Zusammenfassung

Le présent travail de recherche porte sur le cyberespace en droit international tout en mettant l’accent sur les zones grises et les incertitudes juridiques. La question fondamentale à laquelle la présente thèse souhaite répondre est la suivante : dans quelle mesure le droit international existant s’applique-t-il aux cyber-opérations de faible intensité ? Face à la polymorphie et la diversité des cyber-opérations, nous nous focaliserons sur trois types, en l’occurrence la manipulation des données ou les campagnes de cyber-influence, la rétention des données contre rançons ou rançongiciels et la collecte de et accès non-autorisé aux données ou cyber-espionnage. Ces activités oscillent entre l’illicite et le licite dommageable. Pour les appréhender juridiquement, il est nécessaire de dresser dans un premier temps l’état des lieux des normes contraignantes et non-contraignantes régissant la conduite des Etats dans le domaine cyber. Il s’ensuivra une étude de l’effectivité de ce cadre juridique dans la lutte contre les cyber-activités malveillantes à effets et ampleur limités, non assimilables à un usage de force prohibé, une catégorie qui correspond à la majorité des cyber-incidents documentés ces dernières années. Ceci étant, la présente thèse vise d’une part à mettre en exergue l’existence des règles régissant en particulier les cyber-opérations de faible intensité et à démontrer d’autre part les difficultés liées à leur application. Nous étudierons également les alternatives à l’application du droit international dans la lutte contre l’usage hostile du cyberespace et les palliatifs à ce cadre juridique à la fois parcellaire et évolutif, mêlant des normes contraignantes sujettes à de multiples interprétations et des normes non contraignantes, qui bien qu'elles soient dépourvues de force obligatoire sont susceptibles de produire des effets juridiques.;

From an international law perspective, cyberspace is perceived as an ambiguous domain where many issues remain unsettled. States behavior in cyberspace is not regulated by any specific legally binding international rules. The boundaries of lawfulness are yet to be set as states fail to adopt hard law provisions specifically governing cyber operations. In this context, consensus has been reached over the applicability of existing international law and norms of responsible behaviors have been developed at the United Nations level and endorsed by the majority of States. This dissertation aims at unpacking the legal framework governing harmful cyber operations deemed lawful under current rules of international law, or in other words those whose unlawfulness is debatable depending on State interpretation of existing international law. It is worth noting in this respect that the number of States explicitly expressing their views on the application of existing international law, albeit growing, is limited with a varied degree of divergence amongst their public approaches with respect to the application of core legal principles. Divergence pertains to both the existence and/or the application of relevant rules - namely sovereignty, non-intervention, due diligence and use of force. This thesis focuses particularly on the following cyber operations: data manipulation or influence operations, data retention or ransomware, and unauthorized data collection via cyber means or espionage.