La Convention de Genève numérique de Microsoft, une protection des internautes adaptée aux comportements irresponsables des Etats dans le cyberespace ? (Par Darius Fadier, CEIS)

Se posant en défenseur des internautes, Microsoft a proposé le 14 février dernier une « convention de Genève numérique » en réponse à la prolifération des cyberattaques d’origine étatique. Autrement dit, le géant du numérique appelle les Etats à élaborer et signer un acte internationalement contraignant qui aurait pour objet, à l’instar des conventions de Genève de 1949, la protection des civils contre les cyberattaques venant des Etats.

Plus qu’un effet d’annonce, Microsoft, par le biais de son directeur juridique, Brad Smith, a dessiné les contours de cette convention, et détaillé un certain nombre de règles pouvant être appliquées par les Etats. A ce titre, si la proposition de Microsoft s’inscrit dans la logique et dans l’esprit des conventions de Genève relatives à la protection des civils, elle se distingue de ses dernières en proposant des mesures adaptées au numérique et se veut ainsi une convention nouvelle.

D’abord, l’une des principales nouveautés de cette « convention de Genève numérique » réside dans son champ d’application. En effet, les dispositions des conventions de Genève de 1949 s’appliquent dans le cadre des conflits internationaux ou nationaux, c’est-à-dire en temps de guerre, alors que la proposition de Microsoft a vocation à s’appliquer en temps de paix. Cette distinction peut paraitre surprenante puisque cette proposition concerne les cyberattaques d’Etats ou la « cyberguerre ». D’autant plus qu’il pourrait être simplement envisagé d’appliquer les dispositions des conventions de Genève de 1949 aux conséquences des cyberattaques. Toutefois, la proposition de Microsoft se justifie et prend son sens par le fait que les cyberattaques ne prennent pas uniquement la forme d’attaques inter-étatiques mais sont plus généralement le fait d’acteurs privés agissant pour leur propre compte ou pour celui d’un Etat, contre un acteur lui aussi appartenant au secteur privé. L’attaque de Sony Pictures attribué à la Corée du Nord en 2014 en est un bon exemple.

Ensuite, si comme les conventions de Genève de 1949, la proposition de Microsoft a pour objet la protection des civils, elle constitue cependant une convention autonome et nouvelle dans le contenu même des règles internationales qu’elle souhaite mettre en place. Ainsi, la convention de Genève numérique de Microsoft prévoit de protéger tout particulièrement la propriété des civils, tels que les câble sous-marins, les serveurs, les ordinateurs ou encore les données. Pour se faire, Microsoft propose dans sa convention d’introduire de nouvelles règles internationales spécifiques pour ce type de protection :

• L’interdiction du vol de propriété intellectuelle par les Etats ;
• L’assistance des Etats au secteur privé pour la protection numérique ;
• L’encadrement du cyberarmement des Etats qui se traduit notamment par un engagement à la non-prolifération des cyberarmes ;
• La constitution d’une organisation internationale indépendante regroupant acteurs publics et privés chargées d’examiner les cyberattaques et de partager les preuves portant sur l’attribution d’une cyberattaque à un Etat.

Il est intéressant de remarquer que ces différentes règles évoquées par Microsoft s’inscrivent davantage dans le renforcement des recommandations du GGE sur les comportements responsables des Etats que dans la continuité des conventions de Genève de 1949. Par exemple, le GGE recommande aux Etats de ne pas utiliser les cyberattaques pour endommager les infrastructures d’un autre Etat. Dans sa convention, Microsoft souhaite renforcer ce principe en l’étendant aux infrastructures du secteur privé. De même, le projet d’une organisation internationale chargée d’examiner les cyberattaques et leur attribution avait été soulevé par le GGE et n’avait d’ailleurs pas recueilli l’unanimité des Etats.

Toutefois, les conventions de Genève ont bien inspiré la démarche de Microsoft qui a pour ambition la construction d’une « Suisse numérique » dans le secteur privé. De la même façon que la Croix-Rouge, qui assure de manière neutre la protection quotidienne des civils à travers le monde, les entreprises du numériques doivent, selon Microsoft, prendre les mesures nécessaires pour la protection des internautes et des infrastructures numériques. Notons cependant que les conventions de Genève ont posé deux critères permettant à une organisation de disposer de la légitimité internationale pour intervenir dans la protection des civils : la neutralité et l’adoption d’un signe distinctif. Or, il n’est pas certains que les entreprises du numérique remplissent aisément ces deux critères. Car, à la différence de la Croix-Rouge, les entreprises du numériques poursuivent une activité à but lucrative et sont généralement guidées par leurs intérêts commerciaux, qui peuvent être bien différents des intérêts des internautes.