Parlez de mauvais timing. Cette semaine, tous les avocats internationaux ayant un intérêt un peu plus que passager pour tout ce qui touche à la cybersécurité ont les yeux rivés – ou sont eux-mêmes sur – New York. En effet, le « Cyber OEWG » de l’ONU, abréviation d’un groupe de travail à composition non limitée au nom beaucoup plus long, est en session pour discuter, entre autres questions, de la manière dont le droit international s’applique à l’utilisation des technologies de l’information et des communications par les États. .
Mais tandis que les représentants des États récitaient leurs déclarations policées pleines de références à des règles juridiques internationales abstraites, un incident très concret se déroulait à l’autre bout du monde, qui mettait en lumière un dilemme juridique clé auquel les États étaient confrontés. Ce dilemme est de savoir comment qualifier les données informatiques au regard du droit international humanitaire (DIH), une question ayant des implications primordiales pour la protection des populations civiles lors des conflits armés modernes.
L’histoire qui fait l’objet de cet article a commencé, comme beaucoup de choses de nos jours, par une publication sur les réseaux sociaux. Mardi 12 décembre, les renseignements militaires ukrainiens ont annoncé avoir réussi à pirater la cyberinfrastructure du système fiscal russe, puis à détruire la base de données fiscale. Le ton de l’annonce chargée d’emojis, rendue publique sur la plateforme Telegram, était sans vergogne auto-félicitation. Voici un exemple de lettre, traduit automatiquement en anglais :
La réaction immédiate de la communauté de la cybersécurité a confirmé que nous étions en terrain inconnu. Par exemple, Dan Black de l’équipe Cyber Espionage de Mandiant de Google noté qu’il s’agissait probablement du premier cas dans lequel un État s’est « directement auto-attribué » une opération de ce type. En supposant que les faits décrits dans l’annonce de l’Ukraine soient exacts (sans surprise, le Service fédéral des impôts de Russie a rapidement nié l’incident), cela signifie que nous pouvons mettre de côté le problème épineux de l’attribution. L’Ukraine a clairement revendiqué la responsabilité de l’opération. Mais était-ce légal ?
Le piratage était régi par le droit international humanitaire
L’opération s’est déroulée dans le contexte du conflit armé international en cours entre la Russie et l’Ukraine. En tant qu’activité entreprise par l’une des parties à ce conflit contre l’autre, elle avait un lien évident avec le conflit. Il ne fait donc aucun doute qu’il était régi par le DIH, c’est-à-dire l’ensemble du droit qui régit la conduite des belligérants lors d’un conflit armé.
Au cours des années 2010, des discussions ont eu lieu entre les États sur la question de savoir si le DIH s’appliquait dans le cyberespace. À l’époque, certains États avaient exprimé leur inquiétude quant au fait qu’accepter l’applicabilité du DIH dans le contexte cybernétique pourrait légitimer le recours à des cyberopérations militaires et conduire à la militarisation du cyberespace. Bien qu’il s’agisse de considérations importantes, comme Laurent Gisel et moi-même l’avons expliqué ailleurs, elles ne sont pas nécessairement incompatibles avec l’application du DIH aux cyberopérations pendant un conflit armé (voir p. 146).
Il est important de noter qu’en 2021, les États se sont mis d’accord sur une formulation de compromis – exprimée pour la première fois dans un rapport d’expert qui a ensuite été approuvé par une résolution consensuelle de l’Assemblée générale des Nations Unies – qui reconnaissait l’applicabilité du DIH mais notait que « rappelant que [IHL] ces principes ne légitiment ni n’encouragent en aucun cas les conflits ». Depuis lors, nous pouvons parler d’un consensus international selon lequel le DIH régit les cyberopérations pendant les conflits armés – comme celui analysé dans cet article.
Mesurer l’opération par rapport aux règles de conduite des hostilités
Pour évaluer si l’opération était licite, deux aspects doivent être soulignés à ce stade. Tout d’abord, l’opération ne s’est pas limitée à pénétrer les réseaux du Service fédéral des impôts russe, mais selon les renseignements militaires ukrainiens, elle détruit les données stockées dans ces réseaux. Ceci est important car il existe un large consensus sur le fait que le cyberespionnage en tant que tel ne viole pas le DIH (voir par exemple le Manuel de Tallinn 2.0, commentaire de la règle 89 au paragraphe 5). Ce qui compte est de savoir si l’opération aboutit à quelque chose de plus que le simple accès aux réseaux et l’exfiltration de données – ce que celle-ci aurait fait.
Deuxièmement, les données en question n’étaient associées à aucun objet ou personnel bénéficiant d’une protection spécifique en vertu du DIH. Il s’agit d’entités telles que des établissements médicaux et des organisations humanitaires impartiales ainsi que leur personnel. Ainsi, par exemple, si l’Ukraine avait ciblé et détruit un médical base de données, l’opération aurait impliqué l’exigence que les unités médicales, les moyens de transport et le personnel soient respectés et protégés à tout moment par les parties au conflit (voir règles 25, 28 et 29 de l’étude du CICR sur le DIH coutumier). Étant donné que la destruction d’une base de données sur laquelle s’appuie un établissement de santé entraverait par définition le fonctionnement d’un tel établissement, elle serait interdite par le DIH.
Toutefois, les données fiscales ne bénéficient pas d’une telle protection particulière et doivent donc être évaluées selon les règles ordinaires de conduite des hostilités. Le principal d’entre eux est l’article 52(1) du Premier Protocole additionnel aux Conventions de Genève de 1949, qui prévoit l’interdiction des attaques directes contre des biens de caractère civil. Si les forces armées ukrainiennes avaient bombardé un bâtiment appartenant aux autorités fiscales russes – c’est-à-dire un bien civil – l’attaque aurait manifestement violé cette règle. Mais les données civiles sont-elles aussi civiles ? objet?
Qualification des données comme objet au regard du DIH
Il s’agit d’une question épineuse qui divise depuis longtemps les juristes internationaux, les États et les autres parties prenantes, depuis les échanges entre experts du Manuel de Tallinn (voir le commentaire sur la Règle 38 dans l’édition 2013, paragraphes 4 et 5). J’ai été de ceux qui se sont lancés assez tôt dans la course, arguant en 2015 que l’application stricte des règles d’interprétation des traités conduisait à conclure que le sens du terme « objet » dans le Protocole additionnel I avait évolué au fil du temps pour devenir inclure des données informatiques (aux pp. 65 à 80). D’autres ne sont pas d’accord : par exemple, dans un article récent, Ori Pomson a rejeté une telle interprétation évolutionniste et a soutenu que le terme « objet » dans AP I signifie fondamentalement « une chose matérielle » (aux pp. 368-373).
Un aperçu des points de vue exprimés jusqu’à présent par les États suggère que trois grandes écoles de pensée ou approches générales ont émergé :
- Approche originaliste : Il s’agit d’un point de vue qui accorde une grande importance à la compréhension du terme « objet » tel qu’il était lors de la rédaction du Protocole additionnel I dans les années 1970. Selon cette vision, pour qu’une chose soit un objet, elle doit être visible et tangible. Par conséquent, les données informatiques civiles – telles qu’une base de données fiscale – ne seraient pas considérées comme des biens de caractère civil et échapperaient donc au champ de protection des règles pertinentes sur la conduite des hostilités. Les États qui souscrivent à cette approche sont le Danemark, le Chili et Israël.
- Approche évolutive : D’autres États, dont le Costa Rica, la Finlande, l’Allemagne, la Norvège et la Roumanie, considèrent que toutes les données civiles sont protégées en tant que biens de caractère civil. Cela implique que les données soient considérées comme des objets au sens du DIH. Ce point est parfois souligné expressément : par exemple, le Costa Rica a déclaré qu’il « souscrit à l’idée selon laquelle les données civiles constituent des biens de caractère civil au regard du DIH » (par. 50). Cette approche peut être qualifiée d’« évolutive » dans la mesure où elle examine la fonction que jouent les données dans la société moderne et interprète la notion d’« objets » au sens du DIH à travers cette lentille contemporaine.
- Approche hybride : Enfin, il existe une troisième catégorie, hybride, composée pour l’instant d’un seul État. Cet État est la France, qui dans sa position nationale considère les « données de contenu » comme protégées par le principe de distinction, laissant de côté la question de savoir si d’autres types de données (comme le code ou les métadonnées) sont formellement qualifiées de « données de contenu ». objets ou non (voir p. 15-16). Selon cette approche, les données de contenu civil (telles que les données fiscales) sont protégées contre les attaques, tout comme les autres types de biens civils.
Dans l’ensemble, ce large éventail de points de vue montre que la question de savoir si et dans quelle mesure les données constituent des objets aux fins de leur protection en vertu du DIH reste à l’heure actuelle sans réponse (pour en savoir plus, voir cette page du Cyber Law Toolkit, qui contient également des extraits de nombreux documents de position pertinents de l’État). Quoi qu’il en soit, au moins selon les approches (2) et (3), les ensembles de données ciblés par les renseignements militaires ukrainiens étaient qualifiés de biens civils protégés. D’après les faits disponibles, leur destruction aurait donc constitué une violation du DIH. Pour ce que ça vaut, j’ai tendance à être d’accord avec cette interprétation.
Implications et voies possibles à suivre
Même si certains peuvent considérer cette opération particulière comme une tactique créative employée contre un adversaire plus puissant, nous ne devons pas perdre de vue le fait que les règles du DIH sont d’application générale et sont conçues pour s’appliquer de la même manière à tous les conflits et à tous les belligérants. Comme l’a dit le CICR, la destruction de données civiles essentielles « peut rapidement paralyser complètement les services gouvernementaux et les entreprises privées » et ainsi « causer plus de tort aux civils que la destruction d’objets physiques » (à la p. 490).
À mon avis, nous devrions donc résister à toute approche interprétative qui ne protège pas suffisamment contre ces formes de préjudice – en gardant à l’esprit que l’objectif général du DIH est de protéger les victimes de la guerre, y compris en particulier les populations civiles des territoires touchés par le conflit. En d’autres termes, une interprétation permissive que l’on pourrait être tenté d’adopter aujourd’hui pourrait très bien avoir des effets préjudiciables considérables sur sa propre population civile lors d’un conflit demain.
En fin de compte, c’est à travers des incidents comme celui-ci que la communauté internationale se rassemblera progressivement autour d’une des approches interprétatives possibles. Ce processus souligne le caractère dynamique du droit international, qui est avant tout élaboré par les États. L’incident évoqué dans cet article sera donc sans aucun doute étudié par des juristes internationaux des ministères des Affaires étrangères et de la Défense du monde entier, dont très probablement quelques-uns qui rentrent tout juste d’une semaine chargée à New York.
Lorsqu’ils conseillent à leurs gouvernements quelle approche adopter, ils doivent soigneusement peser les conséquences que cela aurait pour la protection de leurs propres ensembles de données de gouvernance (pas seulement les bases de données fiscales, mais aussi les bases de données de sécurité sociale, bancaires, électorales, etc.) et, par extension. , leurs propres populations civiles prises entre deux feux numériques. L’incident de cette semaine est une nouvelle confirmation qu’à l’ère numérique, les protections juridiques doivent couvrir plus que les seuls objets physiques.