La nécessité de mettre en place une « Convention de Genève sur le numérique » 

Lorsque l’on évoque les Conventions de Genève, on fait souvent référence aux Conventions du 12 août 1949 visant à garantir le respect de l’être humain et de sa dignité en temps de conflits. Elles sont essentielles pour le droit humanitaire international. Cependant, elles ne sont pas adaptées aux menaces issues du cyberespace. 

Un projet né d’une initiative privée

Lors de l’édition 2017 de la Conférence RSA Security, Brad SMITH (président de Microsoft en charge des affaires juridiques) a appelé à la mise en place d’une « Convention de Genève du numérique » afin de protéger le cyberespace en temps de paix face aux menaces étatiques. Cette initiative s’inscrit dans un contexte de prolifération de cyberattaques mondiales ayant un réel potentiel de destruction massive, comme l’ont illustré les attaques WannaCry et Petya. 

La proposition de géant américain regroupe plusieurs initiatives visant à lutter contre ces cyberattaques de destruction massive: 

      • Un engagement de cybersécurité de l’ensemble de l’industrie du numérique comprenant des principes de base pour protéger les civils au sein du cyberespace;
      • Une organisation international indépendante en charge de prévenir les cyberattaques étatiques;
      • Une Convention internationale contraignante pour encadrer les offensives étatiques dans le cyberespace.

Pour approfondir: « The Need for a Digital Geneva Convention »

Une Convention pour encadrer les offensives étatiques dans le cyberespace 

Pour Microsoft, cette Convention doit permettre de limiter la prolifération d’armes numériques susceptibles de causer des dommages catastrophiques à la population, à l’image du Traité sur la non-prolifération des armes nucléaires et de la Convention sur les armes chimiques. 

En effet, les dégâts d’une cyberattaque peuvent avoir de graves conséquences sur les populations. En septembre 2020, on a dénombré la première victime européenne d’une cyberattaque. Il s’agissait d’une patiente n’ayant pas pu être prise en charge dans les temps en raison de la paralysie de l’établissement hospitalier de Düsseldorf à la suite d’une cyberattaque. La victime devait subir une opération en urgence. Malheureusement, elle n’a pas survécu à son transport vers un autre établissement de soins.

La création d’une Convention de Genève sur le numérique ne peut pas émerger de la simple initiative d’un acteur privé. Elle doit s’appuyer sur les propositions politiques sur le plan international pour responsabiliser les Etats lors de leurs actions dans le cyberespace. Celles-ci se font de plus en plus nombreuses, mais restent insuffisantes soient en raison du faible nombre de parties prenantes, soient en raison de son absence de portée contraignante. 

Dans tout les cas, la convention devra s’inscrire dans la continuité des normes internationales en matière d’offensives militaires et de protection des civils dans les conflits armés. Elle pourra comporter les éléments suivants:

      • Éviter d’attaquer des systèmes relatifs à la sûreté et à la sécurité des citoyens, tels que les hôpitaux; 
      • Se garder de mettre en place des portes dérobées dans les produits numériques destinés à être vendus en masse; 
      • Limiter le développement de cyberarmes et leur prolifération; 
      • Restreindre les opérations de cyber-offensives.

Pour approfondir: Cyberespace – Vers une Convention de Genève du numérique

La position du CICR sur la mise en place d’une « Convention de Genève sur le numérique »

En 2019, le Comité international de la Croix-Rouge (CICR) a pris position sur le droit international humanitaire et les cyberopérations pendant les conflits armés. Il considère que les règles du droit international humanitaire s’appliquent aux cyberopérations. Les Etats doivent donc les respecter. 

Cependant, le CICR a conscience que le cadre juridique existant doit être renforcé, notamment sur la question du signalement de la protection juridique dans le cyberespace. 

Il n’est cependant pas nécessaire de créer une nouvelle convention dédiée à la question, l’ajout d’un protocole additionnel pourrait être suffisant, si un grand nombre d’Etats y adhère. 

Pour approfondir: Le droit international humanitaire et les cyberopérations pendant les conflits armés

A propos de Lisa Mirmand