31 mai 2008

L’encadrement juridique des nouvelles technologies de l’information à l’île Maurice

Petite île de l’Océan Indien, plus connue pour ses plages paradisiaques, l’Etat mauricien affiche depuis quelques années une ambition : faire du pays une cyberîle[1], les nouvelles technologies étant dans l’ère moderne la vitrine du niveau de développement économique et social d’un pays. Les nouvelles technologies de l’information sont amenées à devenir un des piliers de l’économie de l’île.

Ainsi, en quelques années l’île Maurice a pu, dans une certaine mesure, transcender la fracture numérique existante au départ et devenir dans la région et, notamment sur le continent africain, un leader dans le domaine des technologies de l’information et de la communication[2]. Maurice a exploité ses atouts, le bilinguisme, le droit mixte[3], le multiculturalisme et le bon fonctionnement de ses institutions et sa stabilité politique, pour permettre un développement avancé et rapide des technologies de l’information.

Toutefois, l’intégration informatique n’a pas encore atteint un niveau complètement satisfaisant. Le e-gouvernement[4] n’est certainement pas suffisamment opérationnel[5] encore, le commerce électronique et l’intégration des nouvelles technologies dans la productivité et la commercialisation[6] ont encore un chemin à parcourir pour que la cyberculture soit partie intégrante du mode de vie du citoyen. Par ailleurs, le coût de connexion à internet reste relativement élevé pour les particuliers.

Cependant, dans l’ère de l’infocom, l’autorité politique a voulu, par une inflation législative poser le cadre, assurer la sécurité des biens informationnels et protéger le citoyen contre le cybercrime. Une série de lois nouvelles[7] a été créée. Le Comité sur les technologies de l’information et de la communication (Information and Communication Technologies Board)[8], institué en 2001, est chargé de réguler et de conseiller l’autorité publique en matière des nouvelles technologies de l’information[9] et en particulier proposer toute mesure tendant à la démocratisation de l’accès au numérique[10]. Tout un arsenal juridique nouveau est venu combler les règles de droit commun qui s’appliquent à l’informatique et l’internet.

Dans le cadre étroit de la présente étude, il ne nous sera pas possible de traiter tout le droit mauricien de l’informatique, mais simplement trois aspects importants : le commerce électronique (I), la protection des données personnelles (II) et la lutte contre le cybercrime (III).

I. Le commerce électronique

Le commerce électronique va connaître une véritable explosion et les cyberacheteurs vont inévitablement s’accroître, non seulement sur le plan national mais également dans les échanges avec l’étranger. La maîtrise du commerce électronique repose dès lors sur la prévention de risques bien précis.

L’internet, comme dans tous les pays, a posé des problèmes particuliers qui appellent des réponses, sinon originales, du moins spécifiques. Le législateur mauricien a élaboré dès l’an deux mille une nouvelle loi qui précise et anticipe les conflits qui pourraient surgir en matière de la preuve en droit civil et commercial. Bien entendu, cette loi ne révolutionne pas le droit civil et commercial mauricien, qui à l’instar du droit français, exige pour certains contrats un support en papier sous la forme authentique[11] mais simplement apporte des précisions quant aux nouveaux modes de preuve[12] issus des nouvelles technologies[13] et les encadre.

Nous aborderons le contrat électronique (A) et les règles de sécurité posées par le législateur pour sa mise en œuvre (B).

A. Le contrat électronique

Le contrat écrit sur support papier a une vertu essentielle qui va de soi : celle de servir de preuve à l’existence des obligations réciproques des parties. Le problème de la preuve devient une question essentielle dans le contrat électronique car la preuve d’un échange présente des faiblesses, notamment l’usurpation de l’identité et la modification du contenu même du contrat.

La Loi sur le commerce électronique de 2000[14] pose d’emblée le principe de la recevabilité du contrat électronique comme élément de preuve. « Aucun contrat ne sera dépourvu d’effet juridique, de validité et du caractère exécutoire seulement en raison qu’un support électronique ait été utilisé pour sa formation »[15]. Il en va de même, précise la loi, de l’expression de la volonté (declaration of intent) des parties[16] si elle a été exprimée par la voie informatique.

Ce principe audacieux posé, le législateur a dû aborder le difficile problème de la signature afin de sécuriser les échanges.

Dans le contrat sur support papier, la manifestation de la volonté est traduite par l’apposition d’une signature. La signature et le contenu de l’acte se trouvent sur le même support. Rien de tel ne se produit dans le contrat électronique. La liaison « contenu du document » et « signature » est assurée logiciellement. Traditionnellement, la signature manuscrite permet d’identifier son auteur. La signature électronique reste abstraite et peut être mise en œuvre par n’importe qu’elle personne.

Comme pour le contenu du contrat, la Loi sur le commerce électronique accorde la même valeur probante à la signature électronique que celle qui est manuscrite[17]. La Loi toutefois, et par nécessité, pose des conditions pour que le support numérique soit admissible comme preuve au même titre que le support papier. Le procédé utilisé doit permettre d’identifier l’émetteur (originator) et le destinataire (addressee) d’un contrat au moyen d’un procédé fiable. Il faut également que le contrat ait été établi dans des conditions de nature à garantir son intégrité et qu’un procédé fiable permette de garantir le lien entre la signature électronique avec l’acte auquel elle s’attache. La loi privilégie l’accusé de réception du document électronique par les parties pour accroître la sécurité.

Il est par ailleurs nécessaire d’organiser une vérification technique de provenance, un système de certificat, qui ne peut valablement être assurée que par un tiers à la transaction concernée : c’est le tiers certificateur[18].

B. Les règles de sécurité

Le certificat électronique est une attestation électronique qui lie des données de vérification de signature à une personne identifiée et permet ainsi d’identifier la personne. Autrement dit, c’est la carte numérique du signataire. Un certain nombre d’exigences techniques sont posées par la Loi.

Les prestataires de service de certification (certification authorities) doivent eux-mêmes recevoir des agréments auprès de l’autorité publique[19]. Il est normal qu’il soit élaboré, distribué et contrôlé dans des conditions strictes[20]. Le certificat doit être attribué à une personne dont l’identité, voire les qualités professionnelles ont été vérifiées. Il doit pouvoir être révoqué très rapidement en cas de fraude notamment[21]. Le destinataire (addressee) du document doit pouvoir en vérifier la validité en temps réel. Ces conditions sont nécessaires pour que le certificat soit fiable (reliable) et accepté par l’autre partie lors de la conclusion d’un contrat.

La loi met en place un encadrement pour l’utilisation des clés asymétriques pour assurer la confidentialité et l’intégrité des documents. Ces procédés sont utilisés dans de nombreux pays et repose sur un système de cryptographie[22] au moyen d’un chiffrage.

Dans cette volonté de développer les échanges électroniques, il était tout aussi important pour le législateur d’élaborer un dispositif normatif de protection des données des internautes et des consommateurs en général.

II. La protection des données personnelles

La Loi mauricienne sur la protection des données (Data protection Act 2004) est relativement récente. C’est sans doute avec un peu de retard en la matière que le pouvoir public a légiféré pour combler une lacune alors qu’il a affiché une politique progressiste dans le développement des nouvelles technologies de l’information. La banalisation de l’informatique a amplifié les risques d’atteinte à la vie privée.

La crainte d’une atteinte à la vie privée ne réside pas tant dans l’accumulation des données, par le pouvoir public ou une personne privée, mais dans l’interconnexion des bases de données et dans le croisement de flux d’information de sources très diverses. Le mauricien, comme tout le monde, est fiché plusieurs fois.

La Loi mauricienne reprend ce qui existe déjà dans de nombreux pays en créant un Office de protection des données (Data Protection Office) (A) sous la direction d’un commissaire (Commissionner) pour exercer un contrôle des collectes, de la détention et de l’usage des données.

Le citoyen dispose d’un droit d’initiative pour la mise en place du contrôle et pour la protection de sa vie privée (B)

A. L’Office de protection des données

Les traitements automatisés d’informations nominatives relevant du champ d’application de la loi doivent faire l’objet d’une demande (registration) du responsable des fichiers (data controller) auprès de l’Office qui peut lui délivrer une autorisation (certificate). La demande d’autorisation doit comporter un certain nombre d’informations[23] sur les conditions du traitement ainsi que sur la protection des données personnelles et de la vie privée, la nature, l’origine, et la durée de conservation des informations nominatives traitées, les destinataires habilités à recevoir communication de ces informations, les rapprochements éventuels possibles, les interconnexions etc.

Par ailleurs, l’Office de protection est en charge d’une pluralité de missions à l’encontre des exploitants de fichiers de données. Il doit notamment surveiller la loyauté dans la collecte[24], l’obligation d’information préalable des personnes, le respect des droits d’accès, de communication, d’opposition et de rectification dont bénéficient les intéressés, la limitation de la durée de conservation des données[25], la protection et la mise à jour des données, l’indication de la finalité des traitements dans les déclarations etc. On peut toutefois regretter l’absence d’interdiction formelle de collecter des données sensibles (sensitive data)[26], telles l’appartenance religieuse ou ethnique. La Loi pose simplement le principe que la collecte doit être conforme à sa destination ou objectifs légitimes (lawful purposes), ce qui, bien entendu, exclut les collectes des données sensibles.

Pour exercer ces missions, le commissaire, qui doit être un avocat d’au moins de cinq années d’expérience[27], dispose de pouvoirs importants de contrôle et d’investigation comme les autorités répressives[28]. Il peut se rendre sur le lieu d’exploitation, avec le concours de tous les services de l’Etat, en particulier la police, s’il a obtenu au préalable une autorisation du juge. En cas d’infraction constatée, il peut en référer aux autorités de police.

B. Droits des personnes faisant l’objet de traitements informatisés (data subjects)

L’Office doit veiller à l’exercice des droits des personnes concernées par la collecte des données.

La Loi accorde un droit d’accès aux informations (access to personal data) et l’intéressé a le droit d’interroger les services chargés de mettre en œuvre les traitements automatisés en vue de savoir si les traitements portent sur des informations nominatives le concernant, et le cas échéant, d’en obtenir communication sur demande écrite[29].

La Loi reconnaît au titulaire du droit d’accès le droit de demander des rectifications au fichier. Cela comprend, outre la rectification, la mise à jour, et la possibilité de compléter un fichier[30]. Le droit du citoyen mauricien est en cela comparable à ce qui est accordé aux citoyens de grands pays.

Pour compléter le dispositif d’encadrement des nouvelles technologies de l’information, le législateur a également conférer plus d’efficacité au droit pénal dans la lutte contre les délits et crimes liés aux nouvelles technologies de l’information.

III. La lutte contre la cybercriminalité

Le développement de la cyberculture génère comme dans toutes les sphères de la vie sa criminalité. La criminalité peut être celle de droit commun, commise à l’aide de l’informatique ou internet[31], mais elle peut aussi être inhérente et propre aux technologies de l’information. C’est la malveillance informatique, la fraude informatique, qui ne tombe pas sous le coup de la loi pénale classique. Le législateur mauricien a répondu aux déficiences du droit pénal au regard de la répression de la délinquance informatique.

La Loi sur l’utilisation malveillante et le cybercrime de 2003 a créé de nouveaux délits (A) et fait une adaptation de la procédure pénale en raisons de la spécificité des nouveaux délits (B).

A. Les nouveaux délits

La délinquance informatique est en pleine mutation. La technologie évolue plus rapidement que le droit qui a tendance à accuser des retards. Face à cette difficulté, le législateur mauricien a créé des incriminations larges qui peuvent regrouper de nouvelles techniques de fraudes ou de destruction à venir. Le législateur a essayé d’anticiper les moyens malveillants du futur malgré ses limites de connaissance au moment où il légifère. La criminalité informatique est en transformation constante en raison même de l’évolution technologique à un rythme accéléré.

La Loi répertorie de grandes catégories d’infractions : les infractions contre la confidentialité, l’intégrité et la disponibilité des données (accès illégal (unauthorised access to computer data[32]), interception illégale), d’atteinte aux systèmes d’information[33] (damaging or denying access to computer[34]), la révélation d’un code secret, la fraude électronique[35] et le fait de mettre à disposition un programme informatique destiné à commettre des infractions[36] Les sanctions maximales prévues sont sévères et peuvent atteindre, dans certains cas, vingt années de prison et une forte amende.

B. Adaptation de la procédure pénale

La procédure pénale a été adaptée afin de permettre la répression des nouveaux délits. La police a bénéficié de nouveaux pouvoirs dans l’investigation et peut en particulier elle peut obtenir d’un juge en chambre[37] (Judge in chambers) toute ordonnance[38] utile à empêcher la disparition des programmes malveillants ou toutes données obtenues frauduleusement. La police a également été investie du pouvoir de perquisition sous le contrôle préalable d’un magistrat.

L’infraction informatique, comme l’internet, transcende les frontières. Consciente de cette réalité, le législateur a voulu renforcer la coopération internationale des autorités de police et judiciaires en rendant extradable l’auteur d’un cybercrime.

Conclusion

Au terme de cette étude, le juriste ne peut que saluer l’activisme du législateur ces dernières années en judiciarisant les nouvelles technologies de l’information. Un développement accru de la cyberculture ne pouvait avoir lieu qu’accompagné d’un cadre juridique répondant aux standards internationaux. Toutefois, le juriste attaché à la mixité du droit mauricien ne pourra que regretter l’absence d’inspiration du législateur des modèles d’encadrement mis en œuvre dans des pays francophones. Le droit sur les nouvelles technologies tel qu’élaboré à Maurice est une importation du droit des pays de Common Law, et bien entendu en particulier de l’ancienne métropole, la Grande-Bretagne. Or, ce droit est venu se greffer sur des disciplines relevant plutôt du droit français, notamment le droit civil. Le contrat est, à titre indicatif, géré pour une large par le Code civil mauricien, appelé encore code napoléon. Le contrat électronique tel qu’il a été formulé par le législateur mauricien n’est que la transposition des règles élaborées dans les pays de Common Law.


Dr Parvèz DOOKHY

[1] « Au cœur de la cyberîle », L’Express (quotidien de l’île Maurice), du 16 novembre 2006, Hors série.

[2] Maurice dispose d’un réseau moderne complètement digitalisé. La liaison avec l’international est assurée par des satellites et par la voie ultrarapide SAFE, câble optique sous-marin.

[3] Le droit mauricien est issu et est d’inspiration à la fois du droit français et de la Common Law. Sur le sujet voir Daniel FOKKAN, « La jurisprudence comme source de droit à Maurice : problème d’un pays de droit mixte », Revue de la Recherche juridique : droit prospectif, 1998, pp. 327 à 335.

[4] http://www.gov.mu/portal/goc/ncb/file/leaflet.pdf

[5] http://www.gov.mu/portal/site/Mainhomepage

[6] John REED : « Cyber-Island : Big effort to tout for technology business », Financial Times, 13 mars 2006.

[7] Loi sur les technologies de l’information et de la communication de 2001 (The Information and communication technologies Act 2001), Loi sur l’utilisation malveillante de l’ordinateur et le cybercrime de 2003 (The Computer misuse and cybercrime Act 2003) et Loi sur le commerce électronique de 2000 (The Electronic Transaction Act 2000), la Loi sur la protection des données (numériques) de 2004 (Data protection Act 2004).

[8] Il fonctionne selon le mode d’une autorité administrative indépendante.

[9] Il appartient au Comité de gérer les noms de domaines à l’île Maurice.

[10] Article 16 de la Loi de 2001 sur les technologies de l’information.

[11] En matière de vente d’immeuble, de testament etc.

[12] Le droit mauricien de la preuve en matière civile et commercial est complexe parce qu’il est une des branches du droit la plus mixée. La Common Law autant des les règles du droit civil issu du code civil napoléonien s’appliquent.

[13] Ian LLOYD, « On-line contracting – A Common Law perspective », pp. 183 à 209, in Jacques RAYNARD (sd) : « Les premières journées internationales du droit du commerce électronique », LITEC, 2000.

[14] Une loi similaire existe dans de nombreux pays du Commonwealth.

[15] L’article 10 de la Loi dispose que : « No contract shall be denied effect, validity or enforceability solely on the ground that an electronic record was used in its formationLa formulation, qui peut paraître ambiguë au regard du style français est conforme au style d’écriture juridique de la Common Law.

[16] Article 11 de la Loi.

[17] L’article 8 de la Loi affirme : « Where any enactment requires a signature, or provides for certain consequences if a document is not signed, an electronic signature shall satisfy that requirement ».

[18] Voir infra.

[19] http://www.icta.mu/it/auth.htm

[20] Article 37 de la Loi sur le commerce électronique.

[21] Article 28 de la Loi sur le commerce électronique.

[22] Sur le sujet voir Xavier LINANT DE BELLEFONDS, « Le droit du commerce électronique », PUF, 2005, v. p. 101 et s.

[23] Article 35 et suivants de la Loi précitée.

[24] Article 24-1 de la Loi sur la protection des données de 2004.

[25] Article 28 de la Loi précitée.

[26] Article 25 de la Loi précitée.

[27] Article 4-3 de la Loi précitée.

[28] Article 17 de la Loi précitée.

[29] Articles 41 et suivants de la Loi précitée.

[30] Article 44 de la Loi précitée.

[31] Les plus courants sont la pédophilie, l’escroquerie etc. Les dispositions classiques de la loi pénale permettent de sanctionner la plupart de ces infractions.

[32] Article 3 de la Loi sur l’utilisation malveillante de l’ordinateur et le cybercrime de 2003.

[33] C’est en particulier les « virus » qui sont visés en ce qu’ils perturbent le fonctionnement du système.

[34] Article 7 de la Loi précitée.

[35] Cette catégorie d’infraction est extrêmement large et peut comprendre notamment le phishing, technique visant à adresser un courrier électronique à un internaute l’invitant à e connecter à un site, copie parfaite d’un site connu de l’internaute (généralement sa banque) et à lui réclamer des informations confidentielles, en particulier les coordonnées bancaires. La fraude électronique, selon la Loi, est constituée de tout acte causant frauduleusement une perte chez la victime.

[36] Article 9 de la Loi précitée.

[37] Le Juge en Chambre statue en matière de référés.

[38] Article 11 de la Loi précitée.

Pour une Francophonie Juridique

Pour une francophonie juridique

Dr Parvez DOOKHY