L’accès transfrontalier aux données numériques et la lutte contre la cybercriminalité : Quels enjeux pour l’Afrique ?
vendredi 26 octobre 2018
« Cloud computing » (ou informatique dans les nuages) est le nouvel anglicisme trouvé pour traduire un modèle de fourniture, d’accès et d’utilisation de ressources électroniques par le biais du réseau internet. Cette technologie offre aux entreprises une solution de délocalisation et d’externalisation de leurs données, à l’aide de logiciels spécifiques. Les services d’informatique des nuages peuvent être utilisés par les entreprises ou par les particuliers à l’aide d’applications de messagerie électronique sur le web (Yahoo, Gmail, etc.) ou de plates-formes de stockage de photos, musique, vidéos, documents, (Dropbox, Google Drive, etc.) ou à par des applications de réseaux sociaux (Facebook, Twitter, etc.)
De nos jours, il est devenu banal en Afrique d’utiliser les médias sociaux et les services et applications de messagerie électronique pour communiquer, travailler, socialiser ou obtenir des informations.
Cependant, ils peuvent aussi être utilisés à mauvais escient pour commettre ou faciliter à perpétrer des actes cybercriminels, y compris des crimes graves tels que des attaques terroristes.
Or, dans la plupart des enquêtes pénales impliquant la cybercriminalité, les autorités judiciaires ont besoin d’accéder à des données susceptibles de servir de preuves (e-mail, heure de connexion, identité du titulaire d’un compte mail, photos ou vidéos de pornographie enfantine, etc.) et qui sont stockées dans les serveurs des fournisseurs de services (Facebook, Gmail, Yahoo, Apple, Google, Microsoft, etc.) établis dans d’autres États, en particulier aux Etats-Unis.
Cependant, les preuves numériques dans le cloud présentent des particularités technologiques, en raison notamment de l’ubiquité et de la nature décentralisée de l’architecture du « nuage ». En effet, la localisation des données répond souvent à des contraintes économiques ou techniques liées notamment à un ensemble de processus algorithmique. Par exemple, les prestataires préfèrent souvent installer leurs data centers dans des Etats où le coût de l’électricité est plus faible. Les données sont parfois dupliquées et fragmentées sur des serveurs différents localisés dans plusieurs Etats afin de les préserver. Les structures d’investigation se heurtent souvent à l’impossibilité technique de localiser le lieu de stockage des données numériques.
Ainsi, les mécanismes classiques de coopération dont les principes de base ont été fixés depuis plusieurs dizaines d’années dans le cadre d’un environnement matérialisé, sont de plus en plus mis à rude épreuve. A quel Etat adresser une demande d’entraide judiciaire internationale lorsque l’on ignore le lieu de stockage des données ou même lorsqu’elles sont hébergées dans un espace international tel que la haute mer ? Est-il envisageable de transmettre autant de commissions rogatoires qu’il n’y a d’Etats sur les territoires desquels sont stockées des données dispersées entre plusieurs data centers ?
Face à l’inefficacité des méthodes formelles de coopération organisées par les accords d’entraide policière et judiciaire (lenteur, longueur et incertitude des procédures), une approche plus informelle consistant à l’admission d’un droit d’accès transfrontalier aux preuves électroniques stockées dans le « cloud » par les prestataires de service Internet est de plus en plus explorée par les Etats et les organisations internationales (I) .
Mais en Afrique, les enjeux posés par ce nouveau dispositif aux effets extraterritoriaux, sous l’angle de protection des données à caractère personnel et de la souveraineté numérique, exigent l’aménagement d’un cadre international approprié (II).
I. UNE TENDANCE A LA RECONNAISSANCE D’UN DROIT D’ACCES EXTRATERRITORIAL AUX PREUVES NUMERIQUES
L’affaire Yahoo ! avait, dès le début des années 2000, mis en évidence la difficulté du droit international à s’acquitter de sa fonction de répartition des compétences étatiques dans l’environnement électronique. Dans cette affaire, le juge français avait établi sa compétence pour connaître de la mise en vente en ligne depuis les États-Unis d’objets nazis.
La question de l’accès des autorités étatiques aux données par-delà les frontières, en particulier dans le cadre d’enquêtes pénales, constitue une illustration particulièrement éloquente de cette difficulté.
Ce problème a été récemment relancé suite à l’adoption par le Congrès américain en mars 2018 du Clarifying Lawful Overseas Use of Data Act (Cloud Act) qui encadre l’accès par les autorités américaines aux données stockées à l’étranger par les prestataires de services électroniques dans le cadre de procédures pénales. Ce texte de loi fait suite à l’affaire USA c/ Microsoft soumise à la Cour suprême des Etats-Unis en 2017. Dans cette espèce, les autorités américaines avaient obtenu une ordonnance enjoignant à Microsoft de transmettre le contenu des messages électroniques échangés par un individu dans le cadre d’une enquête pour trafic de stupéfiants.
Dans un contexte marqué par une certaine défiance vis-à-vis des opérateurs américains après les révélations de Snowden, la société refusa de s’exécuter au motif que les données en cause étaient conservées en Irlande.
L’opposition de Microsoft s’appuyait essentiellement sur le caractère extraterritorial de l’injonction délivrée. C’est donc bien la possibilité pour les autorités d’un État d’accéder via un fournisseur de services à des données stockées sur le territoire d’un autre État sans son consentement qui était en cause. Après avoir vu sa demande en annulation de l’ordonnance rejetée une première fois devant la Cour du district de New York, Microsoft avait obtenu gain de cause devant la Cour d’appel du second circuit.
Mais les autorités américaines avaient porté l’affaire devant la Cour suprême. C’est pour couper court au débat qui s’était noué devant la haute juridiction américaine que le Congrès a adopté sous la forme d’un cavalier législatif, le Cloud Act.
L’objectif premier de ce texte est de permettre aux autorités américaines d’accéder aux données stockées à l’étranger par des fournisseurs de services. Le dispositif permet ainsi aux autorités américaines de solliciter du juge qu’il ordonne à un opérateur de leur transmettre les données en sa possession, où qu’elles se trouvent. La portée de ce texte est très large puisque le critère déterminant qui est retenu tient à l’établissement du fournisseur de services sur le territoire américain. Ni la localisation des données, ni la nationalité de leur titulaire, ni même la cible de l’activité qui a permis de les recueillir ne sont décisives.
Ce texte a suscité de vives controverses. Certains ont vite affirmé qu’il serait pris en réaction au Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018 et permettrait aux États-Unis de « pomper » et de « siphonner » les données personnelles des citoyens du monde sans aucun contrôle, ni limite. D‘autres ont dénoncé un « nouvel instrument de guerre économique » renforçant l’ingérence des autorités américaines sur les prestataires de services de communications électroniques.
Par ailleurs, l’accès transfrontière aux données est envisagé par l’article 32 de la Convention de Budapest sur la cybercriminalité. Ce texte habilite une partie, sans l’autorisation d’une autre partie, à accéder à des données informatiques accessibles au public, quelle que soit la localisation géographique de ces données ou lorsque la personne concernée (par exemple le titulaire d’un compte mail) donne son consentement à la divulgation des données.
Alors que la Convention africaine sur la cybersécurité et la protection des données à caractère personnel adoptée à Malabo en 2014 est restée muette sur le problème de l’accès transfrontalier aux données, la Commission européenne a déposé, à la suite de l’adoption du Cloud Act, une proposition de Règlement E-evidence sur l’accès aux preuves électroniques. Cette proposition de règlement permet d’imposer aux fournisseurs de services de divulguer des données conservées hors du territoire des États membres de l’Union européenne. Elle instaure ainsi une injonction européenne de production et de conservation de données adressée directement au prestataire offrant des services dans l’Union, sans avoir à passer par les procédures classiques d’entraide internationale.
En permettant aux autorités américaines et européennes d’obtenir des données conservées à l’étranger, le nouveau dispositif d’accès transfrontalier aux données a sans aucun doute une portée extraterritoriale. Par ce mécanisme, ces autorités mobilisent un instrument de mise en œuvre de l’action pénale pour répondre efficacement à la cybercriminalité qui s’applique aussi bien aux données de contenu (par exemple le contenu d’un e-mail ou une photo) qu’aux données relatives aux abonnées (par exemple, les informations sur les horaires de connexion ou à l’identité du titulaire d’un compte mail).
II. L’EXIGENCE D’UN CADRE DE COOPERATION APPROPRIE SUR L’ACCES EXTRATERRITORIAL AUX DONNEES NUMERIQUES
Les défis liés à la protection des données à caractère personnel et à la préservation de la souveraineté numérique posés par les effets extraterritoriaux du mécanisme de l’accès transfrontière aux données numériques, surtout en Afrique, posent les prémices d’une coopération internationale en la matière. L’adoption du Cloud Act combinée aux initiatives juridiques européennes jettent les jalons d’un cadre coopératif sur l’accès transnational aux données. En effet, le deuxième pilier sur lequel repose le Cloud Act permet au législateur américain d’établir les conditions d’une coopération internationale en matière d’accès transfrontalier aux données numériques. La loi habilite ainsi l’exécutif américain à conclure des accords de coopération avec les partenaires des États-Unis.
En premier lieu, l’objet de ces accords est de permettre aux autorités étrangères (notamment les autorités africaines) d’accéder aux données stockées aux États-Unis dans le cadre de leurs propres enquêtes pénales.
Cette possibilité est toutefois limitée à deux égards.
D’une part, l’État qui souhaite conclure un accord de ce type avec les États-Unis doit démontrer qu’il offre aux données personnelles une protection analogue à celle qui existe en droit américain et s’engager à accorder une protection particulière aux données dont le titulaire est américain.
D’autre part, le transfert de données depuis le territoire des États-Unis n’est prévu que pour la poursuite de « serious crimes ». Le texte ne précise pas le degré de gravité de ces infractions sauf qu’il énonce qu’elles incluent les actes de terrorisme.
Si les États membres de l’Union européenne ou l’Union elle-même, remplissent sans doute les conditions requises du point de vue du droit américain pour conclure un accord de coopération du type envisagé par le Cloud Act, l’existence de garanties sérieuses de protection des données personnelles en Afrique est illusoire. En effet, il n’existe pas un dispositif similaire au RGPD , encadrant les conditions du transfert des données à caractère personnel hors de l’espace de l’Union africaine. En outre, les autorités chargées de la protection des données à caractère personnel ne disposent pas souvent de moyens suffisantes pour s’acquitter de leurs missions.
Face à cette situation, les Etats africains risquent de n’être pas en mesure de conclure des accords fixant les conditions dans lesquelles les données conservées sur le territoire américain peuvent être transférées en Afrique sans porter atteinte au droit américain. Or, sans la conclusion de ces accords, la divulgation des données stockées dans les serveurs des GAFAM (Google, Amazon, Facebook, Apple et Microsoft) aux autorités policières et judiciaires africaines (magistrats et officiers de police judiciaire) pour les besoins de la lutte contre la cybercriminalité risque de n’être qu’un vœu pieux.
Cette situation est d’autant plus préoccupante que la rareté voire l’absence de data centers hébergeant les données des fournisseurs de service internet sur le continent africain le place souvent dans l’inconfortable position de « demandeur » de données utiles aux enquêtes pénales.
En deuxième lieu, les accords de coopération prévus par le Cloud Act visent à permettre l’accès des autorités américaines aux données stockées à l’étranger via le fournisseur de service.
Mais l’opérateur conserve la possibilité de contester l’injonction délivrée à son endroit et d’en obtenir l’annulation par le juge. En présence d’un accord conclu avec l’État sur le territoire duquel les données sont stockées, le juge peut annuler ou modifier l’injonction si elle concerne des données dont le titulaire n’est pas américain, lorsque la mise en œuvre de l’injonction serait contraire au droit de l’État sur le territoire duquel se trouvent les données ou si l’intérêt de la justice commande d’annuler ou modifier l’injonction.
En tout état de cause, les difficultés soulevées par l’accès transfrontalier aux données ne pourront trouver des solutions que par la conclusion d’accords internationaux qui devront organiser et répartir les compétences entre États tout en permettant de maintenir les garanties ainsi que les droits fondamentaux des personnes. Ces accords pourraient être bilatéraux, tels ceux que le Cloud Act envisage ou multilatéraux, par exemple dans le cadre de la convention internationale de Budapest sur la cybercriminalité. A cet égard, lors de sa 17eme réunion plénière (juin 2017), le comité de la Convention sur la cybercriminalité (T-CY) a adopté un cahier des charges pour la préparation d’un deuxième protocole additionnel à la Convention. L’objectif de ce protocole est d’étendre les cas d’accès transfrontalier aux données notamment au cas où le lieu de stockage des données est inconnu. Deux Etats africains, également parties à la Convention de Budapest, à savoir le Sénégal et l’île Maurice, participent au groupe de travail chargé de rédaction de ce deuxième protocole additionnel dont la version finale est prévue pour décembre 2019.
Le Premier Forum africain sur la cybercriminalité, organisé par l’Union africaine à Addis Abeba (Ethiopie) du 16 au 18 octobre 2018 a constitué un prétexte pour poser le débat des enjeux de la preuve numérique dans le « cloud » en Afrique.
Quoi qu’il en soit, dans un contexte marqué par des transformations digitales sans précédent (Cloud computing, Big Data, internet des objets, etc.), l’Afrique est plus que jamais à la croisée des chemins. Une lutte efficace contre la cybercriminalité dans le respect des droits fondamentaux des personnes et de la protection des données à caractère personnel exige des africains de prendre leur cyberdestin en main, même dans le flou des nuages du cyberespace…
Papa Assane Touré
Magistrat Expert en Cyberdroit
Secrétaire général Adjoint du Gouvernement
Chargé des Affaires législatives et réglementaires
(Source : Pressafrik, 23 octobre 2018)