Avec les attaques terroristes, une cellule de crise formée par le ministère de la Défense, le ministère de l’Intérieur et la présidence du gouvernement, a mis en place un plan d’action urgent et a émis une recommandation à l’Assemblée Nationale Constituante (ANC) pour que la loi sur le terrorisme soit adoptée le plutôt possible. La cellule a également incité le ministère des TIC, de l’Enseignement supérieur et de la Recherche scientifique, à trouver une solution pour les pages incitant à la haine et qui font l’apologie du terrorisme. Sans parler du contrôle des communications sur Skype, qui serait utilisé par les terroristes afin de communiquer entre eux.
Avec les attaques terroristes, une cellule de crise formée par le ministère de la Défense, le ministère de l’Intérieur et la présidence du gouvernement, a mis en place un plan d’action urgent et a émis une recommandation à l’Assemblée Nationale Constituante (ANC) pour que la loi sur le terrorisme soit adoptée le plutôt possible. La cellule a également incité le ministère des TIC, de l’Enseignement supérieur et de la Recherche scientifique, à trouver une solution pour les pages incitant à la haine et qui font l’apologie du terrorisme. Sans parler du contrôle des communications sur Skype, qui serait utilisé par les terroristes afin de communiquer entre eux. Le ministère de l’Intérieur a même demandé le retour de la censure et du système de filtrage (lire notre article). Or, ceci ne peut se faire que grâce à la loi cybernétique qui régira, également, le travail de l’Agence Technique des Télécommunications (A2T).
Créée par l’ex ministre des TIC, Mongi Marzoug, cette loi (disponible sur ce lien) est encore sous forme d’un brouillon qui devait être discuté en Conseil des Ministre (CM) pour être envoyée comme projet de loi à l’ANC. Cette dernière l’étudiera en commissions et puis débattra sur ses articles en plénière afin de la faire promulguer.
Jusqu’à aujourd’hui, cette loi est encore dans les casiers et n’est pas encore passée en CM. Mais avec ce qui se passe dans le pays, il est fort possible que Mehdi Jomaa, président du gouvernement, l’envoi en urgence à l’ANC. THD.tn a décidé de faire une lecture de cette loi et voilà ce que nous avons trouvé.
Une publication Photoshopée pour diffamer : 5 ans de prison
La loi cybernétique vise la prévention, la répression des crimes TIC et la définition des dispositifs de collecte des preuves électroniques. Les fournisseurs de services de communications sont définis en tant que toute personne physique ou morale qui fournit un service de télécommunications, relevant aussi de l’Internet, comme cela était mentionné dans le code des télécoms.
Ces derniers sont fortement concernés par ce projet de loi. Car ceux qui ne préservent pas les données de leurs clients pendant une année, peuvent encourir un an de prison et une amende de 10000 dinars (pour les personnes physiques) et jusqu’à 5 ans d’arrêt d’activité, voire une dissolution de l’entreprise (pour les personnes morales). Cette même peine pourrait, également, être appliquée si l’une de ces entités citées ci-dessus ne collaborent pas avec l’A2T, ou qui ne respectent pas la confidentialité des procédures.
Le juge, le procureur de la république et la police judiciaire peuvent, par ailleurs, émettre l’ordre de perquisitionner et de confisquer une base de donnée. Le ministre de l’Intérieur et de la Défense, également, peuvent de leur côté donner l’ordre de mener une investigation sur les données de télécommunication pour des raisons de sûreté nationale.
La loi a évoqué le cas de la diffamation sur Internet. Car les plaintes pour des opérations d’usurpation d’identité (sur facebook ou autre) ont explosé ces derniers temps. Surtout pour le cas de jeunes filles, laissant leur parent dans le désarroi. C’est ainsi que la loi Cybernétique prévoit 5 ans de prisons et 50 mille dinars d’amende pour toute action de diffamation ou de tentative de diffamation sur Internet (qui peut aller même jusqu’à la publication d’une photo photoshopée).
Publication incitant à la vulgarité et à la débauche : 3 ans de prison
Cette loi prévoit également des punitions pour les personnes qui ‘ne se respectent pas sur Internet’. Ainsi, toute publication de donnée susceptible d’inciter à la débauche ou à la vulgarité (la loi ne mentionne pas si la publication en privé par messagerie est aussi concernée par cet article) est passible de 3 ans de prison et 10 mille dinars d’amende.
Au sujet de la pédophilie, la personne encoure 6 ans de prison et 50 mille dinars d’amende. Paradoxalement, même si la publication en question montre une personne adulte simulant un acte indécent comme s’il était une personne mineure (-18 ans, donc vêtue comme un/une ado par exemple), elle sera également accusée de pédophilie.
Modification d’une base de donnée (fraude) : 10 ans de prison
Après le volet «vie personnelle», la loi cybernétique semble préparer la base à l’économie numérique. Puisque toute modification sur une base de donnée d’un service monétaire dans le cadre d’une fraude, est passible de 6 ans de prisons et 50 mille dinars d’amende. La punition devient double quand la personne le fait dans le cadre du travail. Bonjour les bavures quand le salarié n’est pas en bon termes avec son employeur !
D’après cette loi, et d’une façon générale, toute tentative de fraude basée sur une modification ou suppression d’une base de donnée est passible de 10 ans de prison et 100 mille dinars d’amende. La punition est, bien entendu, double quand c’est pratiqué dans le cadre du travail.
Le projet de loi décrète aussi la création de «l’instance Tunisienne de contrôle de l’interception des systèmes de communications et d’informations». Il s’agit d’une instance qui se dote de l’indépendance administrative et financière et qui se charge du contrôle du respect des procédures d’exécution de l’A2T et des parties qui demandent accès à ces données de télécommunication.
On notera que cette loi demande à l’A2T de sécuriser les données confisqués (prendre une copie ?) pour que personne n’y accède le temps des investigations. Mais en cas de confiscation, l’A2T devra, donc, empêcher l’accès dessus et la sécuriser. D’où on se demande si l’A2T utilisera un système de cryptographie pour empêcher la lecture et la modification. De ce fait, il y aura un risque de perte des données ou de leur altération une fois que l’entreprise la récupère (problème de cryptographie, etc.)
La loi cybernétique limite le travail d’interception des communications à 3 mois, renouvelable une seule fois.
Montrer comment pirater et fournir le hardware ou le software pour le faire : 2 ans de prison
L’opération de pharming (qui est une technique qui ouvre de manière à ce que pour une requête pour un nom de domaine ce ne soit pas l’IP réelle du nom de domaine qui soit donnée mais celle d’un site frauduleux), tout comme le Fishing et qui sont utilisés dans le but d’acquérir un mot de passe, numéro de carte de crédit, date de naissance, etc. est sévèrement punie par la loi : De 2 ans de prison et une amende de 20 mille dinars, à 5 ans de prison et une amende de 50 mille dinars. Il est ainsi utile de mentionner que l’amende peut être fixée en fonction de l’évaluation des dommages occasionnés, et qu’elle peut être doublée en cas d’utilisation dans le cadre d’une activité professionnelle ou si l’attaque peut atteindre les services vitaux de l’Etat.
Ce projet de loi sanctionne également l’interception des communications par deux ans de prison et 20 mille dinars d’amende. De ce fait, toute personne qui incitera au piratage (en aidant ou fournissant une solution hardware ou software pour ça) écopera de 2 ans de prisons et de 20’000 dinars d’amende.
D’une manière générale, toute fraude informatique est sanctionnée par 10 ans de prison et 100 mille dinars d’amende. Et pour les hackers qui piratent des système d’information (site Web, etc.) écoperont de 6 ans de prison ferme et de 50 mille dinars d’amende. Bien évidemment, le double de ces sanctions est prévu pour les personnes qui exercent ça dans le cadre de leur activité professionnelle.
Des aberrations à gogo
Cette lecture de la loi cybernétique nous a permis de réfléchir sur quelques points qui semblent litigieux. En effet, L’article 11 -qui donne à l’A2T le droit d’utiliser tous les moyens pour empêcher l’accès aux données sur un système d’information quand la confiscation est impossible- est un vrai sujet à polémique. Il y’a un manque de précisions sur les conditions de cette dite «impossibilité», mais aussi sur les moyens permis pour interdire l’accès au système et éviter de perdre les traces. En termes de moyens informatiques, un tel droit peut être abusif envers le système d’information en question.
Les articles sur les crimes en rapport avec le contenu illégal, relèvent plutôt du code pénal. Ce dernier est régit par le principe de la limitation de l’interprétation. Or avec l’article 24 (qui est basé sur une notion très vague comme l’atteinte de bonnes mœurs), ce projet de loi semble paraitre imprécis.
Encore faut-il mentionner qu’il reste possible d’abuser de l’article 25 ? Ainsi, une simple caricature publiée sur le Net peut être sanctionnée par 5 ans de prison et 50 mille dinars d’amende.
Bien qu’elle soit fortement inspirée par la convention de Budapest, cette loi est une porte grande ouverte à la répression sur le Net et aux imbroglios juridiques. Surtout avec des députés qui ne comprennent pratiquement rien dans les TIC, et les réseaux informatiques. Le ministère des TIC, de l’Enseignement supérieur et de la Recherche scientifique devra ABSOLUEMENT se resaisir de ce projet de loi et de faire participer la société civile dans sa rédaction.
Marwen Dhemayed
A lire également :
Terrorisme sur Internet : Le ministère de l’Intérieur tente de ressusciter Ammar 404