Cybersecurity and Cybercrime Bill : gros plan sur les nouveaux délits

Le ministre de la Technologie de l’information, de la communication et de l’innovation (TCI), Deepak Balgobin, a, mardi dernier, présenté en première lecture au Parlement le « Cybersecurity and Cybercrime Bill ». Celui-ci viendra remplacer la « Computer misuse and Cyber Crime Act » de 2003. Une série de changements est prévue dans la nouvelle loi, qui veut fermement répondre aux défis et enjeux de la cybersécurité. Zoom sur les changements proposés.

Création d’un National Cybersecurity Committee

La création de ce comité figure parmi les grandes nouveautés du projet de loi. Sa composition semble indiquer la volonté du ministère de brasser large à travers des membres émanant de divers secteurs. 

Le projet de loi stipule que le National Cybersecurity Committee devra comprendre pas moins de 13 membres. Dont trois qui gravitent autour du Premier ministre et de son bureau. Ainsi, le président du comité sera nommé par le chef du gouvernement. Il faudra également compter sur la participation d’un représentant du Prime Minister’s Office (PMO), ainsi qu’un de la Counterterrorism Unit, qui émane du bâtiment du Trésor. 

Il y aura aussi un représentant du bureau de l’Attorney General, un de l’Information and Communication Technologies Authority, un du secteur privé ayant de l’expérience en matière de cybersécurité, et un de la société civile possédant une maîtrise du secteur de la cybersécurité. De même qu’un représentant de la Financial Services Commission et un de la Banque de Maurice. 

« Le domaine de la cybersécurité concerne aujourd’hui tellement de secteurs, dont les crimes financiers, que nous avons estimé important d’avoir le maximum d’expertise sur ce comité », fait valoir une source à l’hôtel du gouvernement, qui a été impliquée dans la rédaction du projet de loi. 

Quant au mandat du comité, il devra principalement conseiller le gouvernement en matière de cybersécurité et de cybercriminalité. Et devra, par la même occasion, aider à la mise en œuvre de la politique gouvernementale dans ce secteur précis. Le comité devra, en sus, travailler en étroite collaboration avec les unités qui s’attellent aux incidents informatiques et autres autorités locales et internationales. 

Enfin, le comité devra développer des critères et les meilleurs pratiques pour les « information structures ». Il s’agit plus précisément de données telles que le service médical ou encore le service public (distribution d’eau et d’électricité), entre autres. Il devra également s’atteler à la préparation de rapports sur une base trimestrielle.

Sanctions plus fermes

Si la Computer misuse and Cybercime Act de 2003 prévoyait des amendes de Rs 1 million au maximum et des peines d’emprisonnement ne dépassant pas cinq ans, le nouveau projet de loi est nettement plus sévère. Avec, par exemple, des peines d’emprisonnement de 25 ans et des amendes pouvant aller jusqu’à Rs 2 millions. 

« Il est important de donner un signal fort, car Maurice a, ces dernières années, témoigné d’une montée en puissance de délits liés à la cybercriminalité », fait ressortir une source au ministère des TCI. 

Revenge porn

Mis en lumière par l’affaire Telegram, qui fait actuellement l’objet d’une enquête policière, le phénomène de revenge porn gagne du terrain. Les plaintes de victimes de chantage sont monnaie courante. C’est ainsi que tout un chapitre sur le revenge porn a été inclus dans le nouveau projet de loi. À l’article 19, il est indiqué que quiconque publiera des photos ou vidéos à caractère sexuel, sans le consentement de la personne impliquée, sera passible d’une amende pouvant aller jusqu’à Rs 1 million e d’une peine d’emprisonnement ne dépassant pas 20  ans.

Le projet de loi affirme sa volonté de s’adapter aux nouvelles réalités en consacrant un paragraphe entier aux fake profiles qui pullulent sur les réseaux sociaux. Là encore, le ministère donne un signal fort aux contrevenants qui veulent nuire à autrui en les rendant passibles d’une peine maximale de 20 ans de prison ou d’une amende ne dépassant pas Rs 1 million. 

Cyberharcèlement

Les actes de cyber-harcèlement sont également pris en compte. Les auteurs d’actions répétitives et intentionnellement nuisibles ou qui provoquent des sentiments de détresse, de peur et de solitude chez autrui seront passibles d’une amende de Rs 1 million ou d’une peine d’emprisonnement maximale de 20 ans. 

Bien que les actes terroristes soient punissables sous la Prevention of Terrorism Act, le Cybersecurity and Cybercrime Bill s’attaque aussi à ce problème. Ceux qui seront reconnus coupables de ce genre de pratique risquent une amende ne dépassant pas Rs 1 million ou une peine d’emprisonnement de 20 ans au maximum. 

Les modérateurs de sites en ligne prévenus

Les modérateurs de comptes en ligne devront prendre les mesures appropriées pour contrôler tout contenu qui leur sera signalé par une autorité d’investigation. Ceux qui ne se plieront pas aux directives des autorités risquent une peine de servitude pénale ne dépassant pas 20 ans ou une amende pouvant aller jusqu’à Rs 1 million.

Ce qui se fait à l’étranger

Le code pénal en France, qui traite aussi du phénomène de cybercriminalité, prévoit des peines d’emprisonnement de deux à sept ans. En revanche, les amendes varient entre 60 000 et 300 000 euros.

Didier Samfat, expert en cybersécurité, ajoute que le cadre légal français prévoit également des sanctions contre des entreprises qui ont échoué à protéger les données de leurs clients. À titre d’exemple, si son compte est piraté, le client d’une banque peut avoir recours à la loi, qui peut alors sanctionner la banque en question. Chose qui n’existe cependant pas à Maurice.

Au Royaume-Uni, la loi principale autour de la cybercriminalité est la Computer Misuse Act de 1990. Au niveau des sanctions, quiconque sera pris en flagrant délit alors qu’il altère des données informatiques, s’expose à six mois de prison et une amende de £ 5000. Toute personne qui commet intentionnellement un délit en matière de cybersécurité risque cinq ans de prison ou une pénalité illimitée. Le gouvernement britannique travaillerait, par ailleurs, sur un nouveau projet de loi.  

Les points à améliorer 

La modernisation du cadre légal sur la cybersécurité est source de satisfaction pour Didier Samfat, consultant en informatique et en cybersécurité. Selon lui, il y a un besoin de lutter contre le nombre croissant d’actes malveillants en ligne. 

« On se rend compte aujourd’hui que les systèmes informatiques sont de véritables passoires. Avec le logiciel espion Pegasus, même les meilleurs smartphones du monde peuvent se faire facilement pirater », avance Didier Samfat. « Dès qu’une nouvelle mise à jour d’un logiciel est déployée, les pirates informatiques ont déjà trouvé la faille. Maurice n’est pas épargné par ce genre de choses », souligne-t-il.

L’expert en cybersécurité relève néanmoins une série de points à améliorer dans le projet de loi. Il estime, tout d’abord, que le secteur privé et les banques commerciales ne sont pas suffisamment représentés sur le National Cybersecurity Committee. Il estime, dans la foulée, que le comité devrait siéger au moins une fois par mois au lieu d’au moins une fois tous les deux mois. 

Didier Samfat regrette que l’achat et la revente des données personnelles ne soient pas explicitement sanctionnés. Il est d’avis que les acheteurs d’informations confidentielles volées devraient être poursuivis au même titre que les receleurs dans les affaires de vol. 

D’autre part, il affirme que le texte de loi ne s’attaque pas au sabotage en interne des systèmes informatiques. « Si un employé d’hôpital décide de saboter le système informatique de l’établissement, cela peut avoir de graves conséquences pour les patients », fait-il valoir en guise d’exemple. 

Didier Samfat observe également que le Cybersecurity and Cybercrime bill n’empêche pas des personnes malveillantes de consulter le flux de données. Selon lui, le projet de loi ne sanctionne pas non plus l’espionnage industriel, bien qu’il mentionne le droit d’auteur et la propriété intellectuelle. Au niveau des sanctions, il souhaite que les peines soient cumulables.  

Le consultant se félicite que le Cybersecurity and Cybercrime bill oblige les institutions à tenir régulièrement des audits de sécurité de leurs systèmes informatiques. Il conseille, cependant, que soient aussi audités les systèmes secondaires, comme par exemple, celui d’un partenaire qui se connecte à l’infrastructure principale d’une entreprise.

Deepak Balgobin : «Il est important de protéger tous les citoyens»

La Computer misuse and Cybercrime Act a fait son temps. Ce texte de loi date de 2003 et les technologies ont beaucoup évolué en 18 ans, souligne Deepak Balgobin, ministre des TCI, à Le Dimanche/L’Hebdo. 

Aujourd’hui, les réseaux sociaux sont devenus incontournables, alors qu’ils n’existaient pas lorsque cette loi est entrée en vigueur. Or, c’est justement à travers ces plateformes qu’on trouve une grande partie des cybercrimes. « La technologie évolue tellement vite qu’il est important d’avoir une loi qui cadre avec l’écosystème et l’infrastructure technologique. C’est pour cela que nous amenons au Parlement ce nouveau projet de loi. Il légifère sur de nouveaux types de crimes sur Internet et en informatique », fait ressortir le ministre. 

Deepak Balgobin rappelle que Maurice est signataire de la convention de Budapest, qui prône des lois de cybersécurité modernes et aux normes internationales. « Le projet de loi permet d’avoir un cadre légal pour traiter ces nouveaux types de cybercrimes. Quand on voit, par exemple, les dérapages sur les réseaux sociaux et les arnaques en ligne, il est important de protéger toutes les Mauriciennes et tous les Mauriciens », justifie le ministre.

Me Neil Pillay : «Obligeons les fournisseurs d’accès à internet à retirer certains commentaires»

Est-ce que le Cybersecurity and Cybercrime bill va dans le bon sens ?
La première chose que je constate, c’est que le Cybersecurity and Cybercrime bill est plus détaillé que la Computer misuse and Cybercrime Act, qui est plus vague. Les lois doivent être précises et ne doivent pas être trop vagues ou sujettes à interprétation. Tout citoyen a le droit de savoir quel est le comportement attendu de lui dans la société. 

Dans le projet de loi, plusieurs nouveaux délits sont prévus tels que le cyberbullying (harcèlement en ligne), la revenge pornography, le cyberterrorisme, la cyber-extortion, etc. C’est plus précis et a le mérite d’informer le citoyen.

L’article 23 stipule : « It shall be the responsibility of the administrator of an online account to moderate and control undesirable content that has been brought to his attention by an investigatory authority. » Est-ce que cela va à l’encontre de la liberté d’expression sur les réseaux sociaux ?
Quelque part oui, cela peut avoir une conséquence sur la liberté d’expression sur les réseaux sociaux. Mais l’on estime que l’autorité investigatrice va agir dans le cadre de la loi. Par exemple, si demain, une publication diffamatoire est publiée, l’administrateur du compte doit la modérer. L’administrateur d’un compte en ligne peut être moi sur Facebook ou le Défi Media Group sur sa page Facebook ou son site internet, par exemple. 

Relevez-vous des man-quements dans le projet de loi ?
J’irai plus loin dans la modération : pourquoi ne donnons-nous pas des positive duties aux fournisseurs d’accès à internet (FAI) ? Dans tous les autres pays, les FAI ont certaines obligations. Pourquoi ne le fait-on pas ici ? 

Si on veut nettoyer, faisons un grand nettoyage. On oblige les personnes à retirer les publications problématiques, mais obligeons aussi les FAI à retirer certains commentaires.