Retour au site principal

    Types de cybercriminalité

    Module 7 : Cybercriminalité

    Violation de la confidentialité des données

    L’utilisation des données, y compris le volume des flux de données transfrontaliers, augmente chaque année, en particulier en ce qui concerne les données à caractère personnel. Cependant, il y a un manque de réglementation adéquate pour la collecte et le traitement des informations personnelles qui peut avoir des ramifications importantes, ce qui rend la réglementation sur la protection des données essentielle. Au moins quatorze pays africains disposent actuellement de lois sur la protection des données,(1) mais leur exhaustivité et leur efficacité varient considérablement. Certaines des lois les plus récentes ont été adoptées au Kenya et en République togolaise, qui ont été promulguées en novembre et octobre 2019 respectivement. Des pays tels que l’Afrique du Sud et le Maroc ont mis en place avec succès des autorités de protection des données (APD) pour faire appliquer les règlements de protection des données et enquêter sur les violations, bien que nombre de ces APD souffrent encore d’un manque de financement et de soutien politique, ce qui entraîne un manque d’application adéquate.

    L’essor des technologies de surveillance sophistiquées et l’utilisation de technologies biométriques sans garanties adéquates ne sont que quelques-unes des nombreuses menaces qui pèsent sur le droit à la vie privée en Afrique. Toutefois, certains jugements encourageants ont été rendus ces dernières années, ce qui montre la volonté des autorités judiciaires africaines de protéger le droit à la vie privée.

    Au Kenya, la Haute Cour de Nairobi a statué en 2020 dans l’affaire « Nubian Rights Forum and Others v The Hon. Attorney General and Others »(2) que le gouvernement ne pouvait pas mettre en œuvre un nouveau système complet d’identité numérique sans qu’une loi adéquate sur la protection des données soit en place. En matière de surveillance, la Haute Cour d’Afrique du Sud a estimé dans l’affaire « amaBhungane and Another v Minister of Justice and Correctional Services and Others »(3) en 2019 que la surveillance de masse et l’interception des communications par le Centre national des communications étaient illégales, et a déclaré inconstitutionnelles certaines sections de la loi sur la réglementation de l’interception des communications et la fourniture d’informations relatives aux communications (« Regulation of Interceptions of Communications and Provision of Communication Related Information Act » RICA).

    Cette évolution suit le développement rapide de la législation sur la protection des données dans le monde entier depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD) de l’Union européenne en 2018. Le RGPD a établi une nouvelle norme pour la protection des données personnelles en ligne, et a servi de modèle pour la législation de nombreux autres pays. La loi californienne sur la protection de la vie privée des consommateurs (CCPA) a également établi des règles générales concernant les droits des consommateurs de savoir quelles informations personnelles sont collectées auprès d’eux, de demander la suppression de leurs données et de refuser la collecte de données.(4) En raison de son application au secteur technologique de la Silicon Valley, la CCPA a également été félicitée pour avoir fait progresser l’état de la protection des données à l’échelle mondiale.(5)

    Criminalisation de la parole en ligne

    La législation sur la cybercriminalité vise généralement à traiter un large éventail de contenus illégaux ou préjudiciables publiés en ligne. Il peut s’agir de propagande terroriste, de contenu raciste, de discours de haine, de contenu sexuellement explicite comme la pornographie enfantine, de contenu blasphématoire, de contenu critique envers les États et leurs institutions et de contenu non autorisé par les détenteurs de droits de propriété intellectuelle.(6)

    C’est souvent le domaine dans lequel ces législations sont le plus en conflit avec le droit à la liberté d’expression et le droit à l’information. En 2011, le Rapporteur spécial des Nations unies sur la liberté d’expression a déclaré que les seuls types d’expression que les États peuvent interdire en vertu du droit international sont (a) la pornographie enfantine ; (b) l’incitation directe et publique à commettre un génocide ; (c) le discours de haine ; (d) la diffamation ; et (e) l’incitation à la discrimination, à l’hostilité ou à la violence.(7) Même la législation qui criminalise ces formes d’expression doit être précise, comporter des garanties adéquates et efficaces contre les abus ou les détournements, et prévoir un contrôle et une révision par un tribunal ou un organisme de réglementation indépendant et impartial. En 2018, le Rapporteur spécial a déclaré que « les lois restrictives rédigées en termes vagues sur l’extrémisme », le blasphème, la diffamation, les discours « offensants », les « fausses nouvelles » et la « propagande » servent souvent de prétexte pour exiger des entreprises qu’elles suppriment les discours légitimes ».(8)

    Au Zimbabwe, par exemple, le projet de loi sur la cybersécurité et la protection des données a été publié dans la Gazette du gouvernement du Zimbabwe peu après que de vastes manifestations publiques aient eu lieu au sujet de la hausse des prix du carburant et des matières premières dans le pays. Il vise à consolider les infractions liées à la cybercriminalité et à assurer la protection des données. Il cherche à « créer un environnement commercial axé sur la technologie et à encourager le développement technologique et l’utilisation licite de la technologie ».(9) Cependant, le projet de loi a été largement critiqué comme étant un outil permettant au gouvernement du Zimbabwe d’étouffer la liberté d’expression, l’accès à l’information, de promouvoir l’interférence des communications et des données privées, et d’utiliser les pouvoirs de perquisition et de saisie pour accéder aux informations des militants afin de réprimer les protestations.(10) MISA-Zimbabwe a critiqué le projet de loi pour :

    Criminaliser l’envoi de messages qui incitent à la violence ou aux dommages aux biens. Dans le passé, cette accusation a été utilisée pour poursuivre les organisateurs de manifestations pacifiques et d’autres formes de désobéissance publique. Il en va de même pour les articles 164A et 164B qui criminalisent respectivement l’envoi de messages de menace et la cyberintimidation et le harcèlement.(11)

    Pour en savoir plus sur la criminalisation de la parole en ligne, voir le module 3 des Modules avancés de Media Defence sur les droits numériques et la liberté d’expression en ligne (en anglais).

    Cyberharcèlement et harcèlement en ligne

    Le harcèlement en ligne est de plus en plus répandu avec la diffusion des médias sociaux, qui peuvent constituer un terrain particulièrement fertile pour le harcèlement en ligne. Le cyberharcèlement est un harcèlement et une intimidation injustifiés en ligne par le biais de messages textuels, d’appels téléphoniques ou de médias sociaux, et il restreint sévèrement la jouissance que les personnes ont de leurs droits en ligne, en particulier les groupes vulnérables et marginalisés, y compris les femmes et les membres de minorités sexuelles. Des recherches ont montré que le harcèlement en ligne est souvent axé sur des caractéristiques personnelles ou physiques, les opinions politiques, le sexe, l’apparence physique et la race étant parmi les plus courantes.(12)

    Une nouvelle tendance inquiétante : la diffusion non consensuelle d’images intimes

    Une forme particulière de harcèlement en ligne qui est apparue comme une nouvelle tendance inquiétante est celle des images privées et sexuellement explicites, principalement de femmes, qui sont partagées publiquement en ligne sans leur permission ou leur consentement, souvent par d’anciens partenaires en représailles d’une rupture ou d’une autre dispute, ou à des fins d’extorsion, de chantage ou d’humiliation. Cependant, peu de législations nationales en matière de cybercriminalité couvrent spécifiquement les infractions liées à la diffusion non consensuelle d’images intimes (DNCI), laissant souvent les victimes avec peu de recours contre les auteurs.(13)

  • Déposer une plainte auprès de la police. Même si votre pays n’a pas de disposition spécifique pour la diffusion non consensuelle d’images intimes, une infraction peut se trouver dans le droit pénal existant.
  • Déposer une plainte auprès de la plateforme sur laquelle le contenu a été publié. Il peut également être utile d’inclure une copie du rapport de police dans votre rapport à la plateforme.(14)
  • L’importance d’un nom :

    La diffusion non consensuelle d’images intimes est souvent appelée « porno de la vengeance ». Cependant, les militants et les chercheurs ont unanimement rejeté ce terme, le jugeant trompeur.(15) Tout d’abord, le mot « vengeance » implique que la victime a commis un préjudice qui mérite d’être vengé, et le mot « porno » associe cette pratique à la production consensuelle de contenus destinés à la consommation de masse, ce que n’est décidément pas la DNCI. Deuxièmement, l’expression « reconditionne un vieux mal comme un nouveau problème numérique », démentant la longue histoire qui existe des images de femmes distribuées de manière non consensuelle sur une série de supports. Enfin, le terme simplifie exagérément l’infraction en ignorant toute une série d’agresseurs et de motivations, et en invoquant une réaction moraliste contre la victime.

    De nombreux crimes de harcèlement commencent en ligne avant de se déplacer hors ligne,(16) et le cyberharcèlement peut être compliqué pour de nombreuses raisons :

    Le cyberharcèlement est] le harcèlement en ligne, les menaces, les messages intimidants et l’abonnement de la victime à des services en ligne non désirés. Dès le départ, cette interaction peut être considérée comme une irritation ou une gêne ou peut faire croire qu’un dommage peut être causé. Le cyber-harceleur peut toutefois établir un contact de manière non conflictuelle et courtiser ou préparer la victime à devenir une cyber-amie afin de gagner la confiance de la victime et de déterminer des détails personnels tels que l’adresse de la personne. À l’insu de la victime, le même « cyber-ami » pourrait la traquer en personne, voire lui donner des conseils sur la manière dont elle doit réagir face au harceleur. Bien que le cyberharcèlement qui a dégénéré en harcèlement en personne, c’est-à-dire en « harcèlement en temps réel », puisse entraîner la commission d’une infraction sexuelle, ce n’est pas la seule issue 

    En raison de cette complexité, ainsi que de l’évolution rapide de la technologie qui rend difficile le suivi de la réglementation, la Commission sud-africaine de réforme du droit a recommandé qu’une référence spécifique au cyberharcèlement ne soit pas explicitement incluse dans la loi :

    En réalité, aussi surréaliste que soit le “cyberharcèlement” ou l’utilisation de matériel technique ou informatique pour traquer une personne, il s’agit fondamentalement d’une extension du harcèlement physique. On a simplement affaire à un autre support.

    Le harcèlement et les attaques dont font l’objet les médias sont également devenus une tendance particulièrement inquiétante.

    Harcèlement des médias en ligne

    Lorsque des journalistes allèguent des menaces imminentes pour leur sécurité, les tribunaux sont habilités à accorder des mesures de redressement interdites dans des circonstances appropriées et sous réserve des exigences légales pertinentes.

    Par exemple, dans l’affaire South African National Editors Forum and Others v Black Land First and Others,(17) la Haute Cour d’Afrique du Sud a prononcé une interdiction générale en faveur des médias, aux termes de laquelle il était interdit aux défendeurs de « se livrer à l’un des actes suivants à l’encontre des demandeurs : intimidation, harcèlement, agressions, menaces, visite à leur domicile ou tout autre acte qui constituerait une atteinte à leur liberté personnelle », et de « faire des gestes menaçants ou intimidants sur les médias sociaux… qui font référence à toute violence, tout préjudice et toute menace. »

    Cyberintimidation

    Il convient également de noter le crime de cyberintimidation, qui consiste à envoyer des messages intimidants ou menaçants, souvent via les médias sociaux, et qui est omniprésent chez les enfants et les jeunes adultes. Selon le Fonds des Nations unies pour l’enfance (UNICEF) :

    [La cyberintimidation] peut avoir lieu sur les médias sociaux, les plateformes de messagerie, les plateformes de jeux et les téléphones portables. Il s’agit d’un comportement répété, visant à effrayer, à mettre en colère ou à faire honte à ceux qui sont visés. En voici quelques exemples :

    • répandre des mensonges ou publier des photos embarrassantes de quelqu’un sur les médias sociaux ;

    • envoyer des messages blessants ou des menaces via des plateformes de messagerie ;

    • se faire passer pour quelqu’un et envoyer des messages méchants aux autres en son nom.

    L’intimidation en face à face et la cyberintimidation peuvent souvent se produire l’une à côté de l’autre. Mais la cyberintimidation laisse une empreinte numérique, un dossier qui peut s’avérer utile et fournir des preuves pour aider à mettre fin aux abus.(18)

    L’ampleur du problème est importante et ne cesse de croître. Une étude de l’UNICEF et du Représentant spécial du Secrétaire général des Nations unies (RSSG) sur la violence contre les enfants a révélé qu’un jeune sur trois dans 30 pays a déclaré avoir été victime d’intimidation en ligne.(19)

    David contre Goliath : lutter contre la cyberintimidation sur les plateformes technologiques

    En Afrique du Sud, la famille d’un adolescent qui a reçu des menaces graphiques via Instagram depuis un compte anonyme, les a opposées à l’une des plus grandes entreprises technologiques du monde, Facebook, propriétaire d’Instagram.(20) La jeune fille, qui a des raisons de croire que les menaces proviennent d’une personne fréquentant son école, craint pour sa sécurité physique et a donc tenté de forcer Facebook à révéler l’identité de la personne derrière le compte anonyme qui envoie les menaces. Les multiples tentatives en ce sens ont été vaines, obligeant la famille à se tourner vers les tribunaux pour obtenir réparation. Ce cas est un exemple intéressant des défis que pose la responsabilisation des multinationales à l’ère numérique, et soulève des questions sur la portée de leur responsabilité en matière de protection des enfants qui utilisent leurs plateformes.

    Autres violations

    Étant donné que la Convention de Malabo n’a pas encore été testée dans la pratique, une lecture de la Convention de Budapest sur la cybercriminalité, le premier traité international qui vise à lutter contre les crimes sur Internet et les crimes informatiques, est instructive.(21) Elle est de plus en plus utilisée en Afrique et a servi de ligne directrice ou de source à plus de 80 % des États du monde entier pour élaborer des lois nationales sur la cybercriminalité.(22) Elle est également ouverte à tout État désireux d’appliquer ses dispositions et peut être ratifiée par les pays africains.(23)

    La Convention de Budapest définit les types de cybercriminalité suivants :

    • accès illégal à un système informatique ;
    • interception illégale ;
    • interférence dans les données ;
    • interférence du système ;
    • utilisation abusive des appareils ;
    • falsification informatique ;
    • fraude informatique ;
    • pornographie enfantine ;
    • infractions liées aux violations du droit d’auteur et des droits voisins.(24)

    Bien que ces définitions datent de 2001, une grande partie de ce qui constitue aujourd’hui la cybercriminalité est toujours couverte par ces catégories et dispositions.

    Notes de bas de page

    1. ALT Advisory, « Data Protection Africa » (accessible en anglais sur : https://dataprotection.africa/). Retour
    2. Haute Cour du Kenya à Nairobi, Demandes consolidées no 56, 58 et 59 de 2019, (2020) (accessible en anglais sur : http://kenyalaw.org/caselaw/cases/view/189189/). Retour
    3. Haute Cour d’Afrique du Sud à Pretoria, affaire no 25978/2017, (2019) (accessible en anglais sur : http://www.saflii.org/za/cases/ZAGPPHC/2019/384.html). Retour
    4. Forbes, « California Begins Enforcing Broad Data Privacy Law – Here’s What You Should Know » (2020) (accessible en anglais sur : https://www.forbes.com/sites/siladityaray/2020/07/01/california-begins-enforcing-broad-data-privacy-law—heres-what-you-should-know/?sh=1279e683de5c). Retour
    5. The Guardian, « California’s groundbreaking privacy law takes effect in January. What does it do? » (2019) (accessible en anglais sur : https://www.theguardian.com/us-news/2019/dec/30/california-consumer-privacy-act-what-does-it-do). Retour
    6. Article 19, « Freedom of Expression and ICTs » (2018) (accessible en anglais sur : https://www.article19.org/wp-content/uploads/2018/02/FoE-and-ICTs.pdf). Retour
    7. Rapporteur spécial des Nations unies sur le droit à la liberté d’opinion et d’expression, Frank La Rue, (2011) paragraphe 25 (accessible sur : https://digitallibrary.un.org/record/706331/files/A_HRC_17_27-FR.pdf). Retour
    8. Rapporteur spécial des Nations unies sur le droit à la liberté d’opinion et d’expression, (2018) paragraphe 13 (accessible sur : https://digitallibrary.un.org/record/1631686/files/A_HRC_38_35-FR.pdf). Retour
    9. ALT Advisory Africa, « Zimbabwe gazettes Cyber Security and Data Protection Bill » (2020) (accessible en anglais sur : https://altadvisory.africa/2020/05/20/zimbabwe-gazettes-cyber-security-and-data-protection-bill/). Retour
    10. Paradigm Initiative, « On Zimbabwe’s Approval of a Cybercrime and Cybersecurity Bill » (2019) (accessible enn anglais sur : https://paradigmhq.org/zimbabwe-cybercrime-bill/). Retour
    11. MISA-Zimbabwe, « Commentary on Cybersecurity and Data Protection Bill HB 18 of 2019 » (2019) (accessible en anglais sur : https://zimbabwe.misa.org/wp-content/uploads/sites/13/2020/06/Commentary-on-Zimbabwe-Cybersecurity-and-Data-Protection-Bill-2019.pdf). Retour
    12. Pew Research Center, « Online harassment 2017 », (2017), (accessible en anglais sur : https://www.pewresearch.org/internet/2017/07/11/online-harassment-2017/). Retour
    13. Par exemple, bien que les législations du Malawi et de l’Ouganda comportent des dispositions contre la pornographie et l’obscénité, aucune ne traite spécifiquement des situations de DNCI, ce qui laisse souvent les victimes avec peu de recours.  Pour en savoir plus, voir Chisala-Tempelhoff et Kirya, « Gender, law and revenge porn in Sub-Saharan Africa : a review of Malawi and Uganda » (2016) (accessible en anglais sur : https://www.nature.com/articles/palcomms201669).]/footnote]

      L’Afrique du Sud fait exception, ayant adopté en 2019 la Loi portant modification du Film and Publications Board qui, pour la première fois, a explicitement criminalisé la pratique de la diffusion non consensuelle d’images intimes, en précisant que :

      Toute personne qui distribue sciemment des photographies et des films sexuels privés sur tout support, y compris l’Internet, sans le consentement préalable de la ou des personnes et lorsque la ou les personnes figurant sur les photographies ou les films sont identifiées ou identifiables dans lesdites photographies et lesdits films, commet une infraction et encourt une condamnation.

      Mesures pratiques à prendre si vous êtes victime de la diffusion non consensuelle d’images intimes :

      • Faire un enregistrement (et des copies) du contenu mis en ligne, afin de garantir une documentation permanente du crime. Il faut indiquer la date de publication du contenu, le lieu de publication et le nom de la personne qui a publié le contenu. Les captures d’écran sont un moyen utile de le faire.
      • Chercher une assistance psychosociale et juridique. (Vous pourrez peut-être interdire la diffusion ultérieure d’images ou de vidéos).[footnote]Voir l’affaire numéro A3032-2016 devant la Haute Cour d’Afrique du Sud pour référence (2017) (accessible en anglais sur : http://www.saflii.org/za/cases/ZAGPJHC/2017/297.html). Retour
    14. News24, Oberholzer, « What to do if you’re a victim of revenge porn & image-based abuse, » (2020) (accessible en anglais sur : https://www.sowetanlive.co.za/s-mag/2020-06-29-what-to-do-if-youre-a-victim-of-revenge-porn-image-based-abuse/). Retour
    15. GenderIT, « “Revenge Porn” : 5 important reasons why we should not call it by that name » (2019) (accessible en anglais sur : https://www.genderit.org/articles/5-important-reasons-why-we-should-not-call-it-revenge-porn). Retour
    16. Commission sud-africaine de réforme du droit, « Report on Stalking, » (2006) (accessible en anglais sur : https://www.justice.gov.za/salrc/reports/r_pr130_stalking.pdf). Retour
    17. Haute Cour d’Afrique du Sud à Johannesburg, affaire n° 23897/17, (2017) (accessible en anglais sur : http://www.saflii.org/za/cases/ZAGPJHC/2017/179.html). Retour
    18. UNICEF, « L’intimidation en ligne : qu’est-ce que c’est et comment y mettre fin ?» (accessible sur : https://www.unicef.org/fr/mettre-fin-violence/mettre-fin-intimidation-en-ligne). Retour
    19. UNICEF, « ondage de l’UNICEF : Plus d’un tiers des jeunes de 30 pays victimes de harcèlement en ligne » (2019) (accessible sur : https://www.unicef.org/fr/communiqu%C3%A9s-de-presse/un-tiers-des-jeunes-de-30-pays-victimes-harcelement-en-ligne). Retour
    20. Daily Maverick, « Anonymously threatened with gang rape and murder, SA teenager takes Facebook Inc to court to disclose perpetrator » (2020) (accessible en anglais sur : https://www.dailymaverick.co.za/article/2020-07-24-anonymously-threatened-with-gang-rape-and-murder-sa-teenager-takes-facebook-inc-to-court-to-disclose-perpetrator/). Retour
    21. Conseil de l’Europe, « L’état de la législation sur la cybercriminalité en Afrique – un aperçu » en page 2 (2015) (accessible sur : https://rm.coe.int/cyber-ue-coe-webinaire-afrique-fr-9juillet-2020-alexander/16809ef5349). Retour
    22. Conseil de l’Europe, « The global state of cybercrime legislation 2013 – 2020: A cursory overview, » en page 5 (2020) (accessible en anglais sur : https://rm.coe.int/3148-1-3-4-cyberleg-global-state-feb2020-v1-public/16809cf9a9). Retour
    23. Conseil de l’Europe, « État des signatures et ratifications du Traité 185 » (2020) (accessible à l’adresse suivante : https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/185/signatures). Retour
    24. Conseil de l’Europe, « L’état de la législation sur la cybercriminalité en Afrique – un aperçu » en page 2 (2015) (accessible sur : https://rm.coe.int/cyber-ue-coe-webinaire-afrique-fr-9juillet-2020-alexander/16809ef5349). Retour