CAJI

Le Manuel de Tallinn 2.0 occupe une place singulière dans le droit international du cyberespace. Il ne s’agit ni d’un traité, ni d’un texte contraignant adopté par les États, mais d’un manuel d’experts publié sous l’égide du NATO Cooperative Cyber Defence Centre of Excellence, destiné à exposer comment le droit international existant peut s’appliquer aux cyberopérations. Sa deuxième édition, parue en 2017, élargit l’analyse au-delà du seul conflit armé et couvre les situations de temps de paix, les opérations sous le seuil de l’emploi de la force, la souveraineté, la responsabilité internationale, les droits de l’homme, ainsi que certains aspects du droit de la mer, de l’air et de l’espace. Le manuel comporte 154 règles (“black letter rules”), accompagnées de commentaires détaillés. (ccdcoe.org)

L’erreur la plus fréquente consiste à citer Tallinn 2.0 comme s’il “créait” le droit des conflits hybrides. Ce n’est pas son rôle. Sa vraie fonction est méthodologique : il fournit une grille de lecture pour analyser juridiquement des opérations mêlant cyberattaques, influence informationnelle, sabotage discret, proxys non étatiques, pression économique, déstabilisation politique et actions militaires conventionnelles. En ce sens, Tallinn 2.0 est particulièrement utile pour les conflits hybrides contemporains, parce que ceux-ci se déploient justement dans les zones grises situées entre paix formelle, coercition, hostilité numérique persistante et conflit armé partiellement déclaré. (ccdcoe.org)

Il est matériellement impossible, dans une simple synthèse, de commenter une à une les 154 règles. La bonne méthode consiste donc à les regrouper en grands blocs normatifs, puis à montrer comment ces blocs fonctionnent dans les conflits hybrides contemporains, notamment en Ukraine et au Moyen-Orient. Cette approche respecte d’ailleurs l’architecture même du manuel, qui procède par familles de règles plutôt que par cas d’école médiatiques isolés. (ilmc.univie.ac.at)

Le premier bloc est celui des principes généraux du droit international et de la souveraineté. Tallinn 2.0 part de l’idée que le cyberespace n’est pas un vide juridique : la souveraineté des États, la non-intervention, l’interdiction du recours à la force et l’obligation de règlement pacifique des différends continuent de s’y appliquer. La France, dans sa position officielle sur l’application du droit international au cyberespace, affirme elle aussi que le principe de souveraineté s’applique au cyberespace et qu’une cyberopération peut, selon sa gravité, violer cette souveraineté, constituer un usage de la force, voire relever de l’attaque armée. (documents.unoda.org)

Pour les conflits hybrides, cette première famille de règles est absolument centrale. Pourquoi ? Parce que la plupart des opérations hybrides ne franchissent pas clairement le seuil d’une attaque armée au sens classique. Elles cherchent plutôt à user l’adversaire : compromissions discrètes, campagnes de déstabilisation, opérations sur chaînes logistiques, perturbations d’infrastructures civiles, manipulations informationnelles coordonnées, attaques contre médias, institutions électorales ou services publics. Le débat juridique ne porte alors pas d’abord sur le jus in bello, mais sur des notions comme violation de souveraineté, intervention illicite, contre-mesures, diligence due et attribution. C’est précisément là que Tallinn 2.0 a eu le plus d’influence doctrinale. (law.georgetown.edu)

Le deuxième bloc est celui de la juridiction étatique et des compétences territoriales/personnelles. Une part importante des règles de Tallinn 2.0 explique comment les États peuvent exercer leur compétence à l’égard de personnes, d’infrastructures, de données ou de conduites liées au cyberespace. Dans les conflits hybrides, cette question est décisive, car les opérations passent presque toujours par des infrastructures dispersées entre plusieurs États, des serveurs tiers, des fournisseurs privés et des espaces juridiquement fragmentés. Le manuel sert ici de cadre pour penser l’extension des compétences nationales sans basculer dans une conception illimitée de l’extraterritorialité numérique. (law.georgetown.edu)

Le troisième bloc, probablement le plus important pour les conflits hybrides, est celui de la responsabilité internationale de l’État. Tallinn 2.0 mobilise la logique classique du droit de la responsabilité : il faut d’abord attribuer juridiquement la cyberopération à un État, puis identifier l’obligation primaire violée, puis seulement tirer les conséquences en termes de cessation, réparation ou contre-mesures. Dans les conflits hybrides, cette grille est essentielle parce que les opérations passent souvent par des services agissant sous couverture, des groupes de hackers tolérés, des sous-traitants, des proxys idéologiques ou criminels, voire des montages de faux drapeau. La difficulté majeure n’est pas seulement technique ; elle est probatoire et juridique. (ilmc.univie.ac.at)

C’est ici que le conflit en Ukraine fournit un terrain d’observation particulièrement net. Les institutions européennes ont multiplié les prises de position sur les campagnes hybrides russes, en évoquant explicitement des cyberattaques, des campagnes de manipulation de l’information, des sabotages, des atteintes à des infrastructures et d’autres formes d’activités hybrides persistantes contre l’Union, ses États membres et ses partenaires. En 2025, l’Union européenne a également rappelé que la France avait attribué au GRU des cyberattaques visant notamment le processus électoral, les médias et d’autres entités publiques et privées critiques. Ces éléments montrent à quel point, en pratique, la grille Tallinn responsabilité + attribution + réponse graduée correspond à la conflictualité hybride contemporaine. (Consilium)

Le quatrième bloc est celui de la diligence due. Tallinn 2.0 soutient qu’un État ne peut pas laisser son territoire servir de base à des cyberopérations causant des conséquences sérieuses à d’autres États, s’il en a connaissance et la capacité d’y mettre fin. C’est l’une des règles les plus débattues du manuel, mais aussi l’une des plus utiles face aux conflits hybrides. En effet, nombre d’opérations ne sont pas menées directement par un organe étatique identifiable ; elles transitent par des infrastructures hébergées dans des États tiers, ou par des acteurs que l’État hôte ne contrôle pas totalement. La diligence due devient alors une règle charnière entre passivité tolérée, complicité implicite et responsabilité potentielle. (law.georgetown.edu)

Le cinquième bloc est celui des contre-mesures, de la nécessité et de la légitime défense. Tallinn 2.0 distingue soigneusement plusieurs niveaux de réponse : les actes de rétorsion licites mais non coercitifs ; les contre-mesures prises en réaction à un fait internationalement illicite imputable ; l’état de nécessité dans certaines hypothèses exceptionnelles ; et, au sommet, la légitime défense si l’on atteint le seuil d’une attaque armée. Dans les conflits hybrides, cette hiérarchie est essentielle car la plupart des cyberopérations hostiles ne permettent pas immédiatement d’invoquer l’article 51 de la Charte des Nations unies. Les États cherchent alors des réponses intermédiaires : sanctions, attributions publiques, expulsions, actions cyber défensives, contre-mesures proportionnées, ou durcissement de posture. Tallinn 2.0 ne tranche pas toute la pratique, mais il fournit la charpente conceptuelle de ces réponses. (ilmc.univie.ac.at)

Le sixième bloc concerne les droits de l’homme. L’une des grandes nouveautés de Tallinn 2.0, par rapport à la première édition, est d’avoir traité plus largement les cyberopérations sous l’angle des droits fondamentaux : liberté d’expression, vie privée, protection des données, accès à l’information, due process, etc. Cet apport est fondamental pour les conflits hybrides, car ceux-ci ne passent pas seulement par la destruction ou le sabotage, mais aussi par la pression informationnelle, la surveillance, la coupure de connectivité, l’intimidation des civils, le harcèlement numérique ou l’exploitation de données personnelles. Les débats contemporains sur les opérations informationnelles et les coupures de connectivité montrent que la conflictualité hybride affecte directement la population civile et les libertés fondamentales. (ilmc.univie.ac.at)

Le septième bloc est celui du jus ad bellum, c’est-à-dire des règles relatives à l’emploi de la force. Tallinn 2.0 examine à quel moment une cyberopération peut constituer une menace ou un usage de la force, puis, à un degré plus élevé encore, une attaque armée. Dans les conflits hybrides, cette question est centrale mais rarement simple. Beaucoup d’opérations sont conçues pour rester en dessous du seuil le plus grave : pas assez destructrices pour déclencher clairement la légitime défense, mais suffisamment perturbatrices pour produire intimidation, désorganisation économique, perte de confiance institutionnelle ou avantage stratégique. Le manuel n’offre pas de seuil mathématique ; il propose une analyse par les effets, leur gravité, leur immédiateté, leur caractère direct, leur réversibilité et leur contexte. (ilmc.univie.ac.at)

Le huitième bloc est celui du droit international humanitaire applicable en cas de conflit armé. Dès lors qu’un conflit armé existe, les règles relatives à la distinction, à la proportionnalité, aux précautions, à l’interdiction des attaques dirigées contre les civils ou les biens civils, et à la protection des infrastructures indispensables à la population civile s’appliquent également aux cyberopérations. Le CICR insiste aujourd’hui de manière croissante sur le fait que les cyberopérations et les opérations informationnelles peuvent causer des dommages réels aux civils, aux infrastructures et aux services essentiels. Les travaux récents du CICR sur les connectivity disruptions soulignent que les interruptions numériques, lorsqu’elles affectent télécommunications, accès aux secours, santé ou services essentiels, ont des conséquences humanitaires majeures. (CICR)

Cet angle est particulièrement pertinent pour l’Ukraine, où les débats sur les cyberopérations ne peuvent plus être traités uniquement comme des incidents de temps de paix. L’imbrication entre opérations militaires, infrastructures civiles, connectivité, services numériques et participation d’acteurs privés ou civils rend le cadre du droit international humanitaire de plus en plus central. Le CICR a d’ailleurs publié en 2025 un rapport soulignant que l’implication croissante de civils, de groupes de hackers et d’entreprises technologiques dans les cyberopérations en contexte de conflit armé expose ces acteurs à des risques accrus et complique l’application du droit humanitaire. (CICR)

Le Moyen-Orient illustre une autre facette des règles de Tallinn 2.0 : la fusion entre cyberopérations, guerre de l’information, surveillance, perturbation de connectivité et instrumentalisation des données. Les sources disponibles au cours des derniers mois montrent une forte intensification des dimensions informationnelles et numériques dans la conflictualité régionale, y compris l’usage massif de contenus manipulés, de campagnes coordonnées en ligne et d’opérations exploitant des infrastructures connectées. Sans préjuger chaque attribution particulière, cela confirme que la lecture des conflits hybrides par Tallinn 2.0 ne peut pas se limiter aux seules intrusions techniques classiques ; elle doit inclure la couche informationnelle et les effets sur les civils, la perception du conflit et la résilience sociétale. (The Guardian)

Mais il faut être intellectuellement rigoureux : Tallinn 2.0 n’est pas un manuel des conflits hybrides au sens large. Il porte avant tout sur les cyberopérations et sur les règles de droit international qui leur sont applicables. Or les conflits hybrides contemporains mêlent aussi sabotage physique, pressions migratoires, coercition économique, actions clandestines, guerre cognitive, instrumentalisation du droit, campagnes de désinformation et parfois instrumentalisation d’acteurs privés. L’Union européenne décrit elle-même les activités hybrides contemporaines comme un ensemble comprenant cyberattaques, manipulation et interférence informationnelle, sabotages, atteintes aux infrastructures sous-marines, violations de l’espace aérien, tentatives d’assassinat et instrumentalisation des migrations. Le manuel reste donc très utile, mais il ne couvre qu’une partie du phénomène hybride. (SEAE)

Si l’on veut néanmoins tirer une synthèse fonctionnelle des 154 règles pour les conflits hybrides, on peut la formuler ainsi.

Premièrement, Tallinn 2.0 rappelle que le cyberespace n’échappe pas au droit international : souveraineté, non-intervention, responsabilité, contre-mesures et droit humanitaire demeurent applicables. (ccdcoe.org)

Deuxièmement, il montre que la difficulté principale des conflits hybrides n’est pas l’absence de normes, mais la qualification : seuils, attribution, preuve, qualification des effets, choix de la réponse. (ilmc.univie.ac.at)

Troisièmement, il fait apparaître que la majorité des opérations hybrides se situent sous le seuil de l’attaque armée, dans une zone où dominent plutôt souveraineté, non-intervention, diligence due et contre-mesures. (ccdcoe.org)

Quatrièmement, il confirme que, dès qu’un conflit armé existe, les cyberopérations doivent être relues à l’aune du droit international humanitaire, en particulier pour la protection des civils, des infrastructures civiles et de la connectivité. (CICR)

Cinquièmement, il fournit une grammaire juridique utile pour l’Ukraine et le Moyen-Orient, mais il ne remplace ni l’analyse factuelle fine des opérations, ni la pratique étatique, ni les positions officielles des États. (Consilium)

En définitive, la grande force du Manuel de Tallinn 2.0 n’est pas de donner une réponse automatique à chaque crise hybride, mais de permettre au juriste de ne pas se perdre dans l’ambiguïté stratégique. Dans les conflits contemporains, l’ambition des acteurs hybrides est précisément de brouiller les catégories : guerre ou paix, civil ou militaire, information ou attaque, proxy ou organe étatique, nuisance ou usage de la force. Tallinn 2.0 ne supprime pas ce brouillage, mais il oblige à poser les bonnes questions, dans le bon ordre : quelle cyberopération ? quel seuil ? quelle attribution ? quelle règle primaire ? quelle réponse licite ? C’est pour cela qu’il demeure, malgré ses limites, la référence doctrinale la plus structurante pour penser juridiquement les conflits hybrides numériques. (ccdcoe.org)