Terrorisme et TIC : Carte blanche à Ammar404 !

Publié sur Nawaat,  Arabe et English.

La loi de lutte anti-terrorisme du 25 juillet 2015 apporte certes en apparence son lot de nouveautés en matière de crimes liés aux nouvelles technologies, mais plusieurs de ses dispositions contiennent des lacunes, comme les vagues définitions, les privilèges d’immunité accordés aux investigateurs, les atteintes aux droits fondamentaux tels que le droit à la vie privée ainsi que le droit d’accès à l’information, et l’exclusion de l’instance de protection des données à caractère personnel de la composition de l’ultra-commission de lutte contre le terrorisme.

La loi N 26 du 7 août 2015 portant sur la lutte contre le terrorisme a été promulguée par le président de la République après que l’Assemblée des Représentants du Peuple l’ait discutée et adoptée le 25 juillet avec 174 voix pour contre 10 abstentions seulement.
Cette loi vient remplacer celle de 2003, avec des nouvelles dispositions en sus, notamment celles relatives aux technologies de l’information et de la communication.

Le Hacking ne devrait pas être un crime

A l’opposé de ce qui est défini dans l’article 13, alinéa 7 de la nouvelle loi anti-terrorisme comme un crime de nature terroriste, le hacking ne devrait pas faire partie des « dommages apportés aux réseaux de télécommunication et systèmes informatiques », et dont les sanctions varient de dix à vingt ans de prison et d’une amende de 50.000 à 100.000 dinars. Du moins, la justice devrait faire la différence entre, d’un côté, le hacking qui sert à alerter les intéressés sur les failles de sécurité informatique de leurs systèmes (White Hat Hacker : le hacker au chapeau blanc), et, d’un autre côté, le hacking qui cause des dommages, vole des données et s’introduit illégalement dans les systèmes pour pirater des comptes (le Black Hat Hacker : le hacker au chapeau noir).

Il est aussi utile de rappeler à ce propos que l’actuel code pénal via les articles 199 bis et 199 ter ainsi que l’article 4 (travaux préparatoires) de l’ancienne loi anti-terrorisme de 2003 (modifié par la loi N 65/2009) furent tous utilisés par la dictature de Ben Ali pour museler, à l’époque, les voix des opposants.

Pour ce faire, il serait plus utile d’optimiser, techniquement, notre cybersécurité notamment grâce au travail des hackers, ceux-là mêmes que la nouvelle loi pénaliserait. D’ailleurs l’appel à leur expertise devrait provenir aussi bien du gouvernement (secteur public) que du secteur privé, car ces cyber-compétences pourront les aider à mieux protéger l’espace cybernétique.

Interception, surveillance et protection des données personnelles

A l’ère de l’hyper-connectivité, la bataille contre le cyber-terrorisme et autres crimes informatiques semble être une priorité pour la plus part des pays, y compris la Tunisie. En effet, la nouvelle loi de lutte contre le terrorisme consacre cette priorité, en associant dans différents de ses articles, l’interception à la sécurité.

Toutefois, les avis, concernant la notion de « sécurité nationale » – même n’étant pas précise dans les textes de loi – sont mitigés. Certains pensent que la technologie est le meilleur moyen capable de renforcer la sécurité nationale, et sont donc disposés à accepter l’utilisation de l’interception, ou encore la surveillance, abandonnant par là une partie de leur vie privée pour la réalisation de cet ultime but. D’autres sont, au contraire, bien conscients que le droit à une sphère privée est protégé par la constitution dans son Article 24 et que ce droit garantie une liberté fondamentale qu’ils ne sont pas prêts à sacrifier sur l’autel d’une sécurité « promise ».

Mais l’Etat a déjà tranché, puisque tout le cinquième chapitre de la loi de la lutte anti-terrorisme décrit le cadre légal pour la pratique de l’interception et de la surveillance.

L’article 54 de ladite loi spécifie dans les détails le type de données à récolter auprès, entre autres, de l’Agence Technique des Télécommunications (ATT), des opérateurs télécom ainsi que des fournisseurs d’accès internet et ceux des services internet. L’interception ne peut excéder les quatre mois, renouvelable une seule fois. Sur le principe, il n’y pas de nouveauté, puisque plusieurs textes déjà existants, y compris dans le Code des télécommunications et le décret relatif aux activités de fournisseurs de services internet modifié en 2014 articles 11 et 14, stipulent que les différents acteurs du secteur sont soumis à la collecte de données et leur transmission aux autorités compétentes lorsqu’il s’agit d’enquêtes sécuritaires. De même, l’article 47 de la loi de 2004 sur la protection des données à caractère personnel accorde l’exception de communiquer les données personnelles aux services de la police et aux autorités publiques en réponse à leurs demandes.

Les articles 55 et 56 de la loi anti-terroriste parlent des modalités de stockage et d’analyse des données collectées lors des investigations. Ces données, si elles ne peuvent constituer des preuves accablantes, seront traitées selon les dispositions de la loi de protection des données personnelles en vigueur.

L’article 61 quant à lui traite de la surveillance, qu’il s’agisse d’écoutes, ou de vidéosurveillance, et dont la durée ne peut dépasser les deux mois renouvelables une seule fois via un ordre du procureur. Pareillement que pour l’interception donc, les données collectées subissent le même parcours. L’article consacre le fameux «Big Brother Is Watching You». En effet, ces pratiques de vidéosurveillance liées à la lutte anti-terroriste permettent aux autorités de pratiquer la surveillance dite « de masse », ceci sans qu’elles ne soient obligées de demander l’autorisation de l’instance INPDP, puisque la loi sur la protection des données, dans son article 54, les en dispensent exceptionnellement. En même temps, le citoyen ne pourra en aucun cas exercer son droit d’accès au contenu de ces fichiers, puisqu’ils sont, en vertu de cette loi, non publiables.

Ces pratiques ont été lourdement condamnées par un collectif d’associations, qui, à travers un communiqué, a dénoncé « les pouvoirs de surveillance et de contrôle à la fois vastes et définis de manière vague que la loi accorde aux forces de sécurité ». Aussi la députée Samia Abbou, a émis des critiques semblables lors du vote de cette loi.

Outre cette porte grande ouverte aux anciennes pratiques de surveillance, se pose un problème majeur, celui de la loi de protection des données à caractère personnel, qui, face aux nouveaux défis juridiques et techniques, demeure inefficace, surtout si différents autres textes juridiques, comme le décret d’établissement de l’ATT, y font référence.

En effet, si cette loi aurait pu représenter l’unique garde-fou contre les potentiels abus qui porteraient préjudice à la vie privée des Tunisiens, en conséquence de la pratique de l’interception ou de la surveillance, elle contient une majeure lacune, du fait que le secteur public, représenté, dans le cas présent, par les autorités en charge de l’interception et de la surveillance, ne sont pas obligées de passer par l’Instance de Protection des Données Personnelles, ni d’obtenir une autorisation préalable hormis celle du procureur. En plus, lesdites autorités sont protégées de tout contrôle.

Et c’est bien le citoyen qui pourrait payer le prix de cette carte blanche octroyée aux pouvoirs publics de traiter de nos données personnelles sans aucune réelle limitation, aucune garantie ou protection pour les individus, et ce pour des raisons de sécurité publique, de défense nationale, ou pour procéder aux poursuites pénales, dans le cadre de la lutte contre le terrorisme. De plus leurs taches seront d’autant plus facilitées, avec la mise en place du système de l’identifiant unique du citoyen.

Par ailleurs, une interprétation de l’article 62 pourrait être celle que les lanceurs d’alertes en rapport avec les investigations liées au terrorisme, seraient considérés en tant que criminels, et la peine qui leur incombe est de 10 années de prison. Ajouté à ceci, le récent retrait par le gouvernement du projet de loi sur le droit d’accès a l’information, la situation donne matière à réfléchir sur la réelle volonté de l’actuel pouvoir à rompre avec les anciennes pratiques, surtout que ce droit d’accès à l’information est considéré comme une garantie au citoyen via l’article 32 de la constitution, contre tout possible abus des autorités publiques lesquelles agissent, sans obligation aucune.

Une autre préoccupation concerne le dernier paragraphe de l’article 51, dans lequel le tribunal de première instance de Tunis, à travers les juges spécialisés qui sont nommés au Pôle Judiciaire de Lutte Contre le Terrorisme, a le pouvoir de décider du:

« retrait ou censure, d’une partie ou de la totalité d’une séquence audio, vidéo, et autres publications numériques ou d’information qui constituent des crimes terroristes ou utilisée pour commettre des crimes ».

De quelle censure parle-t-on alors que ce genre de contenus n’est même pas hébergé en Tunisie, comme c’est la cas avec les grands sites sociaux à l’instar de Facebook, Youtube et Twitter. D’ailleurs, l’article 34, alinéa 2 de cette loi puni l’hébergeur de site-web pour les organismes dits terroristes, de 10 à 20 ans de prison ainsi que de 50.000 à 100.000 dinars d’amende. Dans ce cas, les autorités n’ont pas d’autre choix que celui de s’adresser à ces entreprises étrangères.

Coopération internationale et partenariat avec le secteur privé

La sixième section de la loi établi la création d’une Super-commission de lutte contre le terrorisme, composée de représentants strictement gouvernementaux, dont l’Instance Nationale de Protection des Données à Caractère Personnel (INPDP) a été exclue. Cette autorité se réserve le droit, toutefois, de consulter des experts et représentants de la société civile pour réaliser ses différentes missions, notamment la coopération internationale telle que décrite dans l’article 69, dans le cadre des traités, conventions et autres accords que la Tunisie aura ratifié.

Par coopération internationale en matière de lutte anti-terrorisme et s’agissant précisément du domaine des TICs, le scandale des révélations de Snowden a démontré l’échec d’une telle vision. En effet, l’alliance de coopération entre les services de renseignements des pays faisant partie des « Five Eyes », a été utilisée par l’agence de sécurité américaine NSA à des fins de surveillance de ses alliés et au-delà. De même pour les pays signataires qui ont utilisé ce traité afin de surveiller en toute illégalité leurs citoyens. Encore, cette entente n’a jamais été efficace, à compter les multiples attentats perpétrés par des terroristes. Au contraire, cela a permis même aux Etats Unis et au Royaume Unis de violer la souveraineté nationale de plusieurs autres pays.

Les efforts internationaux de la Tunisie devraient commencer par la ratification de deux importantes conventions du Conseil de l’Europe, celle de la protection des personnes à l’égard du traitement automatisé des données à caractère personnel N 108 et la convention de Budapest portant sur la cybercriminalité.

Quant aux partenariats avec le secteur privé, ils faudrait les axer sur les géants du secteur. Sachant que pour plusieurs pays, le recrutement se fait principalement via Internet et ses réseaux sociaux, même si une étude sur la géolocalisation des supporters de l’Etat Islamique (EI) sur Twitter, publiée en Mars 2015, classe la Tunisie onzième.

Face à la propagande terroriste virtuelle, Google, Facebook, Twitter et leur semblables n’ont cessé d’adapter leurs politiques générales d’utilisation au contexte, et d’ajuster leurs relations avec les agences de renseignements et les gouvernements concernés. Dans la lutte contre le cyber-terrorisme, ces entreprises sont ouvertes aux requêtes gouvernementales, qu’ils étudient avant de communiquer les données personnelles des pages ou comptes aux autorités compétentes. Sauf que ce processus, ainsi que ses résultats, sont rendus publics dans ce qu’on appelle communément «Transparency Report». D’ailleurs le mot est dit : Transparence! C’est ce que des gouvernements redoutent. A l’exemple de la Tunisie. Puisque même si le ministre de l’intérieur ainsi que celui en charge du portefeuille des TICs ont déclaré coopérer avec les responsables des plateformes de sites sociaux, rien n’a été réellement concrétisé.

En effet, la Tunisie n’existe dans aucun Transparency Report et ce depuis 2011, pourtant l’on retrouve dans certains communiqués de presse du ministère de l’Intérieur, la présence d’arrestation de présumés terroristes sur la base d’investigations menées sur les profiles existants sur les réseaux sociaux des accusés, tel que des écrits (tweets ou posts sur Facebook) faisant l’apologie du terrorisme. A ce propos, l’article 31 de cette loi criminalise l’apologie du terrorisme dans sa définition la plus large : acte, personne, groupe, organisme, sur le territoire ou à l’étranger et de quelque moyen qu’il soit, y compris donc les TICs. Quiconque s’amuserait à glorifier des crimes terroristes, par exemple sur les réseaux sociaux, risquerait de 1 à 5 ans de prison et de 5.000 à 10.000 dinars d’amende. Cet article peut être considéré comme une atteinte à la liberté expression, dès lors qu’il peut être utilisé à tort afin de restreindre cette liberté si chèrement arrachée par les Tunisiens.

Conclusion

La loi de lutte anti-terrorisme du 25 juillet 2015 apporte certes en apparence son lot de nouveautés en matière de crimes liés aux nouvelles technologies, mais plusieurs de ses dispositions contiennent des lacunes, comme les vagues définitions, les privilèges d’immunité accordés aux investigateurs, les atteintes aux droits fondamentaux tels que le droit à la vie privée ainsi que le droit d’accès à l’information, et l’exclusion de l’instance de protection des données à caractère personnel de la composition de l’ultra-commission de lutte contre le terrorisme.

L’Etat tunisien, dans son obligation de fournir la sécurité à ses citoyens semble, comme la France avec sa loi de renseignements, avoir choisi de leur imposer l’abandon d’une partie de leurs droits constitutionnels, tout en ré-instaurant le cadre propice – et opaque – à la reprise des fonctions incontrôlables du célèbre « Ammar404 ». Seul rempart ? Mettre à jour, en toute urgence, la loi organique de 2004 sur la protection des données à caractère personnel, et se consacrer à combattre les causes réelles de ce fléau que représente le terrorisme, en reformant en premier l’appareil sécuritaire y compris la cybersécurité.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s