L'Union européenne vient de signer à Hanoï la Convention des Nations unies contre la cybercriminalité. Ce traité mondial a pour objectif de changer la donne face aux pirates et aux réseaux criminels.

Ce que va changer la nouvelle Convention ONU sur la cybercriminalité © Saku_rata160520 / Shutterstock.com
Ce que va changer la nouvelle Convention ONU sur la cybercriminalité © Saku_rata160520 / Shutterstock.com

C'est donc à Hanoï, au Vietnam, que l'Union européenne a annoncé ce lundi 27 octobre avoir posé sa signature sur la Convention des Nations unies, qui pourrait bien redistribuer les cartes de la lutte mondiale contre la cybercriminalité. Négocié pendant cinq ans, ce traité permettra la coopération avec 115 pays jusqu'ici non couverts par la Convention de Budapest. Il tentera de créer un réseau d'entraide international face aux menaces que sont les ransomwares, la fraude numérique ou encore les abus sexuels sur mineurs en ligne.

La Convention ONU comble les failles de la coopération internationale

Les cybercriminels connaissent les failles de la coopération internationale, et les exploitent. Un hacker peut très bien attaquer depuis un pays qui refuse de collaborer avec les autorités européennes, rendant alors toute poursuite impossible. La Convention de Budapest (2004), pilier historique de la lutte contre la cybercriminalité, bute sur cette limite, puisque cent quinze pays membres de l'ONU n'en font pas partie, ce qui offrait autant de refuges potentiels aux délinquants numériques.

La Convention signée ce lundi à Hanoï par Bruxelles vise précisément à reboucher les trous. De 2019 à 2024, la Commission européenne a mené les négociations au nom de l'Union et de ses États membres. Elle a permis la naissance d'un cadre permettant enfin de collaborer avec des dizaines de nations jusqu'ici hors radar, là où se réfugient souvent les organisations criminelles les plus sophistiquées.

Le calendrier serait d'ailleurs presque synonyme de patience diplomatique. Le 24 décembre 2024, la veille de Noël, l'Assemblée générale de l'ONU adoptait le texte final. Trois mois de consultations plus tard, le 13 octobre 2025, le Conseil de l'UE donnait son feu vert à la signature. Deux semaines après, dans la capitale vietnamienne, l'Europe paraphait officiellement cet accord qui devra maintenant être ratifié.

Les menaces cyber n'ont peut-être jamais été aussi nombreuses © Jutharat Jaroenwong / Shutterstock
Les menaces cyber n'ont peut-être jamais été aussi nombreuses © Jutharat Jaroenwong / Shutterstock

Un texte qui criminalise les attaques par rançongiciel et l'exploitation en ligne

À quoi ressemble concrètement cette boîte à outils juridique ? La Convention criminalise d'abord les attaques contre les systèmes informatiques eux-mêmes, à savoir les intrusions illégales, les interceptions de données et les sabotages de serveurs. Mais surtout, elle cible des fléaux plus contemporains. Les attaques par rançongiciel (ou ransomware), ces logiciels qui chiffrent vos fichiers pour vous extorquer de l'argent, entrent pleinement dans le scope de la Convention.

La protection des mineurs occupe une place très importate également. Le texte ratisse large et évoque la fabrication et la diffusion de contenus pédocriminels, mais aussi cette zone grise qu'est la sollicitation en ligne d'enfants à des fins sexuelles. La diffusion non consentie d'images intimes, cette pratique toxique qui consiste à publier des photos d'un(e) ex-partenaire sur Internet, devient une infraction reconnue au niveau international. Les escroqueries financières numériques et le blanchiment d'argent digital complètent le tableau.

Au-delà des infractions, la Convention offrent de vrais moyens d'investigation. Les enquêteurs pourront ordonner la préservation immédiate de données avant qu'elles ne s'évaporent des serveurs. Autrement dit, quand les autorités repèrent un suspect, elles peuvent ordonner au fournisseur de bloquer immédiatement toute suppression de fichiers. Les perquisitions numériques peuvent aussi traverser les frontières pour suivre la piste des données. Enfin, chaque pays devra maintenir un point de contact disponible 24h/24 pour les urgences cyber.

L'équilibre délicat entre répression et libertés individuelles

Évidemment, ces super-pouvoirs font tiquer les gardiens des libertés numériques. Intercepter des communications, surveiller des flux de données, saisir des informations personnelles… Oui, le potentiel de dérive autoritaire n'échappe à personne. Les rédacteurs de la Convention l'ont bien compris et ont blindé le texte de verrous démocratiques. Les mesures d'investigation doivent ainsi faire l'objet d'un contrôle juridictionnel, respecter le principe de proportionnalité et garantir le droit à un recours efficace.

La protection de la vie privée et des données personnelles traverse le texte comme un fil rouge. Les transferts d'informations entre pays doivent être conformes au droit interne et aux obligations internationales de chaque État partie. Des conditions supplémentaires peuvent être exigées pour assurer le respect des lois nationales sur la protection des données. La liberté d'expression, de conscience, de réunion pacifique sont autant de droits fondamentaux gravés dans le marbre dès le préambule de la Convention.

Mais maintenant commence le marathon administratif de la ratification. Le Conseil de l'UE va examiner et décider de la conclusion définitive, puis le Parlement européen devra donner son approbation. Chaque pays membre suivra ensuite son propre parcours législatif national. La Convention ne deviendra vraiment opérationnelle qu'après la quarantième ratification mondiale. Un processus qui pourrait s'étaler sur plusieurs années, mais qui esquisse déjà les contours d'une gouvernance cyber véritablement planétaire, certes avec un, voire deux temps de retard.