un dialogue sur la cybersécurité, incluant une coopération en vue de promouvoir au sein des instances internationales compétentes des pratiques mondiales efficaces en matière de cybersécurité ; un échange rapide et réciproque d'informations, notamment sur les incidents et les tendances en la matière ; une coopération, avec garantie de réciprocité, entre le Royaume-Uni et l'équipe d'intervention d'urgence informatique de l'Union européenne ( CERT-EU ).
Cependant, à ce stade, le Royaume-Uni n'a pas fait part de positions particulières sur la cybersécurité. Lors des dernières négociations, il a tenu des propos contradictoires sur le sujet, disant parfois ne pas exclure une coopération, tout en indiquant ensuite ne pas y tenir.
Lors de son audition devant les commissions des affaires européennes et des affaires étrangères, le 25 juin dernier, Michel Barnier, commissaire européen, directeur de la task force pour les relations avec le Royaume-Uni, a indiqué qu'il percevait un « mouvement britannique » dans les négociations sur les questions de sécurité intérieure, les Britanniques lui paraissant plus disposés à une coopération en matière de cybersécurité.
Il est nécessaire que l'Union européenne et le Royaume-Uni continuent de coopérer étroitement dans la lutte contre la cybercriminalité. Cela suppose également la participation , selon des modalités qui seraient définies par les négociateurs, de ce pays aux agences européennes Europol, Eurojust et ENISA .
Le Sénat avait d'ailleurs pris position en ce sens dans sa résolution européenne sur le nouveau partenariat euro-britannique.
Résolution européenne ( n° 75 ) du Sénat du 6 mars 2020
sur le mandat de négociation du nouveau partenariat
Union européenne - Royaume-Uni (extraits)
- Concernant la sécurité intérieure et la coopération judiciaire
Rappelle que l'Union européenne et le Royaume-Uni partagent des valeurs communes et un attachement aux droits fondamentaux, illustrés notamment par l'adhésion des États membres et du Royaume-Uni à la convention européenne des droits de l'Homme ; souligne que l'Union européenne et le Royaume-Uni sont confrontés à des menaces communes de nature transfrontalière, en particulier le terrorisme et la criminalité organisée ; fait observer que le Royaume-Uni, en tant qu'État tiers, ne fait pas partie de l'espace Schengen, ne bénéficie d'aucun accès privilégié aux systèmes d'information de l'Union européenne et n'appartient pas aux agences européennes intervenant dans l'espace de liberté, de sécurité et de justice ;
Considère dès lors qu'il est indispensable d'instituer une coopération entre l'Union européenne et le Royaume-Uni permettant de répondre à ces menaces de façon à assurer la sécurité de leurs citoyens, dans le respect de l'autonomie de l'Union européenne et de la souveraineté du Royaume-Uni ; approuve les dispositions du mandat de négociation dans ce domaine de coopération, qui portent sur l'échange de données, la coopération opérationnelle entre services répressifs et judiciaires en matière pénale et la lutte contre le blanchiment de capitaux et le financement du terrorisme ;
Estime que le nouveau partenariat devra garantir un haut niveau de protection et de coopération dans ce domaine ; demande que les négociateurs prennent plus particulièrement en compte les normes et contrôles en matière de protection des données, y compris les données des dossiers passagers (PNR), les relations du Royaume-Uni avec Europol et Eurojust et les modalités d'extradition et d'entraide judiciaire, qui remplaceront le mandat d'arrêt européen ;
Appelle à instituer la coopération la plus étroite possible, dans le respect de l'autonomie de l'Union européenne et de la souveraineté du Royaume-Uni, dans les domaines de la cybersécurité et de la lutte contre la cybercriminalité et la migration irrégulière ; souhaite que la protection civile pour ce qui est des catastrophes naturelles ou d'origine humaine fasse également l'objet d'une coopération étroite ;
* 24 Le premier protocole additionnel à la convention de Budapest, du 28 janvier 2003, porte sur l'incrimination d'actes de nature raciste et xénophobe commis par le biais de systèmes informatiques.