« Qui peut et n’empêche, pèche ». Ce vieil adage du XVII^e siècle traduit bien ce que le principe de due diligence exprime au XXI^e siècle à l’égard des États souverains dans l’espace numérique : intervenir quand ils le savent et qu’ils le peuvent pour empêcher des actes portant atteinte aux droits d’États tiers. Principe fécond du droit international, la due diligence est aujourd’hui appelée à jouer un rôle central dans la régulation des activités numériques, la prévention et la réaction aux cyber-attaques. La hausse spectaculaire des actes de malveillance dans le cyberespace dans lesquels sont impliqués des États mais aussi des acteurs non étatiques constitue en effet une véritable menace pour la paix et la sécurité internationales. Du point de vue du droit international, le phénomène est complexe à appréhender dans la mesure où certains États entretiennent des liens plus ou moins étroits avec ces groupes non étatiques et les utilisent comme des « intermédiaires », des « proxies », pour développer des activités malveillantes contre les intérêts d’autres États. Fondé sur l’une des obligations les plus importantes des États en droit international qui est l’obligation pour tout État de ne pas utiliser ou de ne pas laisser utiliser son territoire à des fins contraires aux droits des autres États, le principe de due diligence concerne un très grand nombre d’activités qui sont menées sous le contrôle ou la juridiction des États et ceci quels que soient les acteurs impliqués. Les États ne sont donc pas seulement responsables des activités conduites par leurs organes, ils peuvent aussi être tenus responsables des activités conduites par les personnes privées. Pourtant, certains États, dans le cadre des négociations menées au sein du Groupe d’experts gouvernementaux des Nations Unies sur la cyber-sécurité mais aussi certains experts ont remis en cause l’existence même de telles obligations dans le cyberespace et le concept associé de « cyber-diligence ». Ces objections sont multiples et remettent fondamentalement en question certains éléments fondamentaux des relations entre les États. L’objectif de cet article est tout d’abord de répondre à ces objections et dissiper les malentendus qui entourent l’existence même d’une obligation de diligence dans le cyberespace pour en affirmer la positivité et en analyser la nature. Il propose ensuite une étude des défis de l’application de l’obligation de diligence dans le cyberespace et ses implications concrètes tant du point de vue du comportement requis par les États que du point de vue des règles secondaires et d’engagement de leur responsabilité internationale.

 “Who can and does not prevent, sin”. This old adage of the seventeenth century reflects what the principle of due diligence expresses in the twenty-first century with regard to sovereign states in the digital space: to intervene when they know and they can to prevent acts that undermine rights of third States. As a fertile principle of international law, due diligence is today called upon to play a central role in the regulation of digital activities, the prevention and reactions to cyber-attacks and the maintenance of international peace and security. The dramatic rise of cyber-attacks involving States and non-State actors constitutes today a real threat to international peace and security. From an international law perspective, the phenomenon is all the more complicated because some States have more or less close ties with these non-State groups and use them as ‘intermediaries’, ‘proxies’, to develop malicious activities against the interests of other States. Founded on one of the most important obligations of the States in international law, which is the obligation for all States not to use or allow their territory to be used for acts contrary to the rights of other States, the due diligence principle concerns a very large number of activities which are conducted under the control or jurisdiction of States and this whatever the persons involved. The States are therefore not only responsible for the activities conducted by their agents, they may also be held responsible for activities conducted by private persons when they violate their obligations of diligence. However, a few States, and also some scholars (mainly from the Anglo-Saxon world), have questioned the very existence of such obligations and the associated concept of ‘cyber-diligence’ used to describe in one word the obligations of due diligence in cyberspace. These objections are multiple and call into question fundamental building blocks of international relations between States. The aim of this article is, first, to respond to all these objections and dispel any misunderstandings surrounding the very existence of an obligation of diligence in cyberspace in order to clearly affirm the positiveness of the principle and to analyze its precise nature. The study then focuses on the different challenges of due diligence obligations in cyberspace. It also discusses the parameters of the due diligence standard and its practical implications both as concerns the specific obligations of States in matters of cybersecurity and as concerns the consequences of its violation in the framework of secondary rules relating to the international responsibility of States.