digits-privacy-security

Un des aimables lecteurs de Nawaat a laissé un commentaire sous le billet d’humeur évoquant l’article 17 du projet de loi relatif à la répression des infractions sur les réseaux informatiques. Le commentaire nous a reproché, au sein de ce billet d’humeur, le terme “ânerie” utilisé dans la phrase suivante : “la bêtise, voire l’ânerie, de l’article 17 du projet en question confond littéralement la détention des outils informatiques avec la perpétration des infractions.

D’abord, nous nous excusons si nous avons blessé quiconque par la sévérité de ces propos. Ce qui a été formulé ne relevait pas d’une démarche cherchant à attaquer des personnes, mais à exprimer un profond agacement à la fois vis-à-vis d’un projet de loi et vis-à-vis d’une approche juridique contestable, devenue si commune. En effet, cette approche, tant elle est fréquente, n’est pas propre au projet de loi contesté.

C’est une approche relevant d’une méthode qui consiste à s’inspirer des législations des pays démocratiques, faisant une totale abstraction des garde-fous jurisprudentiels auxquels sont adossées ces mêmes législations. Les mêmes garde-fous jurisprudentiels n’existant pas en Tunisie, la moindre disposition juridique équivoque peut avoir des conséquences dramatiques tant au regard des libertés que de la démocratie.

Nous avons souhaité revenir sur ce que nous avons exprimé au sein du billet d’humeur en question. Et parce que ce fut un billet d’humeur, son objet n’était pas de déconstruire les maladresses de cette méthode. Maladresses que nous évoquons depuis des années déjà sur Nawaat et que nous allons re-synthétiser présentement. D’autant plus que le commentaire du lecteur nous a reproché d’avoir négligé le fait que le projet de loi fut inspiré de la convention de Budapest. Ce qui est vrai. Certains passages du projet transposent en effet des dispositions de la Convention, comme d’ailleurs celles de l’ancienne version de l’article 323-3-1 du Code pénal français. Or, c’est justement là où réside la source du problème, chose que nous n’avons pas clarifiée précédemment !

Ainsi, nous allons, entre autres, revenir sur le contenu de l’article 17 du projet de loi relatif à la répression des infractions sur les réseaux informatiques (I). Lequel article 17 illustre bien les graves carences procédant -encore et toujours- de cette même méthode négligeant le contexte endogène, caractérisé par l’absence de ces garde-fous jurisprudentiels (II). Or, si les veilles démocraties occidentales peuvent se permettre des écarts législatifs, la Tunisie, du fait cette défaillance jurisprudentielle, ne peut pas se le permettre (III).

I.- Au niveau du contenu de l’article 17

Formulons d’abord sa traduction :

Sera punie d’une peine de deux années de prison et d’une contravention de vingt mille dinars toute personne qui délibérément produit, vend, importe, distribue, met à disposition, expose, obtient en vue de l’utilisation ou détient ce qui suit :

– un dispositif, y compris un programme informatique, principalement conçu ou adapté pour permettre la commission de l’une des infractions établies conformément à la présente loi ;

– un mot de passe, un code d’accès ou données informatiques similaires permettant d’accéder à tout ou partie d’un système informatique, dans l’intention qu’ils soient utilisés afin de commettre l’une des infractions visées par la présente loi.

La tentative est punissable.

Cet article que nous avons sévèrement critiqué contient, en effet, des dispositions transposées à partir de l’article 6 de la convention de Budapest. Ce que nous n’avons pas dit au sein du billet d’humeur, c’est que cette transposition a ignoré au passage la restriction énoncée au 2e point du même art. 6 et dont voici la teneur :

Le présent article ne saurait être interprété comme imposant une responsabilité pénale lorsque la production, la vente, l’obtention pour utilisation, l’importation, la diffusion ou d’autres formes de mise à disposition mentionnées au paragraphe 1 du présent article n’ont pas pour but de commettre une infraction établie conformément aux articles 2 à 5 de la présente Convention, comme dans le cas d’essai autorisé ou de protection d’un système informatique.

Pire encore, car l’alinéa premier de l’article 17 du projet de loi inclut le terme “détention – حيازة” absent de la convention de Budapest.

La combinaison de l’article 17 avec les art. 18 et suivants (lesquels 18 et suivants se consacrent aux infractions proprement dites) confirment le caractère répressif de la simple détention. Autrement, l’on aurait pu se suffire aux autres dispositions pénales qui caractérisent la destruction, le vandalisme, le vol, le détournement, la falsification des données, etc.

Avec cette simple détention devenue passible de poursuites judiciaires, et comme nous l’avons affirmé, “les outils des audits de sécurité, le téléchargement et le partage de code permettant de mettre à l’épreuve la sécurité des réseaux informatiques deviennent ainsi interdits […]. L’article 17 du projet en question confond littéralement la détention des outils informatiques avec la perpétration des infractions. En somme, il ne manquait plus à cet article 17 que de confondre la détention des couteaux ou des voitures avec les crimes dont ils sont susceptibles d’en être les instruments, pour les interdire. Un petit effort supplémentaire et l’auteur du projet aurait peut-être proposé d’interdire les ordinateurs qui permettent d’exécuter les programmes, qui permettent de commettre des infractions !“.

Cet article 17 a ainsi basculé vers l’imitation du libellé français formulé au sein de l’article 323-3-1 du Code pénal dans son ancienne version : “Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.” (Cf. la Loi n°2004-575 du 21 juin 2004, art. 46 – J.O.R.F. du 22 juin 2004).

Mais le plus surprenant, c’est le fait que l’auteur du projet tunisien a évité la nouvelle version de ce même article français. Et c’est d’autant plus grave que la nouvelle version française s’est pourtant alignée sur la jurisprudence en précisant que parmi les motifs légitimes, il est question “notamment de recherche ou de sécurité informatique…“.

Et il est inutile de revenir sur les autres critiques que nous avons formulées au sein du billet d’humeur du 26 juillet 2014.

Mais il n’y a pas que l’article 17. Il y a également l’article 15 relatif aux intrusions frauduleuses incluant des dispositions menaçantes pour tout citoyen qui s’égare sur le réseau.

Si cet article 15 est également la transposition d’un autre article de la convention de Budapest, en l’occurrence l’article deux, celui-ci a été amputé des réserves exigeant “que l’infraction soit commise en violation des mesures de sécurité, dans l’intention d’obtenir des données informatiques ou dans une autre intention délictueuse, ou soit en relation avec un système informatique connecté à un autre système informatique.

Cette amputation de garanties devient d’autant plus préjudiciable que nous ne disposant pas en Tunisie de jurisprudence qui la prend en charge, à l’instar de nombreuses décisions judiciaires des pays occidentaux.

II.- Sur la méthode et sur l’absence endogène des garanties jurisprudentielles.

Depuis des années, c’est précisément cette méthode qui consiste à recopier des dispositions des conventions internationales, voire des articles entiers de législations occidentales que nous dénonçons sévèrement. Nous la dénonçons pour cet usage d’une terminologie parfois dangereuse en l’absence de garanties judiciaires et non moins jurisprudentielles, surtout en matière de libertés fondamentales.

Et comme nous l’avons également écrit sur Nawaat, “bien plus que les conventions internationales, c’est la jurisprudence des Hautes Cours de justice qui ont, durant ces deux dernières décennies, donné du sens aux libertés et droits fondamentaux (cf. ici et ). Ceci à tel point que l’on s’est même avancé à dire qu’il est peut-être plus que temps de dépoussiérer la Déclaration universelle des droits de l’Homme à la lumière de ces acquis jurisprudentiels importants. Ce fut même l’occasion pour nous d’évoquer cette “éventualité” auprès des responsables de la fédération internationale des droits de l’Homme, et notamment auprès de sa présidente Mme Souheir Belhassen.

De même, en matière de standards internationaux […], il faut reconnaître –tel que formulé au sein de cet article– que le monde arabe est devenu « friand » du terme « standard ». Pourtant, à y regarder de plus près, l’on s’aperçoit que cela est fait d’une manière fort peu judicieuse. En effet, l’on a recours très souvent à ce qualificatif de « standard international » pour faire référence aux dispositions des conventions internationales […].

Or, nous avons toujours soutenu qu’il n’est pas évident de qualifier [aujourd’hui] les dispositions des conventions internationales de standards internationaux, tant ceux élaborés par les pays respectant l’ordre démocratique les ont dépassés […]. Les véritables standards démocratiques […] sont ceux qui ont été élaborés des décennies durant par les Cours suprêmes, Cours constitutionnelles, Cours de cassation, Conseils d’État et, surtout, la Cour européenne des droits de l’Homme. C’est au sein de ces jurisprudences que figurent [aujourd’hui] les véritables standards des ordres démocratiques […]. Si l’on désire véritablement parler de standards, l’on y gagnerait tellement en excipant des standards des ordres démocratiques, comme ceux formulés par des positions jurisprudentielles littéralement magistrales de la Cour européenne des Droits de l’Homme.

Et pourquoi ne pas dire, comme nous n’avons cessé de le rappeler depuis le début du printemps arabe à nos amis, toute réforme de la législation arabe relative à la liberté de la presse ne peut s’offrir le luxe de faire l’impasse sur les leçons à tirer de la jurisprudence des ordres démocratiques. Et cela est si vrai, tant il suffit pour l’illustrer, de mentionner le cas de cette bonne vieille loi, ce « menhir gaulois » par sa longévité qu’est la loi française de 1881 et à laquelle nos amis français tiennent tant. Celle-ci, tellement imitée par les pays francophones au niveau de ses dispositions, alors que le juge français se contorsionne pourtant depuis des années pour contourner ses disposions surannées. Ceci afin d’éviter les condamnations de la France par la Cour européenne des droits de l’Homme pour atteinte, justement, aux nécessités de l’ordre démocratique.

De même, l’on ne peut manquer de mentionner une autre tare qui est spécifique au contexte arabe, en l’occurrence la notion « d’ordre public », justifiant tous les excès en terme de répression […]. Si, en effet, ce concept « d’ordre public » est fréquemment mentionné dans les législations occidentales, celui-ci n’a plus rien de commun avec ce qui se pratique dans le monde arabe. Au sein des ordres démocratiques occidentaux, des corpus jurisprudentiels centenaires n’ont eu de cesse à ciseler, remouler et adapter cette notion « d’ordre public » aux impératifs de la pratique de la démocratie politique. Dans le monde arabe, cette même notion d’ordre public sert à contourner l’un des principes les plus fondamentaux du droit pénal : le principe de légalité des délits et des peines « Nullum crimen, nulla pœna sine lege ». En effet, pour contourner l’absence d’une infraction pénale précisément caractérisée au sein des codes pénaux ou des codes de la presse, quoi de plus facile que de s’en remettre à celle, fourre-tout, de l’atteinte à l’ordre public. Et si l’arme de l’atteinte à l’ordre public n’est pas suffisante, on pourra toujours sortir la grosse artillerie relative à l’atteinte à la morale publique” [comme, du reste, l’illustre éloquemment l’article 24 du projet critiqué].

Manifestement, l’«ordre et la morale publics» de Khomeini ou de Marzouki à Paris, de Ghannouchi à Londres n’ont plus rien à voir avec ceux de Tunis, Téhéran, Le Caire ou Alger […].

Aussi longtemps que la notion d’« ordre démocratique » sera délaissée au profit de cet ersatz arabe «d’ordre public» et aussi longtemps que la notion de morale publique s’interposera à la consécration des nécessités de l’ordre démocratique arabe, alors le chemin risquera d’être encore long vers la libération de la presse et de la parole tout court. Car, avec cette tendance manifeste à la terrible confusion entre droit et morale par la pénalisation de ce qui déplait à la conception de ladite morale de certains, nous craignons également pour l’avenir de cette démocratie naissante […]“.


III. Les veilles démocraties occidentales peuvent se permettre des écarts législatifs pas la Tunisie !

La bêtise législative n’étant pas le monopole ni de la Tunisie ni des pays en voie de développement, les législateurs des vieilles démocraties commettent aussi des inepties au regard des nécessités démocratiques. Autant, ces pays peuvent se permettre de tels écarts, autant ces écarts sont pernicieux dans le contexte tunisien. En effet, face aux bêtises du législateur occidental, il y a toujours une résistance salutaire. Celle des « Hautes cours » qui essayent, tant bien que mal, à limiter les dégâts, tels la Cour suprême US, le Conseil constitutionnel français, la Cour de cassation, le Conseil d’État, mais également la Cour européenne des droits de l’Homme ou la Cour de justice de l’Union européenne.

Cette dernière, au demeurant, a infligé, en filigrane, un camouflé cinglant à l’ACTA porteuse de nombreuses menaces, notamment celle relative au filtrage des données personnelles. Dans son arrêt du 16 février 2012 (Sabam c./ Netlog Nv), la Cour condamne ce filtrage généralisé des données en ce qu’il a d’attentatoire, entre autres, aux garanties fondamentales des citoyens.

Plus récemment, la même Cour de justice de l’Union européenne, au sein d’une de ses décisions magistrales, a flingué la directive européenne 2006/24/CE du parlement européen relative à la conservation des données personnelles (8 avril 2014, affaires jointes C-293/12 et C-594/12 – Digital Rights Ireland et Seitlinger e.a.). Directive, faut-il le souligner, prise également en vertu de la convention de Budapest (cf. le 20e point du visa de la directive).

Affirmer qu’en matière de données personnelles, la législation tunisienne respecte les standards internationaux uniquement en se basant sur l’imitation d’une phraséologie juridique importée -comme c’est le cas des articles 30 et suivant du projet-, c’est affirmer des contrevérités, aussi longtemps que les protections jurisprudentielles demeurent absentes.

En matière de standards démocratiques, il est vain de les clamer à partir de ladite phraséologie juridique détachée des protections jurisprudentielles. Ce qui fait le standard démocratique, c’est plutôt ce type de raisonnement judiciaire remarquable, comme celui relatif à la protection des données personnelles. Et à cet égard, contre les « ardeurs » d’un exécutif européen portant atteinte aux données personnelles, la Cour a estimé “qu’en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive [attaquée] s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En outre, le fait que la conservation et l’utilisation ultérieure des données sont effectuées sans que l’abonné ou l’utilisateur inscrit en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante.

La Cour constate par ailleurs que la directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus ainsi que contre l’accès et l’utilisation illicites des données […] , et qu’elle ne garantit pas la destruction irrémédiable des données au terme de leur durée de conservation.” (Cf. notre article sur ce lien.)

Ce sont ces raisonnements jurisprudentiels qui font la substance des standards démocratiques et non les pâles imitations des formulations législatives qui demeurent sans garantie au niveau de la pratique juridique.

Au fond, notre dernier billet n’était que le résultat de cette accumulation d’un agacement depuis plusieurs années vis-à-vis de cette méthode si maladroite qui consiste à copier les textes des démocraties occidentales ou à reprendre des dispositions issues de conventions internationales, sans outre mesure. Ceci pour, ensuite, affirmer qu’en faisant ainsi, la législation tunisienne respecte les standards internationaux et obtient souvent, au demeurant, les satisfécits de “prétendus experts” étrangers !

Ces mêmes experts auxquels, sans ménagement, nous n’hésitons pas lors de colloques et conférences internationales à leur dire qu’ils se méprennent lorsqu’ils affirment que la Tunisie respecte certains standards internationaux en recopiant, telle qu’elle, la législation occidentale relative aux libertés publiques. Ces mêmes experts à qui nous rappelons systématiquement que si leurs libertés fondamentales sont protégées dans leurs pays, cela est fondamentalement dû à la lecture et à l’interprétation qui est faite du droit par les “Hautes Cours”, les protégeant ainsi contre les excès législatifs. Et c’est à ce niveau que résident les vrais standards. Et c’est pour cela que la carence jurisprudentielle en Tunisie implique une différence de fond substantielle quant à la portée du même standard en Tunisie et ailleurs.

Et c’est pour cela également que dans tout projet qui touche aux libertés fondamentales, légiférer sans tenir compte des expériences jurisprudentielles comparées, c’est prendre le risque de demeurer en retard d’un demi-siècle, au moins, en matière de garanties démocratiques. Car faut-il le souligner, très souvent, les textes imités datent d’autant, et ce, à l’instar de la DUDH !

Il est souvent très regrettable que le législateur tunisien n’anticipe pas en codifiant des solutions jurisprudentielles très éloquentes intervenues justement, sous d’autres cieux, pour combler des défaillances démocratiques au sein de la législation. Ces mêmes défaillances que nous reproduisons, parfois bêtement, sans même prendre garde à leurs aspects pernicieux.

À suivre…