Univers numérique et encadrement juridique. Où en est Haïti ?

Wislène Samaïr POPO

echoayiti.com

Pendant que beaucoup d’États à travers le monde cherchent à règlementer le cyberespace qui est en plein essor et tirer profit de ses avantages, Haïti est au point mort !

Univers numérique, cybermonde, espace numérique, cyberespace: sont différentes appellations utilisées pour désigner « un ensemble de données numérisées constituant un univers d’information et un milieu de communication, lié à l’interconnexion mondiale des ordinateurs », pour reprendre la définition du Petit Robert. Car, les spécialistes sont toujours en quête d’une définition universelle pour le cyberespace parce qu’on a encore du mal à saisir son caractère multidimensionnel. L’utilisation des objets connectés pour le partage des données et informations, depuis l’apparition de l’internet qui a remplacé son ancêtre Arpanet entraine de plus en plus de nouvelles problématiques sur cet espace virtuel, qui ne sont pas sans conséquences sur l’organisation sociale. Selon le rapport sur les risques globaux du Forum Économique Mondial de 2020 : « le risque numérique figure parmi les dix risques les plus préoccupants au niveau international ».

Au cours de l’année 2021, les cyberattaques, une des problématiques majeures liée au numérique, ont atteint un niveau record, soit 925 cas recensés par semaine et par organisation (région, pays et secteur d’activité) au niveau mondial, selon les données de l’exploit Log4J. Soit une hausse hebdomadaire de 50% par rapport à l’année 2020 confirmée par la société Check Point Reserch (CPR). D’après l’un des plus grands fournisseurs européens de services de sécurité :la société Orange Cyberdéfense, le 9 décembre dernier, les actes de cyberattaques perpétrés au cours de l’année 2021 à l’encontre des entreprises sont en hausse de 13%, par rapport à l’année précédente. Cela correspond à 42 incidents de sécurité recensés mensuellement en 2021 contre 37 pour l'année 2020.

Tandis que, pour la période allant de février à avril 2020, les institutions financières étaient les principales victimes d’incidents de sécurité et de tentatives d’extorsion des données personnelles, comme le soulignent respectivement l’agence de notation financière Moody’s et le bureau VMware Carbon Black.Dans son rapport Orange Cyberdéfense montre que les principales proies visées par les cybercriminels sont les petites et moyennes entreprises (PME),qui représentent 75% des victimes du ransomware ou rançongiciel en raison de leur vulnérabilité, notamment les petites structures qui ne sont pas toujours en mesure de payer la rançon exigée. Une problématique qui tend à les déstabiliser financièrement, et peut entraîner leur faillite, au cas où ces actes sont

continuels.

Au niveau mondial le numérique est en constante évolution, et des législateurs de partout essaient d’établir un corpus juridique pour réglementer son utilisation. Quoiqu’encore peu efficace, nombreuses sont les législations nationales qui s’inspirent des dispositifs transnationaux et internationaux, aux termes de l’art 8 de la Convention Européenne des Droits de l’Homme (CEDH) et de l’art 12 de la Déclaration Universelle des Droits de l’Homme (DUDH). Ces outils visent à garantir la protection des données personnelles et le droit à la vie privée, considéré comme un droit inhérent à la personne humaine. C’est dans cet optique, qu’une « loi sur la fouille du téléphone mobile du conjoint à son insu », passible de 3 mois d’emprisonnement ferme est en passe d’être effective à Dubaï. Cette nouvelle loi, loin d’être vue comme une disposition visant à fragiliser le rapport de confiance ou de fidélité dans un couple, doit être considérée comme avancée majeure dans la lutte pour le respect des données personnelles et de la vie privée de tout un chacun, au regard de la DUDH et de la CEDH. Car, loin de la seule dynamique de satisfaire une suspicion, le recours à des logiciels d’espionnages d’échanges téléphoniques peuvent faciliter à n’importe qui, de disposer des informations personnelles du détenteur d’un outil numérique : une forme d’intrusion considérable à la sphère privée.

Ces cas d’espèce qui s’ajoute à la longue liste existante sur la question de cybercriminalité et de protection des données personnelles (DP), démontrent la nécessité des impératifs d’une protection légale des données, partout où s’impose le numérique. Cela correspond à doter les organismes publics et privées d’outils légaux, en vue du traitement, de la conservation et de la sécurité des données personnelles dans le cadre de la lutte contre la cybercriminalité.

Des dispositifs légaux spécifiques au niveau interne doivent être renforcés par le cadre international, dont la Convention des Nations Unies contre la cybercriminalité transnationale organisée et la Convention de Budapest de 2004. Cette convention, outre qu’un arsenal juridique sur la cybercriminalité visant à sanctionner les infractions contre les systèmes informatiques et au moyen d’outils informatiques, s’est attribuée des missions accessoires. Au regard des dispositions de la convention, ces missions subsidiaires se veulent d’encourager les partenariats publics-privés; d’aider les signataires à l’efficacité de l’entraide internationale, de les assister dans le renforcement et l’harmonisation de leur législation sur la cybercriminalité.


Sur la Cyber sécurité des petites entreprises aux États-Unis : quelques statistiques

En effet, le rapport d’information n° 678 (2020-2021) : « La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cybers virus ? », les Sénateurs français Sébastien MEURANT et Rémi CARDON dressent un tableau sombre de l’état de la cybercriminalité dans le monde. Il convient ici, de mettre l’emphase sur les données qui détaillent les impacts de ce fléau sur les petites entreprises américaines.

43 % des cyberattaques ciblent les petites entreprises.
60 % des petites entreprises victimes d'une cyberattaque font faillite dans les six mois.
La cybercriminalité coûte aux petites et moyennes entreprises plus de 2,2 millions de dollars par an.
Il y a eu une augmentation de 424% des nouvelles cyber-violations des petites entreprises en 2019- 2020.
La santé est le secteur le plus exposé aux cyberattaques.
66 % des petites entreprises sont préoccupées ou extrêmement préoccupées par le risque de cyber sécurité.
14 % des petites entreprises jugent leur capacité à atténuer les cyber-risques et les attaques très efficace.
47 % des petites entreprises ne savent pas comment se protéger contre les cyberattaques.
66 % des petites entreprises sont les plus préoccupées par la compromission des données client.

3 petites entreprises sur 4 déclarent ne pas disposer du personnel nécessaire pour assurer la sécurité informatique.
22 % des petites entreprises chiffrent leurs bases de données.
Les erreurs humaines et les défaillances du système représentent 52% des failles de sécurité des données.
63 % des violations de données confirmées utilisent un mot de passe faible, par défaut ou volé.
Les cyberattaques causées par des mots de passe d'employés compromis coûtent en moyenne 383 365 $.
1 courriel sur 323 envoyés aux petites entreprises est malveillant.
La petite entreprise médiane a reçu 94 % de ses logiciels malveillants détectés par e-mail.
54 % des petites entreprises pensent qu'elles sont trop petites pour une cyberattaque.
25 % des petites entreprises ne savaient pas que les cyberattaques leur coûteraient de l'argent.
83 % des petites entreprises n'ont pas mis d'argent de côté pour faire face à une cyberattaque.
54 % des petites entreprises n'ont pas de plan en place pour réagir aux cyberattaques.
65 % des petites entreprises n'ont pas agi à la suite d'un incident de cyber sécurité.
50 % des petites et moyennes entreprises ont déclaré avoir subi au moins une cyberattaque au cours de la dernière année.
Les petites entreprises dépensent en moyenne 955 429 $ pour rétablir leurs activités normales à la suite d'attaques réussies.
Le simple fait de comprendre comment une cyberattaque s'est produite pourrait coûter 15 000 $.
40 % des petites entreprises ont connu au moins 8 heures d'indisponibilité en raison d'une cyber-violation.
Ce temps d'arrêt représente en moyenne 1,56 million de dollars de pertes.
Les cyberattaques devraient causer 6 milliards de dollars de dommages d'ici 2021.
Les experts du secteur affirment que le budget de cyber sécurité d'une petite entreprise devrait représenter au moins 3% des dépenses totales d'une entreprise.
91% des petites entreprises n'ont pas d'assurance responsabilité civile.
Cette plus grande cyberattaque à ce jour est arrivée à Yahoo! En août 2013, lorsque 3 milliards de comptes ont été piratés.

Source: 30 Surprising Small Business Cyber Security Statistics (2021),

Maddie Shepherd, Fundera, 16 décembre 2020.

En effet, aujourd’hui la présence récurrente des notions de cyber sécurité et cybercriminalité résulte de l'utilisation généralisée des outils numérisés par les entreprises, et les techniques modernes de communication qui se font via internet. Est-ce pourquoi la notion de cyber sécurité concerne autant le personnel d’une entreprise que l’entreprise elle-même. Selon l’équipe Orange Cyberdéfense, « 90% des compromissions sont imputables à une erreur humaine. Chaque salarié, à son échelle, est responsable de la sécurité cyber de son organisation. » Ce qui amène à déduire que le principal risque de sécurité et de conformité est d’abord le salarié. Donc, il est nécessaire pour tout organisme privé et public d’une part, de doter leur personnel de moyens suffisants pour protéger la structure contre les cyberattaques, d'autre part, de mettre en place des programmes de formation et de sensibilisation visant à développer ou renforcer la culture de la cyber sécurité à

l’interne.

En France, nombreux sont les cas de cybercriminalité recensés au quotidien. Ce 27 janvier 2022, le Ministère de la justice a été visé par une cyber-attaque initiée par le groupe « ransomware lockbit 2.0 ». Ces cybercriminels menacent de publier les données piratées à partir du 10 février prochain, alors que les premières infos n’arrivent toujours pas à établir l’ampleur et les conséquences de ce piratage.

Donc, il est clair que la cyber extorsion poursuit tranquillement son chemin et pas dans

n’importe quel pays, celui qui se réclame pionnier dans la petite histoire du numérique.

Plus près de nous, notre voisine, la République Dominicaine consciente des défis et des enjeux liés à cette problématique, fait partie de cette minorité des pays de l’Amérique latine et des Caraïbes à doter sa législation de prérogatives spécifiques sur la cybercriminalité, pour donner suite à la signature de la convention de Budapest. Ces prérogatives garanties par la loi No 53-07 sur les crimes et la criminalité High-Tech, entrée en vigueur le 23 avril 2007, lui permettent d’enquêter, de poursuivre et de sanctionner la cybercriminalité sur le cyberespace.

Le Brésil étant le deuxième pays le plus touché en matière d'atteinte à la vie privée et de cyber crime, selon un rapport publié en 2018 par la société de sécurité informatique MCAfee et la CSIS (Center For strategic and International studies), a également adopté dans sa réglementation la loi générale sur la protection des données personnelles (LGPD), qu’elles soient digitales ou non, applicable depuis le 16 août 2020. Une loi inspirée du modèle européen ; le règlement général sur la protection des données personnelles (RGPD) visant à garantir la protection des données personnelles applicables aux entreprises.

En dépit des progrès en matière de réglementation et de régulation du cyberespace, de grands pays sont encore impuissants face à la montée du taux de cybercriminalité.


Où en sommes-nous juridiquement en Haïti dans la protection des données des entreprises et des citoyens et la cyber sécurité de l'univers numériques?


1. Tenant compte de la vulnérabilité de la grande majorité des entreprises haïtiennes, quels dispositifs pour les prémunir des risques liés à la cybercriminalité, particulièrement les PME et les opérateurs de services essentiels à la société et à l’économie ?


2. Quels dispositifs pour prémunir les usagers, les entreprises privées et publiques contre les risques liés à la problématique de la protection des données à caractère personnel et des données sensibles ?


Toujours dans l’attente de son adoption, un projet de loi sur le cyber crime et la cyber sécurité présenté au public, en date du 5 mai 2015, par le Conseil National des Télécommunications (CONATEL) prouve que certains défis, risques et enjeux de la société de l’information liés aux systèmes de télécommunications sont identifiés par ces autorités. Néanmoins, l’omniprésence du numérique dans notre organisation sociale nécessite aujourd’hui, une approche généralisée des enjeux découlant de l’absence d’un cadre légal propre en la matière. Un vide juridique qui, dans un premier temps, fait des entreprises et des usagers du pays des cibles trop facilement accessibles par les cybercriminels et les acteurs du WEB ; dans un second temps, prive les différentes structures du pays des opportunités offertes par les avancées technologiques dans bien des domaines


À titre d’exemple, « le projet de la monnaie numérique : gourde digitale » de la Banque Centrale considérée comme une avancée majeure pour le secteur bancaire haïtien, se trouve confronter à l’absence d’un cadre légal. Car, l’émission d’une monnaie virtuelle implique pour une Banque centrale, de détenir les outils juridiques nécessaires pour respecter à un degré d’exigence accru certaines obligations de standard international, à l’instar du RGPD et de la directive européenne : sécurité des réseaux et de l’information (NIS). Cette directive prévoit des exigences en matière de cyber sécurité aux opérateurs de services d’importance vitale pour la société et l’économie, dont les services bancaires et financiers sur lesquels reposent l’économie moderne.

Mais aussi, ces outils juridiques doivent lui permettre de faire face à la surveillance et la survenance des risques : financiers, de conformité, entre autres, liés à la volatilité, l'identité civile numérique et les « implications pour la stabilité financière et la politique monétaire », comme le souligne un rapport de la Banque des règlements internationaux (BRI), publié le 12 mars 2018, sur l’émission des monnaies numérisées.

Car, s’il est évident que la révolution numérique a charrié bien d’avantages profitables aujourd’hui à toutes sphères de la vie quotidienne. Les problématiques découlant des enjeux et défis en cause sont multiples et complexes, dès lors notre vulnérabilité juridique à la cyber sécurité et la protection des DP commencent à être répertoriée à grande échelle par les cybercriminels. Un vide juridique significatif et décisif, quant à la survie éventuelle des entreprises nationales, notamment les PME, d’une part. D’autre part, quant à la possibilité des différentes entités de l’organisation sociale (bancaire, sécuritaire, judicaire, sanitaire, médicaux entre autres) de saisir les avantages offerts par le numérique qui pourrait contribuer à l’avancement de leur domaine d’activité.


Tout un ensemble de problématiques que doivent considérer les autorités étatiques et les décideurs politiques, pour s’enquérir de l’urgence d’une réglementation, dans les plus brefs délais et rattraper le temps perdu en posant les actions concrètes suivantes :


Adopter une loi sur la cybersécurité et la cybercriminalité (pour sanctionner les infractions contre les systèmes informatiques et au moyen de systèmes informatiques)
Procéder à la signature des traités internationaux : Convention des Nations Unies contre la cybercriminalité transnationale organisée / la Convention de Budapest
Mettre en place un dispositif de lutte physique et numérique contre la cybercriminalité (une plateforme numérique / un site web, un espace physique au niveau national et un bureau au sein de la Police Nationale contre la cybercriminalité. Ces dispositifs techniques vont faciliter une alerte rapide de tout comportement ou contenus jugés suspects, de recenser des victimes et leur offrir l’assistance nécessaire).

Adopter une loi sur la protection des données personnelles (afin de donner des moyens légaux aux organismes publics et privés concernés dans la lutte contre les cybercriminels et d’autres acteurs du WEB).

Procéder à la création d’une entité nationale : garante de la protection des données et des liberté (Il est impératif que la régulation concilie les enjeux du numérique liés aux DP, à la nécessité de rendre utile le cyberespace à la société tout en préservant les acquis démocratiques, dont le respect de la vie privée).

Mettre en place une coopération transnationale (afin de développer une culture de l’entraide dans la lutte contre les infractions du cyberespace, en commençant avec notre voisin qui a acquis de l’expérience sur la question).
Encourager des partenariats publics-privés au niveau national (pour l’échange des informations détenues à des fins de prévention et de remédiation).
Attribuer des moyens nécessaires et suffisants au domaine de la sécurité du numérique(considérer dans le budget national une part aux sciences numériques visant d’une part, à introduire dans l’enseignement haïtien, d’autre part, à encourager les entreprises à suivre des programmes de formation et de sensibilisation à la culture du numérique)

Un encadrement juridique et des moyens techniques qui pourront permettre au pays, de s’aligner rapidement aux exigences, risques, enjeux et éventualités de l’évolution constante du numérique pour en tirer profit. Car, comme le reconnaissent plusieurs experts, les enjeux qui découlent de l’utilisation du numérique peuvent déstabiliser tout un système vulnérable et entrainer des conséquences financières, économiques, politiques, sociales entre autres, trop importantes pour être prises à la légère dans un État qui cherche à se positionner en tant qu’État fort.

Wislène Samaïr POPO

Étudiante Master 2 Droit du numérique et de la propriété intellectuelle