L’Afrique est-elle prête pour le traité sur la cybercriminalité ?
Les négociations sur un traité des Nations unies sur la cybercriminalité sont en cours depuis mai 2021, mais les pays africains sont dans des états de préparation différents.
S’il est adopté par l’Assemblée générale, le traité des Nations unies sur la cybercriminalité pourrait devenir un cadre juridique essentiel pour la prévention de ce fléau à l’échelle mondiale. Pour autant, ce texte sera-t-il suffisant pour résoudre les difficultés de l’Afrique dans ce domaine, et pourrait-il engendrer des risques involontaires ?
Alors que les cyberattaques se multiplient à l’échelle mondiale, avec une augmentation de 125 % depuis 2021, l’Afrique est confrontée à des défis particuliers en matière de cybersécurité. Le continent manque d’infrastructures de sécurité numérique, et environ 90 % des entreprises africaines opèrent sans mettre en œuvre les protocoles de sécurité nécessaires. Les cyberattaques ont déjà des conséquences économiques graves, puisqu’elles coûtent chaque année près de 600 millions de dollars à l’Afrique du Sud et environ 500 millions $ au Nigeria, les deux plus grandes économies du continent.
« La perspective mondiale du traité renforcera la confiance dans les collaborations internationales et élargira l’accès au marché pour les entreprises africaines. »
Le traité des Nations unies sur la cybercriminalité vise à alléger ce fardeau, mais la route est longue. Des négociations complexes portant sur neuf chapitres, 60 articles et des centaines d’amendements sont en cours. Les représentants nationaux se réunissent actuellement à New York pour discuter du projet de texte de la convention, qui constitue la base du traité final. Les négociations se poursuivront jusqu’au début de l’année 2024, l’objectif étant d’adopter le traité lors de l’Assemblée générale des Nations unies en septembre 2024.
Selon Isabella Wilkinson (Chatham House), associée de recherche, le traité, qui serait le premier instrument contraignant de l’ONU sur une question cybernétique, « pourrait devenir un cadre juridique mondial important pour la coopération internationale en matière de prévention et d’enquête sur la cybercriminalité, ainsi que pour la poursuite des cybercriminels ».
Andy Madaki, consultant basé à Abuja, estime qu’il est important de disposer d’un cadre juridique mondial pour gérer les risques liés à la cybersécurité. Il note qu’au Nigeria et dans de nombreux autres pays africains, les risques ont augmenté ces dernières années. D’une part, la pandémie de coronavirus a mis en ligne des pans entiers d’activités et de données qui, jusqu’alors, étaient restées analogiques. Les tensions géopolitiques ont accru les menaces de cyberguerre lancées par des acteurs étatiques ou non étatiques. Le chapitre II du projet de traité criminalise diverses infractions cybernétiques qui sont devenues plus importantes à la lumière de ces conditions.
Toutefois, Andy Madaki note également que l’accord de libre-échange continental africain (ZLECAf) « facilitera les affaires sur le continent, mais d’un point de vue cybernétique, il constitue une autre menace. Si des biens et des services sont transférés d’un point A à un point B, cela impliquera très probablement le transfert de données à caractère personnel. Qu’avons-nous décidé pour éviter cela ? »
Cela étant, des normes mondiales pour ces processus constituent « un pas dans la bonne direction », estime-t-il.
Les petits pas
Si Andy Madaki voit comment la coopération internationale sur ces questions pourrait contribuer à atténuer les risques, il note également que, dans de nombreux cas, les pays africains n’ont pas de lois spécifiques à la cybercriminalité ou commencent à peine à les mettre en œuvre. Les cadres internationaux sont les bienvenus, mais leur utilité est peut-être limitée lorsque les lois nationales existent à peine.
« Le Nigeria n’a adopté son premier règlement sur la protection des données qu’en 2020. Notre loi sur la protection des données n’a été adoptée qu’en juin de cette année. Avant de parler des traités de l’ONU, il faut se demander combien de pays africains ont réellement voté des lois pour protéger les gens contre ces risques. Le problème avec les conventions et les traités internationaux, c’est qu’on risque de mettre la charrue avant les bœufs. »
Un PPP fructueux contre la cybercriminalité
Même lorsqu’il existe des lois nationales, les tentatives de mise en œuvre de nouvelles règles au niveau régional ou international sont souvent semées d’embûches. L’avocat Rotimi Ogunyemi explique à African Business que si le traité peut théoriquement « permettre l’uniformisation des dispositions relatives à la cybersécurité », cela ne fonctionnera pas nécessairement dans la pratique. En outre, rien ne garantit que, si le traité des Nations unies est adopté, les gouvernements en adopteront les dispositions.
« Des efforts régionaux ont été déployés, comme la stratégie régionale de cybersécurité et de cybercriminalité de la CEDEAO et la convention de Malabo de l’Union africaine, mais leur adoption a été limitée », observe Rotimi Ogunyemi. « Les avantages potentiels du traité sont tempérés par la diversité des points de vue sur la gouvernance numérique dans les pays africains et par les difficultés liées aux incapacités institutionnelles et techniques. »
Certaines sections du projet de traité sont déjà controversées, les critiques avertissant qu’une formulation vague pourrait offrir aux dirigeants autoritaires l’occasion de réprimer la liberté d’expression en ligne. Ce problème s’est déjà posé dans plusieurs pays africains, nous l’avons vu ces derniers mois au Sénégal, en Éthiopie, au Soudan en Tanzanie…
Rotimi Ogunyemi explique que l’article 29 autorise les États à collecter des données en temps réel sur le trafic des « communications spécifiées » sur leur territoire. « Cette disposition soulève des problèmes de protection de la vie privée et appelle à un examen attentif de la portée et de la définition de ce terme. »
Le spécialiste redoute également que l’article 28 du traité, qui concerne la recherche et la saisie d’informations numériques stockées, ainsi que l’article 30, qui décrit les situations dans lesquelles les autorités peuvent intercepter des données de contenu, ne soit utilisé à mauvais escient et ne constitue un risque potentiel pour la liberté d’expression en ligne.
Il cite plusieurs études de cas qui illustrent les risques potentiels. Au Nigeria, la loi sur la cybercriminalité de 2015 a criminalisé les contenus en ligne jugés simplement « ennuyeux » ou « insultants », ce qui, « a permis aux politiciens et à ceux qui ont accès aux ressources de l’État d’utiliser la loi à des fins militaires ».
L’ancien président de la Zambie, Edgar Lungu, avait adopté une réglementation similaire à laquelle les groupes de défense des libertés civiles, dont Amnesty International, s’étaient farouchement opposés. Le président actuel, Hakainde Hichilema (photo ci-dessous), a fait campagne pour l’abrogation de ces lois et a accepté de les « réexaminer », mais elles sont toujours en vigueur. La Côte d’Ivoire a également connu des cas où les lois sur la diffamation ont été utilisées pour condamner des journalistes à des infractions pénales pour des articles exposant la corruption et d’autres sujets politiquement gênants.
« Ces exemples montrent comment les lois destinées à réglementer la parole et l’expression peuvent être exploitées par les gouvernements pour réprimer les opposants et les militants dans le domaine numérique », explique Rotimi Ogunyemi. « Les dispositions du projet de traité, si elles sont utilisées à mauvais escient, pourraient éroder davantage la confiance dans le droit international en tant que garantie de la liberté d’expression et des droits de l’homme, ce qui soulève de sérieuses inquiétudes quant à l’impact potentiel sur la liberté d’expression et les libertés civiles. »
L’impact de l’innovation
Malgré les défis potentiels associés au traité, certains espèrent que, si les réglementations sont mises en œuvre de manière efficace et appropriée, elles pourraient soutenir la croissance de l’industrie technologique en Afrique.
Alors qu’Andy Madaki met en garde contre « une réglementation qui restreint trop l’innovation et crée des barrières à l’entrée », Rotimi Ogunyemi estime que le traité pourrait avoir « un impact significatif sur la compétitivité des entreprises technologiques africaines ».
Le chapitre VI du projet traite des principales menaces qui pèsent sur les entreprises et adopte une approche proactive de la cybercriminalité, note-t-il. « Ce chapitre met l’accent sur la collaboration entre les secteurs public et privé et sur la nécessité de partager les expériences et les perspectives afin d’élaborer des mesures préventives optimales. Si elles sont mises en œuvre efficacement, ces mesures pourraient réduire la cybercriminalité et ses effets néfastes sur les entreprises. » L’expert souligne que le traité prévoit une forte protection de la propriété intellectuelle, ce qui pourrait « encourager la recherche et l’innovation au sein de la communauté économique africaine ».
La réglementation du cyberespace comporte certainement des risques. Comme le montre la proposition de traité des Nations unies, ainsi que les lois déjà mises en œuvre en Europe et sur d’autres marchés développés, les pays du monde entier prennent de plus en plus de mesures pour réprimer la criminalité virtuelle. Les entreprises technologiques africaines devront en tenir compte et suivre les tendances réglementaires, en particulier si elles souhaitent se développer en dehors de leurs frontières nationales.
« Le coût financier de la cybercriminalité a entravé l’innovation et la croissance, menaçant particulièrement les nouvelles entreprises », explique Rotimi Ogunyemi. « La perspective mondiale du traité renforcera la confiance dans les collaborations internationales et élargira l’accès au marché pour les entreprises africaines. »
@AB
