Très attendue, la Loi portant répression de la cybercriminalité au Mali a été adoptée ce 21 novembre 2019 par l’Assemblée nationale du Mali. Si l’adoption de ce texte est considérée comme une avancée en matière de lutte contre le phénomène, du côté de l’Autorité de protection des données à caractère personnel (APDP), on est resté sur sa faim. Dans une interview qu’il nous a accordée, le procureur Arouna KEÏTA, Directeur des Affaires Juridiques et du Contentieux de l’APDP, a déploré le fait que cette loi ne prend pas en compte les sanctions pénales relatives aux atteintes aux données à caractère personnel, à l’instar des lois d’autres pays, dont le Sénégal. Celles-ci ont souvent consacré soit une section ou un chapitre à la spécification de ces sanctions qui ressortent de la compétence du juge pénal. Malheureusement, cela n’a pas été le cas au Mali.
Info-Matin : Quel est l’état des lieux de la lutte contre la cybercriminalité au Mali ?
Arouna KEITA : L’essor du numérique et de l’internet engendre de multiples opportunités aux hommes dans toutes les sphères de la vie : expression des idées, commerce et banque en ligne, les services mobiles de transmission de données, la téléphonie, les recherches et formations en ligne, etc. Ce développement de la technologie s’accompagne de menaces dont la plus importante est la cybercriminalité qui est une forme de criminalité atypique et très complexe.
Elle désigne l’ensemble des infractions pénales tentées ou commises sur ou au moyen des réseaux informatiques et de l’internet.
Ce phénomène, qui a longtemps été perçu comme un mythe en Afrique en raison de la faiblesse de la pénétration du numérique dans nos activités, est en passe de devenir un véritable fléau pour les Etats, les entreprises et les citoyens avec l’augmentation de la connectivité sur le continent.
C’est pourquoi les États africains ont, depuis un certain temps, commencé à inscrire la lutte contre cette nouvelle forme de banditisme au centre de leur politique criminelle.
C’est dans ce cadre que notre pays s’est récemment doté d’un cadre juridique relatif à la répression de la cybercriminalité à travers la loi n° 2019-056 du 05 décembre 2019 qui détermine les infractions cybercriminelles et la procédure à suivre pour leur répression.
Il y a lieu de signaler que cette loi est la transposition de la Directive C/DIR/1/08/11 du 19 août 2011 portant lutte contre la cybercriminalité dans l’espace CEDEAO.
Mais avant cette loi, nos autorités ont adopté la loi n° 2016-011 du 6 mai 2016 sur la cryptologie, la loi n° 2016-12 du 06 mai 2016 sur les transactions électroniques et la loi n° 2013-015 du 21 mai 2013 portant protection des données à caractère personnel.
Info-Matin : Concrètement pouvez-vous nous citer des infractions cybercriminelles ?
Arouna KEITA : La cybercriminalité recouvre des agissements très vastes, qu’il s’agisse d’atteinte aux biens (escroquerie, transactions sur les contrefaçons, fraude aux moyens de paiement, espionnage des sociétés, piratage d’ordinateur ou de site internet, vol de données sensibles et de données personnelles telles que les données bancaires, les données de santé, téléchargement illégal, intrusion non autorisée dans un système informatique, etc.) ou aux personnes (diffusion d’images pédophiles, incitation au suicide, à la haine raciale, au terrorisme, atteinte à la vie privée). À ce niveau, ce qui est important de signaler, c’est que ces agissements infractionnels se diversifient et se complexifient au même rythme que des innovations technologiques.
Info-Matin : Peut-on avoir une typologie des cyber-délinquants ?
Arouna KEITA : La cybercriminalité est une forme de criminalité atypique.
Les auteurs de cyber-infractions sont variés. Il peut s’agir d’hacker isolé, de réseaux organisés, de salarié peu scrupuleux ou mu par une idée de revanche, de services de renseignement, etc.).
Ils peuvent être guidés par des motivations diverses : lutte contre le terrorisme, vol de données personnelles à des fins lucratives, acte à portée idéologique ou symbolique, simple défi entre hackers, etc.
Info-Matin : Vous avez cité le vol de données personnelles comme exemple d’acte cybercriminel, cela veut-il dire qu’il y a un lien entre la protection des données personnelles et la lutte contre la cybercriminalité ?
Arouna KEITA : Il y a effectivement un lien très étroit entre les deux concepts.
Il faut d’abord retenir que les données à caractère personnel constituent des informations permettant d’identifier directement ou indirectement une personne physique. Il peut s’agir d’une photo, des nom et prénom, du numéro de téléphone, d’une fiche médicale, d’une plaque d’immatriculation, d’une adresse IP, des données de géolocalisation, des données bancaires, etc.
Ainsi, quel que soit, le mode opératoire des cybercriminels, les données personnelles sont généralement concernées dans la mesure où leurs traitements sont de plus en plus automatisés à travers des appareils connectés à internet.
Ainsi les données personnelles peuvent être la cible indirecte des actes cybercriminels visant principalement l’intégrité des systèmes informatiques. Il s’agit ici des attaques qui tendent soit à déstabiliser un système soit à le paralyser temporairement ou définitivement. Dès que l’intégrité d’un système est entamée, cela entraine ipso facto la compromission des données personnelles qu’il contient.
Par ailleurs, les cybercriminels peuvent cibler directement les données personnelles, à travers des actes d’hacking ou d’accès illégal à des ordinateurs pour y soustraire des données, l’interception illégale d’informations, l’espionnage des données personnelles, ou les atteintes à leur intégrité par effacement, altération ou limitation de l’accès.
Info-Matin : Pouvez-vous nous citer des cas de cyberattaques au Mali ou ailleurs dans le monde ?
Arouna KEITA : La particularité de la cybercriminalité est son caractère silencieux de sorte que les victimes se taisent très souvent sur les faits dont elles ont été la cible. Ce qui fait qu’il est difficile d’établir une cartographie des attaques survenues au Mali. Cependant, sans être exhaustif, on peut citer plusieurs cas d’escroquerie à la Cam, des arnaques sur les comptes OrangeMoney, des cas de « revenge porn » et des cas d’arnaque par les réseaux de délinquants dits de la filière ivoirienne, béninoise, etc.
Sur le plan mondial, on ne compte plus le nombre d’entreprises victimes de faille de sécurité relatives aux informations sur leur clientèle : nom, adresses, numéros de téléphone ou encore données bancaires qui sont détruites, altérées, divulguées publiquement.
En France, en 2014, l’opérateur Orange a été victime de deux grandes cyberattaques en l’espace de trois mois ayant occasionné le vol de données personnelles de plus de deux millions de clients.
Aux USA, la même année, Sony Picture a été victime du vol de 100 téraoctets soit 100 mille gigabits de données sensibles incluant l’annuaire de plus de 6 500 salariés avec leurs adresses, dates de naissance, numéro de sécurité sociale, salaires, appréciations de l’employeur, mots de passe de comptes sur les réseaux sociaux, comptes bancaires. Cette attaque a causé à la maison une perte de plusieurs centaines de millions de dollars.
En 2016, Yahoo a révélé le piratage de 500 millions de ses comptes utilisateurs en 2014.
La même année, un hôpital de Los Angeles « Hollywood Presbyterian Medical Center » a été victime d’un programme malveillant bloquant, par chiffrement, le réseau informatique contenant les dossiers médicaux de 900 malades pendant une dizaine de jours empêchant leur traitement. Leurs données de santé ont été également dérobées.
Toutes les grandes cyberattaques dans le monde ont provoqué de compromissions de données personnelles même si lesdites données n’étaient pas directement ciblées par les criminels.
Info-Matin : Avec la nouvelle loi portant répression de la cybercriminalité, pouvons-nous dire que les données personnelles sont mieux protégées ?
Arouna KEITA : Ladite loi était vivement attendue depuis des années. En effet, comme nous venons de voir supra, la cybercriminalité constitue une menace contre les données personnelles et toute mesure qui viserait à lutter contre ce phénomène concourt évidemment au renforcement de la protection des données à caractère personnel.
Cependant, au niveau de l’APDP nous avions espéré que la loi n° 2019-056 du 05 décembre 2019 portant répression de la cybercriminalité allait prendre en compte les sanctions pénales aux atteintes aux données à caractère personnel à l’instar des lois d’autres pays, dont le Sénégal, qui ont consacré soit une section ou un chapitre à la spécification de ces sanctions qui ressortent de la compétence du juge pénal. Malheureusement, cela n’a pas été le cas au Mali.
Info-Matin : Cela veut-il dire qu’au Mali, aucun texte ne permet aux victimes de violations de données personnelles de saisir un procureur de la République ?
Arouna KEITA : Effectivement, comme je viens de l’évoquer, il y a eu un grand oubli de ce volet de la répression au niveau de la loi n° 2013-015 du 21 mai 2013 modifiée.
Je vous signale que ladite loi, dans son article 31, fait obligation à l’APDP de dénoncer les violations de données à caractère personnel au parquet compétent alors qu’aucune incrimination n’est prévue à cet effet.
Cette règlementation est tellement cruciale pour la protection des données personnelles, qu’elle porte sur une vingtaine d’atteintes à ces données qui font l’objet de sanctions privatives de liberté dans tous les pays ayant une législation en la matière.
Info-Matin : Ainsi, en raison du principe de la légalité des infractions et de leurs sanctions, aucune poursuite judiciaire n’est actuellement possible en République du Mali pour violation de données à caractère personnel.
Arouna KEITA : Notre loi est l’une des plus permissives des textes de protection des données personnelles en vigueur et si cela n’est pas rapidement corrigé, notre pays risque de devenir très vite « un paradis des données ».
Pour vous en convaincre, je vous cite quelques législations : en France, l’installation de la vidéosurveillance sans autorisation administrative préalable est une infraction punie de 5 ans d’emprisonnement et 300 000 euros d’amende, au Burkina Faso de 3 mois à 5 ans de prison et d’une amende de 500 milles à 2 millions francs, au Sénégal de 1 à 7 ans de prison et d’une amende de 500 mille à 10 millions de francs, au Bénin de 5 à 10 ans de prison et d’une amende de 10 à 50 millions de francs.
Info-Matin : Dans la lutte contre la cybercriminalité, l’APDP a-t-elle un rôle à jouer ?
Arouna KEITA : Il y a lieu de préciser que le rôle de l’Autorité de Protection des Données à caractère Personnel n’est pas de réprimer le phénomène en tant tel, mais plutôt de veiller à ce que les organismes publics et privés, qui collectent et traitent des données personnelles, mettent en œuvre des mesures techniques et organisationnelles suffisantes visant à empêcher les atteintes aux données personnelles, quelle que soit la source de la compromission. Il peut s’agir soit de sources humaines, erreur ou acte malveillant d’un employé, ou acte cybercriminel. La compromission peut également avoir pour cause un phénomène naturel notamment les intempéries, calamités naturelles, etc.
Info-Matin : Pour revenir à la loi n° 2019-056 du 05 décembre 2019 portant sur la cybercriminalité ; pensez-vous que notre pays soit suffisamment outillé pour prévenir et sanctionner toute la criminalité qui s’opère dans le cyberespace ?
Arouna KEITA : Avec ladite loi, le Mali a, certes, posé la pierre angulaire de l’édifice de protection de l’environnement numérique, mais il n’en demeure pas moins que beaucoup reste à faire.
Nos autorités doivent agir sur deux leviers pour assurer à notre pays une protection optimale contre la cybercriminalité : entreprendre une véritable réforme structurelle et normative à l’interne et renforcer la coopération internationale en matière de lutte contre cette nouvelle forme de criminalité.
Les pouvoirs publics doivent vite engager le processus de ratification de la convention européenne sur la cybercriminalité, adoptée le 23 novembre 2001 à Budapest en Hongrie. Laquelle convention prévoit les mesures pénales de fond et procédurales.
En plus, notre pays doit également ratifier son protocole additionnel relatif à l’incrimination d’actes de nature raciste et xénophobe, adopté le 28 janvier 2003 à Strasbourg (France).
Nous ne devons pas oublier la ratification de la Convention sur la cyber sécurité et la protection des données personnelles adoptée par les Chefs d’État de l’Union africaine en 2014 à Malabo.
Sur le plan national, il faut relire le Code pénal pour l’adapter au contexte du numérique. Il s’agit de revoir la définition de certaines infractions, notamment le vol, l’abus de confiance et l’escroquerie et les étendre aux éléments incorporels tels que les fichiers ou les données informatiques ou personnelles, car le Code pénal actuel parle de chose matérielle. Quand on prend la définition du vol, le propriétaire de la chose dérobée doit en être privé. Cela exclut le vol des données numériques qui ne nécessite pas forcément la dépossession du propriétaire sauf en cas de destruction des données lors de la soustraction.
Donc, il faut introduire dans la loi pénale la notion de vol sans dépossession du propriétaire. De même, il faut également introduire dans le Code pénal de nouvelles infractions en rapport avec le numérique que sont les différentes formes de cyber-harcèlement, notamment le « happy slapping » et la « vengeance pornographique » qui n’ont pas été pris en compte par la loi sur la cybercriminalité.
Quant aux réformes structurelles, il s’agit de créer des organismes chargés de la prévention et la coordination des actions de l’État en matière de cyber sécurité ; instituer un pôle spécialisé de lutte contre la cybercriminalité avec des magistrats et des unités d’enquête spécialisées au niveau de la police et de la gendarmerie avec des officiers de police judiciaire formés à l’investigation numérique.
Et enfin, renforcer les capacités des magistrats et des auxiliaires de justice en droit du numérique et dans la gestion des procédures pénales.
Propos recueillis par Abdoulaye OUATTARA
Source: info-matin