Close

Quel avenir pour les négociations internationales sur la régulation du cyberespace ?

En octobre 2018, après 20 ans de discussions pour la promotion de la stabilité dans le cyberespace au sein des Nations Unies marquées notamment par plusieurs cycles de négociations du Groupe d’Experts Gouvernementaux (GGE)[1], les efforts de régulation du cyberespace prennent une nouvelle dimension. La Première Commission de l’Assemblée générale de l’ONU a en effet approuvé effet l’adoption de deux résolutions parallèles et concurrentes dont l’objectif affiché est pourtant le même : poursuivre les avancées entreprises par les cycles de négociation précédents, y compris dans la définition de comportements responsables pour les États dans le cyberespace. La première résolution, portée par la Fédération de Russie, propose comme cadre des discussions un groupe de travail à composition non limitée, ou Open-Ended Working Group (OEWG), qui a donc été lancé en 2019. La seconde résolution, soutenue par les États-Unis, créé un sixième GGE, également lancé en 2019.

Or si tous les États ont reconnu la nécessité de réguler leur comportement dans le cyberespace, ils – et en particulier les États porteurs des deux résolutions concurrentes – sont néanmoins en désaccord sur la manière dont le droit international doit s’appliquer au cyberespace. De nombreuses questions se posent alors : la création de deux groupes reflète-t-elle deux visions, opposées sinon distinctes, de la paix, de la sécurité et de la stabilité dans le cyberespace ? Le vote ayant mené à la création de ces deux groupes de travail ne constitue-t-il pas une remise en cause du format initial des négociations internationales au sein de l’ONU, opposant à l’approche restreinte des premiers GGE un nouveau modèle plus ouvert, mois inclusif ? Ces deux cycles de négociations parallèles peuvent-ils donc devenir une source de conflits majeurs ? Que peut-on vraiment attendre de ces nouveaux cycles de négociations ?

1.  Les aléas des négociations internationales, reflets de visions divergentes de la paix et de la stabilité du cyberespace ?

1.1.  Une multiplication des cadres de négociations au service de projets concurrents

Les négociations internationales sur la régulation du cyberspace ont, depuis leurs débuts en 2013, toujours cristallisé les tensions diplomatiques entre les principaux acteurs étatiques du cyberespace. Ainsi, les avancées des premiers cycles du GGE sont autant le fruit de consensus entre des visions parfois difficiles à concilier de la paix et de la stabilité du cyberespace, que leur échec en 2017 ne témoigne de l’exacerbation de ces divergences[2].

C’est en effet l’échec de ce dernier cycle qui a conduit la Russie à proposer une résolution devant permettre la création d’un groupe de travail plus large. La Russie s’appuyait sur deux arguments : d’une part l’échec du dernier GGE démontre que le modèle était arrivé à bout de souffle, et d’autre part la composition restreinte de ce groupe est symptomatique de ce que la Russie qualifie « d’accords de club » non démocratiques au sein de l’ONU, qui n’ont pas lieu d’être et qui biaisent les discussions. Dans le compte-rendu de la 12e session de la Première Commission (2017), le représentant de la Fédération de Russie confiait ainsi « avoir l’impression que la défense, « en petit comité », de l’application du droit international existant au cyberspace est un moyen de couvrir des actions de force dans le domaine sensible de l’information d’origine spatiale »[3].

Sans surprise, les États-Unis et leurs alliés ont vivement critiqué la proposition russe et ont défendu a contrario leur propre proposition de relance des négociations dans le cadre d’un nouveau GGE. Pour autant, une majorité suffisante d’États semble avoir vu l’intérêt que pourrait représenter la mise en place de deux groupes de travail, pour que les deux résolutions aient pu être approuvées simultanément.

Ceci n’est pas sans soulever un certain nombre de questions sur la pertinence et l’efficacité de cette double démarche. D’abord, la délimitation des mandats des deux groupes n’est pas totalement lisible. Lors de son discours de juin 2019, l’ambassadeur Andrey Krutskikh, représentant de la Fédération de Russie déclarait “It is important to ensure that this process is complementary, non-confrontational, constructive and based on cooperation[4] tout en rappelant que le mandat de l’OEWG était plus large que celui du GGE. Le nouveau groupe ne devait ainsi pas être perçu comme une simple plateforme de discussions mais bien comme un organe de l’Assemblée générale avec un véritable mandat, chargé de trouver des solutions concrètes et de rendre universelles les règles et normes adoptées jusque-là, par l’ONU et au-delà. Mais qu’en est-il de la réalité ? N’y a-t-il pas un risque de redondance avec les travaux parallèles du GGE ? Et comment établir un consensus à 193 États au sein de l’OEWG ? Au moins 20%[5] des premières discussions ont en effet montré des divergences d’opinion entre les membres, notamment sur la nécessité ou non d’élargir le cadre juridique actuel.

Les deux groupes de travail parallèles : GGE et OEWG

1.2.  La multiplication des acteurs de la régulation, remise en cause des efforts étatiques ?

Pour ajouter à cette confusion, d’autres acteurs, non étatiques, ont dans le même temps multiplié leurs initiatives en faveur de la régulation du cyberespace, dans la droite ligne du « multistakeholder environment » prôné par la Global Commission on the Stability of Cyberspace (GCSC). En effet, si les acteurs privés ne peuvent encadrer la responsabilité des États directement – n’étant pas des acteurs du droit international en tant que tel – ils peuvent en revanche faire pression sur ces derniers au travers de leurs propres initiatives. Les travaux de la GCSC (groupe international d’experts[1]), du CyberPeace Institute (ONG), de l’ICT4Peace (fondation), du Charter of Trust de Siemens ou encore de Digital Peace Now de Microsoft[2] (pétition appelant les dirigeants à créer des règles afin d’instaurer la paix numérique) témoignent de cet engagement de la société civile en faveur d’une régulation du cyberespace, et par la même, d’une certaine façon, d’une remise en cause de l’efficacité des négociations internationales conduites dans les enceintes multinationales au niveau étatique.

1.3.  L’élaboration de nouvelles normes, point d’achoppement des négociations internationales ?

Plusieurs pays ont réaffirmé lors des premières réunions de l’OEWG que le rapport 2014/2015 du GGE, qui permis l’élaboration d’un certain nombre de normes, devait être le point de départ des discussions dans ce nouveau cadre de travail élargi. Ces pays considéraient ainsi que les discussions menées dans le cadre de l’OEWG, plutôt que de porter sur l’élaboration de nouvelles normes potentiellement contradictoires avec celles créées par les premiers GGE ou de créer de nouvelles normes s’y ajoutant, devaient donc surtout avoir vocation à rendre plus claires les normes actuelles et à faciliter leur application aux systèmes nationaux. Autrement dit, l’élaboration de nouvelles normes ne semble plus aujourd’hui être une priorité pour la plupart des pays acteurs des négociations internationales « sauf à ce qu’elles servent à préciser dans leur champ matériel les dispositions existantes. Et encore, tout dépend de la façon dont elles sont rédigées »[3].

« We’re not starting from scratch » [“Nous ne partons pas de zero”], tel était donc le leitmotiv de l’OEWG à l’occasion de sa première réunion. Des 25 normes initialement proposées dans le projet de résolution sur la création de l’OEWG, il n’en subsiste que 13 dans la résolution 73/27 de 2018 portant création de l’OEWG. Ces 13 normes sont basées sur celles présentes dans le rapport du GGE de 2015 et sur une disposition de la partie « droit international » du même rapport. Parallèlement, certaines propositions actuellement débattues au sein de l’OEWG reprennent les recommandations de la GCSC (8 normes proposées) telles que la protection du noyau public d’Internet[4].

On comprend que, malgré des divergences marquées sur les objectifs de régulation du cyberespace, il semble exister une volonté partagée d’œuvrer pour un environnement stable et un cyberespace « safe and secure ». A ce titre, la discussion sur les mesures de confiance, moins contraignantes que les normes et plus flexibles, témoignent d’une volonté de trouver des moyens de faciliter la mise en œuvre des normes existantes. Celles-ci peuvent cependant également s’avérer source de tensions ou du moins de désaccords puisqu’elles ne sont appréhendées de la même manière par les deux groupes de négociations. Alors que la Russie entend développer ces mesures au sein de l’OEWG, les États-Unis et leurs alliés estiment en revancge que ce rôle revient aux organisations régionales.

Les débats parallèles au sein du GGE et de l’OEWG pourraient ainsi amener des résultats divergents, voire difficilement compatibles, sur l’applicabilité du droit international dans le cyberespace, rendant la situation plus complexe qu’elle ne l’était auparavant.

2.  Les initiatives internationales de régulation du cyberspace, un projet voué à l’échec ?

A cette multiplication de dispositions juridiques s’ajoute désormais d’autres obstacles d’ordre géopolitique. Différentes visions de l’Internet et le jeu de puissances viennent complexifier le tout. Néanmoins, force est de constater que la reprise des négociations dans le cadre des Nations Unies et la publication de doctrines juridiques sur l’application du droit international aux cyberopérations par certains États constituent des avancées positives pour la paix et la sécurité dans le cyberspace.

2.1.  La multiplication des initiatives internationales, facteur potentiel de blocages critiques

L’émergence de deux groupes de travail concurrents pourrait aboutir à deux situations dommageables pour la régulation des comportements des États dans le cyberspace.

D’abord, un risque de blocage des négociations, sans doute l’option la plus probable. Au sein de l’OEWG, les pays partisans du GGE pourraient ainsi volontairement bloquer les discussions pour ralentir voire provoquer l’échec de ce groupe plus large dont ils contestent l’existence même. Parallèlement, les entreprises privées signataires ou soutiens du Tech Accord, de la Convention de Genève numérique ou de l’Appel de Paris, a priori plus favorables au GGE qu’à l’OEWG – et que le mandat de ce dernier autorise à consulter –, pourraient s’en abstenir ou soutenir le blocage des pays porteurs du GGE. Ensuite, un blocage de fond pourrait survenir entre le GGE et l’OEWG si ces derniers adoptent des propositions divergentes voire opposées à l’issue de leur mandat.

On peut craindre aussi, et il s’agirait sans doute de la situation la plus critique pour l’avenir des négociations internationales, une remise en cause par l’OEWG des principes adoptés lors des précédents GGE. A cela s’ajouterait l’adoption de nouveaux principes plus conformes aux visions russes ou chinoises de la gouvernance du cyberespace[5] mais contradictoires avec celles portées par les pays partisans du GGE. Cependant, ce dernier scénario semble à ce jour peu probable au regard des positions ambiguës des alliés de la Chine et de la Russie lors du vote sur l’adoption des résolutions concurrentes sur l’établissement de deux groupes parallèles. L’Inde et l’Afrique du Sud – pays membres des BRICS – se sont par exemple prononcées en faveur des deux groupes de travail. Le Brésil s’est quant à lui abstenu sur la résolution proposée par la Russie, tout en votant en faveur de celle soutenue par les États-Unis.

(A/RES/73/27 pour résolution de la Russie et A/RES/73/266 pour résolution des États-Unis. Source : https://www.diplomacy.edu/blog/discussing-state-behaviour-cyberspace-what-should-we-expect)

2.2.  De nouvelles initiatives pour un nouveau souffle ?

Malgré les divergences, la reprise des négociations au sein des Nations Unies et la création de l’OEWG peuvent présenter des perspectives positives :

D’une part, l’implication d’une plus large communauté d’États et la possibilité pour le secteur privé de formuler auprès de ces derniers des propositions dans le processus de régulation pourraient s’avérer bénéfiques pour maintenir la paix et la sécurité dans le cyberespace. A ce titre, de nombreux États d’Amérique du Sud, d’Afrique, du Moyen-Orient ou d’Asie du Sud-Est ont exprimé leur volonté de faire progresser l’application de normes de comportement dans le cyberespace indépendamment des divergences idéologiques sur la gouvernance du cyberespace. Par ailleurs, ces mêmes États, rejoints par d’autres (telle l’Estonie) ont indiqué souhaiter que le GGE et l’OEWG travaillent de manière complémentaire dans les prochaines années[1]. Les organisations régionales qui seront consultées tant au sein de l’OEWG qu’au GGE devraient avoir un rôle important à jouer dans cette complémentarité ;

D’autre part, la résolution A/RES/73/266 portée par les États-Unis prévoit que les États participant au GGE devront communiquer au groupe un document (qui sera annexé aux propositions du GGE) présentant leur vision juridique[2], ce qui devrait inciter les États participants mais aussi les autres États membres de l’OEWG souhaitant collaborer avec le GGE à publier leur vision de l’application du droit international au cyberespace. Ces publications présenteront l’avantage de clarifier les visions communes ou divergentes et pourraient servir de base concrète pour trouver un consensus en cas de litige ou pour éviter une escalade des conflits. Pour l’heure, les États suivants ont publié leur vision :

  • Les Pays-Bas[3];
  • Le Royaume-Uni[4];
  • L’Australie[5];
  • L’Estonie[6];
  • Les États-Unis[7][8].

Parmi ces positions, la vision française[9] a été saluée par certains commentateurs pour sa clarté et sa cohérence dans l’application des normes internationales au cyberespace[10]. Sa contribution devrait permettre de faire avancer les débats et pourrait être une source d’inspiration pour des États qui n’auraient pas encore matérialisé leur vision[11]. La parole de la France devrait ainsi recevoir une attention particulière des autres États, que ce soit dans le cadre du GGE ou dans l’OEWG, lors des négociations à venir.

 

[1] https://www.un.org/press/fr/2019/agdsi3636.doc.htm

[2] https://undocs.org/en/A/RES/73/266

[3] https://www.justsecurity.org/66562/the-netherlands-releases-a-tour-de-force-on-international-law-in-cyberspace-analysis/ ; https://www.government.nl/ministries/ministry-of-foreign-affairs/documents/parliamentary-documents/2019/09/26/letter-to-the-parliament-on-the-international-legal-order-in-cyberspace

[4] https://www.gov.uk/government/speeches/cyber-and-international-law-in-the-21st-century

[5] https://dfat.gov.au/international-relations/themes/cyber-affairs/aices/chapters/annexes.html#Annex-A

[6] https://www.justsecurity.org/64490/estonia-speaks-out-on-key-rules-for-cyberspace/

[7] https://www.law.berkeley.edu/wp-content/uploads/2016/12/BJIL-article-International-Law-and-Stability-in-Cyberspace.pdf

[8] https://2009-2017.state.gov/s/l/releases/remarks/197924.htm

[9] https://www.defense.gouv.fr/content/download/565895/9750877/file/Droit+internat+appliqu%C3%A9+aux+op%C3%A9rations+Cyberespace.pdf

[10] https://www.justsecurity.org/66194/frances-major-statement-on-international-law-and-cyber-an-assessment/

[11] https://opiniojuris.org/2019/09/24/frances-declaration-on-international-law-in-cyberspace-the-law-of-peacetime-cyber-operations-part-ii/

[12] Ils sont issus de la société civile, des gouvernements, des secteurs privés ou du monde académique visant à proposer une série de normes de comportement responsable pour le cyberespace.

[13] https://digitalpeace.microsoft.com

[14] Échange avec Aude GÉRY, Chercheuse à GEODE (centre de recherche et de formation sur la datasphère)

[15] Norm 1: “State and non-state actors should neither conduct nor knowingly allow activity that intentionally and substantially damages the general availability or integrity of the public core of the Internet, and therefore the stability of cyberspace”. Rapport final de la GCSC, Novembre 2019.

[16] https://www.cyberscoop.com/un-cyber-norms-general-assembly-2019/

[17] Le détail de la composition limitée du GGE figure dans le tableau Partie 1, sous-partie 1.1.

[18] En 2013, le premier rapport du GGE reconnaissait l’applicabilité du droit international au cyberespace et élaborait un ensemble de normes. En 2015, le deuxième rapport présentait des règles propres à la sécurité et la stabilité dans le cyberespace mais séparait cette fois-ci le droit international des normes. En 2017, aucun consensus quant à l’interprétation du droit international n’était trouvé au sein du groupe restreint qu’est le GGE.

[19] https://www.un.org/press/fr/2017/agdsi3586.doc.htm

[20] https://rusemb.org.uk/article/541

[21] https://ethicsandtechnology.org/oewg-on-cybersecurity-first-week-of-the-open-ended-working-group-at-the-un-in-new-york/