Les représentations géopolitiques du droit international dans les négociations internationales sur la sécurité et la stabilité du cyberespace

Introduction

Il y a presque deux ans, le 12 novembre 2018, le président Emmanuel Macron lançait l’« Appel de Paris pour la confiance et la sécurité dans le cyberespace » à l’occasion de son discours au Forum sur la gouvernance de l’Internet à l’Unesco^(x). Ce texte unique en son genre est né de la rencontre des volontés des autorités françaises et du secteur privé. En effet, pour la première fois, des États et des acteurs non étatiques, notamment des entreprises privées françaises et étrangères, s’accordaient sur une déclaration commune en matière de sécurité et stabilité du cyberespace. Les soutiens à l’Appel de Paris réaffirmaient leur attachement « à un cyberespace ouvert, sûr, stable, accessible et pacifique, devenu partie intégrante de la vie sous tous ses aspects sociaux, économiques, culturels et politiques » et le fait que « le droit international, dont la Charte des Nations unies dans son intégralité, le droit international humanitaire et le droit international coutumier, s’applique à l’usage des technologies de l’information et de la communication (TIC) par les États ».

L’ambition de la France était de relancer les discussions internationales sur la régulation du cyberespace, mises à mal après l’échec en juin 2017 du cinquième Groupe d’experts gouvernementaux chargé d’examiner les progrès de la téléinformatique dans le contexte de la sécurité internationale (GEG)^(x). Cet échec et les désaccords qu’il a mis en lumière ont plongé les négociations internationales dans une période d’instabilité et d’incertitude. Avec l’Appel de Paris, la France souhaitait montrer son rôle moteur sur ces questions, fédérer les États partageant des points de vue similaires (généralement qualifiés de like-minded states) et favoriser la reprise des discussions. Néanmoins, les rivalités de puissance n’ont cessé de prévaloir, conduisant à l’adoption de deux résolutions concurrentes par l’Assemblée générale des Nations unies (AGNU) en décembre 2018 et la mise en place de deux processus de négociation concurrents. Dans ce contexte, le droit international est un élément central des discussions entre États sur la paix et la stabilité dans le cyberespace. Or le droit international fait également l’objet de représentations géopolitiques contradictoires qui compliquent les négociations, principalement pour deux raisons.

La première est liée au fait que le cyberespace en soi fait l’objet de représentations contradictoires mais qui coexistent, y compris au sein d’un même État, suivant qu’il est considéré comme échappant, ou pas, à la souveraineté des États. D’un côté, le cyberespace est vu comme un espace à conquérir, impliquant qu’il n’est pas soumis à la souveraineté des États et qu’il existe donc un besoin d’élaborer de nouvelles règles pour y encadrer les comportements. Cette représentation explique donc que l’on se pose la question de savoir si le droit international s’applique ou non. D’un autre côté, le cyberespace est perçu comme un territoire sur lequel s’exerce la souveraineté des États, un nouveau moyen d’agir^(x). Dès lors, la seule question qui se pose est celle de savoir comment le droit international existant s’y applique. Cependant, les caractéristiques du cyberespace compliquent la mise en œuvre des règles du droit international. Elles entraînent donc des débats sur son interprétation, ses limites et les moyens à employer pour assurer la sécurité et la stabilité du cyberespace.

La seconde raison est liée à la nature même du droit international qui organise la coexistence des États. Tout débat sur la régulation internationale de l’espace numérique, et plus particulièrement sur le droit international, s’inscrit dans le cadre de rapports de force entre États. Le droit international est un outil de la diplomatie des États. Il « est donc un objet de stratégie, utilisé voire manipulé en fonction de la perception qu’un État se fait de son intérêt national^(x) ». La « politique juridique extérieure^(x) » des États va donc varier en fonction de leur perception de la menace géopolitique. Or, en raison de l’exacerbation des tensions dans le cyberespace – et plus généralement dans le monde –, la question du droit international est devenue un objet de crispations. L’analyse de la position des États sur le droit international, et plus largement sur la régulation internationale de l’espace numérique, révèle différentes représentations de la menace. Elle traduit également en termes juridiques la stratégie des États sur ces questions et dépeint les différentes visions de l’ordre juridique international.

De tout temps la question du droit international a fait l’objet d’âpres débats entre États et a été utilisée par certains États pour tenter de contrer les avancées technologiques d’autres États. L’observateur avisé aura noté que ce sujet, dans le cadre de la régulation de l’espace numérique, a toujours fait l’objet de désaccords, et ce dès la première résolution de l’AGNU en 1998. Cependant le consensus obtenu par les GEG de 2010, 2013 et 2015 et les progrès notoires ainsi réalisés ont occulté les désaccords fondamentaux sur le droit international.

Le droit international est un sujet important et une source de tension dans les travaux des GEG depuis le début. Les deux GEG qui se sont soldés par un échec, en 2004 et en 2017, ont échoué notamment à cause de questions liées au droit international. Après l’échec du dernier GEG en 2017, on a assisté à un double phénomène : le renforcement du rôle central du droit international comme argument dans les stratégies diplomatiques des États et son instrumentalisation accrue dans les discours à travers l’opposition entre ceux qui le respectent et ceux qui ne le respectent pas, ceux qui le soutiennent et ceux qui le remettent en cause^(x). Produit naturel des rapports de force, il en est devenu l’instrument privilégié dans le cadre des négociations sur les TIC dans le contexte de la sécurité internationale. Or, compte tenu du contexte d’adoption des résolutions 73/27 « Progrès de l’informatique et des télécommunications et sécurité internationale » et 73/266 « Favoriser le comportement responsable des États dans le cyberespace dans le contexte de la sécurité internationale » en 2018 créant respectivement le Groupe de travail à composition non limitée (GTCNL)^(x) et le sixième GEG, ainsi que des précédents rapports des GEG sur lesquels elles se fondent, le traitement de la question du droit international révèle de fortes oppositions. Ces désaccords se concentrent, d’une part, sur les moyens à employer pour assurer la sécurité et la stabilité de l’espace numérique et, d’autre part, sur le contenu des négociations qui illustrent la perception du risque de militarisation du cyberespace associée aux possibles réponses autorisées par le droit international pour des faits internationalement illicites. Pour autant, négocier sur des principes protecteurs tels que le principe de souveraineté capable de limiter l’action des États sur le territoire d’autres États, n’est pas exempt de difficultés en raison de l’enchevêtrement des enjeux.

L’objet de cette étude est donc d’analyser, et de donner des pistes de réflexions, sur la place du droit international dans le cadre des deux processus en cours à l’ONU et de se pencher sur la façon dont il est instrumentalisé dans les présentes négociations. Dans un premier temps, nous expliquerons dans quel contexte sont nés ces deux processus et quels sont leurs mandats respectifs. Dans un deuxième temps, nous discuterons de l’ambiguïté, voire de la confusion, sur le rôle des normes et du droit international dans la régulation du cyberespace et des motivations géopolitiques qui la sous-tendent. Enfin, nous examinerons les représentations géopolitiques associées à l’interprétation de certaines règles du droit international.

I. Éléments de contexte sur le GEG et le GTCNL

Les deux processus mis en place à la demande de l’Assemblée générale des Nations unies sont le reflet des tensions géopolitiques actuelles. Si leur composition et leur calendrier diffèrent, leurs mandats se recoupent très largement. Un bref rappel sur les précédents GEG et les discussions à l’ONU sur les progrès de la téléinformatique dans le contexte de la sécurité internationale permet de mesurer à la fois les progrès accomplis et l’ampleur du chemin qu’il reste à parcourir.

Les GEG précédents et les discussions onusiennes sur les progrès de la téléinformatique dans le contexte de la sécurité internationale

La question des enjeux pour la sécurité et la stabilité internationale liés au développement des cybercapacités des États a été introduite à l’Assemblée générale des Nations unies sous le thème des « progrès de la téléinformatique dans le contexte de la sécurité internationale » par la Fédération de Russie en ١٩٩٨, donnant lieu à l’adoption de la résolution 53/70 le 4 décembre 1998. Depuis, l’Assemblée générale adopte chaque année une résolution sur ce thème.

Ces différentes résolutions ont notamment conduit à la création de cinq GEG successifs en 2004, 2009, 2012, 2014 et enfin en 2016 Mais ce n’est vraiment qu’à partir de 2010 que ces travaux ont commencé à porter leurs fruits. Les participants aux travaux du premier GEG de 2004 n’avaient pas été en mesure de parvenir à un consensus. Aucun rapport final n’avait donc été adopté. Comme le soulignait un des experts de la délégation russe, « [l]a principale pierre d’achoppement était la question de savoir si le droit international humanitaire et le droit international réglementaient suffisamment les questions de sécurité dans le cadre des relations internationales en cas d’utilisation “hostile” des technologies de l’information et de la communication à des fins politico-militaires^(x) ». Ainsi, déjà à l’époque, le droit international était au centre des désaccords entre les experts gouvernementaux. Les trois GEG suivants furent concluants et adoptèrent des rapports consensuels en 2010 (document ONU A/65/201), 2013 (document ONU A/68/98) et 2015 (document ONU A/70/174), soumis par le secrétaire général à l’Assemblée générale qui en a simplement pris note et a recommandé aux États de s’en inspirer. Ces trois rapports contiennent des recommandations sur les mesures de confiance susceptibles de favoriser la sécurité et la stabilité du cyberespace, sur les mesures de coopération et d’assistance internationales pouvant être mises en œuvre par les États et enfin des normes de comportement responsable ayant pour objectif de mieux définir ce qui constitue un comportement responsable dans le cyberespace.

Surtout, en 2013, l’applicabilité du droit international a pour la première fois été reconnue dans le rapport final :

Le droit international et, en particulier, la Charte des Nations unies sont applicables et essentiels au maintien de la paix et de la stabilité ainsi qu’à la promotion d’un environnement informatique ouvert, sûr, pacifique et accessible^(x).

Le rapport de 2015 du GEG, qui pour la première fois avait explicitement comme mandat de traiter du droit international^(x), est allé plus loin en consacrant sa sixième partie au droit international et en y listant plusieurs règles. Depuis, de nombreux États ont confirmé qu’ils partageaient cette approche dans leurs contributions volontaires transmises au secrétaire général des Nations unies^(x).

Le cinquième GEG s’est soldé par un échec en juin 2017. Les experts gouvernementaux participants ne sont pas parvenus à un accord en vue de l’adoption d’un rapport final consensuel. Cet échec est le fruit du refus de trois États de voir l’applicabilité de certaines branches du droit international inscrite dans le rapport final. En effet, la Chine, Cuba et la Russie s’opposaient à ce que l’applicabilité du droit de légitime défense, des contre-mesures et du droit des conflits armés soient mentionnée et développée dans le rapport final. Les experts gouvernementaux cubain et russe expliquèrent qu’une telle inscription pourrait servir à justifier la militarisation du cyberespace^(x) et invoquèrent des divergences d’interprétation profondes. C’est donc dans ce contexte qu’ont été créés le groupe de travail à composition non limitée et le sixième groupe d’experts gouvernementaux.

Le Groupe de travail à composition non limitée (GTCNL) et le sixième Groupe d’experts gouvernementaux (GEG)

Le Groupe de travail à composition non limitée et le sixième Groupe d’experts gouvernementaux ont été créés respectivement par les résolutions 73/27 et 73/266 adoptées à quelques jours d’intervalle les 5 et 22 décembre 2018, dans un contexte particulièrement tendu entre les États. Pour la première fois depuis le début des discussions en 1998, deux résolutions sur les TIC dans le contexte de la sécurité internationale, au lieu d’une habituellement, ont été adoptées par l’Assemblée générale témoignant d’une rupture apparente entre les États sur ce sujet et donnant l’impression de deux blocs d’États s’opposant.

Le contexte de la création des deux processus de négociation

Les résolutions à l’origine de l’établissement du Groupe de travail à composition non limitée (GTCNL) et du Groupe d’experts gouvernementaux (GEG) ont été proposées par deux groupes d’États formant en apparence des blocs opposés. La réalité est cependant plus complexe et nuancée.

La Russie, soutenue par la Chine et d’autres États^(x), a proposé un premier projet de résolution en octobre 2018. Il contenait un paragraphe établissant un GTCNL et listait non seulement les normes adoptées par le GEG en 2015 mais également des normes du Code de conduite international pour la sécurité de l’information proposé par les États membres de l’Organisation de coopération de Shanghai en 2015 qui avait été à l’époque rejeté en bloc par les États occidentaux. Les États-Unis, soutenus par de nombreux États européens^(x), ont déposé en réaction un projet concurrent de résolution, établissant un sixième GEG. Face aux nombreuses critiques, la Russie et les États sponsors du premier projet de résolution ont modifié leur projet. Pour autant, les États-Unis et États sponsors n’ont pas retiré leur propre projet de résolution. Pour les États-Unis et les États européens, la deuxième version du projet de résolution du GTCNL contenait toujours des dispositions non acceptables et ne reflétait pas correctement le rapport de 2015 du GEG sur lequel il affirmait se fonder. Deux projets concurrents de résolutions sur les TIC dans le contexte de la sécurité internationale, l’un porté par la Russie, l’autre par les États-Unis ont donc été discutés au sein de la Première commission de l’AGNU.

Ces débats se sont tenus sur fond de vives tensions entre les États. Ainsi, selon le communiqué de presse faisant état des débats, l’Iran « s’en est pris au pays qui présente un projet de résolution hypocrite dans le but d’imposer le statu quo. Celui-ci, a-t-il accusé, considère le cyberespace comme un champ de bataille et pratique activement le développement d’armes cybernétiques. […] Ceux qui visent à imposer leur supériorité veulent bien sûr maintenir le statu quo et rejettent l’élaboration de règles internationales qui limiteraient leurs capacités à agir dans le cyberespace^(x) ». Le représentant de la République populaire de Chine a quant à lui demandé si le fait pour un État de voter contre le projet de résolution proposé par la Russie lui permettrait d’obtenir un « ticket » pour participer au GEG^(x). L’image de deux blocs d’États opposés a donc été renforcée tant par les États sponsors des deux résolutions que par le contexte de leur adoption et la teneur des débats. Ces deux « blocs » s’articulent autour de deux approches souvent analysées comme diamétralement opposées, d’un côté, celle des États-Unis et des États occidentaux se qualifiant généralement de like-minded states, d’un autre côté, celle de la Chine et de la Russie. Il convient néanmoins de nuancer tant l’homogénéité de ces deux blocs d’États que l’antagonisme de leurs positions respectives.

Premièrement, plutôt que de blocs, il s’agit de groupes d’États qui partagent certaines caractéristiques dans leur approche sans pour autant qu’elles soient identiques. Il existe notamment d’importantes divergences entre l’approche de la Chine et celle de la Russie^(x), comme il en existe entre les approches française et étatsunienne. Deuxièmement, la majorité des États membres de l’ONU ne faisait partie d’aucun des deux groupes à l’origine de ces résolutions, limitant ainsi la notion de deux blocs d’États structurant les oppositions dans les négociations internationales. Plus important encore, la vaste majorité des États membres a voté en faveur des deux résolutions^(x). Pour un certain nombre d’États, si ces deux processus sont concurrents, ils revêtent aussi chacun des intérêts différents. La composition limitée et fondée sur l’expertise du GEG permet de véritables avancées sur le fond des questions, tandis que la composition non limitée du GTCNL permet une approche plus inclusive, ouvrant la possibilité de faire entendre la voix et les attentes de tous les États. La première session de travail du GTCNL qui s’est tenue à New York en septembre 2019 a d’ailleurs démontré l’intérêt d’un grand nombre d’États de participer à ces discussions et d’y faire entendre leur voix, ce qui s’est confirmé lors de la deuxième session formelle de février ٢٠٢٠. Les deux processus en cours n’opposent donc pas deux blocs d’États homogènes et, de par leur composition, présentent une certaine complémentarité. Malgré le climat hostile dans lequel ils sont nés et qui révèle de fortes tensions géopolitiques, ils offrent – en théorie du moins – aux États la possibilité de dépasser leurs clivages pour leur permettre de fonctionner en parallèle, voire en synergie. Les ambassadeurs Guilherme de Aguiar Patriota et Jürg Lauber, respectivement présidents du GEG et du GTCNL, ont d’ailleurs affiché, dès leur prise de fonction, cette ambition constructive.

Les États européens donnent l’impression d’avancer en ordre dispersé dans ces négociations bien qu’il existe aujourd’hui une volonté d’adopter une approche commune. La France s’est affirmée comme un État moteur des discussions internationales dans ce domaine en lançant l’Appel de Paris. Bien que soutenu par les États membres de l’Union européenne, cet Appel reste avant tout une initiative française et non une initiative commune des Européens. De la même manière, malgré l’adoption de la « Cyber Diplomacy Toolbox » par l’Union européenne, certains États semblent plus enclins à agir dans le cadre d’autres coalitions et de concert avec des États non européens. La difficulté d’affirmation de l’Europe comme un acteur unifié est renforcée par le fait que, dans les processus d’adoption et de négociation des précédentes résolutions, les Européens ont souvent été perçus comme suiveurs des États-Unis. Néanmoins, il existe aujourd’hui une réelle volonté européenne d’agir de manière concertée et de s’imposer comme un acteur majeur des discussions internationales.

L’Europe, au travers de ses États membres, dispose des atouts nécessaires pour s’affirmer comme un des moteurs des discussions internationales et faire valoir ses intérêts. Si les États européens parviennent à agir de concert, l’Europe pourra alors être une véritable force de proposition en mettant notamment en avant son expertise et ses succès dans la mise en œuvre de ses obligations internationales en la matière. À titre d’exemple, la Directive NIS^(x) et le Règlement général sur la protection des données^(x) participent à la mise en œuvre des obligations de diligence (due diligence en anglais) et à la « création d’une culture mondiale de la cybersécurité^(x) » des États européens. Par ailleurs, l’Europe est souvent perçue comme pouvant offrir une approche moins clivante et donc comme étant en capacité de réconcilier les différentes positions. À l’inverse, les États-Unis, très critiques vis-à-vis des instances multilatérales depuis la prise de fonction de Donald Trump, ont d’emblée annoncé leur réticence à l’adoption de nouvelles normes, ce qui fait douter les observateurs de leur disposition à adopter une approche constructive et à faire des concessions. Les discussions en cours au sein de l’Assemblée générale des Nations unies et les éventuelles résolutions qui y seront adoptées donneront de précieux éléments sur l’approche des États et le futur des discussions. La complémentarité des deux processus a été mise en avant par plusieurs États. Le GTCNL est ouvert à l’ensemble des membres de l’ONU, permettant ainsi de prendre en compte tous les points de vue. A contrario, la composition du GEG est limitée à vingt-cinq États membres, « désignés selon le principe d’une représentation géographique^(x) », et dont les membres permanents du Conseil de sécurité sont membres de droit. Ce faisant, le GEG apparaît comme un organe plus spécialisé. L’analyse de leurs mandats respectifs montre cependant que, s’ils peuvent être complémentaires, ils ne sont pas de nature à faciliter la recherche d’un consensus et d’une cohérence dans les négociations.

Les mandats des deux processus de négociation

À première vue, les mandats des deux groupes se ressemblent au point de se recouper largement, avec le risque d’empiéter l’un sur l’autre. En effet, les groupes sont tous les deux chargés de travailler sur les normes, règles et principes de comportement responsable des États, les mesures de confiance, le renforcement des capacités et le droit international. Une lecture attentive révèle en réalité plusieurs différences.

Premièrement, le GEG pourra tenir des consultations avec des États non membres du GEG et les organisations régionales compétentes (Union africaine, Union européenne, Organisation des États américains, Organisation pour la sécurité et la coopération en Europe et le Forum régional de l’Association des nations de l’Asie du Sud-Est). Le GTCNL tiendra quant à lui des sessions informelles de consultations avec le secteur privé et les organisations non gouvernementales. De plus, les acteurs non étatiques sont autorisés à participer aux sessions formelles. Relevons toutefois qu’à la suite du refus de la Chine, seules les organisations accréditées auprès du Conseil économique et social (ECOSOC) de l’ONU ont pu assister aux sessions formelles. Deuxièmement, la résolution 73/266 définissant le mandat du GEG dispose que le rapport qui sera présenté à l’Assemblée générale sera « assorti d’une annexe contenant les contributions nationales des experts gouvernementaux sur la question de savoir comment le droit international s’applique à l’utilisation des technologies de l’information et des communications par les États^(x) ». Par conséquent, les vingt-cinq États participants au GEG vont devoir clarifier leur position sur le droit international applicable aux cyberopérations. C’est notamment ce qu’ont fait la France et les Pays-Bas avec respectivement la publication par le ministère des Armées du rapport Le Droit international appliqué aux opérations dans le cyberespace^(x) et d’un document officiel du ministère des Affaires étrangères néerlandais intitulé International Law in Cyberspace^(x). Ces deux documents, publiés les 9 septembre et 14 octobre 2019, serviront très certainement de contribution nationale pour les travaux du GEG^(x). Enfin, le GTCNL sera chargé « d’étudier la possibilité d’instaurer un dialogue institutionnel régulier aussi large que possible sous l’égide de l’Organisation des Nations unies^(x) », impliquant des discussions sur la création d’un organe ou processus permanent pour traiter de la question des TIC dans le contexte de la sécurité internationale.

D’autres différences vont cependant soulever des inquiétudes. La première est le calendrier des deux processus. Le GTCNL devait initialement finir ses travaux en 2020, au cours de la 75e session de l’AGNU, soit un an plus tôt que le GEG qui devait s’achever en 2021 au cours de la 76e session. Le prolongement de la 75e session jusqu’en mars 2021, à cause de la crise sanitaire mondiale due à la pandémie de Covid-19, va permettre de prolonger les travaux du GTCNL et de faire une présentation du rapport lors de la 75e session. Il persistera néanmoins un décalage de quelques mois entre la remise des deux potentiels rapports. Ce décalage de calendrier fait craindre à certains que les quelques États à l’origine de la résolution créant le GTCNL changent d’attitude après la fin des travaux. Autrement dit, ils adopteraient une approche constructive jusqu’à la fin des travaux du GTCNL, de manière à obtenir un consensus sur ses conclusions, avant de se montrer moins coopératifs pour la fin des travaux du GEG, au risque de le conduire à l’échec pour faire prévaloir les résultats des travaux du GTCNL.

Le second élément d’inquiétude est lié au contenu du mandat. Le droit international va être discuté au sein des deux processus et constitue un thème central dans leurs travaux. Cette situation représente à la fois une opportunité et un risque : une opportunité pour les États d’avoir des discussions approfondies sur ces questions et de pouvoir débattre de l’interprétation du droit international dans ce nouveau contexte pour la paix et la sécurité internationales ; mais aussi un risque de voir les deux processus adopter des directions divergentes, créant ainsi une situation instable pour l’ordre juridique international.

Il en est de même pour les normes de comportement responsable des États, que la résolution 73/27 mentionne deux fois dans la définition du mandat du GTCNL. La situation est ainsi délicate à deux égards.

La première mention des normes dans la résolution 73/27 apparaît dès le début de la définition du mandat au paragraphe 5. L’Assemblée générale décide en effet que le GTCNL :

sera chargé, sur la base du consensus, de poursuivre l’élaboration, à titre prioritaire, des règles, normes et principes de comportement responsable des États visés au paragraphe 1 de la présente résolution et de définir des moyens de les appliquer ; d’y apporter des changements ou d’en établir des nouveaux, selon qu’il conviendra^(x).

Ce sont donc les normes, telles qu’énoncées dans la résolution, qui devraient constituer la base de travail du GTCNL. Dans la mesure où elles diffèrent légèrement de celles contenues dans le rapport de 2015 du GEG – bien que s’en revendiquant – et où la résolution 73/266 renvoie seulement au rapport de 2015 du GEG, cela implique que la base de travail des deux groupes pourrait différer. Cela augmentera de fait le risque de contradictions ou de divergences de sens entre les recommandations qui seraient adoptées au sein des différents processus. À titre d’exemple, la recommandation sur la prévention des techniques et outils informatiques malveillants est intégrée dans un paragraphe sur l’intégrité de la chaîne logistique dans le rapport du GEG de 2015 alors qu’elle fait l’objet d’une disposition autonome dans la résolution 73/27. Il y a donc dans cette dernière une autonomisation de la problématique qui pourrait indiquer le souhait de traiter de façon plus explicite le sujet de la prolifération.

Ce risque s’avère toutefois limité par la pratique des États observée jusqu’ici. On relève en effet que lors des deux premières sessions du GTCNL, la très grande majorité des États ont indiqué se référer aux normes du GEG et non à celles contenues dans la résolution 73/27. Cela illustre l’absence de consensus sur les normes telles qu’énoncées par la résolution 73/27 mais entraîne également un décalage entre l’application à la lettre du mandat et la pratique adoptée dans la conduite des négociations.

La question de la base de travail peut également avoir des conséquences sur d’autres aspects des discussions. Le mandat précise que le GTCNL doit « définir les moyens de les appliquer^(x) ». Ce faisant, les États membres seront donc chargés de détailler l’opérationnalisation des normes. En effet, dans la mesure où plusieurs d’entre elles sont déclaratoires, elles nécessitent d’être précisées pour être mises en œuvre. Enfin, le mandat ouvre la voie à une remise en cause des acquis des GEG de 2013 et 2015 en prévoyant que les États pourront « y apporter des changements^(x) », ce qui pourrait passer par l’établissement de nouvelles normes. Si l’élaboration de nouvelles normes, autorisée par la résolution 73/27, peut impliquer la création de nouvelles normes définissant mieux ce que serait un comportement responsable, elle peut a contrario impliquer la création de normes susceptibles de porter atteinte au caractère ouvert du cyberespace, revenant ainsi sur des acquis de 2013 et 2015 et visant à garantir le caractère ouvert du cyberespace.

La deuxième mention des normes dans la résolution 73/27 apparaît dans la seconde partie de la définition du mandat. Il n’est cette fois-ci pas précisé s’il s’agit de celles énoncées dans la résolution 73/27 et/ou de celles adoptées par les GEG de 2013 et 2015.

Il existe donc, à la lecture du mandat, des interrogations relatives aux bases sur lesquelles les négociations doivent être conduites. Elles semblent pour l’instant être réglées par la pratique qui privilégie les normes du GEG mais des contradictions pourraient apparaître dans la mesure où tant le GEG que le GTCNL sont chargés de travailler sur ces dispositions.

Dès lors que les deux processus ont dans leur mandat la question du droit international et des normes de comportement responsable, la question qui se pose est celle de la répartition du travail. Dans son allocution lors de la première session du GTCNL en juin 2019, le représentant spécial du président de la Fédération de Russie pour la coopération internationale dans le domaine de la sécurité de l’information a proposé que le GTCNL traite de la question des normes de comportement responsable, des mesures de confiance et des mesures de coopération et d’assistance internationales, laissant ainsi celle du droit international au GEG^(x). Cette proposition n’a pas été suivie et les deux processus travaillent donc en parallèle sur l’ensemble de ces questions.

Ceci appelle deux commentaires. D’un côté, le traitement non distinct des questions liées au droit international de celles concernant les normes de comportement responsable des États peut s’expliquer par le fait qu’il est difficile de les dissocier complètement. En effet, ces questions sont intrinsèquement liées, comme nous le verrons. De l’autre, cette situation renforce le risque de doublons en termes de contenu des négociations mais également celui de contradictions dans les recommandations formulées par les deux groupes sur les droits et obligations des États dans l’espace numérique. Mais surtout, cette absence de dissociation révèle un désaccord sur les moyens à employer pour assurer la sécurité et la stabilité de l’espace numérique.

II. Normes et droit international : entre confusion et désaccord sur les moyens à employer pour assurer la sécurité et la stabilité de l’espace numérique

Dès 2011, dans l’International Strategy for Cyberspace publiée par la Maison Blanche^(x), les États-Unis appelaient à l’élaboration de normes de comportement responsable des États dans l’espace numérique. Le rapport de 2013 du GEG contient une partie dédiée aux normes, règles et principes de comportement responsable des États dans laquelle les États membres du GEG ont non seulement reconnu l’applicabilité du droit international dans l’espace numérique mais également adopté plusieurs normes afin de renforcer la sécurité et la stabilité de l’environnement informatique mondial. Leur analyse montre que plusieurs de ces normes s’appuient sur la reconnaissance de l’application du droit international dans l’espace numérique et paraphrasent, dans le contexte du numérique, des obligations internationales existantes. Dans le rapport de 2015, les États membres ont choisi de faire figurer dans deux parties différentes les normes de comportement responsable et les dispositions relatives au droit international. Or cette distinction méconnaît les liens pouvant exister entre les premières, qui sont de la soft law c’est-à-dire non juridiquement contraignantes, et le second, dont certaines règles sont rappelées par le GEG. De plus, cette distinction va complexifier la définition des droits et obligations des États dans le cyberespace en introduisant de la confusion sur la nature des règles et en compliquant la conduite des négociations. Enfin, on ne relève aucune répartition de traitement dans le mandat des groupes, ce qui révèle surtout des désaccords sur les moyens de parvenir à la stabilité et à la sécurité de l’espace numérique.

Une distinction en partie artificielle sur les plans formel et matériel

La séparation formelle – c’est-à-dire dans deux parties distinctes du rapport – des normes non contraignantes de comportement responsable des États, d’un côté, et du droit international, de l’autre, comporte trois limites.

La première limite est liée au fait que la nature des dispositions est mentionnée dans la partie sur les normes – juridiquement non contraignantes –, alors qu’elle ne l’est pas dans celle dédiée au droit international. Ainsi, le rapport dispose qu’il s’agit de

normes facultatives et non contraignantes de comportement responsable des États [qui] peuvent contribuer à réduire les risques qui pèsent sur la paix, la sécurité et la stabilité internationales. De ce fait, elles ne cherchent pas à limiter ou à interdire des actes qui respectent le droit international^(x).

Leur violation n’est donc pas susceptible d’engager la responsabilité internationale de l’État.

Or dans la mesure où le rapport de 2015 du GEG est un rapport d’experts et non un traité de droit international, toutes les dispositions qu’il contient, y compris celles incluses dans la partie dédiée au droit international, sont par nature juridiquement non contraignantes. C’est également le cas des résolutions de l’Assemblée générale qui, bien que pouvant participer au processus de formation du droit international^(x), sont dépourvues de tout caractère contraignant. On peut donc s’interroger sur l’utilité de cette mention.

La mention du caractère non contraignant des normes peut donc être lue comme introduisant une distinction avec les obligations du droit international étudiées dans une autre partie du rapport. Elle revient à préciser que ces dispositions ne sont pas liées au droit international, renforçant la distinction avec les obligations du droit international énoncées dans une autre partie du rapport^(x).

Mais cette distinction entre normes de comportement responsable et obligations du droit international méconnaît le lien existant entre certaines dispositions non contraignantes et des obligations contraignantes. C’est là la deuxième limite. En effet, ces dispositions, bien que non contraignantes, ne sauraient être qualifiées de non-droit par opposition aux règles de droit qui seraient les seules règles contraignantes. Elles relèvent plutôt de ce « dégradé normatif^(x) » entre le droit et le non-droit. Ces dispositions non contraignantes, souvent appelées soft law, peuvent en effet contribuer à l’interprétation des obligations existantes du droit international voire à la formation de nouvelles obligations internationales^(x), l’absence de caractère contraignant n’entraînant pas une absence d’effet juridique^(x). En effet, « [l]es États refusent, en recourant à un énoncé de soft law, un engagement juridique contraignant, mais ne renoncent pas à toute forme d’engagement^(x) ».

Enfin, la troisième limite est liée à la mention, à la fois dans la partie dédiée aux normes du rapport et dans celle traitant du droit international, de l’obligation de diligence^(x) et de l’obligation de protéger et respecter les droits de l’homme^(x). Ces redondances montrent donc qu’il existe un lien entre les deux et que les États ne parviennent pas entièrement à les distinguer.

Cette analyse montre donc les limites de la distinction entre normes non contraignantes et dispositions paraphrasant des obligations du droit international, sur le plan formel. Or cette distinction s’avère tout aussi artificielle sur le plan matériel, c’est-à-dire en termes de contenus.

L’analyse du contenu des normes de comportement responsable montre qu’elles peuvent être regroupées en deux catégories. Certaines identifient des bonnes pratiques qui permettent de renforcer la sécurité et la stabilité de l’environnement informatique mondial alors que d’autres sont fondées sur des obligations du droit international appliquées au comportement des États dans l’espace numérique^(x). Dès lors, cette seconde catégorie de normes entretient sur le plan matériel un lien étroit avec le droit international.

La séparation établie entre les obligations du droit international énoncées dans le rapport et les normes va poser deux problèmes compte tenu de leurs liens : l’un au regard de l’identification des droits et obligations des États et l’autre au regard de la conduite des négociations.

Premièrement, cette distinction va ainsi poser problème au regard de l’identification des droits et obligations des États. Dès lors qu’une norme de comportement responsable paraphrase une obligation internationale, on peut s’interroger sur la volonté de maintenir ou non le lien existant entre les deux. Quelles conséquences tirer de cette séparation alors même que le contenu est le même ? Implique-t-elle que la mise en œuvre et le respect de l’obligation reprise dans la norme ne serait qu’une simple recommandation, détachée de l’obligation internationale sur laquelle elle est construite ? Cela n’est à notre sens pas le cas, dans la mesure où l’État est tenu quoi qu’il arrive de respecter les obligations internationales. Le message ainsi véhiculé pourrait donner l’impression que la norme serait détachée du droit international pour être autonomisée et, le cas échéant, que le comportement à adopter dans l’espace numérique ne serait plus fondé sur une obligation internationale mais sur la bonne volonté de l’État.

De plus, certaines normes et dispositions contenues dans la partie dédiée au droit international semblent interpréter des obligations du droit international tandis que d’autres se limitent à les paraphraser. Dès lors, il est difficile de différencier un simple rappel d’une règle de droit international de l’interprétation spécifique d’une obligation internationale pour le cyberespace.

Lorsqu’une même obligation est citée dans les deux parties du rapport, faut-il considérer que la disposition énoncée dans la partie traitant du droit international a une valeur supérieure à celle citée dans la partie dédiée aux normes dans la mesure où il est précisé que les normes n’ont pas vocation à limiter les droits et obligations des États ? Selon l’énoncé de l’obligation paraphrasée ou sur laquelle la disposition se fonde et selon la réponse retenue, les conséquences quant aux droits et obligations des États pourraient différer. À titre d’exemple, lorsque la disposition dans la partie traitant du droit international interprète de façon restreinte une obligation internationale tandis que la disposition dans la partie dédiée aux normes se contente de la paraphraser, cela signifie-t-il que la première disposition a plus de poids – car elle se situe dans la section droit international – et, le cas échéant, que l’interprétation à retenir de l’obligation internationale est plus restreinte dans son contenu lorsqu’elle est appliquée au cyberespace ?

Deuxièmement, cette distinction risque de poser problème au regard de la conduite des négociations internationales, tant au sein du GTCNL que du GEG. Les États vont discuter des normes et du droit international à deux moments différents car les sessions de travail sont organisées par thématique, avec une session dédiée aux normes et une autre au droit international. Or les deux questions étant matériellement liées, il existe un risque que les États traitent deux fois de la même question et adoptent des positions différentes voire contradictoires. De plus, dans la mesure où les discussions en cours sur les normes se concentrent principalement sur leur opérationnalisation, c’est-à-dire leur mise en œuvre concrète, les dispositions qui vont être adoptées participeront à l’interprétation des obligations internationales. Or la question du contenu englobe aussi les aspects non traités par les dispositions qui précisent la mise en œuvre des normes et interprètent donc des obligations internationales. Faudra-t-il considérer que si certaines précisions ne sont pas apportées c’est parce qu’elles ne découlent pas de la mise en œuvre de l’obligation internationale dont l’application à l’espace numérique est précisée ? Ou alors faut-il considérer que les éléments non mentionnés n’ont aucune conséquence quant à l’interprétation de l’obligation internationale ?

Les problèmes dans la conduite des négociations risquent de se complexifier selon que les discussions se fondent sur les normes contenues dans la résolution 73/27 (GTCNL) ou sur celles des précédents rapports du GEG, comme le fait la majorité des États. En effet, l’opérationnalisation des normes nécessite préalablement d’identifier les normes de base retenues. La norme sur l’obligation de diligence de la résolution 73/27 offre un bon exemple^(x). Elle est composée de la norme du GEG sur l’obligation de diligence^(x) et du paragraphe relatif à cette même obligation dans la partie consacrée au droit international^(x). La norme du GEG paraphrase le célèbre dictum de la Cour internationale de Justice dans l’Affaire du détroit de Corfou disposant qu’un État ne devrait pas laisser sciemment son territoire être utilisé à des fins contraires aux droits d’autres États^(x). Le paragraphe correspondant dans la partie dédiée au droit international du rapport contient une disposition se concentrant sur le recours aux intermédiaires par les États et le fait de ne pas laisser son territoire être utilisé par des acteurs non étatiques pour commettre des faits internationalement illicites. Ce paragraphe paraît interpréter l’obligation de diligence en précisant son implication quant au comportement à adopter vis-à-vis des intermédiaires et acteurs non étatiques, interrogeant sur la volonté des États de limiter son application dans le contexte numérique à ces deux cas. Selon l’interprétation que l’on retient de ce paragraphe, l’obligation de diligence est donc plus précise ou plus restreinte que l’obligation telle qu’énoncée par la Cour internationale de Justice et reprise dans la partie traitant des normes. Or dans la mesure où ces deux dispositions sont accolées dans la résolution 73/27 mais pas dans le rapport du GEG, selon que l’on prend l’un ou l’autre texte comme référence pour la définition de son opérationnalisation, les dispositions adoptées ne seront pas les mêmes, entraînant un risque de confusion quant à ce qui est attendu des États.

La distinction établie entre les normes de comportement responsable et les dispositions relatives au droit international n’est donc pas aussi claire et stricte que ce que le rapport laisse entendre. In fine, c’est la notion même de norme de comportement responsable dans sa relation au droit international qui, sur le plan matériel, peut être remise en cause. Elle soulève néanmoins la question de savoir si les normes « sont en effet destinées à promouvoir et à renforcer le droit international ou si [le cadre du] “comportement responsable des États” est une voie détournée du droit international^(x) ». Sur le plan formel, la distinction entre les normes et les dispositions relatives au droit international va pouvoir servir de tremplin pour justifier l’élaboration d’un traité.

Une distinction facilitant l’argument du besoin d’un traité

En raison des spécificités de l’espace numérique, la question du besoin de nouvelles règles s’est posée très rapidement. Ainsi, dès 2000 la Russie argumentait en faveur d’un nouveau traité, expliquant que le droit international positif ne pouvait pas permettre de répondre aux défis spécifiques à l’espace numérique et encadrer les comportements des États^(x). A contrario, de nombreux États occidentaux estimaient que de nouvelles règles n’étaient pas nécessaires. La reconnaissance de l’application du droit international aux comportements des États dans l’espace numérique aurait pu mettre un terme au débat et signifier l’absence de vide juridique manifeste. Les comportements des États sont encadrés par le droit international existant et il n’est donc pas nécessaire d’adopter de nouvelles règles. En revanche, les normes de comportement responsable des États peuvent servir à compléter et préciser les obligations internationales. Pourtant, malgré un apparent consensus, la question du traité a pleinement réémergé en 2019, facilitée par la distinction établie entre les normes et le droit international. Elle illustre des vues divergentes sur les moyens d’assurer la sécurité de l’espace numérique.

Une opposition se focalisant sur la valeur de l’instrument

Pour les promoteurs du traité, il s’agit d’élaborer un instrument juridiquement contraignant afin de définir explicitement les droits et obligations des États dans l’espace numérique. Ils ne remettent pas en cause l’application du droit international positif, mais considèrent qu’elle ne permet pas pour autant de saisir toutes les spécificités de l’espace numérique. Cette position relève d’une vision exceptionnaliste du droit international fondée sur l’incapacité du droit international général à réguler certains phénomènes et implique le développement d’une lex specialis, c’est-à-dire de règles de droit spécifiques pour réguler ces phénomènes. Pour ceux s’y opposant, le droit international positif est suffisamment flexible pour encadrer les comportements des États. En revanche, en raison des spécificités de l’espace numérique, des normes de comportement sont nécessaires en complément afin de préciser les attentes de la communauté internationale. Ces normes n’ont cependant pas vocation, au moins à court et moyen terme, à devenir des obligations internationales. Cette interprétation est confirmée par l’énoncé même de la notion de norme de comportement, celle-ci n’ayant pas pour objet de « limiter ou interdire des actes qui respectent le droit international^(x) ». Ainsi, plus que le contenu des règles, c’est la question de leur valeur qui fait débat. D’un côté, certains États comme la Russie souhaitent élaborer de nouvelles obligations internationales dont la violation serait susceptible d’engager la responsabilité internationale des États. De l’autre, certains États comme les États-Unis préfèrent utiliser des règles de soft law, non contraignantes, et dont la violation ne peut, en tant que telle, engager la responsabilité d’un État. L’opposition s’est donc cristallisée sur la question de la nécessité du traité et de la valeur de ses dispositions, sans discussion sur son contenu éventuel.

Cela s’explique pour plusieurs raisons. D’une part, cet antagonisme remonte aux sources des discussions sur la cybersécurité à l’ONU. Il illustre l’utilisation du droit international pour tenter de limiter les capacités des États les plus avancés et s’inscrit dans un rapport de force géopolitique. D’autre part, il exprime des visions différentes de la légalité internationale. Du point de vue de la doctrine russe, ces normes n’ont vocation qu’à devenir des obligations internationales, conformément à une vision légaliste fondée sur le développement et le respect du droit international. Sans pour autant remettre en cause le droit international et bien qu’il existe d’importantes différences entre eux, les États occidentaux ont une vision plus politique dans laquelle les engagements politiques et les engagements juridiques sont complémentaires. Ne cherchant pas nécessairement à développer des règles contraignantes, ils font le choix d’engagements non contraignants^(x).

Cette préférence peut également s’expliquer par le fait qu’ils ne souhaitent pas se contraindre juridiquement dans un contexte où les rapports de force lors de la négociation d’un traité ne seraient pas nécessairement en leur faveur. Si cet élément sera pallié par les étapes de la signature et de la ratification auxquels ils seront libres de procéder après l’ouverture à la signature du potentiel traité adopté, l’existence même de ce traité pourrait les placer dans une position délicate. L’absence de signature et de ratification serait certainement instrumentalisée pour les montrer du doigt comme des États n’étant pas en faveur de la paix et de la stabilité de l’espace numérique. Plus largement, il convient de souligner que nous sommes actuellement dans une période peu propice au développement de nouveaux traités multilatéraux et du droit international en général, un certain nombre d’États se montrant particulièrement critiques à l’égard du cadre juridique international et de toute forme de contrainte qui en découlerait^(x).

Or, il importe de faire deux distinctions importantes. D’un côté, celle entre l’instrumentum – c’est-à-dire le type d’instrument juridique – et son contenu. De l’autre, celle qui existe entre les notions de contraignant et d’obligatoire. Un traité est un instrument juridique contraignant. C’est un « accord conclu entre deux ou plusieurs sujets du droit international, destiné à produire des effets de droit et régi par le droit international^(x) ». Il a pour conséquence de créer, à la charge des États parties, des obligations internationales qui devront être mises en œuvre par lesdits États en vertu du principe pacta sunt servanda. Pour autant, un instrument contraignant pourra contenir des dispositions générales laissant une grande marge d’interprétation aux États dans leur mise en œuvre. Leur respect pourra donc se matérialiser de façons très différentes. Tel est par exemple le cas de la Convention-cadre sur le changement climatique ouverte à la signature à la suite de la Conférence de Rio en 1992. Comme expliqué par Alan Boyle : « [c]e traité impose effectivement certains engagements aux parties, mais ses principaux articles, qui traitent des politiques et des mesures de lutte contre les émissions de gaz à effet de serre, sont formulés de manière si prudente et obscure et sont si peu précis qu’il n’est pas certain que de véritables obligations soient créées^(x) ». A contrario, des dispositions non contraignantes pourront avoir un caractère obligatoire en raison du vocabulaire employé, de leur précision – qui impliquera une mise en œuvre uniforme – ou de l’existence de mécanismes de suivi poussés. Ainsi, « [l]a technique ou le moule conventionnel ne confèrent pas à eux seuls à ces obligations une intensité donnée^(x) ». Par conséquent, le formalisme juridique ne saurait présumer du caractère obligatoire des dispositions^(x). En d’autres termes, il convient de dépasser la seule considération du type d’instrument en présence et de regarder concrètement son contenu.

Au-delà de l’instrument, quel contenu pour un futur traité ?

En matière de contenu, la question qui se pose est de savoir si un futur traité devrait créer de nouvelles obligations internationales – par exemple en transformant des normes de comportement responsable en obligations internationales –, ou s’il devrait préciser la façon dont les obligations internationales existantes doivent être interprétées, afin de mieux définir les droits et obligations des États dans l’espace numérique.

Premièrement, la question de l’interprétation du droit international dans le contexte particulier qui nous intéresse n’a pas nécessairement vocation à être réglée par l’adoption d’un traité. Rappelons en effet que chaque État est libre, dans la limite de ce que le droit international lui permet, de retenir ses propres interprétations. En revanche, la communication par les États de leurs approches sur l’application des règles de droit international pourrait jouer un rôle important dans l’identification de leur pratique^(x). En ce sens, la demande qui est faite aux États membres du sixième GEG de fournir une contribution nationale « sur la question de savoir comment le droit international s’applique à l’utilisation des technologies de l’information et des communications^(x) » pourrait apporter des éléments de réponse pertinents. En effet, si les vingt-cinq États membres, et en particulier les membres permanents du Conseil de sécurité (Chine, États-Unis, France, Royaume-Uni et Russie), se plient à cet élément du mandat, il sera alors possible d’avoir une base solide sur les points de divergence et de convergence dans leurs approches du droit international applicable aux cyberopérations. Il convient de noter qu’à l’heure actuelle moins d’une dizaine d’États dans le monde ont communiqué de manière substantielle sur leur approche^(x). De plus, les normes de comportement responsable des États sont un moyen permettant de s’accorder sur l’interprétation de certaines règles de droit international dans un contexte particulier. En ce sens, plusieurs normes adoptées par les GEG précédents participent à l’interprétation du droit international.

Deuxièmement, l’identification de nouvelles obligations internationales ne devrait résulter que d’un travail d’interprétation approfondi et de la pratique des États sur l’application du droit international dans le cyberespace. En effet, comment identifier quelles nouvelles règles seraient nécessaires si l’on n’a pas préalablement établi quels comportements étaient déjà couverts par le droit positif ? En ce sens, l’exemple de la protection des infrastructures électorales contre les attaques informatiques visant à interférer avec des élections est significatif. La pertinence de cette proposition de la Global Commission on the Stability of Cyberspace (GCSC)^(x) que l’on retrouve également dans l’Appel de Paris, pose question quand le principe de non-intervention trouve déjà indiscutablement à s’appliquer en matière d’infrastructure électorale. Si elle peut être vue comme une mise en œuvre de ce principe, ne mène-t-elle pas à son affaiblissement, et ce faisant à celui de la protection des processus électoraux qu’il implique par son caractère non contraignant et le langage employé ? Au-delà de cet exemple, il s’agit également d’identifier la pertinence et le risque d’obsolescence à choisir des normes trop précises et restreignant de fait le champ matériel des règles coutumières du droit international. La flexibilité et la capacité d’adaptation offertes par des principes généraux ne devraient ainsi pas être oubliées au seul motif des nouveaux développements technologiques.

Enfin, la distinction opérée entre les normes de comportement et le droit international offre un argument en faveur de l’élaboration de nouvelles obligations internationales. En effet, à ce stade on peut identifier une contradiction dans l’argumentaire des États refusant tout débat sur l’élaboration d’un traité mais défendant les normes de comportement existantes, voire soutenant l’adoption de nouvelles normes. Ainsi, selon la position française, l’existence de vides juridiques justifiant l’adoption de nouvelles obligations internationales n’a pas été démontrée^(x). Pour autant, la France défend activement les normes adoptées en 2013 et 2015 et l’Appel de Paris qui contient également de nouvelles normes. Ces positions peuvent être perçues comme contradictoires puisque l’adoption de ces normes pourrait ainsi être interprétée comme le marqueur d’un vide juridique qu’il conviendrait de combler, et donc être utilisée pour justifier l’ouverture de discussions sur un traité international. La proposition russe de confier le sujet des normes de comportement au GTNCL signale un regain d’intérêt pour la Russie de faire adopter un traité international dans ce domaine. En effet, le format du GTCNL, ouvert à tous les États membres, pourrait constituer un cadre favorable pour servir ce projet. Il est donc probable que la Russie utilise ce processus pour proposer à nouveau d’en discuter et promouvoir l’idée selon laquelle un traité serait nécessaire. C’est d’ailleurs ce qui a été fait par la délégation russe lors des sessions formelles du GTCNL. Le cas échéant, on comprend d’autant plus que la disposition sur l’apport de preuves lors de la formulation d’accusations de cyberopérations, qui était initialement dans la partie consacrée au droit international dans le rapport de 2015 du GGE, ait été qualifiée de norme de comportement responsable dans la résolution 73/27 puisqu’il s’agirait de la transformer en une véritable obligation internationale. Cette disposition, bien que présente dans la partie VI du rapport de 2015, est explicitement rejetée par les États-Unis et la France qui ont affirmé qu’elle ne saurait impliquer la création d’une nouvelle obligation internationale. Or, en qualifiant cette disposition de norme et selon l’objectif d’élaboration d’un traité, elle pourrait alors avoir vocation à devenir une nouvelle obligation internationale.

Il importe cependant de souligner que le souhait d’un traité n’est pas partagé par tous les États, y compris parmi ceux généralement associés à la Russie. Ainsi, la position chinoise est plus prudente et révèle le souhait de poursuivre l’étude de l’interprétation du droit international et des conséquences attachées à son application aux comportements des États dans le cyberespace. Sans rejeter le besoin éventuel de nouvelles règles de droit, elle ne s’inscrit donc pas dans cette vision exceptionnaliste.

Quelle que soit la stratégie de la Russie quant à un éventuel traité, l’analyse du caractère normatif et des effets juridiques des dispositions adoptées constitue aujourd’hui un enjeu de taille pour tenter de retrouver son chemin dans les méandres des droits et obligations des États dans l’espace numérique. La pratique des États tant en matière de droit international qu’au regard des normes de comportement reste pour l’instant embryonnaire. Or, elle est fondamentale en raison de son rôle dans la formation du droit international. Par ailleurs, quand bien même ces instruments ne sont pas contraignants, les États les ayant adoptés sont tenus de se comporter de bonne foi. La mise en place d’un mécanisme de suivi de type déclaratoire, sur le modèle proposé par la France au G7^(x) et qui pourrait se fonder sur les contributions volontaires des États au secrétaire général des Nations unies, constituerait ainsi un moyen de renforcer ces normes, tout comme pour les mesures de confiance et les mesures de coopération et d’assistance internationales adoptées.

En distinguant les normes de comportement du droit international, les États membres du quatrième GEG ont donc non seulement introduit une distinction largement artificielle et partiellement démentie par le contenu même des normes, mais également ravivé les tensions autour de la question du traité, exacerbées par le contexte géopolitique. L’enjeu du traité est aujourd’hui un point de divergence fondamental, bloquant toute avancée de fond sur le contenu même des droits et obligations des États dans l’espace numérique. Or cette situation est renforcée par les oppositions sur le contenu des règles de droit international devant être discutées.

III. Interprétation du droit international : entre risque de militarisation de l’espace numérique et enchevêtrement des enjeux

Le principe de l’applicabilité du droit international est aujourd’hui consensuel. Ce qu’il recouvre ne fait, en revanche, l’objet d’aucun accord, entraînant ainsi des risques de blocage importants. L’échec du GEG en 2017 était dû au refus de quelques États de voir l’application au cyberespace de certaines branches du droit international explicitée dans le rapport final. Cette opposition a été présentée par certains commentaires^(x) comme une remise en cause générale de l’applicabilité du droit international dans le cyberespace. Or il n’en est rien.

Contrairement à ce qui peut souvent être affirmé, ni la Chine ni la Russie ne remettent en cause le principe même de l’applicabilité du droit international et de la Charte des Nations unies, dans son intégralité, au cyberespace. Leurs positions se ressemblent, avec quelques nuances. Ces deux États ont exprimé leur souhait de se concentrer sur des principes protecteurs du droit international – tels le principe de souveraineté ou celui de non-intervention – et la précision des droits et obligations primaires des États, plutôt que sur les règles organisant les réactions aux violations du droit international – telles que la légitime défense et les contre-mesures. Le refus de débattre de l’application de l’article 51 de la Charte des Nations unies (droit de légitime défense) dans le cyberespace n’est aucunement une remise en cause de l’applicabilité de cette règle. Il repose sur des arguments à la fois politiques et juridiques, notamment liés aux faiblesses en matière d’attribution juridique et aux standards de preuve utilisés en la matière. D’après leur analyse, ces obstacles juridiques rendraient inopérant ce droit de légitime défense, sans pour autant le remettre en cause dans son existence. Cette subtilité dans leur raisonnement est souvent niée par d’autres acteurs étatiques, soit par simplicité soit par intérêt politique. Or elle est d’autant plus importante que, politiquement, il ne fait que peu de sens pour un État de vouloir renoncer à son droit de légitime défense. Il est d’ailleurs intéressant de relever que si le discours russe sur ce droit est très critique, jamais la Russie n’a énoncé son reniement.

Par ailleurs, quelques mois après l’échec du cinquième GEG, les dirigeants des BRICS (Brésil, Russie, Inde, Chine et Afrique du Sud) adoptèrent la Déclaration de Xiamen le 5 septembre 3017, rappelant leur attachement à l’applicabilité du droit international aux technologies de l’information et de la communication :

Nous considérons que l’ONU a un rôle central à jouer dans l’élaboration de normes universellement acceptées de comportement responsable des États dans l’utilisation des TIC afin de garantir un environnement pacifique, sûr, ouvert, coopératif, stable, ordonné, accessible et équitable dans le domaine des TIC. Nous soulignons l’importance primordiale des principes du droit international inscrits dans la Charte des Nations unies, en particulier la souveraineté des États, l’indépendance politique, l’intégrité territoriale et l’égalité souveraine des États, la non-ingérence dans les affaires intérieures d’autres États et le respect des droits de l’homme et des libertés fondamentales. Nous soulignons la nécessité de renforcer la coopération internationale contre l’utilisation abusive des TIC à des fins terroristes et criminelles, réaffirmons l’approche générale définie dans les déclarations de eThekwini, Fortaleza, Ufa et Goa à cet égard, et reconnaissons la nécessité d’un instrument réglementaire universel contraignant sur la lutte contre l’utilisation criminelle des TIC sous les auspices des Nations unies, comme énoncé dans la déclaration d’Ufa^(x).

Cette opposition sur l’interprétation du droit international qui a cristallisé les tensions entre États, repose sur des désaccords liés aux représentations associées à l’interprétation de certaines règles du droit international. En effet, les États vont adopter des interprétations qui peuvent différer en fonction des menaces qui leur semblent prioritaires ou de leurs intérêts stratégiques. En d’autres termes, le débat ne porte pas sur les règles de droit international elles-mêmes, mais sur leur interprétation. En effet, ces règles sont relativement flexibles permettant donc différentes interprétations et, par conséquent, les États n’en ont pas tous les mêmes. La traduction juridique des différentes représentations des menaces va être particulièrement marquée dans le cas des réponses autorisées par le droit international en réaction à un fait internationalement illicite. Mais elle va également être compliquée par l’enchevêtrement des enjeux, illustrant la difficulté pour un État à se positionner sur l’interprétation du droit international en prenant en compte tous ses intérêts stratégiques.

Les réponses autorisées par le droit international : l’argument de la militarisation de l’espace numérique

Les discussions du GGE en 2017 ont achoppé sur le paragraphe de droit international. Certains États ne souhaitaient pas voir à nouveau^(x) inscrite de mention du droit des conflits armés, des contre-mesures et de la légitime défense^(x) car, selon eux, cela pourrait servir de base à la militarisation du cyberespace. Ces points de désaccord entre les États soulignent l’absence de consensus sur la mise en œuvre des modalités de réponse aux cyberopérations telles qu’organisées par le droit international. En réaction à un acte inamical, un État pourra adopter des mesures de rétorsion tandis qu’en réaction à un fait internationalement illicite il pourra adopter des mesures de rétorsion ou des contre-mesures^(x), la légitime défense n’étant invocable qu’en réaction à une agression armée^(x).

Il est fort probable que la question des formes de réponses qui pourraient être invoquées et mises en œuvre par un État victime d’une cyberopération devienne à nouveau un sujet de désaccord, voire de tension, au sein du GEG ou du GTCNL. Cette question est cruciale à un moment où les attributions politiques et/ou imputations^(x) publiques se multiplient. Depuis le piratage de Sony Pictures en novembre 2014, attribué par les États-Unis à la Corée du Nord, on assiste à un changement de stratégie de la part de plusieurs États qui ont décidé de dénoncer publiquement certaines attaques informatiques, allant jusqu’à s’exprimer de façon coordonnée (attribution semi-collective) voire conjointe (attribution collective). L’analyse des discours d’attribution montre une évolution qui révèle trois dynamiques. Premièrement, ces discours s’inscrivent dans le cadre de rapports de force opposant principalement les Five Eyes^(x) et quelques-uns de leurs alliés à la Russie et la Chine. Deuxièmement, leur contenu montre que les États, sans pour autant qualifier juridiquement les comportements qu’ils dénoncent, invoquent a minima l’ordre juridique international et les normes de comportement responsable adoptées par les GEG de 2013 et 2015. La stratégie de naming and shaming a, selon ses défenseurs, pour but d’établir la responsabilité au moins politique des États attaquants et de renforcer la sécurité et la stabilité de l’espace numérique. Elle s’est matérialisée avec l’adoption en marge de l’Assemblée générale des Nations unies par 27 États, dont la France, d’une Déclaration conjointe en faveur du comportement responsable des États dans le cyberespace (Joint Statement on Advancing Responsible State Behavior in Cyberspace dans sa version officielle en anglais) en date du 23 septembre 2019 et aussi appelée l’« Appel de New York^(x) ». Troisièmement, ces discours sont souvent accompagnés de l’adoption de sanctions^(x).

Ces éléments de contexte sont importants pour comprendre pourquoi, politiquement, il existe une opposition sur la question des réponses aux cyberopérations étatiques. Elle résulte non seulement des frictions entre des groupes d’États mais également des incertitudes quant aux qualifications juridiques, non explicitées, retenues par les États pour adopter des mesures, non définies, en réponse aux attaques informatiques dénoncées. En d’autres termes, la relative incertitude qui plane quant à l’interprétation du droit international par les États fait peser une certaine insécurité juridique sur la justification qui pourrait être invoquée pour prendre des mesures de réponse. C’est ce nouveau contexte de relative insécurité juridique qui explique, en partie, la frilosité de certains États sur la codification de l’interprétation de certaines branches du droit international pour le cyberespace.

Sur le plan du droit international, ces incertitudes reposent sur des interprétations divergentes, y compris entre des États pourtant qualifiés de like-minded, et dont certaines tendent à favoriser le recours à la force. La première divergence repose sur l’existence d’un seuil entre le recours à la force (article 2§4 de la Charte des Nations unies) et l’agression armée (article 51). Le premier ouvre le droit à l’adoption de contre-mesures, alors que la seconde déclenche le droit de légitime défense. Or les États-Unis ne reconnaissent pas cette distinction, le droit de légitime défense étant, selon eux, déclenché dès lors qu’un État recourt à la force en violation de l’article 2§4^(x). Cette interprétation a pour conséquence d’abaisser le seuil du recours à la légitime défense, et donc potentiellement à la force, comme réponse à un fait internationalement illicite.

Le deuxième point de divergence est lié à la théorie des contre-mesures armées. Contrairement à la légitime défense, les contre-mesures ne peuvent en aucun cas prendre la forme d’un recours à la force. C’est ce qui ressort notamment des Articles de la CDI sur la responsabilité de l’État pour fait internationalement illicite^(x). Un courant minoritaire de la littérature suggère que, tout en maintenant la distinction entre les seuils du recours à la force et de l’agression armée, un État qui serait victime d’un recours à la force n’atteignant pas le seuil de l’agression armée pourrait mettre en œuvre des contre-mesures armées^(x). Ces dernières devraient respecter le double critère de nécessité et de proportionnalité, qui s’applique aussi aux contre-mesures et à la légitime défense. Cette théorie vient remettre en cause l’équilibre entre ces deux formes de réponse car elle autorise les États à adopter, en réponse à un acte sous le seuil de l’agression armée, des mesures qui impliqueraient un recours à la force. Compte tenu des incertitudes quant à l’identification des différents seuils de qualification, ces interprétations pourraient conduire à favoriser la conduite de cyberopérations aux effets potentiellement déstabilisateurs.

Le troisième point de divergence porte sur l’adoption de contre-mesures collectives afin de soutenir l’État lésé par la cyberopération. Leur application en réponse à des cyberopérations a été défendue par la présidente de l’Estonie lors du discours d’ouverture de la CyCon^(x). Bien qu’il contienne plusieurs ambiguïtés, le régime des contre-mesures collectives est défini par les Articles de la CDI sur la responsabilité de l’État pour fait internationalement illicite. Or la proposition estonienne vise à s’en exonérer pour les élargir^(x). Dans un contexte où certains États imputent des cyberopérations dont ils n’ont pas été victimes^(x) à d’autres États, notamment dans le cadre d’attributions collectives et semi-collectives, cette proposition est perçue comme déstabilisatrice et source de clivages et tensions futures et pourrait constituer un point de blocage important. La France^(x) a d’ailleurs exprimé son opposition à la proposition estonienne.

Enfin, le dernier point de divergence porte sur l’assimilation voire la confusion entre l’obligation de diligence et la théorie du unable-unwilling. Le non-respect de son obligation de diligence par un État permet à l’État victime d’adopter, sous certaines conditions, des mesures de rétorsion et des contre-mesures sans pour autant ouvrir droit à la mise en œuvre du droit de légitime défense^(x). A contrario, la théorie du unable or unwilling a été utilisée par les États-Unis pour justifier le recours à la force sur le territoire d’États, sans leur consentement, parce qu’ils étaient incapables ou réticents à prendre les mesures nécessaires pour mettre un terme à l’utilisation de leur territoire par des groupes armés. C’est un principe hautement controversé que, jusqu’ici, seuls les États-Unis ont invoqué et dont ils semblent aujourd’hui se distancer. Considérer que la théorie du unable or unwilling et l’obligation de diligence sont identiques a donc pour conséquence de légitimer le recours à la force dans des situations où il est aujourd’hui proscrit par le droit international. Toute mention de ce principe dans une partie dédiée à la régulation internationale ou aux menaces risquerait donc d’être perçue comme une façon de faciliter le recours à la force contre un État dont le territoire aurait été utilisé pour mener des cyberopérations contre un autre État.

Ces quatre points illustrent les motifs juridiques d’opposition dans les négociations sur les réponses autorisées par le droit international en réaction à un fait internationalement illicite. Facilitant la conduite de cyberopérations en réaction à un acte inamical ou un fait internationalement illicite ils conduisent, selon leurs détracteurs, à la militarisation de l’espace numérique aux dépends d’un cyberespace ouvert, sûr, accessible et pacifique. A contrario, et malgré les difficultés prévisibles de l’exercice, ces pays estiment que les négociations devraient porter sur des principes protecteurs et stabilisateurs, notamment les principes de souveraineté et de non-intervention.

Le principe de souveraineté : l’interprétation au défi de l’enchevêtrement des enjeux

La souveraineté, attribut même de l’État, est à la base du droit international^(x). Plusieurs corollaires découlent de ce principe, dont l’égalité souveraine des États, leur liberté d’agir dans le périmètre de leur souveraineté et la non-intervention dans les affaires intérieures d’un autre État. Cela implique notamment de limiter le droit pour un État de mener des cyberopérations contre un autre État. C’est donc en ce sens que ces corollaires sont considérés comme protecteurs et stabilisateurs. Chercher à déterminer quelles cyberopérations seraient constitutives d’une violation de la souveraineté et de l’intégrité territoriale d’un État ou du principe de non-intervention est un véritable défi. En effet, en raison de l’enchevêtrement des enjeux – une même question de droit peut se poser dans des contextes très variés et soulever des interprétations différentes en raison d’intérêts stratégiques parfois opposés – et du choix des États de ne pas aborder tel ou tel type de cyberopération ou sujet, par exemple le cyberespionnage, il est difficile de parvenir à un consensus sur l’interprétation de ces principes dans le contexte numérique.

En matière de respect de la souveraineté et de l’intégrité territoriale d’un État, le critère territorial sert de pierre angulaire pour définir les contours des droits et obligations des États. Or, dans le contexte numérique, il peut se trouver malmené face à un phénomène qui fait fi des frontières. On assiste alors à un double mouvement. D’un côté, les États reconnaissent tous aujourd’hui que leur souveraineté s’exerce sur les infrastructures situées sur le territoire^(x), conduisant ainsi à territorialiser le cyberespace en se raccrochant non seulement à la couche physique^(x) mais également en recourant à d’autres mécanismes, comme la théorie des effets^(x). D’un autre côté, une partie de la doctrine et plusieurs États procèdent à une remise en cause partielle de cette territorialité en se fondant sur des arguments technico-politiques^(x) et en interprétant de façon déraisonnable le critère territorial^(x) ou en mettant en avant d’autres titres de compétence^(x).

Cette problématique est fondamentale lorsque l’on s’interroge sur deux questions en particulier. La première est celle de l’exercice d’une compétence d’exécution extraterritoriale^(x) notamment en matière pénale. Il est traditionnellement admis qu’un État ne peut collecter de preuve sur le territoire d’un autre État en l’absence d’une règle permissive, que celle-ci soit conventionnelle, c’est-à-dire que l’autorisation découlerait d’un traité préexistant entre les États concernés, ou le fruit de l’accord de l’État territorialement compétent^(x). La seconde est celle de l’espionnage et de l’assimilation – ou non – d’une intrusion dans un système d’information à une intrusion sur le territoire d’un État^(x). La première question relève des débats sur la lutte contre la cybercriminalité et ne devrait donc pas être abordée au sein du GEG ou du GTCNL. La seconde relève de la paix et la sécurité internationales et, bien qu’elle ne soit pas traitée pour des raisons politiques, devrait avoir toute sa place dans les négociations en cours. Ceci est d’autant plus le cas que la plupart des cyberopérations conduites par les États sont le fait des services de renseignement. De plus, toute exploitation d’une vulnérabilité à des fins de renseignement crée un risque pour tous, cette faille pouvant être exploitée à d’autres fins par d’autres acteurs malveillants. De plus, les outils offensifs développés par les États à des fins de renseignement peuvent être dérobés et réutilisés, participant ainsi directement à leur prolifération et à l’instabilité internationale. Envisagée sous deux angles différents, ce sujet revient à poser la question suivante : le fait de pénétrer de façon non autorisée dans les systèmes d’information^(x) situés sur le territoire d’un État porte-t-il atteinte à son intégrité territoriale et constitue-t-il une violation de sa souveraineté^(x) ? Or de la réponse à cette question découle la mise en œuvre des règles secondaires sur la responsabilité de l’État pour fait internationalement illicite, déterminant notamment les mesures que l’État lésé peut prendre pour amener l’État responsable à s’acquitter de ses obligations internationales.

Cette situation illustre la difficulté à cloisonner les sujets traités lorsqu’ils ramènent à une même question et, le cas échéant, le risque d’aboutir à des conclusions contradictoires. Pour éviter ce problème, la solution serait de prendre en compte la finalité de l’acte. Dans cette hypothèse, instaurer une distinction serait indéniablement, et à juste titre, perçu comme une instrumentalisation du principe de souveraineté afin de rendre licites des cyberopérations menées à des fins d’espionnage. Elle montre également les limites de toute négociation sur l’interprétation du droit international dans le contexte numérique. Compte tenu des positions antagonistes sur ce sujet, il semble difficile de pouvoir parvenir à un consensus sur un principe pourtant à la base de l’ordre juridique international et dont découlent d’autres principes du droit international ainsi que la définition de nombreux droits et obligations. Cela interroge alors sur la délimitation entre ce qui devrait faire l’objet d’un consensus dans le cadre de négociations internationales et ce qui devrait relever de l’interprétation de chaque État.

Les points de divergence entre États sur l’interprétation du droit international sont donc nombreux, qu’ils portent sur la question des normes primaires, à travers l’exemple de la souveraineté, ou secondaires, pour les réponses à un acte internationalement illicite. Des positions identiques sur un point précis peuvent être adoptées par des États perçus comme antagonistes (par exemple, le cas de l’approche de la France et de la Russie sur la violation de souveraineté) tandis que ces mêmes États peuvent fortement s’opposer sur d’autres. De même, la notion de like-minded est une fiction qui ne résiste pas à un examen attentif des politiques juridiques internationales des États. Or ces divergences risquent d’être accentuées par la distinction artificielle établie, comme nous l’avons vu plus haut, entre la notion de norme de comportement responsable et le droit international.

Conclusion

Le droit international, instrument de la politique extérieure des États, est devenu un nœud gordien dans les négociations internationales sur la sécurité et la stabilité de l’espace numérique. Cette étude démontre ainsi sa place désormais centrale dans les travaux des deux processus en cours à l’ONU sur la paix et la stabilité dans le cyberespace, le GEG et le GTCNL.

Sur le plan politique, les normes de comportement responsable ont indéniablement un rôle à jouer. Elles peuvent orienter les États dans l’identification de ce qui constitue un comportement responsable et poser les jalons d’un futur droit international du cyberespace. Il faut néanmoins souligner le caractère relativement artificiel de la distinction établie entre les normes juridiquement non contraignantes et le droit international. En analysant en profondeur la distinction opérée dans ces travaux, notre étude met en lumière le lien étroit entre certaines normes et des obligations de droit international. Certaines normes découlent directement d’obligations de droit international, comme l’obligation de diligence à titre d’exemple, et semblent avant tout servir à les interpréter. Dans ces conditions, il semble donc difficile d’opérer une distinction stricte. Il serait en effet contre-productif voire dangereux juridiquement qu’une norme fondée sur une obligation de droit international et ladite obligation évoluent de façon distincte voire opposée.

Dans le contexte international actuel, les normes non contraignantes apparaissent comme un palliatif au droit international, pour deux raisons principales. Premièrement, parce qu’elles offrent aux États la possibilité de s’accorder sur l’interprétation de certaines obligations de droit international et sur d’autres éléments constitutifs d’un comportement vertueux dans le cyberespace, sans pour autant les graver dans le marbre. Deuxièmement, ces normes pourraient à terme servir de base à la transformation des règles et principes existants du droit international voire à la formation de nouvelles règles conventionnelles ou coutumières. C’est un processus long et incertain qu’il ne faut néanmoins pas négliger car il est à l’origine de nombreuses obligations existantes du droit international. Là encore, ces deux remarques soulignent un peu plus le caractère souvent artificiel de la distinction entre normes et droit international. L’adoption de normes fondées sur un consensus politique doit donc prendre en compte leur lien avec le droit international et leurs potentielles conséquences sur son évolution.

Finalement, la distinction opérée semble être avant tout le résultat des rapports de force observés lors des précédents GEG, voire d’une relative polarisation autour des positions des États-Unis et des États occidentaux d’un côté et celles de la Russie et de la Chine de l’autre côté. En réalité, cette relative polarisation est une fiction et il existe une mosaïque d’approches différentes partageant de nombreuses similitudes par-delà les deux « blocs » généralement décrits. Une diversité d’approche existe concernant l’application du droit international en général, et en particulier lorsque l’on s’intéresse à son application aux cyberopérations. Cette situation réaffirme le besoin pour les États de communiquer de manière substantielle sur leur approche et l’interprétation des règles et principes du droit international, ce qui n’a été fait que par une poignée d’entre eux à l’heure actuelle.

Notre étude s’est concentrée sur les normes de comportement et le droit international dans les travaux à l’ONU. Les États, en tant que principaux sujets du droit international et membres des Nations unies, en sont donc les premiers protagonistes. Il est néanmoins nécessaire de prendre en compte la montée en puissance, en particulier sur les thématiques liées aux TIC, de nouveaux acteurs. En effet, les acteurs non étatiques sont aujourd’hui particulièrement actifs dans la réflexion sur les normes^(x). Certaines initiatives visent à proposer et promouvoir de nouvelles normes de comportement responsable. Dans ce contexte de multiplication des initiatives d’acteurs non étatiques et du développement de normes non contraignantes, on constate néanmoins que le droit international reste le pilier de l’ordre juridique international, y compris lorsqu’il s’agit de définir les droits et obligations des États dans l’espace numérique. À travers les débats et oppositions qu’il suscite, c’est toute son utilité en tant que droit organisant la coexistence pacifique des États qui est réaffirmée. Il ne constitue néanmoins certainement pas une panacée^(x) et reste le résultat des rapports de force dans un contexte où les tensions géopolitiques sont exacerbées.

Bibliographie

Adamson Liisi, « International Law and International Cyber Norms. A Continuum? », in Dennis Broeders, Bibi van den Berg (dir.), Governing Cyberspace. Behavior, Power and Diplomacy, Rowman & Littlefield, 2020, p. 25.

Baxter R. R., « International Law in “Her Infinite Variety”», The International and Comparative Law Quarterly, vol. 29, n° 5, 1980.

Bourguignon Jonathan, « La recherche de preuves informatiques et l’exercice extraterritorial des compétences de l’État », in SFDI, Internet et le droit international, Colloque de Rouen, Pedone, 2014.

Boyle Alan E., « Some Reflections on the Relationship of Treaties and Soft Law », The International and Comparative Law Quarterly, vol. 48, n° 4, 1999.

Broeders Dennis, Adamson Liisi et Creemers Rogier, A coalition of the unwilling? Chinese and Russian perspectives on cyberspace, Policy Brief, novembre 2019.

Buchan Russell, Cyber Espionage and International Law, Bloomsbury Publishing, 2018.

Cahin Gérard, La Coutume internationale et les organisations internationales. L’incidence de la dimension institutionnelle sur le processus coutumier, Publication de la RGDIP, nouvelle série, n° 52, Pedone, 2001.

Cazala Julien, « Le soft law international entre inspiration et aspiration», Revue interdisciplinaire d’études juridiques, 2011/1, vol. 66.

Chinkin Christine, « Normative Development in the International Legal System », in Dinah Shelton (ed.), Commitment and Compliance. The Role of Non-Binding Norms in The International Legal Systems, Oxford University Press, 2000.

Combacau Jean et Sur Serge, Droit international public, LGDJ, Domat, 2014 (11e éd.).

Daillier Patrick, Forteau Mathias et Pellet Alain, Droit international public, LGDJ, 2009 (8e éd.).

Daskal Jennifer, « Borders and Bits», Vanderbilt Law Review, n° 71, 2018.

Delerue François, Cyber Operations and International Law, Cambridge University Press, 2020.

Delerue François, International Law in Cyberspace Matters: This Is How and Why, EU Cyber Direct, Ideas in Focus, 2019.

Delerue François, « Reinterpretation or Contestation of International Law in Cyberspace? », Israel Law Review, n° 52:3, 2019.

Delerue François, « The Codification of the International Law Applicable to Cyber Operations: A Matter for the ILC? », ESIL Reflections, n° 7, 2018.

Delerue François et Géry Aude, « Le droit international et la cyberdéfense » in Didier Danet, Amaël Cattaruzza et Stéphane Taillat, La Cyberdéfense – Politique de l’espace numérique, Armand Colin, 2018.

Delerue François et Géry Aude, État des lieux et perspectives sur les normes de comportement responsable des États et mesures de confiance dans le domaine numérique, Note stratégique, CEIS 2017.

Desforges Alix, Approche géopolitique du cyberespace, enjeux pour la défense et la sécurité nationale, l’exemple de la France, thèse, Université Paris 8 Vincennes-Saint-Denis, 2018.

Desforges Alix et Douzet Frédérick, « Du cyberespace à la datasphère. Le nouveau front pionnier de la géographie », NETCOM, 32:1-2, 2018.

Douzet Frédérick et Géry Aude, « War and Peace in Cyberspace: Obama’s Multifaceted Legacy », in François Vergniolle de Chantal (dir.), Obama’s Fractured Presidency. Policies and Politics, Edinburgh University Press, 2020.

Fernandez Julian, « Un enjeu et un moyen de la diplomatie des États », Questions internationales, n° 49, « À quoi sert le droit international ? », mai-juin 2011.

Jacob Patrick, « La compétence des États à l’égard des données numériques : du nuage au brouillard... en attendant l’éclaircie ? », Revue critique de droit international privé, n° 3, 2019.

Koh Harold Hongju, « International Law in Cyberspace», Harvard International Law Journal, vol. 54, sur la base du discours prononcé à la 2012 USCYBERCOM Inter-Agency Legal Conference.

Krieger Heike et Nolte Georg, The International Rule of Law - Rise or Decline? - Points of Departure, KFG Working Paper Series, n° 1, 2016.

Ladreit de Lacharrière Guy, La Politique juridique extérieure, Economica, 1983.

Lafouasse Fabien, L’Espionnage dans le droit international, Éditions Nouveau Monde, 2012.

Pellet Alain, « Le “bon droit” et l’ivraie – Plaidoyer pour l’ivraie (Remarques sur quelques problèmes de méthode en droit international du développement) », in Le Droit des peuples à disposer d’eux-mêmes : méthodes d’analyse du droit international. Mélanges offerts à Charles Chaumon, Pedone, 1984.

Roberts Anthea, Is International Law International?, Oxford University Press, 2017, 432 p.

Roguski Przemyslaw, Application of International Law to Cyber Operations: A Comparative Analysis of States’ Views, The Hague Program on Cyber Norms, Policy Brief, 2020.

Schmitt Michael N. et Vihul Liis (dir.), The Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge University Press, 2017 (2e éd.).

Stern Brigitte, « Quelques observations sur les règles internationales relatives à l’application extraterritoriale du droit», AFDI, vol. 32, 1986.

Streltsov A. A., « La Sécurité de l’information au niveau international : description et aspects juridiques », Les technologies de l’information et la sécurité internationale, Forum du désarmement, 2007.

Tikk Eneken, International Law in Cyberspace: Mind the gap, Research Focus, 2020.

Treppoz Edouard, « Jurisdiction in the Cyberspace », Swiss Review of International and European Law, vol. 26, n° 2, 2016.