Cette recension a été publiée dans le numéro d’hiver de Politique étrangère (n° 4/2017). Victor Fèvre propose une analyse du Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations (Cambridge University Press, 2017, 640 pages).

L’Organisation du traité de l’Atlantique nord (OTAN) a créé et implanté son « centre d’excellence cyber » (NATO Cooperative Cyber Defence Centre of Excellence – CCDCOE) à Tallinn, après les cyberattaques dont l’Estonie a été victime en 2007. Un groupe d’experts (militaires, chercheurs, juristes, etc.) a été rassemblé sous son égide pour élaborer un ouvrage collectif sur les règles d’engagement d’une opération cyber, inexistantes jusqu’à présent. C’est ainsi que le Tallinn Manual 1.0 a été publié en 2013, même si ce n’est pas officiellement sous l’étiquette OTAN. Le premier manuel était très axé sur les opérations militaires, et le groupe d’experts a été élargi pour étendre la réflexion à toutes les opérations dans le cyberespace. Le présent Tallinn Manual 2.0 a été publié en 2017. La France n’était pas représentée dans le groupe, et le manuel n’existe qu’en anglais – comme le site internet du CCDCOE.

Formellement, ce manuel est un exercice de casuistique : énumération de 154 règles, avec de nombreux paragraphes, regroupés en chapitres thématiques. Si quelques principes de base sont mentionnés, le manuel est constitué d’une longue liste de cas pratiques accompagnés de principes supposés guider la conduite des parties.

Sur le fond, l’ouvrage se veut un manuel et non un code. Il ne s’impose pas en source du droit, et ne fait que transposer, par analogie, dans le cyberespace, des principes puisés à des sources juridiques externes. Les sources classiques du droit international public demeurent les références : le droit des conflits armés (ad bellum & in bello), de la mer, de l’air, de l’espace, de la diplomatie, de la cybercriminalité, etc., avec tous leurs traités internationaux. Le Tallinn Manual n’innove donc pas dans ce domaine. Le fait de considérer une cyberattaque comme une agression méritant une riposte armée proportionnée, appréciée selon certains critères (gravité, urgence, lien direct, pénétration, mesurabilité, caractère militaire, responsabilité étatique et présomption de légalité) vaut pour n’importe quelle agression d’un État.

La souveraineté reste le principe cardinal de ce guide. La version 2.0 du manuel devait couvrir les opérations du cyberespace n’ayant pas forcément un caractère militaire, ou une responsabilité étatique. Pourtant, toutes les règles ne traitent que de rapports entre États ; toute attaque, quels que soient le groupe ou l’individu responsables (entreprise, organisation criminelle, particuliers), émane par définition d’un lieu où se situe le responsable. L’État exerce sa souveraineté sur son territoire et sa responsabilité est engagée : il doit faire régner l’ordre et le droit chez lui.

Une faiblesse demeure cependant. Il est admis que tous les États sont de bonne foi, coopèrent et transmettent toute information en leur possession qui pourrait être utile aux autres (concept de due diligence). Le manuel part du principe que tous les États ont une connaissance réelle et suffisante des activités cyber sur leur territoire, et sont capables d’y exercer toute leur souveraineté. Il est pourtant illusoire d’imaginer pouvoir attribuer avec certitude une cyberattaque. Certains États sont faibles, d’autres sont complaisants. Même si ces derniers ont tort juridiquement, comment exercer une coercition ? Le droit international public n’est ici que difficilement applicable – et ce n’est pas l’apanage du cyberespace.

Victor Fèvre

S’abonner à Politique étrangère