La cybercriminalité au Cameroun : Cap sur la circulation de documents officiels des administrations sur les réseaux sociaux
jeudi 23 avril 2020
Introduction
« La mondialisation et le développement du monde virtuel ouvrent aux criminels des perspectives nouvelles et favorables pour se livrer à leur activités illicites et commettre des infractions »[1].
Au Cameroun, diverses pratiques de cybercriminalité[2] se répandent de façon inextinguible avec la vulgarisation d’Internet et des réseaux sociaux[3]. Plus que par le passé, on retrouve davantage de documents officiels confidentiels ou non des administrations et organisations socioprofessionnelles dans les réseaux sociaux numériques.
C’est à ce titre par exemple qu’entre 2015 et 2020, on est parti des attaques ciblant les systèmes informatiques de la très haute institution de l’Etat[4], pour des attaques portant atteinte à l’intégrité des données numériques des administrations.
Quelques cas les plus récents et illustratifs de ces pratiques, peuvent être relevés ici : Il s’agit notamment de la circulation d’un message radio porté du Délégué Général à la Sûreté National le 5 mars 2018, interdisant de sortie du territoire national certaines personnalités soupçonnées dans les enquêtes du Tribunal Criminel Spécial ; De la circulation d’un Message-fax du Chef de protocole d’Etat le 4 avril 2019, visant à obtenir l’autorisation de port d’armes au profit des éléments de sécurité présidentielle, en vue d’un déplacement à venir du Chef de l’Etat ; De la circulation d’une note de l’attaché de défense de l’ambassade du Cameroun à Berlin le 8 avril 2019, attirant l’attention de la sécurité présidentielle sur les velléités bellicistes d’un groupe de perturber un séjour à venir du Chef de l’Etat ; De la circulation du message du Ministre de la défense le 11 avril 2019, relayant le thème de la Fête National prescrit par le Chef de l’Etat ; Et très récemment, la circulation d’un arrêté ministériel conjointement signé par le Ministre de l’Enseignement de Base et de l’Enseignement Secondaire du 7 avril 2020, modifiant le calendrier de l’année scolaire 2019/2020 en République du Cameroun.
Indépendamment des motivations de ceux qui y concourent, c’est une pléthore de problématiques sous-jacentes qui émergent et qui ne sont pas sans conséquence, à savoir les processus d’élaboration ; authentification, conservation, publication d’un document administratif.
Toute chose qui légitime certaines questions, notamment : Quel document a-t-on le droit de publier et sous quelles conditions ? Une autorisation est-elle nécessaire pour la publication ? Quels sont les risques auxquels les administrations et les contrevenants s’exposent en cas de publication sans autorisation ?
I- Quels documents a-t-on le droit de publier et sous quelles conditions ?
I-1. Document officiel pouvant faire l’objet de publication sur les réseaux sociaux
Les canaux de communication numérique s’accompagnent certes d’une vaste palette d’avantages et de risques, et en cela l’expérience montre que le droit camerounais présente de grosses lacunes. Les documents administratifs peuvent revêtir de nombreuses formes (dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, directives, instructions, circulaires, codes sources, etc.) et adopter tout support (écrit, enregistrement sonore ou visuel, forme numérique ou informatique).
Le droit camerounais et la jurisprudence en particulier ne s’attachent pas au formalisme, d’autant plus qu’il peut s’agir de documents détenus par l’Etat ; les collectivités territoriales ; les autres personnes de droit public et les personnes de droit privés qui assurent une mission d’intérêt général sous le contrôle de l’administration et si elles sont dotées à cette fin de prérogatives de puissance publique.
A toutes fins utiles, les documents administratifs peuvent se retrouver sur Internet ou sur les réseaux sociaux, dès lors que le critère administratif du document est satisfait. S’il est vrai que ces documents matérialisent l’action de l’administration, ceux-ci ne sont que l’expression de la volonté de communiquer ou d’informer sur les différents champs matériels de son intervention et de ses actions.
Le document « officiel », tant qu’il reste vrai qu’il est un acte émanant d’une autorité publique ou d’une personne (morale ou physique) privée, obéit à un criterium qui fait apparaître une pluralité d’organes différant les uns des autres et qui interviennent à différents degrés dans l’échelle hiérarchique.
L’administrativité d’un acte procède de ce que celui-ci est pris par une autorité publique compétente dans l’exercice de ses fonctions ou dans le cadre de ses missions d’intérêt général. Les actes de l’administration sont donc très variés et obéissent à une pluralité de régimes juridiques. Ceux qui sont pris par l’administration publique, sont des actes administratifs.
I-2. Régime de publicité des actes administratifs en droit camerounais
Comme le relève Odile TONGOLO, « Tout acte administratif quel que soit sa nature se termine par cette clause de style qui donne l’ordre de le publier : « le présent décret sera enregistré et publié suivant la procédure d’urgence, puis inséré au journal officiel en anglais et en français » »[5].
Il convient de relever qu’au Cameroun, la loi ne consacre formellement que les procédés classiques de publicité des actes de l’administration. Ainsi, l’article 31 alinéa 3 de la loi Constitutionnelle du 18 janvier 1996 prescrit que : « la publication des lois est effectuée au journal officiel de la République en Français et en Anglais ».
On constate avec l’article 28, imprécis sur la nature du support de publication, que l’entrée en vigueur des actes administratifs est consécutive à leur publication. Les documents ainsi publiés volontairement à l’initiative de l’administration, doivent remplir toutes les formalités requises de leur authenticité. Ce qui implique la présence des visas qui établissent des liens hiérarchiques, les noms, et la signature de l’auteur de l’acte qui, permettent de vérifier la capacité et la qualité à agir dans le domaine. Si l’acte n’a pas été régulièrement pris par une autorité, l’on est en présence d’un détournement de pouvoir et l’acte querellé encourt annulation.
I-3. Les documents publiés par l’administration et les documents publiés par des tiers
Les documents publiés volontairement à l’initiative de l’administration doivent être authentiques, c’est-à-dire remplir un certain nombre de formalités (présence des visas qui établissent des liens hiérarchiques, la date, les noms et signature de ou des auteurs de l’acte, pour vérifier la capacité et la qualité à agir). Si l’acte n’a pas été régulièrement pris par une autorité, l’on se trouve en présence d’un détournement de pouvoir et l’acte encourt l’annulation et est constitué sans valeur.
Dans un environnement ou les moyens classiques (journal officiel et mass média) de publication des documents administratifs présentent des faiblesses, on assiste à la monté en puissance de la publication des documents officiels sur Internet.
En conséquence, plusieurs documents officiel de l’administration pouvant faire grief circulent dans les réseaux sociaux ; une pratique qui n’est pas sans risque. Internet devient donc le nouvel « espace de publication », emprunté soit par l’administration elle-même, soit par les citoyens ; toute chose qui peut porter préjudice tant est que la pratique se perpétue de manière stéréotypée.
II- Une autorisation est-elle nécessaire pour la publication ?
Depuis plusieurs années, de nombreux Etats se sont inscrits dans un mouvement de diffusion en ligne des informations détenues par leurs administrations publiques. Ces politiques d’ouverture des données publiques poursuivent trois objectifs majeurs :
renforcer la transparence de l’action administrative et de la vie démocratique,
Identifier des leviers d’amélioration de l’organisation et de la gestion publiques,
Susciter l’innovation économique par la création de nouveaux services.
En France par exemple, le cadre juridique de cette ouverture des données publiques est constitué de deux ensembles : les dispositions sur le droit d’accès aux documents administratifs, aujourd’hui codifiées au livre III du code des relations entre le public et l’administration (CRPA), auquel s’ajoutent de nombreuses législations spéciales ; les dispositions sur la protection des données personnelles (RGPD[6] et loi « Informatique et Libertés »), qui sont applicables dès lors que la mise en ligne concerne des documents administratifs ou des données publiques comportant des informations relatives à des personnes identifiées ou susceptibles de l’être.
Au Cameroun, la tendance est tout à fait différente. S’il est vrai que les pouvoirs publics ont, de façon faible, recourt à ce mode de publication, la circulation inquiétante de plusieurs documents administratifs ( parfois confidentiels) est le fait des citoyens et des personnels de ces administrations publiques, qui parfois diffusent, « sans autorisation préalable », dans les réseaux sociaux, certains fichiers souvent sous le sceau de la confidentialité ou pouvant porter atteinte à la vie privée d’un individu. C’est donc une pratique qui s’opère encore sous le joug de la clandestinité et qui donne lieu à de nombreuses dérives et controverses.
Les documents officiels font partie du « patrimoine documentaire et informationnel » de l’Etat ou de l’entreprise, leur publication, leur diffusion et leur circulation, sur les plateformes numérique, doivent respecter un ensemble de règles dont la soumission à une autorisation formelle préalable avant toute publication. Une règle qui devrait se renforcer surtout si lesdits documents sont recouverts du secret de la confidentialité. Quoiqu’il en soit, la vulgarisation de l’information contenue dans le document administratif par les médias s’inscrit résolument dans le cadre de la nouvelle gouvernance publique.
En réalité, les documents officiels des administrations et des entreprises privées sont régies par des règles de droit commun, dont l’essentiel se trouve dans le code civil et autre instruments juridiques pertinents. Quoi qu’il en soit le contenu d’un document administratif ou d’une entreprise, peu importe le support, est soit confidentiels, soit destiné au public. Dans tous les cas c’est l’administration en question ou l’entreprise concernée elle-même qui détermine les modalités de diffusion et de partage de ce contenu sur Internet.
III- Quels sont les risques auxquels les contrevenants s’exposent en cas de publication sans autorisation ?
III-1. Responsabilité et moyens de preuve
En cas de publication de document officiel de l’administration et quel que soit le support, sans autorisation préalable de l’administration, le contrevenant s’expose à des sanctions. Les documents officiels en circulation sur Internet font l’objet de plusieurs manipulations et falsifications. Vérifier leur authenticité[7] n’est pas souvent chose aisée. Cela requiert un certain nombre de vérifications voire même une certaines expertise qui échappe au premier venu.
S’agissant du document administratif, la preuve de son authenticité ou non est apporté par le demandeur, ou la personne à qui l’acte fait grief, selon le principe « Actori incumbit probatio » la preuve incombe au demandeur. Lorsque sur le document est apposée une signature électronique[8], qui garantit une certaine fiabilité, sécurité et confidentialité. L’authentification se fait auprès de l’autorité de certification agréée par l’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC)[9]. Dans la phase contentieuse, la preuve électronique obéit à une certaine complexité et spécificité, qui se démarque à plus d’un titre du régime classique de la preuve.
III-2. Sanction des contrevenants
Il est à noter que le Code pénal en vigueur au Cameroun, retient un certain nombre de sanctions d’infractions qui se rattachent à la publication des documents officiels. Bien qu’il s’avère difficile d’identifier une infraction liée à la publication d’un document officiel de l’administration, il faut dire que la pénalisation de certains actes s’y rattachant peut servir de socle pour apprécier l’ensemble des sanctions applicables en la matière.
Selon l’article 113 du Code pénal camerounais, celui qui publie un document qui propage de fausses nouvelles « est puni d’un emprisonnement de trois (03) mois à trois (03) ans et d’une amende de cent mille (100.000) à deux millions (2.000.000) de francs, celui qui émet ou propage [quel que soit le support] des nouvelles mensongères, lorsque ces nouvelles sont susceptibles de nuire aux autorités publiques ou à la cohésion nationale ».
L’article 144 du même Code précise que « est puni d’un emprisonnement de dix (10) à vingt (20) ans et d’une amende de trois cent milles (300.000) à un million (1.000.000) de francs, le fonctionnaire ou l’agent public qui contrefait ou altère, soit dans sa substance soit dans les signatures, dates et attestations, un acte ou un écrit qu’il, a le devoir d’établir, de recevoir, de constater ou de notifier ». L’alinéa 2 ajoute « est puni des peines prévues à l’alinéa 1er ci-dessus, celui qui fait usage ainsi d’un acte contrefait ou altéré ». L’on constate dans cet article le silence du législateur quant à la pénalisation de l’acte de publication d’un faux document officiel, ou un document officiel qui présenterait un caractère confidentiel. On peut donc comprendre pourquoi un faux document officiel ou fake-news n’a pas de valeur juridique et par ricochet est nulle et de nul effet.
De même, l’article 188-1 du Code pénal puni « d’un emprisonnement d’un an (01) à cinq (05) ans et d’une amende de dix mille (10.000) à deux cents milles (200.000) francs, celui qui soustrait ou enlève toute pièce placée sous la garde de l’autorité publique ». Est également puni de la même peine, selon l’article 188-2 du Code pénal, « toute personne qui exporte illicitement des documents d’archives publiques ».
La peine encourut est d’ « un mois (01) à un (01) an pour quiconque, sans qualité ou sans autorisation, prend copie d’un document appartenant à une administration »[10]. Les peines sont doublées, en cas de publication par voie de médias[11].
Par ailleurs, si le document officiel revêt un caractère confidentiel, l’individu peut être poursuivi pour violation du secret professionnel en vertu de l’article 310 du CP. D’après l’alinéa 1 de cet article : « est puni d’un emprisonnement de trois (03) mois à trois (03) ans et d’une amende de vingt milles (20.000) à cent milles (100.000) francs, celui qui relève, sans autorisation de celui à qui il appartient, un fait confidentiel qu’il n’a connu ou qui ne lui a été confié qu’en raison de sa fonction ou de sa formation ».
Il y a également lieu de mentionner que la falsification de signature, les marques et imprimés, écritures publiques, documents et permis sont également punis par le CP aux articles 203 et suivant.
IV- Les moyens de protection techniques et juridiques de documents administratifs
De la conception à l’archivage en passant par le traitement, le risque s’avère grand en ce qui concerne les atteintes à la confidentialité et à l’intégrité des documents administratifs. Bien que des mesures consécutives à la mise en œuvre des canaux de communication électroniques sécurisés pour les transactions électroniques des administrations, soient édictées en 2018[12], la sécurisation des documents administratifs à caractère confidentiel ou non en circulation dans les réseaux sociaux reste préoccupante.
Pourtant, il est généralement plus facile de garder confidentiel un document en format électronique plutôt qu’en format papier pouvant facilement être pris sur le coin de votre bureau et emporté ailleurs. Cette section vise à présenter des mesures rentrant dans le processus de sécurisation des documents administratifs à caractère confidentiel.
Il convient pour chaque administration de mettre en place une politique de sécurité, c’est-à-dire une vision et des objectifs à long terme en matière de sécurité de l’information ainsi que les moyens qui permettant d’atteindre ces objectifs. Il revient par ailleurs aux administrations d’utiliser des outils de transaction numérique de confiance, notamment le certificat électronique[13]dans l’élaboration, le transfert, le traitement et la publication des documents administratifs. Ainsi, l’infrastructure nécessaire à l’implémentation des certificats est la PKI[14] (Public Key Infrastructure) ou Infrastructure à clé publique Nationale[15]. Elle offre un cadre global permettant d’installer des éléments de sécurité tels que la confidentialité, l’authentification, l’intégrité et la non-répudiation tant au sein de l’administration que lors des échéances d’information avec l’extérieur.
L’autre moyen pouvant permettre de sécuriser les documents administratifs est la mise en place d’un Gestionnaire Electronique des Documents (GED[16]), associé à un Système d’Archivage Electronique (SAE[17]). Il s’agit de techniques de gestion de flux de documents qui entrent, sortent ou circulent au sein de l’administration. Ces deux systèmes sont très importants dans la mise en place d’un référentiel[18] de production documentaire. Il est également conseiller aux administrations de faire usage du coffre-fort électronique[19]. Au même titre qu’un coffre-fort physique, c’est un espace ultra sécurisé destiné à protéger les documents et à leur concéder une valeur probante. Il permet de contrôler les accès, d’assurer la traçabilité et l’authenticité d’une archive, pré requis indispensables pour qu’un document électronique soit accepté comme élément de preuve en justice.
C’est par ailleurs le lieu d’indiquer que la mise en place de politiques de sécurité claire de l’information est un processus, qui obéit à plusieurs méthodes[20]. Il s’agit d’une démarche organisationnelle qui inclut les technologies de l’information. De plus, il sied de positionner la sécurité de l’information comme un processus nécessitant des efforts continus et non pas comme un problème ponctuel, pouvant être résolu au moyen de mesures exclusivement technologiques.
Le succès de la politique de sécurité et sa mise en pratique par les administrations, sont tributaire à la compréhension des enjeux et des risques de la part des utilisateurs qui y sont assujettis. Ce qui revient à dire que, la compréhension devra être inculquée aux utilisateurs par des efforts continuels de sensibilisation et de formation qui nécessiteront l’implication d’un ensemble de collaborateurs.
V- Le contentieux relatif aux documents officiels sur Internet
Il convient de rappeler que la gestion juridique de la cybercriminalité ou du cyber-délit réalisé sur les réseaux sociaux reste complexe et illustre les problématiques qui continuent d’animer le droit de l’internet. Est-ce à dire que la loi de la jungle règne sur les réseaux sociaux ? Certainement pas. Les réseaux sociaux ne sont pas une zone de non-droit, bien au contraire. Ce n’est plus tant le fait d’introduire du contenu malveillant que celui de sa reprise et sa vulgarisation par d’autres qui fait sa nocivité et sa virilité, laquelle repose sur trois piliers : les acteurs, les procédés et la nature du contenu.
Les acteurs de la nocivité sont les sympathisants, amis et « followers » des auteurs de contenus[21]à l’origine de faits dommageables[22]
En ce qui concerne les procédés, ceux qui créent et accentuent la virilité avec des « likes » ou « j’aime », ce sont les « followers actifs ». Et pour ce qui est de la nature des contenus, il convient de relever que seuls les contenus qui correspondent à l’idée que se fait l’opinion (à l’occurrence les préjugés) de l’internaute sont susceptibles d’une propension élevée.
V-1. Responsabilité des acteurs
En plus des responsables génériques classiques[23], d’autres responsabilités peuvent être engagées à savoir : les intermédiaires non techniques et les intermédiaires techniques. Il y a également lieu de préciser le rôle de l’ANTIC et des services judiciaires.
La responsabilité des intermédiaires non techniques, estcelle d’un internaute qui a une simple page ou un blog dont il a la maîtrise, le pouvoir de direction, de gestion et via lequel le document est mis en ligne. Dans ces cas de figure et au motif de la faute commune, celui qui partage une fake news est aussi coupable que l’auteur de l’information initiale[24].
La responsabilité des intermédiaires techniques[25]pourrait égalementêtre retenue, sous condition d’avoir eu connaissance des contenus malveillants, et soit d’avoir contribué à leur propagation au moyen de partages, relais, commentaire et/ou soit de n’en avoir pas expressément informé les autorités répressives[26]. Concernant la page de réseau social, c’est celui qui en a la maîtrise qui est tenus pour responsable de ce qui y est publié s’il a eu connaissance de contenu et n’a pas réagi : On pourrait de fait évoquer un cas de complicité au motif qu’il a facilité la publication de contenus préjudiciables.
En droit européen, l’administrateur d’une page encourt la peine correspondante à la norme pénale violée, au même titre que l’auteur de la publication initiale[27].
Au Cameroun la loi n°2010/012 du 21 décembre 2010 relative à la cybersécurité et la cybercriminalité au Cameroun ne définit pas clairement les mécanismes de sanction de cette catégorie d’auteurs.
V-2. Quelques pistes simplifiées de solutions additives
Réglementation de la catégorisation et l’accès aux données publiques et des documents administratifs officiels.
Production automatisée du document officiel
Renforcement des capacités institutionnelles de sécurité de la DGSN, ANTIC, ART
Améliorer les moyens d’enquêtes, de poursuites et de sanctions judiciaires, notamment avec la généralisation de la saisine sans plante, la pratique de la comparution immédiate et la création d’un corps spécialisé et autonome auprès de la DGSN, SED, ANTIC, ART, Bureau National Interpol.
Relèvement du quota des sanctions (amendes et peines privatives de liberté) ;
Indiquer des circonstances aggravantes plus sévères ;
Renforcer les peines accessoires (suspension ou suppression de l’abonnement téléphonique et/ou Internet, fermeture de site et/ou de la page, placement sous surveillance judiciaire, confiscation de matériel, diffusion large de la décision de condamnation etc.
Paul Alain Zibi Fama
(Source : Digital Business Africa, 23 avril 2020)