Beaucoup de craintes et d’interprétations ont été formulées à la suite de la présentation, en première lecture, du Cybersecurity & Cybercrime Bill le 26 octobre au Parlement. Qu’en est-il vraiment ? La liberté d’expression des citoyens est-elle vraiment menacée ? Y aura-t-il atteinte à la vie privée ? Les sentences pénales proposées sont-elles excessives ?
Neelkanth Dulloo, avocat spécialisé en matière de droits humains, entre autres, regrette que ce projet de loi ne soit pas accompagné de consultations publiques ni d’éducation. « Le problème, c’est qu’on vient introduire ce projet de loi au Parlement sans Green ou White Paper ! »
Il est d’avis que « le gouvernement se cache derrière les propositions de convention pour mettre en place un système afin d’éviter que les gens s’attaquent à lui ». Et d’ajouter : « Ce projet de loi, me semble-t-il, ne s’intéresse pas tant aux arnaques qu’à la restriction de la liberté d’expression. » L’avocat considère, par ailleurs, que la solution ne réside pas dans une sentence de 20 ans de prison ou d’une amende de Rs 1 M. « La solution, c’est l’éducation. Il faut qu’on réalise que nos lois sont déjà sévères. »
Kwang Poon, spécialiste en informatique, trouve pour sa part que « vu l’influence et la place qu’occupe le cyberespace dans notre quotidien, il est tout à fait compréhensible que les autorités souhaitent dépoussiérer et mettre à jour le cadre juridique pour lutter contre le cybercrime et rehausser la cybersécurité ». Face aux positions du gouvernement qui veut « contrôler le contenu sur les réseaux sociaux et l’opposition qui veut avoir le champ libre, l’art de gouverner, ou la politique au sens noble du terme, consiste à trouver le juste milieu dans l’intérêt national ». Il est confiant qu’avec une séparation des pouvoirs « assez bien rodée entre l’exécutif et le législatif, la discrétion d’un juge attitré donne une certaine garantie que la collecte des données ne se fera qu’en cas de “reasonable grounds” ».
Pour Arvin Halkhoree, avocat qui se spécialise dans la technologie et employé chez Jurisconsult, ces débats autour du projet de loi sont plutôt une tempête dans un verre d’eau. Pour lui, il était temps de faire une mise à jour de la loi qui date de 2003. La responsabilité de l’administrateur du compte en ligne de modérer le contenu et qui soulève des appréhensions se pose, précise-t-il, « uniquement si la chose a été portée à l’attention de l’administrateur par une investigatory authority ». Or, selon lui, « la loi telle quelle n’oblige pas à la personne de modérer tous les commentaires qui passent sur son compte de facto ». Il reconnaît néanmoins qu’« il y a la loi et l’application de la loi ». Et que « le risque d’une mauvaise application de la loi est toujours là et cela s’applique à toutes les lois qui ont été votées et qui seront votées au Parlement ».
NEELKANTH DULLOO (AVOCAT) : « Un système pour éviter qu’on s’attaque au gouvernement »
Le Cybersecurity & Cybercrime Bill a été présenté en première lecture le 26 octobre et a été débattu mardi. Le but indiqué est de respecter davantage la Convention de Budapest sur la cybercriminalité à travers le durcissement des peines face aux dérapages et arnaques sur Internet, l’amélioration des techniques d’enquête et le renforcement de la coopération internationale. Y avait-il un besoin réel de renforcer les lois contre ces délits ?
Nous constatons une tendance où le gouvernement procède avec des lois qui sont contestées en cour ou qui sont jugées anticonstitutionnelles par les juges eux-mêmes. Comment nous retrouvons-nous dans ce genre de situation ? C’est parce qu’il n’y a pas de consultations publiques. On a essayé en vain d’amender la loi de l’ICTA à plusieurs reprises. La Cour a trouvé que ces législations étaient anticonstitutionnelles.
Maintenant, on se trouve dans une autre situation avec ce projet de durcissement des lois sans qu’il n’y ait de consultations publiques et sans qu’il n’y ait une éducation derrière. Cela peut être fatal. Surtout que le durcissement des peines n’est pas un moyen dissuasif. Il s’agit plutôt d’un moyen déguisé pour faire peur. Il nous faut aller au fond des choses en éduquant la population. Il n’y a aucune éducation en ce qui concerne les réseaux sociaux.
De quel type d’éducation parle-t-on ?
Aujourd’hui, tout le monde est sur les réseaux sociaux et tous les enfants sont sur leur iPad. Il y a le criminal mind à partir de l’adolescence. Quel encadrement ces jeunes en dessous de 21 ans ont-ils ? Moi, je trouve que le gouvernement se cache derrière les propositions de convention pour mettre en place un système pour éviter que les gens s’attaquent à lui.
La plupart de ceux qui ont fait des plaintes sur la cybersécurité concernant des diffamations sont des politiciens. Nous avons vu combien de politiciens ont été critiqués. Les citoyens ont la liberté d’expression et ont le droit de critiquer. Ce projet de loi, me semble-t-il, ne s’intéresse pas tant aux arnaques qu’à la restriction de la liberté d’expression.
L’essentiel, c’est surtout de lutter contre les arnaques ?
Rien que ces trois dernières semaines, j’ai vu plusieurs cas d’arnaque au niveau des cartes bancaires. Qu’a fait la police, qu’a fait la banque ? Il faut qu’il y ait un équilibre entre le problème d’arnaque et la liberté d’expression. Or, on constate que les politiciens essaient plutôt d’empêcher que des critiques soient émises à leur encontre. Alors qu’il faudrait se concentrer sur le problème d’arnaque. C’est malheureux de voir des policiers sans formation ! La Cybercrime Unit est dépassée. Le personnel est trop restreint alors qu’elle devrait être une unité en elle-même dans un headquarter.
Aujourd’hui, les plus grosses infractions sont certes liées à l’informatique. Mais le problème, c’est qu’on vient introduire ce projet de loi au Parlement sans Green ou White Paper ! Et quand on voit que le Focus est la sentence pénale…
Pour moi, c’est un travail d’amateur. Si on veut vraiment respecter la Convention de Budapest, qu’a-t-on fait donc sur le Criminal Code, sur la Criminal Procedure à aujourd’hui ? On met l’accent sur la sentence ne dépassant pas 20 ans de prison et ne dépassant pas Rs 1 M. Ce n’est pas là la solution. La solution, c’est l’éducation. Il faut qu’on réalise que nos lois sont déjà sévères.
Sont prévues une amende jusqu’à Rs 1 M et une peine d’emprisonnement allant jusqu’à 20 ans pour certains délits. Comment évaluez-vous une telle peine ?
C’est excessif ! C’est seulement dans des royaumes où il y a des rois qu’on voit cela. Le roi cherche à faire peur. Pour certaines personnes, avec de telles lois, on ne fonctionne pas comme une République avec un Premier ministre mais plutôt comme un royaume avec un roi à la tête.
Certains membres de l’opposition ne manquent pas de tirer la sonnette d’alarme, estimant que ce projet de loi est un moyen pour le gouvernement d’avoir un contrôle sur les contenus des réseaux sociaux et de sanctionner à tort ou à raison. Partagez-vous cet avis ?
Oui. J’avais moi-même dit quand il y avait des consultations par rapport à l’ICTA, qu’on cherchait à faire peur et qu’on ne pourrait rien faire car la liberté d’expression (article 12) est garantie par la Constitution. N’importe quel amendement jouera sur l’article 12 de la Constitution.
J’invite les banques à venir dire combien de cas d’arnaque ont été rapportés sur des cartes de crédit, des comptes bancaires et combien de cas ont pu être traités. Ce ne sont pas les arnaques qui sont l’objet d’intérêt ici, mais davantage les commentaires sur la bonne gouvernance sur les réseaux sociaux.
L’article 23 du projet de loi, “Failure to moderate undesirable content”, suscite beaucoup de questions. Certains voient là un moyen de filtrer des contenus sur les réseaux sociaux, un projet que nourrissait l’ICTA il y a quelques mois mais qui n’a pas abouti. Cet article est aussi perçu par certains comme une atteinte à la liberté de la presse en ligne qui se verrait tenue responsable si elle n’arrivait pas à “moderate and control undesirable content” sur son site.
Comment va-t-on modérer tout cela ? Quel système a-t-on mis sur place pour modérer ? Modérer quoi ? L’expression des points de vue des citoyens ? C’est cela, la liberté d’expression ! Tout cela est très vague. Si une personne s’en prend à quelqu’un, c’est à la presse en ligne d’enlever cela ? Si quelqu’un publie des invectives sur mon mur sur les réseaux sociaux et qu’il détient toutes sortes de moyens technologiques et moi pas, comment je l’enlève ? On est en train de déplacer des pions accusateurs pour les attribuer à d’autres. C’est un moyen de supprimer l’opposition.
D’autres émettent leur incompréhension quant aux articles 29 et 30 où des fournisseurs de services en ligne pourraient être contraints de collecter des informations dans la confidentialité et en temps réel…
Quel sera donc le rôle du Data Protection Office avec la collecte des données ? Comment le Data Commissioner pourra permettre des enquêtes sur les sensitive personal data ? Il faudra une deuxième Cour suprême consacrée aux data au vu du nombre de users qu’il y a. A-t-on assez d’argent pour cela ? Pour moi, ces propositions de loi protégeront un petit clan.
KWANG POON (SPÉCIALISTE EN INFORMATIQUE) : « Trouver le juste milieu dans l’intérêt national »
Le Cybersecurity & Cybercrime Bill a été présenté en première lecture le 26 octobre et a été débattu mardi. Le but indiqué est de respecter davantage la Convention de Budapest sur la cybercriminalité à travers le durcissement des peines face aux dérapages et arnaques sur Internet, l’amélioration des techniques d’enquête et le renforcement de la coopération internationale. Y avait-il un besoin réel de renforcer les lois contre ces délits ?
La présentation de ce projet de loi traduit la volonté du gouvernement d’améliorer la gouvernance et d’amender le cadre régulateur dans le cyberespace qui occupe une place de plus en plus prépondérante dans la vie des Mauriciens. En effet, selon les derniers chiffres, nous recensons pratiquement 900 000 abonnés d’Internet mobile sur une population de 1,2 million d’habitants.
Quand on se réfère au cyberespace, on parle surtout de réseaux sociaux comme Facebook, Instagram ou Twitter et d’applis de messagerie instantanées telles que WhatsApp, Viber ou Messenger. Vu l’influence et la place qu’occupe le cyberespace dans notre quotidien, il est tout à fait compréhensible que les autorités souhaitent dépoussiérer et mettre à jour le cadre juridique pour lutter contre le cybercrime et rehausser la cybersécurité.
Certains membres de l’opposition ne manquent pas de tirer la sonnette d’alarme, estimant que ce projet de loi est un moyen déguisé pour le gouvernement d’avoir un contrôle sur les contenus des réseaux sociaux et de sanctionner à tort ou à raison. Partagez-vous cet avis ?
De nos jours, les mouvements et actions de masse peuvent être initiés et coordonnés à travers les outils mentionnés plus haut. Le rôle de l’opposition est de critiquer le gouvernement, de façon constructive, si possible en suggérant des améliorations. Mais souvent, on note une opposition qui sombre dans la démagogie et patauge dans la politicaille en mettant des bâtons dans les roues sans donner de meilleure alternative.
Pour renforcer la démocratie, le gouvernement peut s’inspirer du Parlement britannique qui monte des comités interparlementaires en impliquant des membres de tous bords politiques pour discuter, superviser et travailler sur les dossiers importants. Cette démarche demande une certaine maturité et d’ouverture d’esprit. Il convergera vers des compromis et évitera les extrêmes ; notre démocratie en sortira grandie et gagnante.
Le gouvernement veut contrôler le contenu sur les réseaux sociaux et l’opposition veut avoir le champ libre. L’art de gouverner, ou la politique au sens noble du terme, consiste à trouver le juste milieu dans l’intérêt national.
L’article 23 du projet de loi “Failure to moderate undesirable content” suscite beaucoup de questions. Certains voient là un moyen de filtrer des contenus sur les réseaux sociaux, un projet que nourrissait l’ICTA il y a quelques mois mais qui n’a pas abouti. Cet article est aussi perçu comme une atteinte à la liberté de la presse en ligne qui se verrait tenue responsable si elle n’arrivait pas à “moderate and control undesirable content” sur son site.
J’étais parmi les premiers blogueurs mauriciens avec mon site coz.mu que j’avais monté en l’an 2000. Déjà à cette époque, la question de modération du blog se posait et je devais parfois effacer un commentaire désobligeant ou insultant, voire même bloquer un troll ou commentateur malveillant. Mais le plus gros problème, c’était les spam comments que je devais effacer régulièrement. De nos jours, les avancées technologiques ont simplifié la vie des administrateurs avec des filtres intelligents avec un engin doté d’intelligence artificielle dans le back-end.
Cependant, il serait bien de noter que tout média possède une ligne éditoriale avec des affinités ou un certain penchant politique qui peut parfois évoluer dans le temps. Cela dit, dans une démocratie vivante et dynamique, il est très rare d’avoir un consensus à 100%. Le gouvernement tente de contrôler l’intox et les dérives alors que l’opposition voit dans cette initiative une tentative de la museler.
Évidemment, une campagne de communication bien ficelée aurait permis d’arrondir les coins et façonner l’opinion publique dans la direction du progrès. Espérons que les débats autour du projet de loi apporteront plus d’éclairage et ne vont pas dégénérer en un dialogue de sourds.
D’autres émettent leur incompréhension quant aux articles 29 et 30 où des fournisseurs de services en ligne pourraient être contraints de collecter des informations dans la confidentialité et en temps réel…
L’article 29 donne le pouvoir à une investigative authority d’initier la collecte des données en temps réel avec l’autorisation d’un juge en Chambre. L’article 30 accorde le pouvoir d’intercepter les données lors d’une enquête avec encore une fois l’aval d’un juge en Chambre.
D’un point de vue technique, ces mesures ne viennent que mettre à jour l’arsenal juridique en fonction des réalités actuelles dans la lutte pour la cybersécurité. N’oublions pas que nous avions déjà la possibilité de faire des écoutes téléphoniques, de récupérer les SMS et même d’avoir la géolocalisation de l’abonné mobile en accédant au Visitor/Home Location Register.
Ces mesures vont dans le sens du développement technologique et des activités récentes qui s’orientent de plus en plus vers les réseaux sociaux et les applis de messagerie numérique.
Avec une séparation des pouvoirs assez bien rodée entre l’exécutif et le législatif, la discrétion d’un juge attitré donne une certaine garantie que la collecte des données ne se fera qu’en cas de reasonable grounds.
Sont prévues une amende jusqu’à Rs 1 M et une peine d’emprisonnement de 20 ans pour certains délits. Estimez-vous ces peines proportionnées aux délits ?
De premier abord, les pénalités peuvent sembler un peu lourdes. J’apprécie la position de gouvernement de vouloir prendre le taureau par les cornes et tenter de tuer dans l’œuf les dérives et l’intox qui ont connu une recrudescence en cette période de pandémie et qui pourraient nuire à l’harmonie et la stabilité sociale. Je préconiserai peut-être un système de pénalité graduée et une période de grâce pour que le public s’habitue à la new normal.
ARVIN HALKHOREE (AVOCAT) : « Il était temps de faire une mise à jour »
Le Cybersecurity & Cybercrime Bill a été présenté en première lecture le 26 octobre et a été débattu mardi. Le but indiqué est de respecter davantage la Convention de Budapest sur la cybercriminalité à travers le durcissement des peines face aux dérapages et arnaques sur Internet, l’amélioration des techniques d’enquête et le renforcement de la coopération internationale. Y avait-il un besoin réel de renforcer les lois contre ces délits ?
On avait déjà la Computer Misuse and Cybercrime Act de 2003. Il était temps de faire une mise à jour de la loi. Ce qui est intéressant, c’est qu’il y avait pas mal de délits qui existaient alors que là il y a un durcissement au niveau des peines et de nouveaux délits sont venus s’y ajouter.
Ce durcissement a-t-il sa raison d’être ?
Oui. Par exemple, il y a maintenant le Computer Related Forgery. Le délit de faux existe sous le code pénal mais ici c’est différent. On parle de misuse of fake profiles, cyberbullying, cyberextorsion, etc. Le durcissement de la loi était certes nécessaire car en 2003, peu de gens avaient un Smartphone alors qu’aujourd’hui, presque tout le monde est connecté à Internet, et donc le potentiel d’infractions est là. Le seul fait que je sois connecté à Internet, le potentiel que je sois victime de cyberextorsion ou cyberbullying est réel. Il était important donc de mettre à jour la loi en introduisant de nouvelles lois et en renforçant le cadre existant.
L’article 23 du projet de loi “Failure to moderate undesirable content” suscite beaucoup de questions. Certains voient là un moyen de filtrer des contenus sur les réseaux sociaux, un projet que nourrissait l’ICTA il y a quelques mois mais qui n’a pas abouti. Cet article est aussi perçu comme une atteinte à la liberté de la presse en ligne qui se verrait tenue responsable si elle n’arrivait pas à “moderate and control undesirable content” sur son site.
Beaucoup de personnes croient que lorsqu’elles sont derrière un clavier, elles peuvent tout dire. Alors que ce comportement ne serait pas toléré en présentiel. Il est important que l’administrateur du compte modère le contenu. Cette responsabilité de modérer le contenu se pose uniquement si la chose a été portée à l’attention de l’administrateur du compte en ligne par une investigatory authority.
La loi telle quelle n’oblige pas à la personne de modérer tous les commentaires qui passent sur son compte de facto. Il n’y a donc pas une obligation générale de modérer les propos des autres. Par ailleurs, cette investigatory authority doit dire quel est ce contenu indésirable. L’article 23 n’impose donc pas une obligation de modérer tous les contenus sur un compte en ligne.
N’empêche, certains membres de l’opposition ne manquent pas de tirer la sonnette d’alarme, estimant que ce projet de loi est un moyen pour le gouvernement d’avoir un contrôle sur les contenus des réseaux sociaux et de sanctionner à tort ou à raison. Partagez-vous cet avis ?
Peut-être. Moi, je suis avocat. Je parle de ce que dit la loi. Mais, définitivement, il y a la loi et l’application de la loi. Comment cette loi sera appliquée, je ne saurais le dire. Le risque dont parlent certains existe. Le risque d’une mauvaise application de la loi est toujours là et cela s’applique à toutes les lois qui ont été votées et qui seront votées au Parlement. Mais cette loi n’enfreint pas la loi suprême du pays qui est la Constitution qui garantit des droits fondamentaux.
En parlant de droits fondamentaux, y voyez-vous une potentielle atteinte à la liberté d’expression ? Beaucoup de citoyens, des politiciens de l’opposition, ont l’habitude de pointer les travers dans la gestion du pays, par exemple…
Je dirais non. Mais tout dépendra de la manière dont la police appliquera la loi. Comme je l’ai dit, pour toute loi et pour toute infraction à la loi, il peut y avoir abus. Mais l’avantage à Maurice, c’est qu’il y a the Rule of Law, le judiciaire reste indépendant. S’il y a abus, il y aura une demande devant les tribunaux. Si la police vient avec des demandes déraisonnables sous l’article 23, je suis sûre que le titulaire du compte en ligne ira demander une injonction en Cour contre la police ou demandera une judicial review.
D’autres émettent leur incompréhension quant aux articles 29 et 30 où des fournisseurs de services en ligne pourraient être contraints de collecter des informations dans la confidentialité et en temps réel…
Je ne comprends pas pourquoi on fait tout ce bruit là-dessus alors que cela existait depuis la loi de 2003.
Est-ce une bonne chose ou faudrait-il changer cette loi ?
Non. Comme on dit, il y a des garde-fous prévus par la loi. Cette collecte d’informations pourra se faire uniquement après avoir fait une demande au juge en Chambre. C’est donc soumis au contrôle judiciaire. Dans un pays où l’on a la séparation des pouvoirs et le Rule of Law, un juge, qui a au moins 20 ans au barreau, va analyser la demande et décider s’il y a de bonnes raisons de réaliser cette collecte de données en temps réel.
Le juge est bien placé pour réaliser l’impact que cela est susceptible d’avoir sur la vie privée de la personne. Effectivement, c’est une atteinte à la vie privée mais qui est sujet au contrôle judiciaire. La seule chose qui change de 2003, c’est que le service provider ne peut dire à la personne qu’on collecte des real time data sur elle.
Votre point de vue sur ce changement…
Peut-être a-t-il sa raison d’être. Si on pense que ces données sont importantes pour les besoins d’une enquête et que si l’on met la personne au courant, elle peut changer son comportement. Si elle sait que son téléphone est sur écoute, elle ne va pas appeler son partenaire criminel. Peut-être qu’en l’absence de confidentialité, la collecte des données serait inutile.
Sont prévues une amende jusqu’à Rs 1 M et une peine d’emprisonnement de 20 ans pour certains délits. Estimez-vous ces peines proportionnées aux délits ?
Quand la loi prévoit un montant, ce n’est pas à chaque délit mais c’est le maximum prévu par la loi. Le juge donnera une sentence en fonction de la gravité du délit. Cela ne veut pas dire que ces peines seront appliquées telles quelles. La cour tient compte des circonstances aggravantes et atténuantes.