La Convention de Malabo et le traité ONU sur la cybercriminalité

par

Adoptée à Malabo le 27 juin 2014 mais entrée en vigueur seulement le 8 juin 2023, la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel constitue le premier instrument régional contraignant africain en matière de cyberespace. Dix ans après son adoption, l’Assemblée générale des Nations Unies a adopté, par sa résolution 79/243 du 24 décembre 2024, la Convention des Nations Unies contre la cybercriminalité, premier traité universel en la matière, dont la cérémonie d’ouverture à la signature s’est tenue à Hanoï les 25 et 26 octobre 2025. L’articulation entre ces deux instruments soulève des questions de cohérence normative, de complémentarité et de défis de mise en œuvre pour les États africains, simultanément liés par un cadre régional ambitieux et un cadre onusien naissant.

La Convention de Malabo : un instrument régional pionnier

Adoptée lors de la 23e session ordinaire de la Conférence de l’Union africaine, la Convention de Malabo poursuit un triple objectif : encadrer les transactions électroniques, protéger les données personnelles et lutter contre la cybercriminalité. Son originalité tient à l’approche intégrée qu’elle propose, là où la Convention de Budapest du Conseil de l’Europe (2001) se concentrait essentiellement sur la dimension pénale.

Une architecture en trois piliers

Le chapitre I de la Convention organise le cadre juridique des transactions électroniques, en consacrant la valeur probatoire de l’écrit électronique et de la signature numérique. Le chapitre II établit un régime de protection des données personnelles inspiré du droit européen, imposant aux États parties la création d’autorités nationales de protection indépendantes. Enfin, le chapitre III définit des infractions cyber (atteintes à la confidentialité, à l’intégrité et à la disponibilité des systèmes d’information) et impose des obligations d’incrimination ainsi que des règles procédurales harmonisées.

Une entrée en vigueur tardive

Si la Convention a été adoptée en 2014, il aura fallu attendre la quinzième ratification, celle de la Mauritanie, pour qu’elle entre en vigueur le 8 juin 2023, conformément à son article 36. Ce délai de neuf ans illustre les difficultés politiques et techniques qu’éprouvent de nombreux États africains à transposer dans leur droit interne un instrument exigeant, notamment en matière d’autorités indépendantes de contrôle. Sur les 55 États membres de l’Union africaine, moins d’un tiers sont aujourd’hui parties.

La Convention ONU de 2024 : premier traité universel sur la cybercriminalité

L’adoption de la Convention des Nations Unies contre la cybercriminalité par la résolution 79/243 du 24 décembre 2024 clôt un processus engagé en 2019 par la résolution 74/247, qui avait institué un comité ad hoc intergouvernemental. Le texte est le fruit de huit sessions de négociations intenses, marquées par les divergences entre États favorables à un instrument étroit (calqué sur Budapest) et États souhaitant un champ matériel plus large.

Champ matériel et obligations d’incrimination

La Convention onusienne impose aux États parties d’incriminer une série d’infractions cyberdépendantes (accès illégal, interception illégale, atteinte à l’intégrité des données et des systèmes) ainsi que certaines infractions cyberfacilitées, notamment les abus sur enfants en ligne et le blanchiment de capitaux. Elle organise un mécanisme de coopération internationale renforcée pour la collecte de preuves électroniques, l’extradition et l’entraide judiciaire, dans une logique proche de celle de la compétence universelle en droit pénal international mais limitée par le principe de double incrimination.

Garanties relatives aux droits de l’homme

Le texte intègre, à l’issue de débats intenses portés par exemple par les ONG et le Haut-Commissariat aux droits de l’homme, des clauses de sauvegarde imposant le respect des obligations conventionnelles existantes, en particulier celles découlant du Pacte international relatif aux droits civils et politiques. Ces garanties demeurent toutefois jugées insuffisantes par certains observateurs, qui craignent un usage extensif des pouvoirs de surveillance autorisés par le traité. Le texte officiel est consultable sur le portail des Nations Unies (www.un.org).

Articulation et divergences entre les deux instruments

L’arrivée du traité onusien soulève la question classique de l’articulation entre normes régionales et normes universelles. Conformément aux principes du droit international public, les conventions ne s’abrogent pas mutuellement et peuvent coexister, sauf clause expresse de subordination.

Convergences normatives

Les deux instruments partagent un socle commun d’incriminations issu, pour l’essentiel, de la Convention de Budapest. Les définitions de l’accès illégal, de l’atteinte à l’intégrité des données ou de l’interception illégale sont substantiellement identiques. Tous deux consacrent par ailleurs le principe de coopération internationale en matière de preuves électroniques et reconnaissent la nécessité de points de contact disponibles 24h/24.

Divergences structurelles

Les divergences sont néanmoins notables. La Convention de Malabo couvre un champ plus large, incluant la protection des données et le commerce électronique, tandis que le traité onusien se concentre sur la dimension pénale. À l’inverse, l’instrument onusien organise un mécanisme de coopération internationale plus dense, avec un régime de conservation expéditive des données et un dispositif d’entraide judiciaire formalisé absent de Malabo. La question de la souveraineté sur les données stockées à l’étranger est également traitée de manière plus précise par le texte onusien, sans toutefois atteindre la sophistication des règles posées par le Tallinn Manual 2.0 (2017), document non contraignant rédigé par un groupe d’experts indépendants à l’invitation du Centre d’excellence de l’OTAN, qui demeure la référence doctrinale en matière d’application du droit international au cyberespace.

Apports des travaux de l’OEWG

Les rapports du Groupe de travail à composition non limitée (Open-Ended Working Group, OEWG) institué par la résolution 73/27 de l’AGNU ont contribué à clarifier les normes de comportement responsable des États dans le cyberespace. Si l’OEWG ne produit pas de droit contraignant, ses rapports annuels ont nourri les négociations du traité onusien et constituent un complément utile aux deux conventions, spécialement sur les questions de mesures de confiance et de renforcement des capacités. L’Union africaine elle-même publie ses textes via son portail officiel (au.int).

Les défis de ratification et de mise en œuvre

Les États africains se trouvent dans une situation singulière : ils sont à la fois destinataires de la Convention de Malabo et appelés à signer, puis ratifier, la Convention onusienne ouverte à la signature à Hanoï les 25 et 26 octobre 2025.

Risques de fragmentation normative

La coexistence de deux instruments conventionnels contraignants impose un effort de cohérence législative. Les États parties à Malabo ayant déjà transposé ses dispositions devront vérifier la compatibilité de leurs codes pénaux avec les nouvelles incriminations onusiennes. Le risque de fragmentation est réel, en particulier s’agissant des règles procédurales sur la conservation des données, traitées différemment par les deux textes.

Capacités institutionnelles et coopération

Le déficit de capacités institutionnelles demeure le principal obstacle. La création d’autorités de protection des données indépendantes, exigée par Malabo, n’est effective que dans une minorité d’États. La mise en place de points de contact opérationnels 24h/24, requise par les deux conventions, suppose des moyens techniques et humains rarement disponibles. L’enjeu rejoint celui des sanctions internationales onusiennes en matière de cybersécurité, dont l’efficacité dépend largement de la capacité des États à détecter et à attribuer les attaques.

Perspectives

L’entrée en vigueur de la Convention onusienne, qui requiert quarante ratifications, devrait intervenir à l’horizon 2026-2027. D’ici là, la Convention de Malabo conserve toute sa pertinence comme cadre régional structurant. À terme, l’articulation entre les deux textes pourrait s’organiser selon une logique de complémentarité : Malabo fournissant le socle régional intégré, le traité onusien offrant l’ossature universelle de coopération pénale.

Questions fréquentes

Quand la Convention de Malabo est-elle entrée en vigueur ?

La Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel, adoptée le 27 juin 2014, est entrée en vigueur le 8 juin 2023, après le dépôt du quinzième instrument de ratification.

Quelle est la date d’adoption du traité ONU sur la cybercriminalité ?

La Convention des Nations Unies contre la cybercriminalité a été adoptée par l’Assemblée générale des Nations Unies le 24 décembre 2024 par la résolution 79/243. Son ouverture officielle à la signature a eu lieu à Hanoï les 25 et 26 octobre 2025.

Le Tallinn Manual 2.0 est-il un texte contraignant ?

Non. Publié en 2017, le Tallinn Manual 2.0 est un travail doctrinal réalisé par un groupe d’experts indépendants à l’invitation du Centre d’excellence en cyberdéfense coopérative de l’OTAN. Il n’a aucune valeur juridique contraignante mais constitue une référence influente sur l’application du droit international au cyberespace.

Qu’est-ce que l’OEWG ?

L’Open-Ended Working Group est un groupe de travail à composition non limitée créé par la résolution 73/27 de l’Assemblée générale des Nations Unies, chargé d’examiner les normes de comportement responsable des États dans le cyberespace. Ses rapports ne sont pas contraignants mais nourrissent l’élaboration du droit international du cyberespace.

Un État peut-il être partie aux deux conventions ?

Oui. Les deux instruments sont juridiquement compatibles et peuvent coexister. Les États africains sont même appelés à devenir parties aux deux textes, en veillant à la cohérence de leur transposition en droit interne.