Quelle stratégie nationale de lutte contre la cybercriminalité en République Démocratique du Congo ?

Paragraphe 2 : Le droit matériel de la lutte contre la cybercriminalité

Le droit matériel de la lutte contre la cybercriminalité est essentiellement constitué des mécanismes normatifs incriminant des faits caractérisés d'infractionnels.^20(*) Ce droit matériel est consacré dans le Code du numérique^21(*)ainsi que dans la loi sur les TIC.^22(*)

Le Code du numérique est aussi novateur qu'il est ardu de le cerner dans une perspective de sa mise en oeuvre en vue de la lutte contre cybercriminalité. Il introduit dans l'arsenal de lutte contre la criminalité des mécanismes normatifs sur les dispositions générales au droit pénal de l'informatique, les différentes infractions et leur répression, la procédure pénale nouvelle et adaptée au besoin en présence.

La loi sur les télécoms et TIC fait un mélange des dispositions pénales relatives aux télécoms et aux TIC. Curieusement, la loi décline le droit matériel de la cybercriminalité en son troisième Chapitre du Titre IV consacré à la cybersécurité, la cryptologie, la cybercriminalité et la fraude. La cybercriminalité est alors un composé matériel de la pornographie infantile, le racisme, la xénophobie, les différentes atteintes, notamment aux activités des prestataires des services de communication ouverts au public par voie électronique, à la publicité par voie électronique, aux biens liés à la TIC, à la défense nationale, à la confidentialité, l'intégrité et disponibilité des systèmes informatiques, aux données informatiques en général, ainsi qu'aux données à caractère personnel.^23(*)

Les qualifications infractionnelles de lutte contre la cybercriminalité prévues par la loi sur les télécoms et TIC et celles prévues par le Code du numérique, certaines sont quasi identiques et peuvent prêter à confusion dans la sanction idoine à retenir sur tout délinquant avéré. Il naît une sorte de conflit de loi dont le corollaire dans l'applicabilité est que la loi douce est favorable au prévenu.

Outre ce principe, le Code du numérique évoque une autre solution, celle abrogeant toutes les dispositions antérieures contraires.^24(*) La problématique qui se pose est de savoir lesquelles des dispositions de lutte contre la cybercriminalité sont abrogées ? Cette problématique est l'apanage de l'interprétation que se feront les professionnels judiciaires sur le texte applicable, si bien qu'il serait hâtif d'opiner sur la question qui pourrait être débattue au moment de l'implémentation de l'option recommandée dans le Chapitre troisième de la présente monographie.^25(*)

En quoi consistent effectivement les dispositions pénales de lutte contre la cybercriminalité ? Nous y répondons spécialement en se fondant sur le code du numérique, loi spéciale en la matière.^26(*)

Le Code du numérique prévoit quasiment onze sections des dispositions pénales de lutte contre la cybercriminalité. Nous regroupons ces dispositions et celles non prévues par la loi pénale congolaise de lutte contre la cybercriminalité en six groupes :

- Les atteintes aux données à caractère personnel ;

- Les attaques informatiques ;

- Les atteintes à la personnalité, aux personnes et à l'Etat ;

- La cybercriminalité économique ;

- Les jeux de hasard ;

- Les atteintes à la propriété.

Sans prétendre détailler le contenu de ces groupes d'infraction par le moyen de l'électronique, l'analyse sera faite de la promotion de l'existant et de la critique y apportée notamment en ce qui concerne ce que devait prévoir le droit pénal du numérique congolais.

A. Les atteintes aux données à caractère personnel

La protection des données à caractère personnel exige des méthodes de leur traitement obéissant à un strict et rigoriste formalisme sous peine des sanctions pénales. Ces sanctions pénales sont le corollaire dissuasif de l'incrimination des faits en matière des fichiers et de traitement des données à caractère personnel à charge de tout délinquant même ignorant^27(*).

Les atteintes aux données à caractère personnel sont érigées en infraction lorsque le contrevenant envoie tout message électronique non sollicité sur base de la collecte de données à caractère personnel sans contenir un lien pouvant permettre au bénéficiaire de se désabonner.^28(*)

En outre, l'utilisationdes éléments d'identification d'une personne physique ou morale dans le but de tromper les destinataires d'un message électronique ou les usagers d'un site internet en vue de les amener à communiquer des données à caractère personnel ou des informations confidentielles est une tromperie.^29(*)

En sus, le traitement des données à caractère personnel soit sans avoir préalablement informé individuellement la personne concernée de leur droit d'accès, de rectification ou d'opposition, de la nature des données transmises et des destinataires de celles-ci, soit malgré l'opposition de la personne concernée est également érigé en infraction de traitement non autorisée.^30(*)

L'usurpation d'identité par hameçonnage ou phishing^31(*) ou tout autre moyen, intentionnellement et sans droit par le biais d'un système informatique, l'identité d'autrui, une ou plusieurs données permettant de s'attribuer faussement et de manière illicite l'identité d'autrui dans le but de troubler sa tranquillité, de porter atteinte à son honneur, à sa considération ou à ses intérêts.^32(*) L'utilisation des données à caractère personnel ou des informations confidentielles communiquées dans le but de détourner des fonds publics ou privés est une usurpation d'identité.^33(*)

B. Les attaques informatiques

Plusieurs faits sont érigés en infraction pour lutter contre la cybercriminalité, plus spécialement les atteintes informatiques.

Ainsi, le fait d'accéder ou se maintenir intentionnellement et sans droit dans l'ensemble ou partie d'un système informatique avec une intention frauduleuse, ainsi que le fait d'outrepasser son pouvoir d'accès légal à un système informatique avec une intention frauduleuse ou dans le but de nuire sont constitutif de l'infraction dite d'accès et de maintien illégale.^34(*)

Lesatteintes aux données d'un système informatique comme infraction sont illustrées par les faits suivants :

- l'interception, la divulgation, l'utilisation, l'altération ou le détournement des données oudes émissions électromagnétiques transmisesen privé à destination ;^35(*)

- le transfère, sans autorisation de la personne concernée, deses données à caractère personnel d'un système informatique ou d'un moyen de stockage de données vers un autre^36(*)37(*) ;

- l'endommage, l'effacement, la détérioration, l'altération ou la suppression des données ;^38(*)

Les atteintes à l'intégrité du système informatique sont constitutives de la provocationd'une interruption du fonctionnement normal d'un système informatique susceptible de causersoit un dommage à des données soit une perturbation grave ou une gêne du fonctionnement normal dudit système ou dans tout autre système informatique.^39(*)La production, la vente, l'importation, l'exportation, la diffusion ou la mise à disposition sous une autre forme, la possession d'un dispositif ou équipement électronique, des données ou des programmes informatiques principalement conçus ou adapté pour permettre la commission d'une ou plusieurs infractions à la loi pénale informatique sont constitutifs des abus de dispositifs.^40(*)

Outre ces dispositions de lutte contre la cybercriminalité, il est érigé plusieurs autres faits de falsification des données ou faux en informatique^41(*), fraude informatique^42(*), les atteintes dans le domaine de l'Agence Nationale de Cybersécurité^43(*).

L'omission d'entretenir les dispositifs de protection d'un système informatique^44(*) comme infraction dans la catégorie des attaques informatique peut porter à controverse. Nous sommes d'avis que l'omission volontaire ou involontaire ou par négligence est une faiblesse pouvant être considérée comme une complicité même passive tendant à accorder des avantages aux délinquants de procéder le plus simplement possible aux attaques du système informatique non protégé.

C. Les atteintes à la personnalité, aux personnes et à l'Etat

Parmi les atteintes à la personnalité, aux personnes et à l'Etat, le Code du numérique rend infractionnel le faits suivants^45(*) :

- la diffusion du contenu tribaliste, raciste et xénophobe par le biais d'un système électronique ;

- la pornographie infantile ;

- le harcèlement par le biais d'une communication électronique ;

- la négation, minimisation grossière, approbation ou justification des crimes internationaux ou des violences sexuelles ;

- l'incitation ou provocation à la commission d'actes terroristes et apologie des actes terroristes ;

- le courrier indésirable ou pourriel ou spam.

Outre ces infractions, il en existe d'autres qui peuvent être classées dans cette catégorie d'atteintes à la personnalité, aux personnes et à l'Etat, notamment les infractions de presse par le biais d'une communication électronique et droit de réponse^46(*), la divulgation des détails d'une enquête^47(*), le cyberespionnage^48(*), l'enregistrement des images relatives à la commission des infractions^49(*), la diffusion des éléments pour fabriquer des engins de destruction^50(*)

D. La cybercriminalité économique

Les atteintes économiques deviennent de plus en plus récurrentes avec la montée fulgurante des activités de commerce^51(*), d'achat en ligne et le nombre important des startups du numérique oeuvrant dans le secteur informelle. La sécurisation de ces activités économiques exige des moyens de contrainte et de dissuasion énumérés dans les lignes qui suivent pour décourager la délinquance électronique.

La fraude aux cartes bancaires passe essentiellement par la contrefaçon ou la falsification d'une carte de paiement ou de retrait, l'usage et la réception des paiements au moyen desdites cartes. Leur fabrication, acquisition, détention, cession, donation ou la mise à disposition des équipements, instruments, programmes informatiques ou toutes données, conçus ou spécialement adaptés aux fins de contrefaçon ou de falsification.^52(*)

Le droit matériel de la cybercriminalité érige également en infraction les faits à charge des fournisseurs d'accès internet, notamment :

- Le défaut d'information des abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ;

- Le signalementd'un contenu ou une activité comme étant illicite, dans le but d'en obtenir le retrait ou d'en faire cesser la diffusion, alors que cette information est inexacte ;

- L'inobservance des obligations inhérentes à son statut juridiquede fournisseur d'accès à internet ou de fournisseur de services en ligne.

E. Les jeux de hasard

La publicité au moyen d'un ou sur un réseau de communication électronique ou un système informatique en faveur de jeux d'argent et de hasard sur internet non autorisés est pénalement interdite.^53(*)

F. Les atteintes à la propriété

Les atteintes à la propriété portent essentiellement sur les faits attentatoires aux droits d'auteur et à la propriété intellectuelle et industrielle ainsi qu'aux droits voisins^54(*), notamment :

- la contrefaçon de marque, nom commercial, appellation d'origine, indication géographique, logiciel et matériel de conception préparatoire ;

- la contrefaçon de dessins et modèles ;

- l'atteinte aux droits de propriété des brevets ;

- l'atteinte aux schémas de configuration d'un système numérique protégé ;

- l'atteinte à une mesure technique efficace ;

- la suppression d'un élément d'information sur le régime des droits pour porter atteinte au droit d'auteur.

La déclinaison du droit matériel de lutte contre la cybercriminalité est également dissuasive en prévoyant des sanctions pénales.

* ²⁰ Il faut noter que le système juridique congolais ne fait pas de distinction naturelle entre l'infraction, le crime. Il prévoit tout même les contraventions que l'on trouve uniquement dans le droit pénal routier.

* ²¹ Le Titre IV du Code du numérique consacre la protection pénale des systèmes informatiques, soit des articles 308 à 382 plus spécialement le Chapitre III consacré à la qualification des infractions, soit des articles 330 à 382.

* ²² La loi sur les télécoms et TIC consacre la matière en son Titre VII consacré aux dispositions pénales, soit des articles 168 à 198.

* ²³ Article 153 de la Loi n°20/017 du 25 novembre 2020 sur les télécoms et TIC.

* ²⁴ Article 389 de l'Ordonnance-Loi n°23/010 du 13 mars 2023 portant Code du numérique.

* ²⁵ L'option recommandée est le renforcement des capacités et des compétences des acteurs de lutte contre la cybercriminalité. À l'occasion de ces séances, les débats sur l'applicabilité de la loi sera au coeur de la solution au conflit de loi entre la loi sur les télécoms et Tic et le Code du numérique.

* ²⁶ Le droit matériel de lutte contre la cybercriminalité prévu par la loi sur les télécoms et les TIC est celui énuméré dans le préambule de ce deuxième paragraphe.

* ²⁷ Il répond au principe de « nemo cesentur ignorare legem » dont la traduction française est « nul n'est censé ignoré la loi ».

* ²⁸ Article 348 du Code du numérique.

* ²⁹ Article 349 du Code du numérique. Ici, il faut distinguer la tromperie prévue par les articles 99 et 100 du Livre 2 du Décret du 30 janvier 1940 portant Code pénal dans la catégorie des fraudes de celle du Code du numérique dans la catégorie des infractions attentatoires aux données à caractère personnel.

* ³⁰ Article 350 du Code du numérique.

* ³¹L'hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer l'internaute pour l'inciter à communiquer des données personnelles (comptes d'accès, mots de passe...) et/ou bancaires en se faisant passer pour un tiers de confiance. https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/Phishing-hameconnage consulté le 22 juin 2023 à 11h57. Voir aussi https://www.cnil.fr/fr/spam-phishing-arnaques-signaler-pour-agir.

* ³² Article 351 du Code du numérique. L'usurpation d'identité est aussi le fait de transférer, posséder ou utiliser un moyen de s'identifier à une autre personne dans l'intention de commettre, d'aider ou d'encourager une activité illégale ; passer pour un tiers institutionnel, de confiance ou autre, par le truchement d'un système informatique, dans le but d'inciter ou contraindre la victime à lui communiquer des données personnelles.

* ³³ Article 352 du Code du numérique.

* ³⁴ Articles 332 et 333 du Code du numérique.

* ³⁵ Article 334 du Code du numérique.

* ³⁶ Les faits similaires mais non constitutifs d'infraction sont, notamment l'interception réalisée conformément à un mandat de justice ; la communication envoyée par ou destinée à une personne qui a consenti à l'interception ; l'interception réalisée par une personne morale légalement autorisée pour les besoins de la sécurité publique ou de la défense nationale ; l'interception réalisée par une personne morale ou physique légalement autorisée en vertu des dispositions légales et réglementaires en vigueur en République Démocratique du Congo.

* ³⁷ Article 335 du Code du numérique.

* ³⁸ Article 336 du Code du numérique.

* ³⁹ Cette infraction est prévue et punie par l'article 337 du Code du numérique.

* ⁴⁰ Article 338 du Code du numérique.

* ⁴¹ Article 339 du Code du numérique.

* ⁴² Article 340 du Code du numérique.

* ⁴³ Les articles 341 à 345 du Code du numérique répriment le défaut de satisfaction à l'obligation de communication à l'ANCY d'une description des caractéristiques techniques du moyen de cryptologie, la fourniture ou l'importation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sans satisfaire à l'obligation de déclaration préalable, la fourniture des prestations de cryptologie sans avoir préalablement obtenu le certificat d'agrément, l'exportation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sans autorisation préalablement, la vente ou la location d'un moyen de cryptologie interdit d'utilisation et de mise en circulation, l'obstacle au déroulement des enquêtes par un moyen de cryptologie.

* ⁴⁴ Lire l'article 374 du Code du numérique.

* ⁴⁵ Lire les articles 356 à 363.

* ⁴⁶ Voir les articles 368 et 369 du Code du numérique.

* ⁴⁷ Voir l'article 370 du Code du numérique.

* ⁴⁸ Voir l'article 371 du Code du numérique.

* ⁴⁹ Voir l'article 372 du Code du numérique.

* ⁵⁰ Voir l'article 373 du Code du numérique.

* ⁵¹ Voir https://www.jeuneafrique.com/1278853/economie/rdc-wiikko-pionnier-congolais-du-e-commerce/ ; https://www.forumdesas.net/2022/05/enjeux-du-commerce-electronique-pour-la-rdc/ consultés le 23 juin 2023 à 8h19'.

* ⁵² Articles 353 et 354 du Code du numérique.

* ⁵³ Article 355 du Code du numérique.

* ⁵⁴ Lire les articles 375 et suivants du Code du numérique.