Octopus Cybercrime Community

Le Code pénal et la loi n° 99-89 du 2 aout 1999  ne réprime que partiellement les infractions qui sont prévues par la Convention de Budapest. 

Toutefois, le Decret-Loi no. 2022-54 du 13 septembre 2022, relatif à la lutte contre les infractions se rapportant aux systèmes d'informations et de communication, a introduit les infractions spécifiques relatives à la cybercriminalité. Dans le Chapitre I, le Decret-Loi mentionne l'objectiv du Decret-Loi et énumère la terminologie dans la matière de cybercriminalité.

Le chapitre III du Decret-Loi no. 2022-54 criminalise toutes les infractions inclues dans les articles 2-12 de la Convention de Budapest. 

Sur le terrain procédural, le chapitre II introduit des obligations et procédures speciales, sauf les dispositions sur la conservations rapide de données informatiques stockées - articles 16, 17, 29 et 30 de la Convention de Budapest.  

La coopération internationale est mentionée dans le Chapitre IV, articles 34 et 35.

Le Decret-Loi no. 2022-54 prévoit les infractions suivantes :

• Violation de l’intégrité des systèmes d’informations et des données et de leur confidentialité (articles 16 - 21);
• Fraude informatique (article 22);
• Falsification informatique (article 23);
• Rumeurs et fausses nouvelles (article 24), qui n'est pas prévue par la Convention de Budapest;
• Accès illégal aux contenus protégés (article 25);
• Exploitation des enfants (article 26);
• Répression du manquement aux obligations de la collecte des preuves électroniques (articles 27-31);
• Responsabilité pénale des personnes morales et leurs dirigeants (article 32).

• Dommages causés aux systèmes informatiques dans le cadre d’un projet terroriste (article 14 de la loi organique n° 2015-26 du 7 août 2015 relative à la lutte contre le terrorisme et la répression du blanchiment d’argent).
• Divulgation du contenu des communications et des échanges électroniques (article 85 du Code des télécommunications).
• Infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes (particulièrement articles 50 à 55 de la loi n° 94-36 du 24 février 1994 relative à la propriété littéraire et artistique, trois autres lois adoptées en 2001 règlementant la protection des marques de fabrique, de commerce et de service ; la protection des dessins et modèles industriels ; et la protection des schémas de configuration des circuits intégrés).

Les enquêtes de même que la perquisition, la saisie et l’extradition sont régies par les dispositions générales du code de procédure pénale, applicables à toute infraction.

Le Decret-Loi 2022-54 introduit les suivants pouvoirs procedurales:

• Obligation de conservation (article 6), qui n'est pas prevue dans la Convention de Budapest;
• Constatation des infractions et l'exécution des ordonnances d’interception et d’accès (articles 8 - 11);
• Interception des communications (article 10);
• Collecte des preuves électroniques (articles 12-15).

Le Decret-Loi no. 2022 - 54 ne transpose pas les dispositions relatives à la préservation des données de la Convention de Budapest sur la cybercriminalité (articles 16, 17, 29 et 30).

En matière d’interceptions relative aux contenus, les articles 54 à 56 de la loi organique n° 2015-26 du 7 août 2015 relative à la lutte contre le terrorisme et la répression du blanchiment d’argent permettent, « lorsque la nécessité de l’enquête l’exige », de « recourir à l’interception des communications des prévenus », laquelle comprend « les données des flux, l'écoute, ou l’accès au leur contenu, leur reproduction, leur enregistrement », sous le contrôle du procureur de la République ou du juge d’instruction (art. 54).

Enfin, le chiffrement ne répondant pas aux exigences du décret n°2001-2727 du 20 novembre 2001 est interdit par l’article 9 du Code des télécommunications, l’article 87 de ce même code réprimant notamment l’utilisation et la détention en vue de la leur distribution à titre gratuit ou onéreux de ces moyens. La responsabilité des fournisseurs d’accès n’étant pas spécifiquement régulée, et l’article 87 du Code des télécommunications ne requérant pas d’intention frauduleuse, la possible responsabilité des fournisseurs d’accès pour avoir transporté des moyens illégaux de cryptologie, sur la base de ces articles, reste en question (en matière civile, par application des articles 82 et 83 du Code des obligations et des contrats (COC), les fournisseurs d’accès ne paraissent pouvoir être déclarés responsables que s’ils peuvent techniquement agir, savent qu’ils doivent agir et n’agissent pas). 

Malgré une affirmation prononcée, dans la nouvelle Constitution et de récentes lois, de la volonté tunisienne de protéger et renforcer la protection des droits fondamentaux, les dispositions de droit substantiel et de droit procédural présentent d’importantes faiblesses en la matière.

En effet, des garanties (pour la plupart non spécifiques à la cybercriminalité) sont prévues par la Constitution du 25 juillet 2022 , le Code pénal, le Code des télécommunications et le Code de procédure pénal.

L'article 2 du Decret-Loi no. 2022-54 précise que "les autorités publiques doivent, lors de l'application des dispositions du présent décret-loi, respecter les garanties constitutionnelles, les traités internationaux, régionaux et bilatéraux y afférents ratifiés par la République tunisienne, et la législation nationale en matière des droits de l’Homme, des libertés et de la protection des données à caractère personnel."

Toutefois, l’effectivité de ces garanties paraît menacée par des faiblesses pouvant être notées à plusieurs égards.

Par ailleurs, plusieurs dispositions ne semblent pas suffisamment garantir la protection des droits fondamentaux des citoyens (principalement au respect de la vie privée et de la liberté d’expression) contre des ingérences non nécessaires ou disproportionnées de la puissance publique.

En particulier, l’étendue des pouvoirs de l’Agence Technique des Télécommunications en termes de recueil d’information sur les utilisateurs d’Internet est incertaine : l’article 2 du décret n° 2013-4506 du 6 novembre 2013, relatif à la création de l'agence technique des télécommunications énonce notamment que : « L'agence technique des télécommunications assure l'appui technique aux investigations judiciaires dans les crimes des systèmes d'information et de la communication, elle est à cet effet chargée des missions suivantes: [1] la réception et le traitement des ordres d'investigation et de constatation des crimes des systèmes d'information et de la communication issus du pouvoir judiciaire conformément à la législation en vigueur ; [...] [2] l'exploitation des systèmes nationaux de contrôle du trafic des télécommunications dans le cadre du respect des traités internationales relatifs aux droits de l'Homme et des cadres législatifs relatifs à la protection des données personnelles ».

L'article 10 du Decret-Loi no. 2022-54 précise que l'interception des communications du suspect peut être pratiquée, lorsque le cas l'exige, par la police judiciaire, sur décision écrite et motivée du procureur ou du juge d'instruction. Le procureur et le juge d'instruction peuvent recourir à l'interception des communications sur décision écrite et motivée. Dans ce dernier cas, l'article ne précise pas sur décision de quelle autorité. L'interception des communications est une mesure intrusive qui doit être soumise à l'autorisation de l'autorité judiciaire et utilisée pour les crimes les plus graves. La formulation de l'article, indiquant quand l'interception peut être utilisée - dans les cas où la nécessité de l'enquête l'exige - est très générale et semble applicable à toutes les infractions introduites par le décret. Une plus grande clarté serait nécessaire concernant l'application du principe de nécessité dans le droit pénal tunisien.

En outre, la procédure d’interception du contenu des communications ne semble pas être soumise au contrôle d’un magistrat indépendant aussi dans l'application de l'article 54 de la loi organique n° 2015-26 du 7 août 2015 relative à la lutte contre le terrorisme et la répression du blanchiment d’argent.

Lois et règlements relatifs au droit substantiel

• Loi n° 99-89 du 2 août 1999 modifiant et complétant certaines dispositions du code pénal.
• Loi n° 94-36 du 24 février 1994 relative à la propriété littéraire et artistique.
• Loi n°2001-36 du 17 avril 2001 relative à la protection des marques de fabrique, de commerce et de service ;
• Loi n°2001-21 du 6 février 2001 relative à la protection des dessins et modèles industriels.
• Loi n°2001-20 du 6 février 2001 relative à la protection des schémas de configuration des circuits intégrés.

Lois et règlements relatifs au droit substantiel et procédural

• Loi organique n° 2015-26 du 7 août 2015 relative à la lutte contre le terrorisme et la répression du blanchiment d’argent.

Lois et règlements adoptés sur des sujets connexes

• Loi organique n° 2016-22 du 24 mars 2016 relative au droit d’accès à l’information.
• Décret n°2014-4773 du 26 décembre 2014 fixant les conditions et les procédures d'octroi d'autorisation pour l’activité de fournisseur de services internet. Ce décret remplace le décret n° 97-501 du 14 mars 1997, relatif aux services à valeur ajoutés des télécommunications et abroge a priori , également (ce n’est toutefois pas précisé par le texte), l’arrêté du ministre des communications du 22 mars 1997, portant approbation du cahier des charges fixant les clauses particulières à la mise en œuvre et l’exploitation des services à valeur ajoutée des télécommunications de type Internet (cet arrêté impose aux fournisseurs de services de « communiquer à l'opérateur public concerné la liste nominative écrite, dûment signée et actualisée, de tous ses abonnés au début de chaque mois » [article 8] et rend responsable les hébergeurs des contenus qu’ils hébergent [article 9]).
• Arrêté du ministre des technologies de l’information et de la communication du 29 juillet 2013, portant approbation du cahier des charges fixant les conditions et les procédures de fourniture des services des télécommunications de contenu et services interactifs des télécommunications.
• Décret n° 2008-3026 du 15 septembre 2008, fixant les conditions générales d’exploitation des réseaux publics des télécommunications et des réseaux d’accès, tel que modifié et complété par le décret n° 2014-53 du 10 janvier 2014.
• Circulaire n° 19 - du 11 avril 2007 (uniquement en langue arabe), relatif au renforcement des mesures de sécurité informatique dans les établissements publiques (création d'une Cellule Technique de Sécurité, nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI ; et mise en place d'un Comité de pilotage).
• Loi organique n° 63-2004 du 27 juillet 2004 portant sur la protection des données à caractère personnel.
• Loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique, portant sur l'organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux.
• Décret n° 1250 - 2004 du 25 mai 2004, fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit.
• Décret n° 1249-2004, du 25 mai 2004, fixant les conditions et les procédures de certification des experts dans le domaine de la sécurité informatique.
• Circulaire n° 22-2004, portant sur la sureté des locaux appartenant aux ministères et aux entreprises publiques.
• Circulaire n° 19 du 18 juillet 2003, relatif aux mesures de sécurité et de prévention des bâtiments des ministères et des collectivités locales et des entreprises publiques.
• Décret n°2001-2727 du 20 novembre 2001 fixant les conditions et les procédures d’utilisation des moyens ou des services de cryptage à travers les réseaux de télécommunications, ainsi que l’exercice des activités y afférentes, modifié par le décret n°2007-1070 du 2 mai 2007 fixant les restrictions et les sanctions résultant de l’utilisation des technologies de cryptage.
• Loi n°2000-83 sur la certification électronique.