Le cyberespace et la sécurité de l'état en Afrique centrale: entre incertitudes et opportunités

Paragraphe 2 : Les dispositions normatives comme mesures d'instauration d'un cadre légal sécuritaire

Dans la sphère numérique, l'action de l'Etat, de ses institutions, des forces de sécurité et de défense a pour source de légitimation les textes juridiques. La législation permet de renforcer le pouvoir de l'Etat dans l'espace virtuel, confirmer la place centrale qu'il occupe dans la mise en fonctionnement des technologies réseau, mais surtout de créer un cadre sécurisé au sein de sa zone de compétence nationale. Chaque Etat s'est constitué une base légale destinée à régir l'espace virtuel sous sa responsabilité. Ces textes s'articulent majoritairement autour de la lutte contre la cybercriminalité et de la cybersécurité. L'essentiel de notre travail est donc axé sur l'analyse des mécanismes normatifs nationaux (A) et du cadre juridique communautaire (B).

A. Les mécanismes normatifs nationaux du cyberespace en zone CEEAC

Les lois sont les moyens classiques de protection de l'Etat dans tout champ d'activité de la vie en société. Le cyberespace n'échappe pas à cette logique d'autant plus qu'il tend à absorber de nombreux aspect de la vie en société. La concentration des activités humaines dans le cyberespace entraine de nouveaux terrains d'insécurité que les Etats essayent de contenir et de contrer par la mise en place d'une législation spécifiquement élaborée pour l'espace virtuel. De nombreux Etats se sont dotés de lois portant sur la cybersécurité et de lutte contre la cybercriminalité. Les textes analysés - lois sur la cybersécurité et la cybercriminalité du Gabon, du Tchad et du Cameroun - renferment des points communs et de spécificités relatives aux objectifs sécuritaires de ces Etats. La principale disposition commune à ces textes c'est la précision de l'exclusion du champ d'application de ces lois « les applications spécifiques en matière de défense et de sécurité nationales »^165(*). Dès lors avec cette disposition spéciale les forces de sécurités et de défense ont une capacité offensive et défensive non limitée dans le cyberespace. Les méthodes de renseignement, de surveillance, d'intrusion ou des contre-attaques justifiées par un besoin de protection de l'Etat ne sauraient faire l'objet d'une remise en cause. En excluant les activités cybernétiques de la force publique les Etats construisent un cadre sécuritaire ou les forces de sécurité et de défense ont les pleins pouvoirs pour agir lorsque la sécurité de l'Etat est en péril.

Les principales articulations de ces lois définissent la cybersécurité car elles s'articulent autour de la protection des infrastructures critiques, de la protection des réseaux de communication électronique, de la protection des systèmes d'informations et de la protection des contenus. Les spécificités de chacune de ces lois traduisent les priorités de l'Etat dans la mise sur pied de ces cadres normatifs. Au Gabon c'est la perspective de la sécurité globale qui est utilisée. Pour la section de la protection des infrastructures critiques, la loi ici dispose que « Chaque département ministériel identifie les infrastructures critiques, relevant de son secteur » et « Cette identificationfait l'objet d'un arrêté classésecretdéfense »^166(*). Bien plus tout en protégeant l'Etat il est aussi question pour le Gabon d'« assurer l'équilibre entre les intérêts du secteur public et ceuxdu secteur privé »^167(*). La méthode de sécurisation dans ce pays privilégie l'inclusion de tous les acteurs du champ social comme gage d'une lutte efficace contre la cybercriminalité. Au Tchad il s'agit d'une approche ou le gouvernement est l'acteur central de la mise en oeuvre de la politique nationale de protection de l'Etat dans le cyberespace^168(*). L'approche est différente dans la loi camerounaise. Ici l'Etat « coordonne sur le plan national » par l'administration chargée des télécommunications « les activités concourant à la sécurisation et à la protection des réseaux de communications électroniques et des systèmes informatiques »^169(*). L'Etat se positionne ici plus comme coordonnateur et régulateur des initiatives des parties prenantes au déploiement du cyberespace dans son espace national. Cette perspective inclut le secteur privé, les individus et l'administration publique.

Dans une logique stratégique la législation de l'Etat dans le cyberespace est perçue comme un moyen pour eux de renforcer leur pouvoir en déconstruisant la légitimité des autres acteurs de l'espace cybernétique pour imposer leur autorité dans ce nouveau milieu hautement concurrentiel.

B. Les cadres légaux communautaires du cyberespace dans la zone CEEAC

Les normes juridiques applicables à l'ensemble de la communauté sont les conventions internationales, mais on constate la mise en place progressive d'un cadre juridique propre à la CEEAC. Le principal instrument juridique international en vigueur dans les Etats de la CEEAC est la convention de Budapest sur la cybercriminalité qui est le cadre juridique de référence en matière de cyberespace^170(*). Dans le cadre continental, les Etats d'Afrique Centrale se servent aussi de la convention de l'Union Africaine sur la cybersécurité et la protection des données à caractère personnel. Elle a été adoptée le 27 juin 2014 lors de la 23^e session ordinaire de la conférence de l'Union Africaine à Malabo. Comparativement à la convention européenne de Budapest adoptée en 2001, cet instrument juridique révèle la récente orientation des Etats sur l'urgence d'avoir un cadre juridique en vigueur au sein des Etats de l'UA pour un minimum de sécurité dans le cyberespace. Elle a été adoptée par les Etats dans l'objectif de « renforcer les législations actuelles des Etats membres des communautés économiques Régionales en matière de TIC » car « convaincus de la nécessité de mobiliser l'ensemble des acteurs publics et privés en faveur de la cybersécurité^171(*). Destinée à régir le domaine technologique elle se donne pour ambition « la protection pénale du système de valeurs de la société d'information par l'élaboration d'une politique d'adoption d'incriminations nouvelles spécifiques aux TIC »^172(*). Cette convention renforce la position des Etats dans les stratégies opérationnelles et la gouvernance du cyberespace en proposant que « chaque Etat Partie s'engage à être le garant d'un leadership pour le développement de la culture de sécurité à l'intérieur de ses frontières »^173(*). Le dispositif de sécurisation de l'Etat dans le cyberespace est complété par les définitions qu'elle donne des infractions spécifiques au numérique, l'adaptation des infractions classiques et des sanctions au spécificités du cyberespace^174(*).

Les instruments juridiques propres à la CEEAC sont encore en cours d'élaboration. Nous avons recensé un document de travail sur le projet de loi type portant sur la lutte contre la cybercriminalité dans les Etats membres de la CEEAC/CEMAC^175(*). Dans l'esprit de cette loi, elle a été élaborée « en considérant que la cybercriminalité constitue un phénomène criminel international ignorant les frontières des Etats » d'où la nécessité pour les Etats d'Afrique Centrale de renforcer leur coopération juridique et judiciaire^176(*). Elle définit les infractions spécifiques aux TIC et adapte les infractions classiques - recel, escroquerie, chantage, extorsion de fonds - lorsqu'elles sont réalisées par le biais des TIC^177(*). En plus des procédures pénales classiques elle légitime de nouvelles méthodes de de recherche de la preuve dont l'interception des données relatives au contenu, la collecte en temps réel des données relatives au trafic^178(*). Ces différents instruments juridiques ont pour but de protéger l'Etat, ses citoyens, ses systèmes d'informations, et ses infrastructures critiques. L'adoption d'une législation commune est un bénéfice au vu du caractère transnational de la cybercriminalité et du déploiement du cyberespace. Au demeurant, seul le renforcement de la coopération peut constituer un gage d'une action sécuritaire efficace des Etats de la CEEAC dans le cyberespace.

* ¹⁶⁵ Cette disposition en excluant les activités de renseignement des forces de sécurité et de défense, constitue une stratégie offensive des Etats dans le cyberespace, dont les forces publiques ne peuvent faire l'objet de poursuites dans l'exercice de leurs fonctions, malgré les moyens utilisés. Elle constitue une mesure de protection.

* ¹⁶⁶ Ordonnance n°15/PR/2018 du 23 février 2018 portant réglementation de la cybersécurité et de la lutte contre la cybercriminalité en République Gabonaise, art. 9.

* ¹⁶⁷ Idem art. 2.

* ¹⁶⁸ Loi n° 009/PR/2015 portant sur la cybersécurité et la lutte contre la cybercriminalité, art. 6.

* ¹⁶⁹ Loi n° 2010/012 du 21 décembre 2010 relative à la cybersécurité et à la cybercriminalité au Cameroun, art. 6.

* ¹⁷⁰ Convention sur la cybercriminalité conclue à Budapest le 23 novembre 2001.

* ¹⁷¹ Convention de l'Union Africaine sur la cybersécurité et la protection des données à caractère personnel, Préambule.

* ¹⁷²Ibid.

* ¹⁷³Idem, art. 26.

* ¹⁷⁴Idem, art. 29 à 31.

* ¹⁷⁵ Réunion Ad Hoc de Groupe d'Experts sur l'harmonisation des législations en matière de technologies de l'information et de la communication en Afrique centrale : cadre de conformité de l'économie numérique, Libreville, 25 et 26 février 2013, « Loi type portant sur la lutte contre la cybercriminalité dans les Etats membres de la CEEAC/CEMAC ».

* ¹⁷⁶Idem, Préambule.

* ¹⁷⁷Idem, Titre II, Chapitre 1.

* ¹⁷⁸Idem, Titre II, Chapitre 2.