Conseil européen, décision (PESC) 2020/1127, du 30 juillet 2020.
En application notamment des articles 21 et 29 du Traité sur l’Union européenne (Maastricht, 7 février 1992) déterminant les dispositions générales relatives à l’action extérieure de l’Union et les moyens mis en œuvre à cet égard, a été adoptée la décision (PESC) 2019/797 du Conseil, du 17 mai 2019, concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres, susceptibles d’être décidées à l’encontre d’auteurs étrangers de tels actes. La première application de ce dispositif découle d’une décision du Conseil européen, (PESC) 2020/1127, du 30 juillet 2020.
Au titre des sanctions appelées à être prononcées à l’encontre d’auteurs présumés d’actes de cyberattaques, la décision du 17 mai 2019 prévoit notamment en son article 4 que « les États membres prennent les mesures nécessaires pour empêcher l’entrée ou le passage en transit sur leur territoire : a) des personnes physiques qui sont responsables de cyberattaques ou de tentatives de cyberattaques ; b) des personnes physiques qui apportent un soutien financier, technique ou matériel aux cyberattaques ou aux tentatives de cyberattaques ; c) des personnes physiques qui sont associées aux personnes visées aux points a) et b) » ; et en son article 5 que « sont gelés tous les fonds et ressources économiques appartenant : a) aux personnes physiques ou morales, entités ou organismes qui sont responsables de cyberattaques ou de tentatives de cyberattaques » ou à celles et ceux « b) qui apportent un soutien financier, technique ou matériel, aux cyberattaques ou aux tentatives de cyberattaques, ou sont impliqués de toute autre manière dans celles-ci », ou « c) qui y sont associés ». Il est posé que ces personnes et organismes seront inscrits sur une liste annexée à ladite décision de mai 2019.
Par la décision du 30 juillet 2020, prise en application de ces dispositions, sont visés deux individus de nationalité chinoise et quatre Russes (membres du service de renseignement militaire russe), nommément identifiés, et des organisations chinoises, russes et nord-coréennes.
Reproche est notamment fait aux uns ou aux autres d’avoir voulu attaquer le système informatique de l’Organisation pour l’interdiction des armes chimiques (OIAC) ou de diverses entreprises à travers le monde auxquelles il est ainsi causé un tort économique d’importance, par leur participation aux cyberattaques WannaCry ou NotPetya (voir La rem, n°44, p.50).
Outre les mesures techniques, sans doute plus efficaces, mises en œuvre pour traquer et empêcher de telles cyberattaques, le Conseil européen, par une telle décision, tente, par une action commune, de contribuer, par les sanctions ainsi prononcées, à l’objectif formulé à l’article 21 du Traité sur l’Union, de sauvegarde de « ses valeurs, ses intérêts fondamentaux, sa sécurité, son indépendance et son intégrité », et notamment dans l’esprit de la directive (UE) 2016/1148 du 6 juillet 2016, concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, déterminant des règles que chacun des États membres devrait mettre en œuvre par des lois dites de transposition.