2.2. Application du droit international

🎯(Comment) le droit international s’applique-t-il au cyberespace ?

Selon le Cadre, les États conviennent que le droit international existant et la Charte des Nations Unies s’appliquent au cyberespace. Le droit international établi réglemente la conduite des conflits armés et cherche à en limiter les effets.

Il est cependant moins clair de savoir comment il s’applique dans la pratique et dans des circonstances particulières. La Charte des Nations Unies, en tant que fondement de l’ensemble du droit international qui fournit des motifs pour justifier l’entrée dans un conflit, accorde (Article 51) le droit de légitime défense individuelle ou collective en cas d’attaque armée contre un État membre. Pourtant, qu’est-ce qu’une attaque armée et un recours à la force dans le cyberespace, et quelle est sa limite ? Est-ce limité aux attaques qui causent des dommages physiques et des blessures, ou d’autres effets (par exemple, financiers,
environnementaux, économiques ou politiques) d’une cyberattaque en font-ils partie également ? Quand une cyberattaque porte-t-elle atteinte à la souveraineté d’un autre État, le cas échéant ? L’État attaqué devrait-il être autorisé à répondre par n’importe quel moyen, y compris toutes les options militaires avec les méthodes de guerre traditionnelles ?

Il est également difficile de comprendre comment le droit international humanitaire (DIH) régissant l’usage de la force dans les conflits armés, comme la protection des populations civiles et des infrastructures, s’appliquera. Pendant des années, les États n’ont pas réussi à s’entendre sur la question de savoir si le DIH s’appliquerait ou si son application militariserait en fait le cyberespace. Ce n’est qu’en 2021 que le GGE a confirmé que le DIH ne s’applique qu’en situation de conflit armé, donc pas en temps de paix. Le GGE indique également que
l’application des principes fondamentaux du DIH à l’utilisation des TIC doit faire l’objet d’études plus approfondies.

L’un des principaux défis est de savoir comment tenir les États responsables de leurs opérations, de pouvoir attribuer de manière sûre l’attaque à la réponse sans risquer l’escalade des tensions politiques. Invoquer les dispositions du droit international et utiliser des éléments du Cadre présentent un intérêt lorsqu’il s’agit d’engager la responsabilité de certains États pour une cyberattaque et de tenir les États responsables de leurs cyberopérations. Le rapport GGE 2021 offre notamment une marge de progression puisqu’il impose des éléments d’attribution des cyberattaques, à savoir « les attributs techniques de l’incident ; sa portée, son échelle et son impact ; le contexte général, y compris la portée de l’incident sur la paix et la sécurité internationales ; et les résultats des consultations entre les
États concernés » (UN GGE, 2021, par. 24).

La recherche la plus approfondie et faisant autorité sur l’applicabilité du droit international au cyberespace et les défis qui y sont liés est le Manuel de Tallinn sur le droit international applicable à la cyberguerre, élaboré en 2013 par un groupe international indépendant d’experts invités par le CCDCOE de l’OTAN. Il a été mis à jour en 2017 ; et s’intitule le Manuel de Tallinn 2.0.

Les résolutions de l’AG de l’ONU de 2021 relatives aux rapports du GGE et du GTCNL invitent les États à partager leurs propres positions sur la manière dont le droit international s’applique au cyberespace. En effet, un nombre croissant d’États élaborent et publient les positions de leur pays. Un bon aperçu des questions ouvertes et des positions générales des États sur l’applicabilité du droit international est disponible au Digital Watch Observatory.