Manuel de Tallinn 2.0

Fiche 10 — Manuel de Tallinn 2.0 : regles essentielles

2 months ago
14 min read
Add comment
FacebookX

Synthèse de 15 règles majeures avec cas d’application

Introduction

Le Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, publié en 2017, est la référence doctrinale la plus influente sur l’application du droit international aux cyberopérations. Il contient 154 “black letter rules” accompagnées de commentaires détaillés. Il faut toutefois rappeler un point fondamental : le Manuel n’est pas un traité et n’a pas de force obligatoire en lui-même ; il exprime les vues d’un groupe d’experts agissant à titre personnel, même si le projet a bénéficié d’échanges informels avec de nombreux États et de nombreux relecteurs. Le CCDCOE le présente comme une ressource influente pour les conseillers juridiques et les experts en politique cyber, au point qu’un projet Tallinn Manual 3.0 a été lancé en 2021 pour tenir compte des développements récents. (Cambridge Assets)

La difficulté, en pratique, est que toutes les règles du Manuel n’ont pas le même niveau de consensus étatique. Michael Schmitt rappelait déjà en 2019 que certaines règles sont largement admises dans le cyberespace, notamment l’interdiction de l’intervention et le droit de légitime défense, tandis que d’autres restent nettement plus disputées, en particulier la portée autonome de la souveraineté et de la diligence due. L’évaluation de la réception étatique du Tallinn Manual montre d’ailleurs une acceptation inégale selon les questions et selon les États. (CCDCOE)

La bonne manière de lire Tallinn 2.0 n’est donc pas de le traiter comme un “code positif” fermé, mais comme une grille d’analyse raisonnée. Pour une fiche de synthèse, les 15 règles ci-dessous sont les plus utiles parce qu’elles couvrent les quatre grands blocs du droit international cyber : souveraineté et responsabilité, mesures de réaction, jus ad bellum, et droit des conflits armés. (PagePlace)

1. Règle 4 — Violation de souveraineté

La Règle 4 énonce qu’un État ne doit pas conduire de cyberopérations qui violent la souveraineté d’un autre État. Le commentaire visible dans l’aperçu du Manuel précise que les experts considèrent comme particulièrement clairs les cas de présence physique non consentie, de dommages matériels, de blessures, et, pour la majorité, de certaines pertes de fonctionnalité ou d’atteintes aux fonctions gouvernementales inhérentes. C’est une règle cardinale, mais aussi l’une des plus débattues dans la pratique étatique contemporaine. (PagePlace)

Cas d’application : un agent étatique introduit physiquement une clé USB malveillante dans un ministère étranger et y implante un malware. Le Manuel donne justement ce type d’exemple pour illustrer une violation manifeste de souveraineté. Autre hypothèse : une opération à distance provoque la perte de fonctionnalité d’un réseau électrique civil situé dans un autre État ; pour la majorité des experts du Manuel, cela tombe également dans la violation de souveraineté. (PagePlace)

2. Règle 6 — Due diligence

La Règle 6 porte sur la diligence due. Elle figure dès le chapitre 2 du Manuel comme principe général. L’idée est qu’un État ne peut pas rester totalement passif lorsque son territoire ou ses infrastructures sont utilisés pour des cyberactivités causant un préjudice grave à d’autres États, dès lors qu’il en a connaissance et qu’il a une capacité raisonnable d’agir. Schmitt rappelait toutefois que cette règle, comme la souveraineté autonome, reste l’un des points les plus contestés en cyberdroit international. (PagePlace)

Cas d’application : un groupe opérant depuis le territoire de l’État A lance des attaques massives contre les hôpitaux de l’État B. Si A est informé, dispose de moyens raisonnables et n’agit pas, B pourra soutenir que A a manqué à son obligation de diligence due, même si l’attaque n’est pas juridiquement attribuable à A lui-même. (PagePlace)

3. Règle 11 — Interdiction de l’exécution extraterritoriale sans consentement

La Règle 11 du chapitre sur la juridiction traite de l’extraterritorial enforcement jurisdiction. En droit international classique, un État peut parfois revendiquer une compétence normative étendue, mais il ne peut pas exécuter ses mesures coercitives sur le territoire d’un autre État sans consentement. En cyber, cela vise par exemple les prises de contrôle à distance, les perquisitions numériques transfrontières ou les suppressions forcées de données sur des serveurs situés à l’étranger. Le Manuel place clairement cette règle dans le noyau du droit de la juridiction. (PagePlace)

Cas d’application : l’État A identifie un serveur de commande et de contrôle hébergé dans l’État B et décide unilatéralement d’y pénétrer pour y copier les logs puis effacer le contenu. Même si l’objectif est défensif, cette action relève d’une exécution de puissance publique sur le territoire de B et pose donc un problème de légalité internationale en l’absence de consentement ou d’autre justification reconnue. (PagePlace)

4. Règle 15 — Attribution des actes des organes étatiques

La Règle 15 du chapitre sur la responsabilité internationale vise l’attribution des cyberopérations conduites par les organes d’un État. C’est un point central : pour engager la responsabilité internationale d’un État, il faut relier juridiquement l’acte à cet État. Lorsqu’une cyberopération est conduite par un ministère, une armée, un service de renseignement ou tout autre organe étatique, l’attribution est en principe directe. (PagePlace)

Cas d’application : une unité cyber militaire d’un État déploie un malware contre les systèmes électoraux d’un autre État. La question n’est plus seulement technique mais juridique : si l’unité relève bien d’un organe étatique, l’opération est attribuable à l’État auteur. (PagePlace)

5. Règle 17 — Attribution des actes de non-étatiques

La Règle 17 traite de l’attribution des cyberopérations menées par des acteurs non étatiques. C’est l’un des nœuds du contentieux cyber : un groupe privé, patriotique, mafieux ou pseudo-indépendant n’engage pas automatiquement la responsabilité internationale d’un État. Il faut démontrer un lien juridique suffisant selon les standards du droit de la responsabilité : contrôle, direction, instruction, ou autre mode reconnu d’attribution. (PagePlace)

Cas d’application : un groupe de hackers “patriotes” attaque un réseau gouvernemental étranger. Le seul fait qu’il soutienne politiquement son gouvernement ne suffit pas, en lui-même, à attribuer l’opération à l’État. En revanche, si l’enquête établit des instructions, un pilotage opérationnel ou une intégration fonctionnelle au service de renseignement de cet État, l’attribution peut devenir juridiquement soutenable. (PagePlace)

6. Règle 20 — Contre-mesures

La Règle 20 pose le principe des contre-mesures. Lorsqu’un État est victime d’un fait internationalement illicite attribuable à un autre État, il peut prendre certaines mesures autrement illicites pour amener l’État responsable à revenir à la légalité, sous réserve des limites fixées par les règles suivantes du Manuel sur l’objet, les limites et la proportionnalité des contre-mesures. (PagePlace)

Cas d’application : après une cyberopération attribuée à un État étranger ayant saboté des systèmes douaniers, l’État victime suspend temporairement certains échanges numériques interétatiques ou neutralise de manière limitée l’infrastructure cyber étatique directement mobilisée, dans le seul but de faire cesser la violation et sous condition de proportionnalité. En revanche, une riposte punitive pure, détachée de l’objectif de retour à la légalité, sortirait du cadre. (PagePlace)

7. Règle 32 — Cyberespionnage en temps de paix

La Règle 32 est importante parce qu’elle rappelle un point souvent mal compris : le cyberespionnage en temps de paix n’est pas, en soi, généralement prohibé par une règle générale autonome du droit international, même s’il peut devenir illicite par son mode opératoire ou par la violation d’autres règles, notamment la souveraineté, la juridiction, les immunités ou les droits humains. Le Manuel consacre un chapitre entier à cette idée. (PagePlace)

Cas d’application : l’interception à distance de communications diplomatiques peut ne pas être interdite par une règle générale autonome d’“interdiction de l’espionnage”, mais elle peut devenir illicite si elle implique une pénétration dans des systèmes protégés, une atteinte aux archives diplomatiques, une présence physique non consentie, ou une violation du droit à la vie privée. (PagePlace)

8. Règle 35 — Les droits dont jouissent les individus

Le chapitre 6 de Tallinn 2.0 affirme l’applicabilité du droit international des droits humains aux cyberopérations. La Règle 35 vise les droits dont jouissent les individus, et le commentaire de l’aperçu du Manuel renvoie explicitement à la liberté d’expression et à la vie privée dans l’environnement numérique. Le Manuel montre ainsi que le cyber n’est pas seulement une affaire interétatique ; il est aussi un espace où s’exercent et se limitent des droits fondamentaux. (PagePlace)

Cas d’application : un État coupe l’accès à Internet sur tout son territoire pendant des manifestations, ou impose une surveillance de masse sans base légale ni contrôle effectif. Même si l’État agit dans son espace souverain, la mesure doit rester compatible avec les exigences du droit international des droits humains relatives à la vie privée, à l’expression et aux limitations légales, nécessaires et non discriminatoires. (PagePlace)

9. Règle 66 — Interdiction de l’intervention

La Règle 66 correspond à l’interdiction de l’intervention coercitive dans les affaires relevant du domaine réservé d’un autre État. Le Cyber Law Toolkit du CCDCOE résume bien cette idée : l’intervention prohibée suppose un élément de coercition portant sur une matière que l’État cible est libre de décider lui-même, comme son système politique, ses choix électoraux, sa politique étrangère ou ses décisions économiques fondamentales. Schmitt relève que cette règle fait partie de celles qui sont relativement bien acceptées en cyberdroit international. (PagePlace)

Cas d’application : une cyberopération modifie les listes électorales, bloque des bureaux de vote électroniques ou force un gouvernement à abandonner une décision souveraine sous pression numérique. On n’est plus dans la seule atteinte technique ; on entre dans la coercition dirigée contre une décision relevant du domaine réservé. (Cyberlaw)

10. Règle 68 — Interdiction de la menace ou de l’emploi de la force

La Règle 68 transpose dans le cyber l’interdiction de la menace ou de l’emploi de la force au sens de l’article 2 § 4 de la Charte des Nations Unies. Le Manuel consacre tout un chapitre à cette question et distingue la prohibition générale de la force, la définition fonctionnelle de son emploi et la notion de menace. Là encore, il s’agit d’un des points les plus structurants du jus ad bellum cyber. (PagePlace)

Cas d’application : une cyberopération déclenche l’ouverture des vannes d’un barrage ou désactive à distance des systèmes de sécurité d’une installation industrielle avec un risque massif pour les personnes. Si les effets sont comparables, dans leur gravité, à ceux d’une action cinétique, le débat bascule vers l’usage de la force. (Cambridge University Press & Assessment)

11. Règle 71 — Légitime défense contre une attaque armée

La Règle 71 traite de la légitime défense contre une attaque armée. Le chapitre consacré à l’usage de la force précise que le droit de se défendre n’est pas limité aux attaques cinétiques : une cyberopération peut, en principe, constituer une attaque armée si ses effets atteignent le seuil requis de gravité. Le Manuel reste ainsi dans la logique classique : toutes les cyberviolations ne sont pas des attaques armées ; seules les plus graves peuvent ouvrir l’article 51 de la Charte. (PagePlace)

Cas d’application : un malware provoque des explosions dans un réseau d’énergie, des morts et une paralysie nationale majeure. Dans une telle hypothèse, le recours à la légitime défense pourrait être juridiquement plaidé plus facilement qu’en cas de simple vol massif de données ou de défiguration de sites web. (Cambridge University Press & Assessment)

12. Règle 72 — Nécessité et proportionnalité en légitime défense

La Règle 72 rappelle que même lorsqu’un État peut invoquer la légitime défense, sa réponse doit demeurer nécessaire et proportionnée. Il ne suffit donc pas de démontrer une attaque armée ; il faut encore que la riposte soit strictement orientée vers la neutralisation de la menace et calibrée à cette fin. Le Manuel place cette règle juste après la reconnaissance du droit de se défendre, ce qui montre qu’elle en est un correctif immédiat et incontournable. (PagePlace)

Cas d’application : si une cyberattaque a neutralisé un réseau militaire précis, une riposte qui détruirait l’ensemble des infrastructures civiles numériques de l’État adverse excéderait vraisemblablement la proportionnalité. De même, si une mesure défensive plus limitée suffit à faire cesser l’attaque, une escalade massive ne satisferait pas l’exigence de nécessité. (PagePlace)

13. Règle 80 — Applicabilité du droit des conflits armés

La Règle 80 affirme l’applicabilité du droit des conflits armés aux cyberopérations lorsqu’un conflit armé existe. C’est un point fondamental : le cyber n’est pas un vide juridique séparé ; lorsque la situation atteint le seuil d’un conflit armé international ou non international, les règles du droit international humanitaire s’appliquent. Le Manuel ouvre sa quatrième partie précisément par cette règle. (PagePlace)

Cas d’application : au cours d’un conflit armé international déjà déclenché par des hostilités classiques, l’une des parties mène une cyberopération contre les systèmes logistiques militaires de l’autre. Même sans projectile, l’opération relève alors du droit des conflits armés : distinction, proportionnalité, précautions, protection des civils, etc. (PagePlace)

14. Règle 93 — Distinction

La Règle 93 transpose au cyber le principe cardinal de distinction. Dans un conflit armé, les parties doivent distinguer entre objectifs militaires et personnes ou objets civils. Le Manuel place cette règle immédiatement après la définition de la cyberattaque, ce qui est logique : une fois qu’une opération entre dans le champ des attaques au sens du droit des conflits armés, elle doit respecter la distinction. (PagePlace)

Cas d’application : une attaque contre un serveur militaire dédié au commandement est en principe juridiquement différente d’une attaque contre un réseau hospitalier civil ou une plateforme purement bancaire civile. Le problème pratique, en cyber, est la dualité de nombreux systèmes. Mais le principe demeure : on ne peut pas viser indistinctement des objets civils sous prétexte qu’ils sont numériquement connectés à des fonctions étatiques plus larges. (PagePlace)

15. Règle 113 — Proportionnalité en attaque

La Règle 113 applique au cyber la règle de proportionnalité du droit des conflits armés. Même lorsqu’une cible militaire est licite, une cyberattaque est interdite si les dommages collatéraux civils attendus seraient excessifs par rapport à l’avantage militaire concret et direct attendu. Le Manuel place cette règle dans la section consacrée aux attaques et la fait suivre des règles de précaution, ce qui montre son rôle central dans la conduite des hostilités cyber. (PagePlace)

Cas d’application : un État veut neutraliser un centre de commandement militaire hébergé sur un cloud partagé avec des services médicaux civils. Si l’opération risque d’interrompre durablement des soins intensifs, de perturber des urgences ou d’affecter massivement des civils sans avantage militaire équivalent, l’attaque peut être disproportionnée. (PagePlace)

Lecture d’ensemble

Ces 15 règles montrent que Tallinn 2.0 n’est pas seulement un manuel “de guerre cyber”. Il couvre tout le spectre : temps de paix, responsabilité internationale, droits humains, emploi de la force, légitime défense, puis droit des conflits armés. C’est ce qui explique son influence durable dans les milieux étatiques et académiques. Mais il faut toujours garder à l’esprit que son autorité est doctrinale, non normative en elle-même, et que l’état du droit coutumier reste inégal selon les questions. (Cambridge Assets)

En pratique, la hiérarchie analytique la plus utile est souvent la suivante : d’abord se demander s’il y a violation de souveraineté, manquement de diligence due ou fait internationalement illicite attribuable ; ensuite examiner les réponses licites comme les contre-mesures ; puis, si la gravité monte, qualifier l’éventuelle intervention, le recours à la force, voire l’attaque armée ; enfin, si un conflit armé existe, appliquer le droit international humanitaire avec ses principes de distinction, proportionnalité et précaution. (PagePlace)

Sources principales

Le Tallinn Manual 2.0 identifie 154 règles et précise qu’il s’agit des vues d’experts en leur capacité personnelle. (Cambridge Assets)

Le CCDCOE présente le Tallinn Manual comme une ressource influente et indique qu’un projet Tallinn Manual 3.0 a été lancé en 2021. (CCDCOE)

Pour la portée inégale du consensus étatique, voir Schmitt sur les tendances du droit international du cyberespace et l’étude d’Efrony et Shany sur la réception des règles de Tallinn par les États. (CCDCOE)

Add comment

Your email address will not be published. Required fields are marked *