Par Aude Géry, le 8 avril 2021
L’adoption, le 12 mars 2021, par le groupe de travail à composition non limitée sur les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale (Open-ended working group – OEWG) créé par la résolution 73/27 de l’Assemblée générale des Nations unies d’un rapport final aura surpris l’ensemble des observateurs. L’adoption de ce rapport est donc un succès diplomatique certain tant les oppositions étaient fortes. Si le rapport permet effectivement de préserver les acquis des rapports de 2010, 2013 et 2015 des groupes d’experts gouvernementaux (GGE) créés par l’Assemblée générale et d’en clarifier certains points, il n’en demeure pas moins, pour reprendre les termes du Professeur Hathaway, que les Etats « essentially agreed that they cannot agree ».
Préservation des acquis des précédents GGE et clarification du concept de « cadre de comportement responsable »
Face aux tentatives de nombreux Etats parmi lesquels la Russie, la Chine ou encore l’Iran, de revenir sur les consensus passés, l’enjeu majeur pour les Etats occidentaux était de préserver les acquis des GGE, y compris l’application du droit international dans le cyberespace, dont la Charte des Nations unies dans sa totalité, et les onze normes de comportement responsables adoptées en 2015. L’objectif peut être considéré comme atteint. En effet, le rapport final affirme que les trois rapports des GGE sont cumulatifs et que onze normes ont été recommandées. Il rappelle également que, dans la résolution 70/237 de l’Assemblée générale, les Etats ont accepté par consensus d’être guidés par ces rapports dans l’utilisation des TIC, consolidant ainsi le cadre initial de comportement responsable des Etats (para. 7). De plus, il est écrit que l’OEWG réaffirme ce cadre et construit dessus (para. 8). Face notamment aux remises en cause apparentes de l’application de certaines branches et règles de droit international, il participe effectivement à la préservation de l’ordre juridique international.
Le rapport clarifie également le concept de « cadre de comportement responsable » largement utilisé dans les discours des Etats mais n’apparaissant pas dans les précédents rapports. Composé des règles de droit international, des normes de comportement et des mesures de confiance adoptées par les précédents GGE et le présent rapport, ce cadre doit guider l’action des Etats et tout comportement incompatible avec ces dispositions est considéré comme ébranlant la paix et la sécurité internationales (para. 17). Pour ce faire, le rapport insiste sur la complémentarité des normes, du droit international, des mesures de confiance et du renforcement des capacités. Il définit les principes devant guider le renforcement des capacités (para. 56), dont le rôle clé pour mettre en œuvre les recommandations est reconnu (para. 54).
Contrairement aux rapports des précédents GGE qui définissaient les mesures à adopter, le rapport de l’OEWG est tourné vers leur mise en œuvre, la majorité des recommandations portant sur les mesures de transparence que les Etats devraient mettre en œuvre dans chacun des domaines abordés par le rapport. Mais ce sont bien là les seuls apports du rapport.
Un rapport démontrant une absence totale de consensus
Bien que l’application du droit international soit réaffirmée, on relèvera qu’il n’y aucune mention de branche ou règle particulière du droit international dans le rapport. Si l’applicabilité de la Charte des Nations unies est également réaffirmée, il n’est pas précisé « dans sa totalité ». Face aux contestations de l’application de l’article 51 de la Charte des Nations unies, cela démontre une fois de plus les tensions autour de l’application du droit international dans le cyberespace. Plus inquiétant encore, le rapport dispose que les Etats sont appelés à éviter de prendre des mesures contraires au droit international (para. 34). Le juriste appréciera !
En matière de normes de comportement, les plus optimistes relèveront que le rapport recommande aux Etats d’appliquer les normes de 2015 sur les infrastructures critiques aux infrastructures de santé et que les Etats ont reconnu le besoin de s’efforcer de préserver l’intégrité et la disponibilité générale de l’Internet (para. 26). Cette lecture doit être modérée. D’une part, le rapport complexifie les catégories d’infrastructures critiques soumises aux différentes normes en créant, par rapport au rapport de 2015 (para. 13 f et g), deux catégories d’infrastructures supplémentaires (infrastructures critiques de l’information et l’Internet). D’autre part, l’empilement de ces catégories témoigne d’une absence de consensus sur les termes à employer et les infrastructures dont la protection devrait être renforcée.
Le rapport se veut tourné vers la mise en œuvre des recommandations adoptées, y compris par les précédent GGE. Un des enjeux était le suivi de leur mise en œuvre qui permettrait de renforcer la valeur des recommandations, de faire émerger les meilleures pratiques et de véritablement renforcer le niveau mondial de cybersécurité. Le Mexique et l’Australie avaient notamment proposé un grille d’analyse de mise en œuvre du rapport de 2015 du GGE. Le rapport se contente de recommander aux Etats son utilisation, sur une base volontaire, pour partager leurs vues sur le développement des TIC dans le contexte de la sécurité internationale et de suggérer son recours pour chacune des parties du rapport (para. 65). Si les Etats ont reconnu l’utilité d’explorer des mécanismes de suivi de ces recommandations (para. 73), ils ne sont donc pas parvenus à s’entendre sur leur nature. Le renvoi à un document tiers non officiellement adopté montre que la concrétisation des engagements pris à travers un contrôle n’est pas souhaitée par une partie des Etats.
Cela est d’ailleurs confirmé par la section dédiée à l’institution d’un dialogue régulier sous les auspices des Nations unies. La proposition franco-égyptienne de programme d’action sur le cyber est certes mentionnée, mais le langage employé témoigne là aussi de l’absence d’accord sur un instrument politiquement contraignant et la mise en place d’un processus de suivi des recommandations. Par ailleurs, si le contenu de ce programme d’action devra être discuté par le prochain OEWG qui devrait débuter ses travaux courant 2021, le rapport ouvre la porte à l’établissement de ce programme d’action dans un autre contexte (para. 77), laissant pointer le risque d’avoir à nouveau plusieurs processus concurrents.
Le cinquième exemple de l’absence de consensus concerne la reconnaissance du rôle des acteurs non-étatiques dans la sécurité et la stabilité du cyberespace, mentionné à seulement trois reprises (para. 10, 61 et 71) et de façon relativement timide. On relèvera que leur participation aux discussions ne fait toujours pas consensus alors même qu’ils constituent des acteurs indispensables et que les Etats ne peuvent agir sans approfondir la coopération public-privée dans la lutte contre les cybermenaces, elle aussi absente du rapport.
Enfin, le dernier témoin, s’il en était besoin, de l’absence de consensus, réside dans le résumé fait par le président de l’OEWG des positions et propositions des Etats. A défaut d’avoir pu aboutir à un consensus sur des propositions concrètes, un document présentant les vues des Etats a été adopté par l’OEWG. Ce document, demandé par les Etats, témoigne des positions divergentes principalement sur la question du droit international et des normes et permet ainsi aux Etats de voir leurs propositions inscrites dans un document officiellement adopté par l’OEWG.
Conclusion
Pas moins de quatre projets de rapport ont été produits avant l’adoption du rapport final le 12 mars 2021. Une lecture comparée de ces documents montre à quel point ils ont progressivement été vidés de toute substance. C’est certainement le prix du consensus mais l’on peut s’interroger sur son coût. De plus, lors de leur dernière prise de parole, plusieurs Etats tels l’Iran et Cuba, ont affirmé objecter à certaines dispositions qu’ils considèrent donc comme non opposables. Le président de l’OEWG a d’ailleurs annoncé que toutes les déclarations finales des Etats seraient compilées dans un seul document. Selon Serge Sur, la fonction du multilatéralisme est de « s’entendre sur des règles communes au plus grand nombre possible d’Etats, sur une base volontaire, pacifique et durable ». Force est de constater que le rapport de final de l’OEWG n’est que l’illusion du succès du multilatéralisme. Quelles que soient les limites inhérentes au processus, le rapport final ne permettra pas de remédier, au moins en partie, à l’insécurité et l’instabilité du cyberespace. Le GGE crée en 2018 doit quant à lui terminer ses travaux en mai 2021, l’on verra alors si, à vingt-cinq, les Etats aboutiront de véritables avancées. En attendant, et alors qu’un nouvel OEWG doit commencer, cela pose nécessairement la question de la pertinence des travaux au sein de la Première commission de l’Assemblée générale au détriment d’autres initiatives qui pourraient créer une véritable « culture mondiale de la cybersécurité ».
Concours #Thucymème – Les mèmes favoris des membres du Jury
Présentation et palmarès du concours
« Ambition de roturiers » par Rachid Chaker
