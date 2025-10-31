Les États-Unis se sont abstenus de signer la Convention des Nations unies contre la cybercriminalité lors d'une récente conférence à Hanoï, au Vietnam, alors que plus de 70 autres pays l'ont approuvée. Si les partisans affirment que ce traité répond aux défis mondiaux liés à la cybercriminalité, ses détracteurs, notamment les défenseurs de la vie privée comme l'Electronic Frontier Foundation, ainsi que les experts en sécurité, avertissent qu'il pourrait porter atteinte aux droits de l'homme et permettre une surveillance transfrontalière sans garanties adéquates.
Pour rappel, le week-end du 25 octobre 2025, 65 pays ont signé à Hanoï, au Vietnam, le premier traité complet des Nations unies sur la cybercriminalité. Fruit de longues négociations, ce traité vise à favoriser la coopération internationale en matière de cybercriminalité. Il prévoit notamment le partage transfrontalier de preuves et l'extradition des cybercriminels présumés afin de lutter contre les menaces telles que les rançongiciels et la fraude.
Les États-Unis étaient toutefois absents parmi les signataires de cette Convention des Nations unies. Leur position officielle se résume à la brève déclaration suivante du département d'État : « Les États-Unis continuent d'examiner le traité. »
Même si les États-Unis semblent manquer de transparence et s'être isolés sur des questions telles que le changement climatique et Israël, les critiques émanant du secteur de la sécurité proviennent à la fois de défenseurs de la vie privée numérique, comme l'Electronic Frontier Foundation (EFF), et d'acteurs plus traditionnels du secteur de la sécurité.
« L'EFF tire depuis longtemps la sonnette d'alarme au sujet de cette convention imparfaite », a déclaré Katitza Rodriguez, directrice des politiques mondiales en matière de confidentialité à l'EFF. « Nous avons exhorté les gouvernements à ne pas signer la Convention des Nations unies sur la cybercriminalité. Bien qu'elle soit présentée comme un instrument de lutte contre la cybercriminalité, elle crée des canaux transfrontaliers étendus de surveillance et de partage de données sans garanties applicables en matière de droits de l'homme et s'applique bien au-delà de la cybercriminalité. »
Katitza Rodriguez a souligné que la convention inclut toute infraction passible d'une peine de quatre ans, ce qui, dans de nombreuses juridictions, inclut les discours pacifiques, les manifestations, le journalisme ou la liberté d'expression des personnes LGBTQ+. La convention rend également obligatoire la coopération avec tous les « États parties », même lorsque les tribunaux ne sont pas indépendants ou lorsque les lois sur la cybercriminalité sont utilisées pour cibler les dissidents, a fait remarquer Rodriguez.
« Cette combinaison risque de permettre une coopération à des fins abusives et de transformer l'expression ou l'association protégées en base pour des transferts internationaux de données », a déclaré Katitza Rodriguez.
Michael Bell, directeur général de Suzu Labs, a déclaré que les États-Unis se trouvaient dans une position impossible. Si le traité tente de résoudre des problèmes concrets et d'offrir des possibilités d'échange transfrontalier de preuves dans les domaines des ransomwares et de la traite des êtres humains, il établit également une voie légale permettant aux régimes autoritaires d'exiger des données provenant de sources auxquelles ils n'auraient pas accès autrement, a déclaré Bell.
« Tout cela sous prétexte d'arrêter des criminels, mais la collecte de ces données suscite de sérieuses inquiétudes, et je pense que les États-Unis devraient rester en dehors de ce système jusqu'à ce qu'il existe des mécanismes d'application visant à protéger les droits de l'homme et à défendre les chercheurs légitimes en matière de sécurité », a déclaré Michael Bell. « Sinon, nous légitimons les mêmes tactiques de surveillance que nous condamnons chez la Chine et la Russie, tout en aggravant ces problèmes en partageant ces données avec la communauté internationale. Le véritable risque n'est pas l'isolement, mais le fait que plus de 70 pays disposent désormais d'un cadre leur permettant d'imposer la remise de données qui contournerait nos protections constitutionnelles. »
Selon Lawfare, s'il est adopté par l'Assemblée générale des Nations unies, le traité remplacera le cadre international existant en matière de cybercriminalité : la Convention de Budapest. Adoptée en 2001, la Convention de Budapest compte 68 signataires, dont les États-Unis et presque toutes les démocraties occidentales. Elle est considérée comme pro-occidentale, contrairement à cette nouvelle initiative de l'ONU, qui a été proposée pour la première fois par la Russie en 2019 avec le soutien de la Biélorussie, de la Chine, de l'Iran, de la Syrie et du Venezuela.
Si plus de 70 pays ont signé le traité, sa ratification nécessite que 40 États membres le ratifient selon leurs propres procédures.
John Bambenek, président de Bambenek Consulting, a souligné que la participation des États-Unis à la cérémonie qui s'est déroulée le week-end du 25 octobre au Vietnam, sans toutefois signer le traité, était une manière de trouver un compromis.
« Contrairement au changement climatique, ce traité fait l'objet de nombreuses critiques dans le monde libre », a déclaré John Bambenek. « Le Royaume-Uni traînait également les pieds à ce sujet. À proprement parler, nous n'avons pas dit « non », mais simplement « pas pour le moment », laissant ainsi la porte ouverte. Avec le nombre croissant d'organisations de défense des droits de l'homme et d'entreprises technologiques opérant dans le monde libre qui s'opposent à ce traité, je ne suis pas sûr que les États-Unis se retrouveront vraiment isolés si nous décidons finalement de ne pas le signer. »
Le refus des États-Unis de signer la Convention des Nations unies souligne les inquiétudes persistantes concernant les dérives potentielles d'un tel accord, notamment en matière de surveillance numérique. Cette méfiance s'inscrit dans un contexte d'escalade des menaces, où l'intelligence artificielle (IA) alimente de nouvelles formes d'attaques, telles que le « vibe-hacking ». La start-up d'IA Anthropic a récemment publié un rapport sur l'utilisation de son modèle Claude à des fins malveillantes. Selon ce rapport, dans un avenir proche, les pirates informatiques malveillants pourraient utiliser des agents d'IA pour générer du code et lancer simultanément 20 attaques zero-day sur différents systèmes, illustrant ainsi la complexité croissante de la cybersécurité mondiale.
Sources : Convention des Nations unies contre la cybercriminalité, Lawfare, Communiqué des Nations unies
