Convention de Budapest

Fiche 12 — Convention de Budapest : structure et articles essentiels

2 months ago
12 min read
Add comment
FacebookX

Structure en 4 chapitres

Articles clés : art. 2–13 et art. 29–35

Introduction

La Convention sur la cybercriminalité, dite Convention de Budapest (STE n° 185), adoptée au Conseil de l’Europe et ouverte à la signature à Budapest le 23 novembre 2001, est le principal instrument international en matière de lutte contre la cybercriminalité et de coopération sur la preuve électronique. Son objectif est double : harmoniser un noyau minimal d’incriminations et de pouvoirs procéduraux, puis faciliter la coopération internationale. Le texte officiel rappelle dès le préambule cette logique de “common criminal policy” fondée à la fois sur l’adoption de législations appropriées et sur le renforcement de la coopération. (Conseil de l’Europe)

La Convention ne se limite donc pas aux seules infractions. Elle articule quatre grandes dimensions : droit pénal matériel, procédure, compétence et coopération internationale, puis clauses finales. C’est ce qui explique sa longévité : elle ne traite pas seulement du “crime informatique” au sens strict, mais d’un écosystème juridique complet autour des systèmes, des données et des preuves numériques. Le Conseil de l’Europe continue d’ailleurs à la présenter comme le socle du régime conventionnel cyber, complété depuis par des protocoles additionnels. (Portal)

Sur le plan conceptuel, la Convention repose sur une idée forte : dans l’environnement numérique, la réponse pénale doit combiner incrimination, pouvoirs d’enquête adaptés et coopération rapide, faute de quoi l’effectivité du droit pénal devient illusoire. Les articles 2 à 13 posent ainsi le cœur des infractions, tandis que les articles 29 à 35 structurent le mécanisme de coopération relatif à la conservation, à l’entraide et au réseau de contact permanent. (Conseil de l’Europe)

1. La structure générale en 4 chapitres

La Convention peut être lue comme un texte organisé en quatre grands chapitres fonctionnels.

Chapitre I — Terminologie

Le chapitre I contient l’article 1, qui donne les définitions de base, notamment celles de système informatique, données informatiques, fournisseur de services et données relatives au trafic. Ces définitions structurent tout le reste du texte, car elles déterminent le champ matériel des infractions et des pouvoirs procéduraux. (Conseil de l’Europe)

Chapitre II — Mesures à prendre au niveau national

Le chapitre II est le plus dense. Il comprend :

  • une section 1 sur le droit pénal matériel ;
  • une section 2 sur le droit procédural ;
  • une section 3 sur la compétence. (Conseil de l’Europe)

C’est ici que se trouvent les articles 2 à 13 sur les infractions, mais aussi les articles procéduraux essentiels comme la conservation rapide, la perquisition informatique, la saisie, la collecte de données de trafic et l’interception.

Chapitre III — Coopération internationale

Le chapitre III organise la coopération entre États parties. C’est dans ce chapitre que se trouvent les articles 23 à 35, et plus spécialement, pour ta fiche, les articles 29 à 35 qui concernent la conservation rapide, l’entraide et le célèbre réseau 24/7. (Conseil de l’Europe)

Chapitre IV — Dispositions finales

Le chapitre IV rassemble les clauses finales : signature, entrée en vigueur, accession, application territoriale, effets de la Convention, amendements, règlement des différends, dénonciation, notifications. Ces clauses assurent la vie internationale du traité. (Conseil de l’Europe)

À retenir

La structure en 4 chapitres peut se résumer ainsi :

  1. définitions ;
  2. mesures nationales (infractions + procédure + compétence) ;
  3. coopération internationale ;
  4. clauses finales. (Conseil de l’Europe)

2. Les articles 2 à 13 : le noyau des infractions

Les articles 2 à 13 se trouvent dans le chapitre II, section 1, consacrée au droit pénal matériel. Ils définissent les comportements que les États parties doivent incriminer ou, selon les cas, prévoir dans leur droit interne.

Article 2 — Accès illégal

L’article 2 impose d’incriminer l’accès intentionnel et sans droit à tout ou partie d’un système informatique. Le texte autorise certaines réserves ou conditions, par exemple exiger la violation de mesures de sécurité, une intention frauduleuse, ou un lien avec un système connecté à un autre système. C’est l’équivalent international du cœur de l’intrusion informatique. (Conseil de l’Europe)

Cas d’application : intrusion non autorisée dans un serveur d’entreprise ou dans un espace d’administration d’un service public.

Article 3 — Interception illégale

L’article 3 vise l’interception intentionnelle et sans droit, par des moyens techniques, de transmissions non publiques de données informatiques, y compris les émissions électromagnétiques provenant d’un système. Il protège donc la confidentialité des communications et des flux de données. (Conseil de l’Europe)

Cas d’application : captation clandestine du trafic réseau interne d’une entreprise ou installation d’un dispositif espion sur une communication privée.

Article 4 — Atteinte à l’intégrité des données

L’article 4 impose d’incriminer la détérioration, suppression, altération ou suppression de données sans droit. Un État peut réserver le cas où la conduite doit entraîner un dommage grave. On passe ici de l’accès à l’atteinte au contenu informationnel lui-même. (Conseil de l’Europe)

Cas d’application : effacement de fichiers, modification d’une base de données, corruption de journaux de connexion.

Article 5 — Atteinte à l’intégrité du système

L’article 5 impose de criminaliser l’entrave grave, intentionnelle et sans droit au fonctionnement d’un système informatique, notamment par introduction, transmission, endommagement, suppression, détérioration, altération ou suppression de données. C’est le texte conventionnel le plus proche des attaques de type sabotage ou déni de service. (Conseil de l’Europe)

Cas d’application : attaque DDoS contre un service public, paralysie d’un SI hospitalier par malware.

Article 6 — Abus de dispositifs

L’article 6 vise l’abus de dispositifs : production, vente, obtention en vue d’utilisation, importation, diffusion ou mise à disposition d’outils conçus principalement pour commettre les infractions des articles 2 à 5, ainsi que la détention de mots de passe, codes d’accès ou données similaires en vue d’un usage illicite. C’est le grand article sur les outils de piratage. (Conseil de l’Europe)

Cas d’application : diffusion de malware builders, vente de kits d’exploitation, mise à disposition d’identifiants compromis.

Articles 7 et 8 — Faux informatique et fraude informatique

L’article 7 traite du faux informatique, c’est-à-dire l’introduction, l’altération, l’effacement ou la suppression de données de manière à produire des données non authentiques destinées à être prises en compte comme si elles étaient authentiques. L’article 8 vise la fraude informatique, c’est-à-dire la manipulation des données ou du système en vue d’obtenir un bénéfice économique indu. (Conseil de l’Europe)

Cas d’application article 7 : fabrication d’un document numérique falsifié dans un système.
Cas d’application article 8 : modification de données bancaires pour obtenir un virement indu.

Articles 9 et 10 — Contenus illicites et atteintes à la propriété intellectuelle

L’article 9 impose l’incrimination de certains comportements relatifs à la pornographie enfantine dans un environnement informatique. L’article 10 porte sur les atteintes à la propriété intellectuelle et aux droits voisins, conformément aux obligations internationales pertinentes. Ces deux articles montrent que la Convention ne se limite pas au “piratage technique” ; elle couvre aussi certains contenus et usages. (Conseil de l’Europe)

Cas d’application article 9 : diffusion ou mise à disposition de matériel pédopornographique via un système informatique.
Cas d’application article 10 : mise à disposition illicite protégée par droit d’auteur à grande échelle.

Articles 11, 12 et 13 — Tentative, complicité et sanctions

L’article 11 impose de prévoir la tentative, l’aide, l’incitation ou la complicité pour certaines infractions visées par la Convention.
L’article 12 traite de la responsabilité des personnes morales.
L’article 13 exige des sanctions effectives, proportionnées et dissuasives, y compris, dans certains cas, des peines privatives de liberté. (Conseil de l’Europe)

Cas d’application : une société servant de façade pour distribuer des outils cybercriminels peut engager sa responsabilité selon le droit interne de transposition.

3. Logique d’ensemble des articles 2 à 13

On peut regrouper ces articles en quatre blocs :

  • intrusion et interception : articles 2 et 3 ;
  • atteinte aux données et aux systèmes : articles 4, 5 et 6 ;
  • fraude, faux et contenus spécifiques : articles 7 à 10 ;
  • régime général de responsabilité et sanction : articles 11 à 13. (Conseil de l’Europe)

Cette architecture est importante : la Convention ne vise pas seulement l’accès illicite, mais toute une chaîne logique allant de la compromission jusqu’à la fraude, à l’exploitation illicite, à la responsabilité des personnes morales et aux sanctions.

4. Les articles 29 à 35 : coopération internationale essentielle

Les articles 29 à 35 se trouvent dans le chapitre III consacré à la coopération internationale. Ils sont centraux parce que la preuve électronique est fragile, mobile et souvent répartie sur plusieurs États.

Article 29 — Conservation rapide de données informatiques stockées

L’article 29 prévoit la possibilité de demander à un autre État la conservation rapide de données informatiques stockées, afin d’éviter leur disparition avant une demande plus complète d’entraide. Le rapport explicatif insiste sur l’urgence propre aux données électroniques, facilement effaçables ou modifiables. (Conseil de l’Europe)

Cas d’application : un parquet demande en urgence à un autre État de préserver les logs d’un hébergeur avant qu’ils ne soient supprimés.

Article 30 — Conservation rapide et divulgation partielle des données de trafic

L’article 30 complète le précédent en permettant, lors d’une conservation rapide de données de trafic, d’obtenir une divulgation suffisante pour identifier les autres prestataires de services et suivre la chaîne de transmission. Le but est d’éviter que l’enquête ne se bloque au premier maillon technique. (Conseil de l’Europe)

Cas d’application : identification du fournisseur intermédiaire ayant relayé une communication criminelle.

Article 31 — Accès transfrontalier à des données stockées avec consentement ou données accessibles au public

L’article 32, souvent lu avec 31 dans la pratique mais distinct dans la Convention, autorise certains accès transfrontaliers sans entraide formelle dans deux cas : données accessibles au public et données obtenues avec le consentement légal et volontaire de la personne autorisée à les divulguer. C’est une disposition sensible, mais limitée. Le rapport explicatif souligne justement le caractère circonscrit de cette possibilité. (Conseil de l’Europe)

Cas d’application : accès direct à un site public étranger, ou réception de données transmises volontairement par le titulaire autorisé d’un compte.

Article 33 — Entraide pour la collecte en temps réel des données de trafic

L’article 33 impose la coopération pour la collecte en temps réel des données de trafic associées à des communications déterminées, dans la mesure où le droit interne le permet pour des infractions graves. On entre ici dans une entraide plus intrusive que la simple conservation. (Conseil de l’Europe)

Cas d’application : collecte en direct de métadonnées liées à une communication suspecte dans une affaire grave.

Article 34 — Entraide pour l’interception de données relatives au contenu

L’article 34 traite de l’interception du contenu des communications en entraide internationale, toujours sous réserve des conditions et limitations prévues par le droit interne et les engagements applicables. C’est l’un des points les plus sensibles du chapitre, car il touche au cœur de la confidentialité des communications. (Conseil de l’Europe)

Cas d’application : interception judiciaire du contenu d’échanges dans une enquête terroriste ou criminelle grave impliquant plusieurs États.

Article 35 — Réseau 24/7

L’article 35 crée le fameux réseau 24 heures sur 24, 7 jours sur 7, destiné à fournir une assistance immédiate pour les enquêtes et procédures relatives aux infractions informatiques ou à la preuve électronique. Le rapport explicatif insiste sur la nécessité d’un point de contact disponible en permanence pour répondre à l’urgence propre aux données numériques. (Conseil de l’Europe)

Cas d’application : mobilisation nocturne d’un point de contact étranger pour préserver des données critiques avant leur effacement automatique.

5. Tableau synthétique des articles clés

BlocArticlesFonction
Intrusion / interception2–3protéger l’accès et la confidentialité
Données / systèmes / outils4–6protéger l’intégrité des données, systèmes et incriminer les outils illicites
Faux / fraude / contenus / PI7–10réprimer les manipulations frauduleuses et certains contenus illicites
Régime général11–13tentative, complicité, personnes morales, sanctions
Conservation / coopération urgente29–30préserver les données et suivre la chaîne des données de trafic
Accès et entraide technique32–34accès limité, collecte temps réel, interception
Réponse permanente35réseau 24/7

Ce tableau reflète fidèlement la structure matérielle de la Convention et la fonction de ses articles clés. (Conseil de l’Europe)

6. Lecture d’ensemble

La Convention de Budapest repose sur une logique très moderne pour 2001 : on ne lutte pas efficacement contre la cybercriminalité sans articulation entre incrimination, procédure et coopération. Les articles 2 à 13 fixent le socle du droit pénal matériel ; les articles 29 à 35 garantissent que l’enquête puisse survivre à la volatilité de la preuve électronique et à la dispersion géographique des données. (Conseil de l’Europe)

Elle marque aussi une évolution philosophique du droit pénal international : la souveraineté procédurale traditionnelle ne suffit plus lorsque la preuve peut disparaître en quelques heures et franchir plusieurs frontières en quelques secondes. Le réseau 24/7 symbolise précisément cette mutation : la coopération pénale ne peut plus être seulement lente, diplomatique et séquentielle ; elle doit aussi être opérationnelle et immédiate. (Conseil de l’Europe)

Conclusion

Pour retenir l’essentiel :

  • la Convention de Budapest est structurée en 4 chapitres : définitions, mesures nationales, coopération internationale, clauses finales ;
  • les articles 2 à 13 constituent le noyau des infractions ;
  • les articles 29 à 35 forment le noyau de la coopération opérationnelle autour de la conservation, de la collecte, de l’interception et du réseau 24/7. (Conseil de l’Europe)

Sa grande force tient à cette articulation complète : criminaliser, enquêter, coopérer. C’est la raison pour laquelle elle demeure, aujourd’hui encore, l’instrument de référence en matière de cybercriminalité et de preuve électronique. (Portal)

Sources principales

  • Texte officiel de la Convention sur la cybercriminalité (STE n° 185), Conseil de l’Europe. (Conseil de l’Europe)
  • Rapport explicatif officiel de la Convention, Conseil de l’Europe. (Conseil de l’Europe)
  • Édition consolidée Conseil de l’Europe avec Convention, rapports explicatifs et documents associés. (Portal)

Add comment

Your email address will not be published. Required fields are marked *