FORUM REGIONAL ECONOMIQUE ET FINANCIER DES TELECOMMUNICATIONS/TIC DU BDT/UIT Abidjan - Côte d Ivoire, 18 au 19 Janvier 2016
CYBERCRIMINALITE ET PROTECTION DES DONNEES A CARACTERE PERSONNEL:REPONSE D UN PAYS AFRICAIN CAS DE LA COTE D IVOIRE Présentation: Silvère ASSOUA CAUFFI Chef de Département des Affaires Juridiques ARTCI Abidjan, le 19 Janvier 2016
SOMMAIRE Introduction I. Cadre Juridique de la protection des données à caractère personnel et de la lutte contre la Cybercriminalité II. Cadre Institutionnel de la protection des données à caractère personnel et de la lutte contre la cybercriminalité 3 Conclusion
INTRODUCTION L essor des sciences et technologies de l information et l internet des objets voire Smartphones constituent de formidables opportunités tout en rendant nos sociétés de plus en plus vulnérables aux risques inhérents au cyberespace Les cyber-attaques contre les institutions gouvernementales, les infrastructures stratégiques, les entreprises et les individus se sont considérablement développées et sophistiquées au cours des dernières années 4 Les attaques classiques et basiques ont laissé la place à des cyberattaques sophistiqués, discrètes et motivés par des objectifs financiers
INTRODUCTION 5 Aussi le patrimoine informationnel est-il la cible des cyber menaces et des cyber-attaques: fichiers clients, réponses à des appels d'offre, données personnelles des salariés, des dirigeants, des actionnaires, informations financières, informations industrielles, secret des affaires, secret des correspondances, etc La cyber sécurité est désormais un enjeu de respect de la vie privée, de compétitivité et de souveraineté nationale. Savoir anticiper, créer la confiance, protéger les données à caractère personnel est aujourd hui essentiel
6 CADRE JURIDIQUE DE LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL ET DE LA LUTTE CONTRE LA CYBERCRIMINALITÉ
Cadre Juridique de la protection des données à caractère personnel et de la lutte contre la Cybercriminalité Aperçu Général du dispositif Loi n 2013-450 du 19 Juin 2013, relative à la Protection des Données à Caractère personnel Loi n 2013-546 du 30 Juillet 2013, relative aux Transactions Electroniques. Loi n 2013-451 du 19 Juin 2013, relative à la lutte contre la Cybercriminalité Décret d application 2015 en matière de PDCP et Arrêté 2014 sur le profil du correspondant Décrets d application mars 2014 en matière de transactions Electroniques 7
Cadre Juridique de la protection des données à caractère personnel et de la lutte contre la Cybercriminalité La loi sur la protection des DCP-Loi n 2013-450 du 19 juin 2013 fixe le régime juridique applicable à tout traitement de données à caractère personnel, notamment la déclaration et l autorisation (Art 5 à 13); précise les principes fondamentaux du traitement des données (les principes de légitimité, de finalité, de sécurité et confidentialité, de proportionnalité et de transparence ) reconnaît plusieurs droits à la personne dont les données sont traitées (le droit à l information, le droit d accès, le droit d opposition, le droit de rectification ou de suppression) 8 prévoit des sanctions pénales à l encontre du Responsable du traitement qui violerait ces dispositions (Art 14 à 25)
Cadre Juridique de la protection des données à caractère personnel et de la lutte contre la Cybercriminalité La loi sur la cybercriminalité-loi n 2013-451 du 19 juin 2013 Les atteintes aux systèmes informatiques Les atteintes aux systèmes de cryptologie Les atteintes aux systèmes automatisés des données (STAD) 9
Cadre Juridique de la protection des données à caractère personnel et de la lutte contre la Cybercriminalité La loi sur la cybercriminalité-loi n 2013-451 du 19 juin 2013 10 Atteintes aux SI Les atteintes à la confidentialité (l accès frauduleux et le maintien frauduleux dans un système informatique) les atteintes à l intégrité (altération des systèmes, qui consiste dans l action ou la tentative, soit de fausser le fonctionnement du système, soit d en entraver le fonctionnement). les atteintes à la disponibilité des systèmes informatiques (d introduire ou de tenter d introduire des données dans un système informatique de manière frauduleuse
Cadre Juridique de la protection des données à caractère personnel et de la lutte contre la Cybercriminalité La loi sur la cybercriminalité - Loi n 2013-451 du 19 juin 2013 Intercepti on Fraudule use Faux Informati que Usage de faux informati que Fraude Informati que Traiteme nt déloyal et 11 Illicite des DCP secret des données, secret des communications électroniques modifier ou produire frauduleusement des données informatisées en vue de créer des données contrefaites, dans l intention qu elles soient prises en compte ou utilisées à des fins légales comme si elles étaient originales l utilisation intentionnelle de données issues d un faux informatique l obtention frauduleuse, pour soi-même ou pour autrui, d un avantage quelconque, par l introduction, l altération, l effacement ou la suppression de données informatisées ou par toute forme d atteinte au fonctionnement d un système informatique Tout traitement des DCP en violation des principes de légitimité et du consentement
Cadre Juridique de la protection des données à caractère personnel et de la lutte contre la Cybercriminalité La loi sur la cybercriminalité - Loi n 2013-451 du 19 juin 2013 l usage, la production, la vente, l importation, la détention, la diffusion, l offre, la cession ou la mise à disposition: soit d équipements, programmes informatiques, dispositifs ou données conçus ou spécialement adaptés à cet effet soit de mots de passe, codes d accès ou données informatisées similaires obtenus frauduleusement 12 Il s agit aussi de: permettre l accès non autorisé à un système informatique en divulguant indûment une convention de chiffrement refuser de remettre aux autorités habilitées ou refuser de mettre en œuvre sur leur demande, des conventions de chiffrement susceptibles d avoir été utilisées pour préparer, faciliter ou commettre une infraction
Cadre Juridique de la protection des données à caractère personnel et de la lutte contre la Cybercriminalité La loi sur la protection des DCP- Loi n 2013-450 du 19 juin 2013 Prévoit la responsabilité civile et pénale des prestataires techniques des services en ligne (FAI), et des exploitants de cybercafé (Art 42 et suivants - obligation FAI de mettre sur son site un dispositif permettant de signaler un contenu illicite sous peine d emprisonnement de 1 à 5 ans et amende de 1à 5 millions). 13
Cadre Juridique de la protection des données à caractère personnel et de la lutte contre la Cybercriminalité La loi relative aux Transactions électroniques Met à la charge du commerçant une obligation d information de sa clientèle sur son identification Prescrit des règles sur la publicité par voie électronique (précisions, identification de la publicité et de la personne pour le compte de qui elle est faite) Exige un consentement préalable avant toute prospection directe par envoi de message au moyen d un automate d appel ou d un SMS 14 Le non-respect de ces obligations est sanctionné par une peine d emprisonnement de 1 à 5 ans et d une amende de 1 à 10 millions FCFA. Reconnait la valeur juridique de la Signature Electronique et du Message électronique dès lors qu ils assurent avec certitude l Identification des Signataires et l Authentification du message. Consacre la confidentialité des échanges par le chiffrement des messages
Cadre Juridique de la protection des données à caractère personnel et de la lutte contre la Cybercriminalité Décret sur l identification des abonnés et utilisateurs de services de Télécommunications/TIC 15
II. CADRE INSTITUTIONNEL L ARTCI initialement chargée de la Régulation des Télécoms/TIC, s est vu confier des Missions nouvelles par le Législateur. A ce titre, elle est: * AUTORITÉ DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL (Art 46 Loi protection des données à caractère personnel). * AUTORITÉ CHARGÉE DE VEILLER À LA SÉCURITÉ DES RÉSEAUX ET SYSTÈMES D INFORMATION (Art 50 loi transaction électronique). * AUTORITÉ COMPÉTENTE DANS LE CADRE DE LA PROCEDURE PENALE EN MATIERE DE CYBERCRIME (Art 71 loi sur la cybercriminalité) 16 Par ailleurs, l ARTCI par le biais de son CERT collabore avec les organismes chargés de la répression de la cybercriminalité (DITT/PLCC).
A. L AUTORITE DE PROTECTION DES DONNEES Veille à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et de ses décrets d application. S assure que l usage des TIC ne porte pas atteinte ou ne comporte pas de menace pour les libertés et la vie privée pour les utilisateurs. 17 Le rôle de conseil et d information L ARTCI conseille et renseigne les personnes et les organismes qui envisagent de mettre en œuvre des fichiers, que ce soit par téléphone, par courrier ou par ses publications.
A. L AUTORITE DE PROTECTION DES DONNEES Le contrôle de la conformité des fichiers à la loi : 18 L ARTCI vérifie, lors de l instruction des déclarations de fichiers qui lui sont adressées, que les caractéristiques des traitements concernés sont bien conformes à la loi et autorise la mise en œuvre des traitements qui, aux termes de la loi, nécessitent une attention particulière du fait de leur contenu ou de leur finalité; Elle peut simplifier les formalités déclaratives, voire exonérer de déclaration certains fichiers; L ARTCI reçoit les plaintes concernant le non-respect de la loi.
A. L AUTORITE DE PROTECTION DES DONNEES L ARTCI dispose d un pouvoir de contrôle qui permet à ses agents d accéder à tous les locaux professionnels. Sur place, ses agents peuvent demander communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données. 19
A. L AUTORITE DE PROTECTION DES DONNEES 20 Le pouvoir de Sanction Au titre de son pouvoir de sanction, L ARTCI peut notamment : adresser des avertissements et des mises en demeure de faire cesser un manquement à la loi ; prononcer une injonction de cesser le traitement ou un retrait de l autorisation et, en cas d urgence, décider l interruption du traitement ou le verrouillage des données; prononcer des sanctions pécuniaires pouvant aller jusqu à 500 millions de FCFA en cas de récidive; dénoncer au parquet les infractions à la loi dont elle a connaissance
A. L AUTORITE DE PROTECTION DES DONNEES 21 OUTILS NORMATIFS: Décret n 2015-79 du 04 février 2015 fixant les modalités de dépôt des déclarations, de présentation des demandes, d octroi et de retrait des autorisations pour le traitement des données à caractère personnel; Arrêté n 511/MPTIC/CAB du 11 novembre 2014 portant définition du profil et fixant les conditions d emploi du correspondant à la protection des données à caractère personnel; la Décision n 2014-0020 du Conseil de Régulation de l'autorité de Régulation des Télécommunications/TIC de Côte d'ivoire en date du 03 septembre 2014 portant adoption des règles de conduite relatives au traitement et à la protection des données à caractère personnel;
A. L AUTORITE DE PROTECTION DES DONNEES 22 la Décision n 2014-0021 du Conseil de Régulation de l'autorité de Régulation des Télécommunications/TIC de Côte d'ivoire en date du 03 septembre 2014 portant conditions et critères applicables à la limitation du traitement des données à caractère personnel ; la Décision n 2014-0022 du Conseil de Régulation de l'autorité de Régulation des Télécommunications/TIC de Côte d'ivoire en date du 03 septembre 2014 portant conditions de la suppression des liens vers les données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication électronique accessibles au public.
A. L AUTORITE DE PROTECTION DES DONNEES OUTILS PRATIQUES: Template; Formulaire de déclaration; Formulaire de déclaration simplifiée; Formulaire de demande d autorisation pour le traitement de données à caractère personnel; Formulaire de demande d avis préalable à la mise en œuvre de traitement de données à caractère personnel; 23
A. L AUTORITE DE PROTECTION DES DONNEES Formulaire d autorisation de transfert de données à caractère personnel hors espace CEDEAO; Fiche pratique Données sensibles, Fiche pratique Biométrie Fiche pratique formalités préalable, Fiche pratique vidéosurveillance Fiche pratique géolocalisation, Fiche pratique responsable de traitement Fiche pratique droits des personnes concernées, Fiche pratique correspondant à la protection 24
A. L AUTORITE DE PROTECTION DES DONNEES Sensibilisation : Par voie de courriers Une centaine de courriers ont été envoyés à des structures publiques et à des structures privées Par voie de presse Des appels à déclarations ont été lancés dans la plupart des journaux de la place (Fratmat, patriote, soir info, l inter, le nouveau réveil) 25 Par voie physique Environ 200 structures privées et publiques ont été reçues par l Autorité de Protection pour des questions de mises en conformité à la loi relative à la protection des données à caractère personnel
A. L AUTORITE DE PROTECTION DES DONNEES Coopération Internationale Membre de l AFAPDP Membre de la conférence Internationale des Autorité de Protection des Données à Caractère Personnel Membre fondateur du réseau africain à la protection des données à caractère personnel Projet d accord de coopération avec la Tunisie, le Maroc, le Sénégal et le Bénin 26
A. L AUTORITE DE PROTECTION DES DONNEES 27 Perspectives Séminaire de sensibilisation à l endroit du secteur privé, du secteur public et du grand public Dialogue Structuré, global et permanent entre toutes les parties prenantes (Forces De Sécurité, Gouvernement, Société Civile) ; Dialogue renforcé avec les entreprises; Education au numérique avec création de clubs DCP dans les universités de la Cote d Ivoire et organisations de jeux concours télé pour les lycées et collèges Contrôle de 10 administrations publiques et 10 entreprises Mise en place d un cadre d échange avec les correspondants à la protection
B. L AUTORITE DE CERTIFICATION elle procède à l audit et à la certification des systèmes d information des personnes morales établies en côte d ivoire et exerçant des activités de transactions électroniques; elle délivre les agréments au prestataire de services de certification électronique et de prestataires de services cryptologie. 28
CONCLUSION Il y a lieu de noter que la protection des données à caractère personnel devient aujourd hui un enjeu important de la lutte contre la cybercriminalité; Il est plus que primordial que des actions concertées au niveau africain soient mises en œuvre pour lutter efficacement contre ce phénomène; C est pourquoi, il convient de faire notre les citations de Joseph CANNATACI, Directeur de recherche en droit européen aux Pays Bas- Rapporteur Spécial des Nations Unies Chargé de la Vie privée- Conférence Octopus 6 au 8 Juin 2012 Strasbourg, 29 «Les données personnelles constituent la matière première de la cybercriminalité», «On ne peut pas lutter contre la cybercriminalité sans se préoccuper de la protection des données personnelles».
Je vous remercie de votre aimable attention Monsieur Silvère ASSOUA CAUFFI (00225) 20 34 80 54 assoua.silvere@artci.ci 30