Congo, Republic of

La société civile et la cybersurveillance en République du Congo

Introduction

Les technologies de l'information et des communications (TIC) occupent maintenant une place importante dans notre vie quotidienne. Elles sont la source de nombreux avantages, y compris des échanges et des communications faciles et rapides, le stockage des données et la numérisation des procédures administratives. Mais les technologies doivent être respectueuses de la vie privée des utilisateurs. Cette obligation s’applique à tous, à quelques exceptions près, tant aux institutions qu’aux particuliers.

Pourtant, selon les révélations d’Edward Snowden sur les travaux de l'Agence de sécurité nationale américaine (NSA), il est maintenant établi que nous ne sommes pas protégés des yeux inquisiteurs. Tout ce que nous faisons est surveillé et suivi par d'autres pour une raison ou une autre. C’est ce qu’on appelle la cybersurveillance : c’est-à-dire, le contrôle technique des communications électroniques. Certains le font pour espionner les autres afin de se préparer à toute éventualité; d'autres dans le but de faire du mal. Peu importe la raison, la cybersurveillance, sauf dans les cas où elle est autorisée par la loi, est préjudiciable pour les utilisateurs dans la mesure où elle représente une violation des droits humains fondamentaux, y compris le droit au respect de la vie privée.

En tant que phénomène mondial, la cybersurveillance est ignorée par certains, tandis que la menace est minimisée par d'autres et même inexistante dans certains pays. Dans ce contexte, quelle est la situation en République du Congo? Que pense la société civile de la cybersurveillance? Plusieurs organisations de la société civile congolaises utilisent les TIC dans leur travail quotidien. Se sentent-elles surveillées sur le web? Qu'en est-il de la législation congolaise?

Ce sont les questions auxquelles ce rapport va tenter de répondre. Pour ce faire, il est important de donner un aperçu du cadre juridique du Congo concernant les TIC, avant de voir dans quelle mesure la société civile est au courant de la cybersurveillance dans le pays. Ce travail a été réalisé au moyen d’entretiens avec des organisations de la société civile

Aperçu du cadre juridique s’appliquant aux TIC

Le cadre juridique s’appliquant aux TIC au Congo comprend actuellement les documents suivants:

• La Constitution congolaise du 20 janvier 2002, qui stipule dans son article 19 que « chacun a le droit d'exprimer et de diffuser librement ses opinions par la parole, l'écriture, l'image ou tout autre moyen de communication ...»  L’article 20 prévoit que « le secret de la correspondance, des télécommunications ou de toute autre forme de communication ne peut être violé, sauf dans les cas prévus par la loi ».
• La loi n ° 8-2001 du 12 novembre 2001 sur la liberté de l'information et de la communication. Cette loi garantit la liberté d'accéder à l’information et de communiquer, y compris sur l’internet.
• La loi n ° 9-2009 du 25 novembre 2009 sur la réglementation du secteur des communications électroniques. Cette loi décrit les conditions nécessaires à l'installation et à l'exploitation des réseaux et des services de communications électroniques. L’article 6 indique que « les activités de communications électroniques s’exercent librement dans le respect des conditions de la législation et de la réglementation en vigueur ». Cette loi, qui traite également de la protection de la vie privée des utilisateurs, interdit la cybersurveillance. L’article 125 stipule que : « Il est interdit à toute autre personne que les utilisateurs d'écouter, d’enregistrer ou de stocker les communications et les données relatives au trafic et afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance sans le consentement des utilisateurs concernés, sauf lorsque cette personne y est légalement autorisée » .
• La loi n ° 11-2009 du 25 novembre 2009 établissant l'agence de régulation des postes et communications électroniques. L’article 5 stipule que l'agence promeut et protège les intérêts des utilisateurs dans le domaine des postes et des communications électroniques.

D'autres lois sont en cours d'élaboration, y compris une loi sur la protection des données personnelles, une loi sur la cybersécurité, une loi sur la lutte contre la cybercriminalité, une loi-cadre sur la société de l'information congolaise et l'économie numérique et un plan de développement national de la large bande au Congo.

Utilisation des TIC par la société civile

Les organisations de la société civile congolaises travaillent dans plusieurs domaines, notamment pour la défense et la promotion des droits humains en général, la préservation de l'environnement, la lutte contre la pauvreté, la lutte contre la corruption, la lutte contre le VIH/ sida et la promotion des TIC.

Ces organisations, telles que l'Observatoire congolais des droits de l'homme (OCDH), ont travaillé et travaillent encore sur des questions sensibles concernant les droits humains et utilisent les TIC dans le cadre de leur travail. Certaines organisations ont des ordinateurs sur lesquels elles stockent des données sensibles qui font suite à une analyse ou une enquête sur les violations des droits humains. Ces données peuvent comprendre des adresses courriel et des numéros de téléphone. Le téléphone est le moyen le plus fréquemment utilisé pour communiquer avec un organisme de la société civile au Congo. Très peu d'organisations ont un site web, un blog ou un compte Facebook.

Analyse de la cybersurveillance au Congo

Les entretiens menés avec des organisations de la société civile œuvrant pour les droits humains et les TIC dans le cadre de ce rapport montrent que bon nombre d’entre elles ignorent ce qu’est la cybersurveillance. Ils ont également révélé l’absence de politique officielle sur la cybersurveillance et l’absence d’un organisme indépendant chargé de protéger les données personnelles.

Compréhension de la cybersurveillance au sein de la société civile

Il semble en effet qu'un certain nombre d'organisations de la société civile au Congo n’aient pas une compréhension claire de la cybersurveillance, ce qui s’explique en grande partie par le fait que la plupart d’entre elles n’ont pas une grande connaissance ni une grande expérience dans l'utilisation des ordinateurs et de l'internet. Étant donné qu'elles sont rarement confrontées à des circonstances qui pourraient les sensibiliser à la cybersurveillance, plusieurs organisations ne soupçonnent pas la possibilité d’une surveillance, d’une interception ou d’un contrôle quelconque sur internet.

Loamba Moke, président de l'Association pour les droits de l’homme dans l’univers carcéral (ADHUC) a indiqué que : « Le concept de la cybersurveillance ne nous est pas familier. Il est difficile de savoir si nos courriers électroniques sont interceptés ou stockés et nous ne savons pas comment sécuriser nos données sur internet ». Autrement dit, les organisations n’ont pas l'expertise nécessaire leur permettant de sécuriser leurs communications et sont également incapables de détecter l'interception ou la surveillance de leurs communications électroniques. Wilfrid Ngoyi Nzamba, secrétaire exécutif de l'Association congolaise des consommateurs de produits et services de TIC, tient un discours similaire et fait valoir qu'il n’existe aucune preuve de l'existence d’une cybersurveillance. Selon lui, « il n'y a pas de cybersurveillance au Congo » - mais il l’explique notamment par le peu de gens qualifiés pour assurer cette surveillance dans un pays où il existe encore de nombreux « d’analphabètes informatiques » au sein de la population.

Toutefois, d'autres organisations sont plus conscientes des questions de sécurité numérique. C’est le cas de l'Organisation pour le développement des droits de l'homme au Congo (ODDHC), qui a organisé une formation sur la sécurité numérique pour les défenseurs des droits humains avec le soutien du Programme concerté pluri-acteurs (PCPA) en mars 2013. Selon Sylvie Mfoutou Banga, présidente de l’ODDHC, « le risque de piratage des informations des défenseurs des droits humains nous a amenés à développer cette formation sur les droits humains et la sécurité numérique ». Plusieurs sujets ont été abordés lors de l'atelier, notamment comment créer des mots de passe sûrs, comment télécharger et installer une protection antivirus gratuite sur internet et comment travailler sur internet sans laisser de traces numériques. En ce qui concerne les téléphones, Sylvie Mfoutou ne sait pas si son téléphone est sur écoute.

Une autre organisation, le Groupe des journalistes pour la paix (GJP), a reçu une formation sur les logiciels de sécurisation des communications FrontlineSMS et FrontlineCloud. Ces outils « permettent aux membres d'une ONG de communiquer en toute sécurité », a déclaré Natalie Christine Foundou, la présidente de GJP. En 2013, AZUR Développement, en collaboration avec l'Association pour le progrès des communications (APC), a organisé une formation sur la protection de la vie privée dans la gestion des données en ligne concernant les femmes et les filles victimes de violence .

Absence d’une politique nationale commune sur la protection des données

Dans le cadre institutionnel actuel, il n’existe aucune politique commune sur la gestion, la protection et la confidentialité des données. Chaque institution ou organisme, privé et public, est tenu de gérer ses données de manière à ce qu'aucun vol de données ne puisse se produire. Mais la raison pour laquelle il n'existe pas de politique commune sur la protection des données est simple : les services de courrier électronique et les sites web ne sont pas hébergés au Congo, mais à l'étranger, notamment en France et aux États-Unis. Ce n’est que depuis trois ans que l’on a pris des mesures pour créer l'Association congolaise de nommage Internet en Coopération (ACNIC). Cette nouvelle organisation va maintenant gérer le code du domaine ''.cg''. « Si la société civile congolaise ou toute autre personne faisaient l’objet d’un contrôle ou d’une cybersurveillance, ce ne serait pas de la part des autorités nationales, mais d’institutions étrangères, et elles seraient surveillées non pas en tant que société civile congolaise nécessairement, mais comme utilisateurs de Yahoo ou de Google », a déclaré Davy Silou, un ingénieur en informatique et consultant indépendant. Il a également mentionné que certains ordinateurs utilisés par la société civile ne sont pas sécurisés et n’utilisent pas les licences d'origine.

De plus, la formation en TIC doit rester une priorité pour le ministère des Postes et des Télécommunications, responsable des nouvelles technologies, et le ministère de l'Enseignement supérieur, car un programme national de protection des données exigera un niveau élevé de compétences. Aucun cours en informatique n’est encore donné dans le seul et unique établissement public d'enseignement supérieur, l'Université Marien Ngouabi de Brazzaville. L’investissement dans la recherche et le développement est insuffisant pour pouvoir former des ressources humaines qualifiées dans le secteur des TIC au Congo. Les cours de Cisco sont offerts à un coût d’environ 40 000 FCFA (80 dollars) par module.

Les projets d'incubateur de TIC sont insuffisants. La société VMK a créé le Bantous Hub, un pôle technologique situé à Brazzaville, qui sert d’espace de travail partagé et d’incubateur pour la création d'entreprises. Bantu Hub accueille diverses activités qui permettent le partage des connaissances et l'apprentissage des TIC.

Absence d’un organisme independant chargé de la protection des données et des libertés civiles

Il manque également à la République du Congo un organisme indépendant chargé de la protection des données personnelles et des libertés individuelles sur l’internet.
 
L’article 130 de la loi n ° 9-2009 du 25 novembre 2009 sur la réglementation du secteur des communications électroniques semble offrir des occasions d'abus. Selon une disposition, « pour les besoins de défense et de sécurité, de lutte contre la pédophilie et le terrorisme, les exploitants des réseaux des communications électroniques ouverts au public et leurs représentants sont tenus [...] de conserver les données de communications électroniques. Les agents individuellement désignés, dûment habilités des services de police et de gendarmerie nationales et spécialement chargés de ces missions peuvent exiger de ces opérateurs et des personnes mentionnées à ce titre de communiquer les données conservées et traitées ».

La différence tient au fait que dans d'autres pays, les fichiers d'identification des citoyens sont protégés par des organismes indépendants tels que la Commission nationale de l'informatique et des libertés (CNIL) en France, qui veille à ce que les communications électroniques et les données soient au service du citoyen et que la vie privée et les libertés personnelles soient respectées. Ce n’est pas encore le cas en République du Congo. Dans ces conditions, on peut se demander si les citoyens congolais et la société civile en particulier sont vraiment à l'abri de l'intrusion ou du contrôle de la part des autorités publiques et privées.

Conclusion

L'analyse qui précède montre que même si le cadre juridique n’encourage pas la pratique de la protection des données, il est clair qu’il est également difficile de savoir ou de documenter l’existence d’une cybersurveillance. La société civile dispose de peu de compétences pour le faire. Il est donc important que les organisations de la société civile congolaise acquièrent la connaissance des outils de sécurité pour empêcher les intrusions dans leurs communications ou leur contrôle. Au-delà de la société civile, le gouvernement devrait investir suffisamment dans la formation et la recherche et développement pour renforcer les capacités dans le domaine des TIC, notamment dans la protection des données.

Mesures à prendre

Pour ce faire, l’application des recommandations suivantes pourrait être nécessaire.

Le gouvernement devrait :

• Adopter des lois sur la protection des données personnelles.
• Établir un organisme indépendant chargé de surveiller la gestion des données personnelles.
• Créer un cours de formation informatique et sur l’internet dans l’enseignement supérieur.
• Investir dans la recherche et développement en TIC.

La société civile devrait :  

• Sensibiliser et former la société civile à la cybersurveillance.
• Renforcer les capacités des organisations de la société civile pour qu’elles puissent sécuriser leurs données personnelles.
• Plaider pour l’adoption d’un cadre juridique plus protecteur des libertés civiles sur l’internet.

Les partenaires et les organisations internationales devraient :

• Fournir à la société civile les ressources financières et techniques nécessaires pour créer des programmes de sensibilisation et offrir une formation sur la sécurité de l’internet.

References

Loi no. 9-2009 du 25 novembre 2009 portant réglementation du secteur des communications électroniques.

www.violencedomestique-congo.net 

Loi no. 9-2009 du 25 novembre 2009 portant réglementation du secteur des communications électroniques.