La Veille Règlementaire Simplifiée

L'alliance parfaite entre l'intelligence artificielle et l'expertise de juristes pour sécuriser vos décisions HSE & RSE.

13 Juillet 2026 - 🛡️ Cybersécurité

Convention cybercriminalité ONU : impacts pour les entreprises

L’Union européenne approuve un nouveau cadre mondial contre la cybercriminalité

Par une décision du 4 juin 2026, publiée au Journal officiel de l’Union européenne le 19 juin 2026, le Conseil de l’Union européenne a approuvé, au nom de l’Union, la convention des Nations unies contre la cybercriminalité.

Cette convention vise à renforcer la coopération internationale dans deux domaines principaux :

  • la lutte contre certaines infractions commises au moyen de systèmes d’information et de communication ;
  • la communication transfrontière de preuves sous forme électronique dans les enquêtes portant sur des infractions graves.

Pour les entreprises, le texte ne crée pas immédiatement une nouvelle série d’obligations opérationnelles comparables au RGPD, à NIS 2 ou au règlement DORA.

Son importance est néanmoins réelle. Il organise un cadre mondial susceptible de faciliter, dans les procédures pénales, l’accès à des données électroniques détenues dans plusieurs pays.

Les entreprises qui hébergent, conservent ou traitent des données numériques devront donc suivre attentivement son entrée en vigueur et ses futures modalités d’application.

Que décide exactement l’Union européenne ?

La décision (UE) 2026/1347 approuve trois éléments au nom de l’Union européenne :

  • la convention des Nations unies contre la cybercriminalité ;
  • la déclaration précisant les compétences respectives de l’Union et des États membres ;
  • les réserves formulées par l’Union.

La convention avait déjà été signée au nom de l’Union européenne à Hanoï, au Vietnam, le 25 octobre 2025.

La décision du 4 juin 2026 permet de franchir l’étape suivante : l’approbation de la convention au niveau de l’Union dans les domaines relevant de sa compétence.

L’Union et ses États membres disposent toutefois de compétences partagées sur plusieurs matières couvertes par le texte. Les États membres conservent donc leur propre rôle dans les procédures de ratification, d’acceptation ou d’approbation.

La convention est-elle déjà pleinement applicable ?

Non.

La décision européenne est entrée en vigueur le jour de son adoption, soit le 4 juin 2026.

Mais cela ne signifie pas que l’ensemble des mécanismes de la convention est immédiatement applicable aux entreprises ou aux procédures nationales.

La date d’entrée en vigueur de la convention elle-même doit encore être publiée au Journal officiel de l’Union européenne.

Il faudra également tenir compte :

  • des ratifications ou approbations nécessaires ;
  • des éventuelles adaptations législatives nationales ;
  • des désignations d’autorités compétentes ;
  • des procédures pratiques de coopération entre États ;
  • des règles encadrant les demandes d’accès aux données électroniques.

À ce stade, les entreprises doivent donc considérer ce texte comme un cadre juridique international en cours de déploiement, et non comme une obligation immédiatement exécutoire à leur encontre.

Quel est le champ d’application de la convention ?

La convention ne vise pas toutes les demandes administratives ou tous les litiges.

Elle s’applique notamment :

  • aux enquêtes ou procédures pénales relatives aux infractions définies conformément à la convention ;
  • à l’échange de preuves électroniques concernant des infractions graves.

Une infraction grave est définie comme une infraction passible d’une peine privative de liberté maximale d’au moins quatre ans ou d’une peine plus lourde.

La convention vise donc des procédures pénales déterminées. Elle ne crée pas un droit général et illimité permettant aux autorités étrangères d’accéder aux données détenues par une entreprise.

Les demandes devront rester liées à une enquête ou à une procédure pénale entrant dans le champ du texte.

Que recouvre la notion de preuve électronique ?

Une preuve électronique peut prendre de nombreuses formes.

Il peut notamment s’agir :

  • de courriels professionnels ;
  • de messages échangés sur une plateforme ;
  • de fichiers stockés dans le cloud ;
  • de journaux de connexion ;
  • d’adresses IP ;
  • de données relatives à un compte utilisateur ;
  • de données de trafic ;
  • de sauvegardes informatiques ;
  • de traces issues d’un système d’information ;
  • de données conservées par un opérateur télécom ;
  • de données relatives à une transaction numérique.

Les entreprises sont directement concernées lorsqu’elles détiennent ce type d’informations, même si elles ne sont pas elles-mêmes soupçonnées d’une infraction.

Un hébergeur, un éditeur SaaS, une plateforme numérique ou un opérateur peut ainsi détenir une donnée utile à une enquête concernant l’un de ses clients ou utilisateurs.

Quelles entreprises peuvent être particulièrement concernées ?

L’impact potentiel est particulièrement important pour les organisations qui conservent un volume élevé de données numériques.

Sont notamment concernées :

  • les fournisseurs de services cloud ;
  • les hébergeurs ;
  • les opérateurs de communications électroniques ;
  • les éditeurs de logiciels SaaS ;
  • les plateformes en ligne ;
  • les marketplaces ;
  • les réseaux sociaux ;
  • les prestataires de paiement ;
  • les établissements financiers ;
  • les entreprises de cybersécurité ;
  • les fournisseurs de messagerie ou de stockage ;
  • les groupes internationaux disposant de serveurs ou de filiales dans plusieurs pays.

Les entreprises plus classiques peuvent également être concernées lorsqu’elles détiennent des informations utiles dans le cadre d’une enquête : journaux de connexion, données de salariés, courriels, vidéosurveillance, données de fournisseurs ou éléments de traçabilité.

La convention crée-t-elle une responsabilité pénale des entreprises ?

La convention prévoit des règles minimales relatives à la responsabilité des personnes morales participant aux infractions qu’elle couvre.

Elle n’impose toutefois pas aux États d’adopter obligatoirement une responsabilité pénale des personnes morales lorsque celle-ci serait incompatible avec leurs principes juridiques.

La responsabilité peut donc prendre différentes formes selon les systèmes nationaux : pénale, civile ou administrative.

Pour les entreprises, cela confirme l’importance des dispositifs de prévention destinés à empêcher que leurs infrastructures, services ou salariés soient utilisés pour commettre des infractions informatiques.

Cette vigilance peut notamment passer par :

  • des politiques de sécurité ;
  • une gestion des habilitations ;
  • une surveillance proportionnée des systèmes ;
  • des procédures d’alerte ;
  • une traçabilité des opérations sensibles ;
  • une gouvernance claire des incidents ;
  • des contrôles sur les prestataires et sous-traitants.

Une coopération internationale renforcée entre autorités

L’un des principaux objectifs de la convention est de faciliter la coopération entre les autorités policières, judiciaires et autres autorités compétentes des États parties.

Les enquêtes liées à la cybercriminalité sont souvent difficiles parce que plusieurs pays peuvent être concernés :

  • la victime se trouve dans un État ;
  • l’auteur présumé agit depuis un autre ;
  • les serveurs sont hébergés ailleurs ;
  • le prestataire de services est établi dans un quatrième pays ;
  • les données sont réparties dans plusieurs centres de données.

La convention doit permettre de disposer d’un cadre commun pour organiser la coopération et l’échange de preuves électroniques.

Pour les entreprises internationales, cela pourrait augmenter le nombre de demandes transfrontières reçues ou accélérer leur traitement.

Les autorités étrangères pourront-elles accéder directement aux données ?

La convention ne doit pas être interprétée comme un accès automatique, libre ou général aux systèmes d’information des entreprises.

Les mesures prévues doivent être mises en œuvre dans le cadre d’enquêtes déterminées et selon les conditions fixées par le droit applicable.

La convention impose également des garanties en matière :

  • de proportionnalité ;
  • de nécessité ;
  • de limitation des finalités ;
  • de protection des données ;
  • de contrôle juridictionnel ou indépendant ;
  • de droit à un recours effectif ;
  • de limitation du champ et de la durée des mesures.

Une entreprise ne devra donc pas transmettre des données uniquement parce qu’une autorité étrangère lui adresse une demande informelle.

Elle devra vérifier la base juridique, l’identité et la compétence du demandeur, le périmètre des informations sollicitées et les procédures applicables.

Quelles garanties sont prévues pour les données personnelles ?

La décision européenne insiste fortement sur la protection des données personnelles.

La convention prévoit notamment l’application de plusieurs principes :

  • limitation des finalités ;
  • minimisation des données ;
  • nécessité ;
  • proportionnalité ;
  • encadrement de la communication à un autre État ;
  • protection des droits fondamentaux.

Avant toute transmission, les données devront donc être limitées à ce qui est nécessaire à l’enquête ou à la procédure concernée.

Cette approche est cohérente avec les principes déjà connus en droit européen, notamment ceux du RGPD et de la Charte des droits fondamentaux de l’Union européenne.

Pour les entreprises, cela signifie qu’une demande émanant d’une autorité ne dispense pas automatiquement de toute analyse relative à la protection des données.

La réponse devra être encadrée, documentée et limitée.

Les droits fondamentaux occupent une place centrale

La convention prévoit des garanties destinées à éviter que les mécanismes de coopération internationale soient utilisés pour réprimer l’exercice légitime des droits fondamentaux.

Le texte exclut notamment une interprétation qui conduirait à réprimer :

  • la liberté d’expression ;
  • la liberté de conscience ;
  • la liberté d’opinion ;
  • la liberté de religion ou de conviction ;
  • la liberté de réunion pacifique ;
  • la liberté d’association.

La coopération peut également être refusée lorsqu’elle est contraire au droit interne de l’État concerné ou lorsqu’un refus est nécessaire pour éviter une discrimination.

Ces garanties sont considérées par l’Union comme faisant partie de l’objet et du but même de la convention. Elles ne doivent donc pas être neutralisées par des réserves.

Quelles réserves l’Union européenne a-t-elle formulées ?

L’Union européenne et ses États membres ont notamment formulé une réserve concernant le mécanisme de règlement des différends prévu par la convention.

Ils ne se considèrent pas liés par certaines dispositions relatives au règlement des différends pour les questions relevant de la compétence de l’Union ou pour les différends entre États membres, ou entre l’Union et un État membre.

La décision précise également que les États membres doivent informer la Commission européenne à l’avance lorsqu’ils envisagent de formuler leurs propres réserves.

En revanche, l’Union indique qu’elle ne formulera pas de réserves remettant en cause les garanties essentielles relatives aux droits de l’homme et aux libertés fondamentales.

Quelles conséquences pour les services juridiques et les DPO ?

Les directions juridiques et les DPO devront être particulièrement attentifs aux demandes transfrontières portant sur des données.

Une demande de preuve électronique peut soulever plusieurs questions :

  • quelle autorité adresse la demande ?
  • sur quelle base juridique ?
  • dans quel État la donnée est-elle hébergée ?
  • quelle société du groupe contrôle ou traite la donnée ?
  • la demande est-elle obligatoire ?
  • quelles données doivent réellement être transmises ?
  • des données sensibles ou protégées sont-elles concernées ?
  • un secret professionnel est-il applicable ?
  • le client ou la personne concernée doit-il être informé ?
  • existe-t-il une interdiction légale d’information ?
  • combien de temps les données doivent-elles être conservées ?

La gestion de ces demandes ne doit pas être improvisée. Elle nécessite une procédure formalisée associant le juridique, le DPO, la cybersécurité et les équipes techniques.

Quelles conséquences pour les DSI et RSSI ?

Les DSI et RSSI sont directement concernés par la capacité technique de l’entreprise à conserver et extraire des éléments fiables.

Une donnée électronique utile dans une procédure doit pouvoir être :

  • identifiée ;
  • localisée ;
  • préservée ;
  • extraite sans altération ;
  • horodatée ;
  • transmise de manière sécurisée ;
  • accompagnée des éléments permettant d’en vérifier l’intégrité.

Les entreprises doivent donc disposer de règles claires sur :

  • la journalisation ;
  • la durée de conservation des logs ;
  • les sauvegardes ;
  • la gestion des accès ;
  • la chaîne de conservation de la preuve ;
  • l’intégrité des fichiers ;
  • les exports de données ;
  • la sécurité des transmissions.

Une mauvaise gestion technique peut rendre une donnée inutilisable ou empêcher l’entreprise de répondre correctement à une demande légale.

Faut-il conserver toutes les données plus longtemps ?

Non.

La convention ne justifie pas une conservation générale et illimitée des données.

Toute durée de conservation doit rester fondée sur une obligation légale, un besoin opérationnel légitime ou une politique de sécurité compatible avec les règles de protection des données.

L’entreprise doit rechercher un équilibre entre deux exigences :

  • ne pas supprimer prématurément des données devant être conservées ;
  • ne pas conserver indéfiniment des informations sans justification.

Lorsqu’une enquête ou une procédure est connue, une mesure de conservation ciblée peut être nécessaire afin d’éviter la destruction ou l’altération d’éléments utiles.

Cette conservation ciblée doit être formalisée et limitée aux données concernées.

Les contrats avec les prestataires doivent-ils être revus ?

Oui, en particulier pour les contrats de cloud, d’hébergement, de services numériques ou de cybersécurité.

Les contrats devraient préciser :

  • la localisation des données ;
  • l’identité des sous-traitants ;
  • les modalités de réponse aux demandes d’autorités ;
  • l’information du client lorsqu’elle est juridiquement possible ;
  • la procédure de conservation urgente des données ;
  • les conditions d’export et de restitution ;
  • les mesures de sécurité applicables aux transmissions ;
  • la répartition des responsabilités ;
  • la conservation des journaux techniques ;
  • la coopération en cas d’enquête.

Une entreprise ne doit pas découvrir, au moment d’une demande officielle, qu’elle ne sait pas où sont stockées ses données ou que son prestataire ne peut pas les extraire dans un format exploitable.

La convention remplace-t-elle les règles européennes existantes ?

Non.

La convention s’ajoute à un environnement juridique déjà dense.

Les entreprises doivent continuer à respecter notamment :

  • le RGPD ;
  • les règles européennes relatives à la preuve électronique ;
  • la directive NIS 2 et ses textes nationaux de transposition ;
  • le règlement DORA pour les entités financières concernées ;
  • le règlement sur les services numériques ;
  • les règles nationales de procédure pénale ;
  • les obligations de secret professionnel ou de confidentialité ;
  • les règles sectorielles applicables.

La convention vise à améliorer la coopération mondiale. Elle ne supprime pas les obligations européennes existantes et ne permet pas de contourner les garanties prévues par le droit de l’Union.

Ce que les entreprises doivent anticiper dès maintenant

Même en l’absence d’obligation directement applicable, plusieurs actions peuvent être engagées.

  1. Identifier les catégories de données susceptibles de constituer des preuves électroniques.
  2. Cartographier leur localisation et les prestataires qui les hébergent.
  3. Vérifier les durées de conservation des journaux et des données sensibles.
  4. Formaliser une procédure de réponse aux demandes des autorités.
  5. Définir les rôles du juridique, du DPO, du RSSI et de la DSI.
  6. Mettre en place une procédure de conservation ciblée en cas d’enquête.
  7. Vérifier la capacité à extraire des données sans altérer leur intégrité.
  8. Documenter la chaîne de conservation de la preuve.
  9. Revoir les contrats avec les prestataires cloud et numériques.
  10. Encadrer les transferts de données à des autorités situées hors de l’Union européenne.
  11. Former les équipes susceptibles de recevoir une demande officielle.
  12. Prévoir une procédure d’escalade en cas de demande urgente ou ambiguë.

Checklist en cas de demande de communication de données

Lorsqu’une entreprise reçoit une demande relative à une preuve électronique, elle devrait vérifier :

  1. L’identité de l’autorité demanderesse.
  2. Sa compétence juridique.
  3. La base légale invoquée.
  4. L’existence d’une procédure pénale précise.
  5. Le périmètre exact des données demandées.
  6. La période concernée.
  7. La nécessité et la proportionnalité de la demande.
  8. La présence éventuelle de données sensibles.
  9. Les obligations de confidentialité ou de secret.
  10. La possibilité ou l’interdiction d’informer la personne concernée.
  11. Le canal sécurisé de transmission.
  12. La conservation d’une trace interne de la réponse.

Quelle différence avec une réquisition classique ?

Pour une entreprise française, les réquisitions judiciaires nationales existent déjà.

La nouveauté de la convention réside principalement dans la volonté de structurer et de faciliter les demandes lorsque plusieurs États sont concernés.

Dans ce type de situation, les questions sont plus complexes :

  • conflit entre plusieurs législations ;
  • transfert international de données ;
  • compétence de l’autorité étrangère ;
  • localisation du serveur ;
  • société du groupe destinataire ;
  • protection des droits fondamentaux ;
  • risque de demandes excessives ou discriminatoires.

La convention entend fournir un cadre commun, mais l’analyse juridique restera indispensable dans chaque dossier.

Conclusion : un cadre international à suivre de près

La décision (UE) 2026/1347 ne crée pas, à elle seule, une nouvelle obligation immédiate pour toutes les entreprises.

Elle marque toutefois une étape importante dans la mise en place d’un cadre mondial destiné à faciliter les enquêtes sur la cybercriminalité et l’échange transfrontière de preuves électroniques.

Les entreprises qui détiennent des données numériques devront être capables de répondre à des demandes juridiquement fondées, tout en protégeant les données personnelles, la confidentialité et les droits fondamentaux.

La préparation doit donc être à la fois juridique, technique et organisationnelle.

Cartographie des données, gestion des logs, conservation ciblée, procédures internes, contrats cloud, sécurité des transmissions et contrôle des demandes étrangères deviennent des sujets majeurs de conformité numérique.

Dans ce contexte, KAiSA accompagne les entreprises en transformant les évolutions réglementaires européennes et internationales en obligations compréhensibles, en points d’audit opérationnels et en plans d’action traçables.

← Retour aux actualités