CYBERCRIMINALITE ET PROTECTION DES DONNEES PERSONNELLES EN COTE D’IVOIRE ASSOUA CAUFFI SILVERE CHEF DE DEPARTEMENT DES AFFAIRES JURIDIQUES DE L’ARTCI

SOMMAIRE INTRODUCTION PARTIE I: LE CADRE JURIDIQUE DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL ET DE LA LUTTE CONTRE LA CYBERCRIMINALITE PARTIE II: LE CADRE INSTITUTIONNEL PROTECTION DES DONNEES A CARACTERE PERSONNEL ET DE LA LUTTE CONTRE LA CYBERCRIMINALITE CONCLUSION CYBERCRIMINALITE ET PROTECTION DES DONNEES PERSONNELLES EN COTE D’IVOIRE

INTRODUCTION L’essor des sciences et technologies de l’information et l’internet des objets constituent de formidables opportunités tout en rendant nos sociétés de plus en plus vulnérables aux risques inhérents au cyberespace; Les cyber-attaques contre les institutions gouvernementales, les infrastructures stratégiques, les entreprises et les individus se sont considérablement développées et sophistiquées au cours des années; Les attaques classiques et basiques ont laissé la place à des cyber-attaques sophistiquées, discrètes et motivées par des objectifs financiers; Aussi le patrimoine informationnel est-il la cible des cyber-menaces et des cyber-attaques: fichiers clients, réponses à des appels d'offre, données personnelles des salariés, des dirigeants, des actionnaires, informations financières, informations industrielles, secret des affaires, secret des correspondances, etc… La cyber sécurité est désormais un enjeu de respect de la vie privée, de compétitivité et de souveraineté nationale. Savoir anticiper, créer la confiance, protéger les données à caractère personnel est aujourd’hui essentiel; CYBERCRIMINALITE ET PROTECTION DES DONNEES PERSONNELLES EN COTE D’IVOIRE

LE CADRE JURIDIQUE DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL ET DE LA LUTTE CONTRE LA CYBERCRIMINALITE PARTIE I: CYBERCRIMINALITE ET PROTECTION DES DONNEES PERSONNELLES EN COTE D’IVOIRE

LOIS ET DECRETS En côte d’Ivoire le cadre juridique de la protection des données à caractère personnel et de la Lutte contre la Cybercriminalité est composé de: Loi n° 2013-450 du 19 Juin 2013, relative à la Protection des Données à Caractère Personnel; Loi n° 2013-451 du 19 Juin 2013, relative à la lutte contre la Cybercriminalité; Loi n° 2013-546 du 30 Juillet 2013, relative aux Transactions Electroniques. Décret n° 2011-476 du 21 décembre 2011, portant Identification des Abonnés des Services de Télécommunications ouverts au public. Décret n°2014-105 du 12 mars 2014 relatif à la Fourniture de Prestations de Cryptologie Décret n°2014-106 du 12 mars 2014 relatif aux Conditions d’Etablissement et de Conservation de l’écrit et de la signature électronique

1. Loi sur la Protection des Données à Caractère personnel Loi n° 2013-450 du 19 Juin 2013 fixe le régime juridique applicable à tout traitement de données à caractère personnel, notamment la déclaration et l’autorisation (Art 5 à 13); précise les principes fondamentaux du traitement des données (les principes d’exactitude, de légitimité, de finalité, de confidentialité et de proportionnalité, de transparence) prévoit des sanctions pénales à l’encontre du Responsable du traitement qui violerait ces dispositions (Art 14 à 25); reconnaît plusieurs droits à la personne dont les données sont traitées (le droit à l’information, le droit d’accès, le droit d’opposition, le droit de rectification ou de suppression). Sanctionne pénalement le traitement des données sensibles et la prospection directe sans le consentement préalable des personnes concernées (Art 21 et 22 ).

2. Loi relative à la lutte contre la cybercriminalité Loi n° 2013-451 du 19 Juin 2013 Les articles 4 à 32 de la loi relative à la lutte contre la Cybercriminalité prévoient trois types d’infractions en rapport avec les données à caractère personnel. 1/ les atteintes aux systèmes informatiques; 2/ les atteintes aux systèmes automatisés des données; 3/ les atteintes aux systèmes de cryptologie.

1. Les atteintes aux systèmes informatiques Système d’information ou Système informatique (Définition selon la Loi n° 2013-451 du 19 juin 2013) : « tout dispositif isolé ou non, tout ensemble de dispositifs interconnectés assurant en tout ou partie, un traitement automatisé de données en exécution d’un programme ». Atteintes aux systèmes informatiques: Trois grandes catégories peuvent être distinguées: les atteintes à la confidentialité (l’accès frauduleux et le maintien frauduleux dans un système informatique). les atteintes à l’intégrité (altération des systèmes, qui consiste dans l’action ou la tentative, soit de fausser le fonctionnement du système, soit d’en entraver le fonctionnement). les atteintes à la disponibilité des systèmes informatiques (d’introduire ou de tenter d’introduire des données dans un système informatique de manière frauduleuse; c’est-à-dire, lorsque des caractères magnétiques nouveaux sont incorporés dans un système, sans que l’on y soit autorisé.

2. Les atteintes aux systèmes automatisés de données Données informatisées :« toute représentation de faits, d'informations ou de concepts sous une forme qui se prête à un traitement informatique ». Différents phénomènes cybercriminels sont retenus à ce titre: a/ L’interception et la tentative d’interception frauduleuse (cf. secret des données, secret des communications électroniques). b/ Le faux informatique (modifier ou produire frauduleusement des données informatisées en vue de créer des données contrefaites, dans l’intention qu’elles soient prises en compte ou utilisées à des fins légales comme si elles étaient originales) c/ L’usage de faux informatique, qui consiste dans l’utilisation intentionnelle de données issues d’un faux informatique; d/ La fraude informatique qui renvoie à l’obtention frauduleuse, pour soi-même ou pour autrui, d’un avantage quelconque, par l’introduction, l’altération, l’effacement ou la suppression de données informatisées ou par toute forme d’atteinte au fonctionnement d’un système informatique; e/le traitement frauduleux, déloyal ou illicite des DCP (art 24 et suivants) Il s’agit de la représentation numérisée de l’information. Cette définition reprend presque fidèlement celle de l’article 1e de la convention de Budapest. CYBERCRIMINALITE ET PROTECTION DES DONNEES PERSONNELLES EN COTE D'IVOIRE

3. Les atteintes aux systèmes de Cryptologie Système de cryptologie : Sont considérées comme des atteintes au système de cryptologie, toutes activités permettant d’accéder frauduleusement à tout ou partie d’un système informatique protégé. Ces activités peuvent prendre diverses formes, notamment: l’usage, la production, la vente, l’importation, la détention, la diffusion, l’offre, la cession ou la mise à disposition: soit d’équipements, programmes informatiques, dispositifs ou données conçus ou spécialement adaptés à cet effet; soit de mots de passe, codes d’accès ou données informatisées similaires obtenus frauduleusement. Les pratiques relevant des atteintes aux systèmes de cryptologie concernent aussi les actes suivants : permettre l’accès non autorisé à un système informatique en divulguant indûment une convention de chiffrement ou refuser de remettre aux autorités habilitées ou refuser de mettre en œuvre sur leur demande, des conventions de chiffrement susceptibles d’avoir été utilisées pour préparer, faciliter ou commettre une infraction.

2. Loi relative à la lutte contre la cybercriminalité ( suite) Loi n° 2013-451 du 19 Juin 2013 Prévoit la responsabilité civile et pénale des prestataires techniques des services en ligne (FAI), et des exploitants de cybercafé (Art 42 et suivants - obligation FAI de mettre sur son site un dispositif permettant de signaler un contenu illicite sous peine d’emprisonnement de 1 à 5 ans et amende de 1à 5 millions). Reconnait à l’autorité compétente des pouvoirs spéciaux en matière de Cybercriminalité. Les fournisseurs de services sont tenus de conserver pendant 10 ans les données relatives aux abonnés sous peine d’amende de 10 à 50 millions. L’Autorité peut enjoindre la conservation pour une durée plus longue dans le cadre d’une enquête ou d’ une instruction. L’Autorité Compétente peut sur réquisition ou sur Ordonnance du juge d’instruction, requérir la communication des données, procéder à la saisie, accéder à un système d’information (en cas de perquisition).

3- Loi relative aux Transactions Electroniques Règlemente l’Exercice du Commerce Electronique, notamment en mettant à la charge du commerçant une obligation d’information de sa clientèle sur son identification. Le non respect est sanctionné par une peine d’emprisonnement de 1 à 5 ans et d’une amende de 1 à 10 millions FCFA. Peine identique : en cas de non respect des règles sur la publicité par voie électronique (précisions, identification de la publicité et de la personne pour le compte de qui elle est faite) applicable à celui qui fait une prospection directe par envoi de message au moyen d’un automate d’appel ou d’un SMS sans le consentement de la personne.

3- Loi relative aux Transactions Electroniques (Suite) Reconnait la valeur juridique de la Signature Electronique et du Message électronique dès lors qu’ils assurent avec certitude l’Identification des Signataires et l’Authentification du message. Consacre la confidentialité des échanges par le chiffrement des messages.

Décret sur l’Identification des Abonnés et utilisateurs de Services de Télécommunications/TIC Vise à faciliter la prévention et la répression par les agents de la sécurité publique et les autorités judiciaires, des actes délictueux liés à l’usage illégal des services de Télécommunications/TIC. Fixe, notamment: les Modalités et Conditions de l’identification des abonnées (pièces d’identité requises et données à collecter); les Conditions et Obligations relatives à la Protection et à la Conservation des données collectées; L’Interdiction des cartes SIM pré-activées; l’Obligation de déclaration des pertes ou vols de cartes SIM; Le Contrôle et les Sanctions en cas de violation des dispositions du décret. Cybercriminalité et protection des données en Côte d’Ivoire

PARTIE II: Cadre Institutionnel L’ARTCI initialement chargée de la Régulation des Télécoms/TIC, s’est vu confier des Missions nouvelles par le Législateur. A ce titre, elle est: * Autorité de protection des données à caractère personnel (Art 46 Loi protection des données à caractère personnel). * Autorité chargée de veiller à la sécurité des réseaux et systèmes d’information (Art 50 loi transaction électronique). * AUTORITÉ COMPÉTENTE DANS LE CADRE DE LA PROCEDURE PENALE EN MATIERE DE CYBERCRIME (Art 71 loi sur la cybercriminalité) Par ailleurs , l’ARTCI par le biais de son CERT collabore avec les organismes chargés de la répression de la cybercriminalité (DITT/PLCC) Cybercriminalité et protection des données en Côte d’Ivoire

1- LE ROLE DE L’ARTCI DANS LA LUTTE CONTRE LES INFRACTIONS LIEES AUX DONNEES A CARACTERE PERSONNEL L’Autorité de protection des données à caractère personnel Veille à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi n° 2013-450 du 19 Juin 2013 relative à la Protection des Données à Caractère Personnel et ses décrets d’application. S’assure que l’usage des TIC ne porte pas atteinte ou ne comporte pas de menace pour les libertés et la vie privée des utilisateurs. L’ARTCI agit en qualité d’Autorité de certification elle procède à l’audit et à la certification des systèmes d’information des personnes morales établies en côte d’ivoire et exerçant des activités de transactions électroniques; elle délivre les agréments au prestataire de services de certification électronique et de prestataires de services cryptologie. Cybercriminalité et protection des données en Côte d’Ivoire

PARTIE II: Cadre Institutionnel 2-Les Interactions entre l’ARTCI et les Organismes réprimant la Cybercriminalité Pour répondre efficacement aux préoccupations liées à la cybercriminalité, l’ARTCI collabore avec la police nationale à travers ses Directions ( DITT et PLCC). Cybercriminalité et protection des données en Côte d’Ivoire

Activité 01 : Lutte contre la cybercriminalité LE CI-CERT Le CI-CERT est la cellule de réaction aux incidents informatiques de la Côte d’Ivoire. Elle est une organisation fonctionnelle mise en place par l’ATCI (Agence des Télécommunications de Côte d’Ivoire). Début des activités : 19 juin 2009 ACTIVITES ET STATISTIQUES Activité 01 : Lutte contre la cybercriminalité Le CI-CERT a enregistré plus de 4000 cas de dénonciations 155 cyber-escrocs condamnés à des peines de prison ferme ; +20 milliards de francs CFA de préjudice financier, Activité 02: Traitement des Incidents Informatiques le CI-CERT a traité au cours du 1er semestre 2014, Cinq cent quarante deux (542) incidents informatiques majoritairement constitués d’attaques liées au malware dénommé Game Over Zeus et au Virus informatique (voir tableau suivant). Malware:Le malware infecte et prend le contrôle à distance des machines ou réseaux compromis pour effectuer des activités malveillantes tel que le vol des données personnel (bancaire..) envoie des spam, et faire des attaques Denis de Service (DDoS). Cybercriminalité et protection des données en Côte d’Ivoire

Activité 02 : Protection des réseaux Tableau : Déclaration d’incidents informatiques Graphique : Statistiques des incidents informatiques gérés et traités Types d'incidents NOMBRE POURCENTAGE Vers (Virus) 9 1,66% Phishing 1 0,18% Spam 63 11,6% DDos 2 0,4% Cyberescroquerie ( plcc) 82 15,1% Malware (GameOver Zeus) 384 70,8% AUTRES 0,2% TOTAL 542 100,0% Cybercriminalité et protection des données en Côte d’Ivoire

Activité 03: Audit de sécurité des infrastructures Les audits de sécurité réalisés par le CI-CERT, consistent à évaluer le niveau de sécurité des infrastructures informatiques des parties prenantes, afin de proposer des actions correctives. Ces audits sont constitués d' audit de vulnérabilité, audit sur site et audit de codes sources (logiciels, sites web, etc.).Conformément à son chronogramme annuel d’audit de vulnérabilité, le CI-CERT a effectué des audits sur 12 sites web d'organismes publics. Au total onze (11) failles de sécurité ont été découvertes, représentant des risques de sécurité sur les applicatifs web. Les failles les plus récurrentes sont : SQL Injection : 27% Listage de Répertoire : 55% Mauvaise configuration : 9% Transfert info non cryptées : 9% Figure : Répartition des vulnérabilités découvertes Cybercriminalité et protection des données en Côte d’Ivoire CYBERCRIMINALITE ET PROTECTION DES DONNEES PERSONNELLES EN COTE D'IVOIRE

Identifier et rechercher les auteurs d’infractions cybercriminelles LA PLATEFORME DE LUTTE CONTRE LA CYBERCRIMINALITE (PLCC) Créée par convention signée entre la Police Nationale (DGPN) et l’ARTCI la PLCC est un organe de lutte contre la cybercriminalité dont les missions sont: Identifier et rechercher les auteurs d’infractions cybercriminelles Porter une assistance technique aux services d'investigations en matière de cybercriminalité ; Sensibiliser et informer le grand public ; Former les acteurs engagés dans la lutte contre la cybercriminalité ; Contribuer à la définition et à la mise en œuvre des mesures techniques, organisationnelles et réglementaires. Cybercriminalité et protection des données en Côte d’Ivoire

QUELQUES CHIFFRES 1e Semestre 2014 2ème Semestre 2013 1er Semestre 2013 TYPE D'ARNAQUE Nbr de dossiers % 1 ARNAQUE AUX SENTIMENTS 36 20,45 159 47,60 72 33,03 2 DETOURNEMENT/ERREUR DE TRANSFERT 19 5,69 9 4,13 3 FRAUDE SUR COMPTE MOBILE/BANCAIRE 25 14,20 12 3,59 4 USURPATION D'IDENTITE 16 9,09 4,79 8,72 5 SPOLIATION DE COMPTE MAIL 10 5,68 14 4,19 37 16,97 6 VOL D'APPAREIL DES TICs 5,11 1,80 7 ARNAQUE AUX GRAINS, ŒUFS, … 3,41 8 FRAUDE INFORMATIQUE 2,84 0,92 CHANTAGE A LA VIDEO/TELEPHONE 4,59 Cybercriminalité et protection des données en Côte d’Ivoire

CONCLUSION Il y a lieu de noter que la protection des données à caractère personnel devient aujourd’hui un enjeu important de la lutte contre la cybercriminalité; Il est plus que primordial que des actions concertées au niveau africain soient mises en œuvre pour lutter efficacement contre ce phénomène; C’est pourquoi, il convient de faire notre les citations de Joseph CANNATACI, Directeur de recherche en droit européen aux Pays Bas- Conférence Octopus 6 au 8 Juin 2012 Strasbourg, « Les données personnelles constituent la matière première de la cybercriminalité », « On ne peut pas lutter contre la cybercriminalité sans se préoccuper de la protection des données personnelles ».

MERCI DE VOTRE AIMABLE ATTENTION