La nouvelle loi du Mali sur la cybercriminalité potentiellement problématique pour les droits numériques

Par Simone Toussi |

Le 5 décembre 2019, le président du Mali a promulgué la loi n° 2019-056 portant Répression de la Cybercriminalité. Bien qu’opportune et pertinente, certaines de ses dispositions constituent des menaces potentielles à la vie privée et la liberté d’expression en ligne, en particulier, compte tenu des défaillances démocratiques du Mali et de son faible classement en matière de liberté de la presse.

La nouvelle loi s’applique à « toute infraction commise au moyen des technologies de l’information et de la communication (TIC) en tout ou partie sur le territoire de la République du Mali, toute infraction commise dans le cyberespace et dont les effets se produisent sur le territoire national » (article 2). Elle fait partie d’un cadre législatif jugé nécessaire pour soutenir les réformes dans le secteur des TIC, conformément à la Déclaration de politique sectorielle des télécommunications du Mali, de l’année 2000.

Des atteintes à la vie privée à l’autoritarisme numérique

La Constitution du Mali garantit la confidentialité des communications en vertu de l’article 6, une disposition qui est renforcée par l’article 5 de la loi portant protection des données à caractère personnel de 2013 l’article 1er de la loi régissant les télécommunications de 1999. La loi sur la cybercriminalité est malheureusement en conflit avec ces prédispositions en faveur du droit à la vie privée.

Les articles 74 à 78 de la loi sur la cybercriminalité autorisent la perquisition et la saisie informatique de données dans les procédures d’enquêtes criminelles. En outre, en vertu de l’article 75, les données peuvent être copiées et stockées lorsque « la saisie du support ne paraît pas appropriée ». La loi ne prévoit pas comment les données copiées doivent être stockées, traitées ou supprimées à l’issue des enquêtes. Cela sape le principe de protection des données énoncé dans l’article 7 de la loi sur la protection des données à caractère personnel – selon lequel les données à caractère personnel ne doivent être conservées que pour une période et un objectif précis.

De plus, les articles 83 à 86 suggèrent une surveillance en temps réel par l’interception des communications. Les prestataires de services sont tenus de coopérer avec les autorités, notamment en veillant à ce qu’ils disposent des moyens techniques nécessaires pour faciliter l’interception des communications. Ces pouvoirs étendus doublent ceux qui sont accordés aux autorités en vertu de l’article 4 de la loi sur les télécommunications. Ce dernier stipule : « Lorsque la sécurité publique ou la défense du territoire du Mali l’exige, le gouvernement peut, pour une durée limitée, réquisitionner tous les réseaux de télécommunications établis sur le territoire du Mali, ainsi que les équipements qui y sont connectés et / ou interdire la fourniture de services de télécommunications. » Cet article a été utilisé par le passé, lorsque le gouvernement a ordonné des perturbations de réseaux sociaux en 2016 lors des manifestations publiques, et plus récemment, une coupure d’Internet lors des élections de 2018.

En outre, les prestataires de services de communication sont tenus de mettre en place des mécanismes de contrôle des systèmes d’activités illégales potentielles. Tout refus d’informer les autorités de ces activités illégales est passible d’une peine de prison allant de six mois à deux ans, une amende de 500 000 à 2 000 000 francs CFA (830 à 3 318 dollars américain – USD) ou les deux (article 25).

Des alertes pour la liberté d’expression

Bien que la constitution du Mali garantisse la liberté d’expression et d’opinion (article 4), la loi portant régime de la presse et délit de presse (2000) est vague car elle ne garantit pas explicitement la liberté de la presse ou le pluralisme médiatique, ni ne définit les délits de presse. Elle ne contient pas non plus des dispositions sur les médias en ligne. Cela constitue un vide qui précède la loi sur la répression de la cybercriminalité qui, pour sa part, contient des dispositions qui affectent directement la liberté d’expression et d’opinion.

Les articles 20 et 21 de la nouvelle loi punissent les menaces et les insultes faites par le biais d’un système d’information, avec des sanctions allant de six mois à 10 ans d’emprisonnement, et une amende de 1 000 000 à 10 000 000 CFA (1 680 à 16 800 USD), ou les deux. Sans définir ni clairement détailler les éléments constitutifs de la « menace » ou de l ‘ « insulte », ces dispositions sont sujettes à des interprétations pouvant entraver la liberté d’expression. Cela est d’autant plus critique que ces termes ne sont pas non plus définis par la loi portant régime de presse et délit de presse, dans son article 33 sur l’incitation et l’article 38 sur la diffamation.

De plus, les articles 55 et 56 condamnent la « diffusion publique » de « tous imprimés, tous écrits, dessins, affiches, gravures, peintures, photographies, films ou clichés, matrices ou reproductions photographiques, emblèmes, tous objets ou images contraires aux bonnes mœurs. » Les sanctions correspondantes vont de six mois à sept ans d’emprisonnement, une amende de 500 000 à 10 000 000 CFA (840 à 16 800 USD), ou les deux.

L’article 54 de la loi sur la cybercriminalité stipule que les infractions de presse, commises par le biais des technologies de l’information et de la communication, à l’exception de celles commises par la presse sur Internet, sont punies par les peines de droit commun ». Étant donné que la loi sur la presse ne comporte pas de disposition pour la presse en ligne, la distinction entre les délits de presse via les TIC et les délits de presse via internet n’est pas claire. En outre, il y a un manque de précision quant à déterminer si une infraction relève de la loi sur la cybercriminalité, du droit commun ou de la loi sur la presse.

L’article 23 prévoit une amende de 200 000 à 2 000 000 CFA (de 332 à 3 318 dollars américain), une peine d’emprisonnement de six mois à un an, ou les deux, pour les faux signalements d’activités ou contenus illicites, « dans le but d’en obtenir le retrait ou d’en faire cesser la diffusion par un prestataire de services de communications au public par voie électronique ». Cependant, les activités et contenus considérés comme illicites et donc soumis à dénonciation, ne sont pas définis par la loi.

Les mesures à prendre

La loi est bien orientée pour garantir une utilisation sûre et sécurisée des TIC au Mali. Elle entre cependant en vigueur dans un contexte fragile. Les dispositions relatives au traitement des données dans les procédures d’enquêtes criminelles présentent un risque important pour l’intégrité, la sécurité et la confidentialité des données personnelles. En outre, la loi impose une lourde charge aux intermédiaires de télécommunications pour suivre et surveiller l’activité du réseau, et tient ces intermédiaires responsables des actes de leurs clients. Les dispositions relatives aux délits de presse en ligne sont incompatibles avec la législation sur les médias à l’ère du numérique. La nouvelle loi et les lois connexes existantes nécessitent donc des révisions pour sauvegarder et faire respecter les garanties constitutionnelles de la liberté d’expression et de la vie privée, en ligne et hors ligne.