Rwanda
Garantir la sécurité ou violer la vie privée et la liberté?
Introduction
La croissance rapide des services utilisant les technologies de l'information et des communications (TIC) au Rwanda a apporté des politiques, des lois et des stratégies nouvelles qui visent non seulement à harmoniser les stratégies de développement économique et de réduction de la pauvreté, mais également à veiller à ce que les citoyens et non-citoyens jouissent d’une liberté, d’une sécurité et d’une vie privée complètes. À l'heure actuelle, le taux de connexion des téléphones mobiles est estimé à plus de 65,4 % lorsqu'il s'agit d'une carte SIM active, comparativement à 53,1 % en décembre 2012. Tandis que le taux de connexion à internet a été d'environ 22 % pour les abonnements mobiles à haut débit en juin 2014 1 . Les statistiques correspondent à une population de 10 515 973 habitants recensée en 2012 2. Mais la surveillance des communications n’est pas une question dont on parle publiquement. Les raisons sont hypothétiques, notamment le manque de compréhension des raisons de la nécessité de la surveillance, de ses avantages ou de ses inconvénients pour les droits humains et de la façon dont elle est réalisée.
Ce rapport a pour but d’analyser les mesures actuelles visant à protéger les données personnelles contre les intrusions internes et externes et d'examiner les raisons de la surveillance des communications et les conditions dans lesquelles elle s’effectue, ainsi que de voir qui est autorisé à le faire. Il étudie le cadre juridique rwandais actuel, les engagements du gouvernement dans ce domaine et les vues de la communauté internationale sur le respect de ces engagements par le gouvernement.
Contexte stratégique et politique
Au fur et à mesure que les Rwandais deviennent des utilisateurs actifs d’appareils intelligents (comme les téléphones mobiles, les iPad et les tablettes), ainsi que des consommateurs de médias sociaux et autres services en ligne, les gens découvrent à quel point les TIC les aident à partager leurs renseignements privés, stocker leurs données personnelles et discuter de questions sensibles. Mais ils se rendent compte également que si ces communications ne sont pas suffisamment protégées, elles peuvent être utilisées à mauvais escient par des entreprises, des personnes mal intentionnées et des agents publics.
En écrivant sur les droits à la vie privée à l'ère numérique, la Commission nationale des droits de la personne (CNDP) du Rwanda a établi que des mesures ont déjà été prises au niveau national pour assurer le respect et la protection de la liberté des citoyens et du droit à la vie privée, y compris dans le contexte des communications numériques 3.
La CNDP indique que les premières mesures remontent à l’adoption de la Constitution de la République du Rwanda 4, qui garantit la protection et le respect du droit à la vie privée. L'article 22 stipule que nul ne peut faire l'objet d'ingérence arbitraire dans sa vie privée, sa famille, son domicile ou sa correspondance et que la maison d'une personne est inviolable. L'article 34, au paragraphe 2, stipule que la liberté d'expression et la liberté de l'information ne doivent pas porter atteinte à l'ordre public et aux bonnes mœurs et au droit dont jouit chaque citoyen à l’honneur, à la bonne réputation et à la préservation de l’intimité de sa vie personnelle et familiale.
Les lois les plus souvent citées sur le respect du droit à la vie privée et à la protection des données au Rwanda sont les suivantes :
- Loi No 02/2013 du 8 février 2013 régulant les médias (article 9) 5
- Loi No 03/2013 du 8 février 2013 régulant l’accès à l’information (article 4) 6
- Loi No 48/2008 du 9 septembre 2008 portant sur l’interception des communications 7
- La nouvelle loi sur les TIC 8
- Loi No 44/2001 du 30 novembre 2001 portant sur les télécommunications 9
- Loi No 18/2010 du 12 mai 2010 portant sur les messages, signatures et transactions électroniques (loi sur la signature électronique) 10
- Loi No 54/2011 du 14 décembre 2011 portant sur les droits et la protection des enfants (article 16).
Le gouvernement du Rwanda honore les engagements internationaux sur la gouvernance de l’internet. Durant les discussions sur la gouvernance de l'internet à NETmundial, à laquelle le Rwanda a été représentée par son ministre de la Jeunesse et des TIC , Jean Philbert Nsengimana 11, on a estimé que l’internet était « une ressource mondiale universelle, qui doit rester un réseau sécurisé, stable, résilient et digne de confiance ». Le Rwanda a soutenu la proposition d'un cadre de gouvernance de l'internet «inclusif, multipartite, efficace, légitime et modifiable 12 ».
Le Rwanda a ratifié le Pacte international relatif aux droits civils et politiques et est donc lié par l'article 17, qui stipule que : « Nul ne sera l'objet d'ingérences arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes illégales à son honneur et à sa réputation. Toute personne a le droit à la protection de la loi contre de telles ingérences ou de telles atteintes 13 ».
Les règlements mentionnés ci-dessus sont appliqués au niveau national. Selon Privacy International, le secteur des entreprises joue un rôle essentiel en facilitant la surveillance 14. L’interception et la surveillance des communications personnelles sont de plus en plus répandues, plus systématiques et plus invasives, parallèlement à notre dépendance croissante aux communications électroniques 15. Ce rapport ne présente pas de données sur la façon dont les politiques de confidentialité des grandes entreprises, comme celles de Google et Yahoo notamment, affectent les utilisateurs de l’internet au Rwanda. C’est une question qu’il faut aborder car certains des porte-paroles de ces entreprises ont toujours fait volontairement la sourde oreille à ce sujet : «Si vous avez quelque chose à cacher, vous ne devriez peut-être pas le faire pour commencer 16 ».
Interception des communications, collecte de données personnelles et principes internationaux des droits humains
Le Rwanda, comme de nombreux pays dans le monde, a adopté des « mesures visant à établir et maintenir des mécanismes indépendants et efficaces de surveillance capables d'assurer la transparence, le cas échéant, et la responsabilité en matière de surveillance étatique des communications, leur interception et la collecte de données personnelles 17 ».
Un certain nombre d'organisations internationales des droits humains et des journalistes étrangers attaquent le gouvernement, en le classant comme un pays non libre ou partiellement libre, invoquant l'interception des communications entre autres facteurs qui, selon eux, entravent la liberté et la vie privée.
Lorsqu’on attendait l’approbation par le sénat rwandais du Projet de loi sur l'interception des communications, des titres à sensation et des articles dans des journaux internationaux ont parus : « au nom de la sécurité publique », la police et les forces de sécurité rwandaises pourront espionner les journalistes, les défenseurs des droits de humains, les avocats et les militants qui critiquent le régime Kagame ou s’y opposent 18 ».
Avec l'évolution mondiale actuelle fondée sur l'avancée des TIC, l'enregistrement des renseignements d'identité pour activer une carte SIM mobile est en train de devenir usuel en Afrique. L’enregistrement des cartes SIM et de la collecte de données biométriques a été parmi les projets les plus critiqués quand ils ont été mis en œuvre au Rwanda. Ils ont été considérés par certains comme les éléments d'une surveillance croissante qui intègre également d'autres technologies comme les passeports électroniques, les nouvelles technologies de surveillance vidéo et les systèmes de santé électroniques 19.
Enregistrement des cartes SIM
L’année 2013 a été marquée par une campagne encourageant tous les Rwandais à commencer à enregistrer leurs cartes SIM, un processus qui a commencé en février et qui s’est terminé en juillet de la même année. Selon le directeur général de l’Autorité rwandaise de régulation du secteur public, cette mesure était motivée par les « résolutions de la Communauté est-africaine dans laquelle tous les pays ont convenu de mettre en œuvre l'enregistrement de la carte SIM pour assurer la sécurité des abonnés au mobile – notamment lutter contre les crimes liés au mobile – dans la région 20 ». Cela a été confirmé par certains chercheurs comme Nicola Jentzsch, qui affirme que l'Organisation des Communications de l’Afrique de l'Est (EACO) a été un des principaux initiateurs de l'enregistrement SIM, encourageant les gouvernements nationaux de la région à adopter des lois et des règlements pertinents ou à soutenir les initiatives volontaires. Elle a ajouté que l’EACO estimait que l’obligation donnée aux clients d’enregistrer les cartes SIM permettrait de réduire la possibilité que des personnes malveillantes utilisent des dispositifs mobiles anonymement pour entreprendre des activités illégales ou socialement préjudiciables, tel que les enlèvements, le trafic de drogue et le terrorisme 21.
Des pays d'Afrique de l’Est comme le Kenya, le Rwanda, l'Ouganda et le Sud-Soudan travaillent à l'établissement d'un cadre transfrontalier d’enregistrement des cartes SIM pour tenter de freiner la hausse des crimes perpétrés en utilisant des appareils mobiles 22.
Identité biométrique
Un système biométrique d'identification stocke toutes les ressources nécessaires pour identifier une personne, en utilisant ses empreintes digitales et des photographies numérisées.
Au Rwanda, l'Agence nationale d'identification a opté pour des initiatives fondées sur les TIC pour accélérer l'enregistrement. Sous le slogan «Smart ID, Smart Ideas », le Rwanda a établi un registre de la population pour délivrer des cartes nationales d'identité, des permis et des cartes à puce intégrés sécurisés qui auront plusieurs usages pour améliorer la prestation rapide des services publics 23. La carte servira notamment à l'identification personnelle, aux évaluations d'assurance, aux services bancaires et à l'immigration. On évite ainsi la nécessité d'avoir de nombreuses cartes pour accéder aux différents services.
Depuis janvier 2014, les habitants de trois pays partenaires (Rwanda, Kenya et Ouganda) ont commencé à utiliser la carte à puce pour traverser leurs frontières sans avoir à présenter un passeport ou un laissez-passer 24. Le système d'identification national interconnecté est destiné à faciliter la circulation rapide des personnes entre les trois pays tout en s’assurant que les gens qui se déplacent d'un pays à l'autre ne falsifient pas leur nationalité et identité.
Ceux qui sont défavorables à la collecte de données biométriques affirment que les études sur les programmes de cartes d'identité nationales ont toujours démontré que la police cible certains groupes ethniques de façon disproportionnée pour les contrôles d'identité. Privacy International va plus loin en donnant l’exemple du génocide contre les Tutsis de 1994 pendant lequel les cartes d'identité désignant leurs détenteurs comme Tutsis ont coûté la vie à des milliers de personnes. Pour eux, une carte d'identité permet d’obtenir des renseignements d'identification disparates qui sont stockés dans différentes bases de données pour être facilement reliés et analysés par des techniques d'exploration de données, d’où une grande vulnérabilité pour la vie privée, en particulier du fait que les gouvernements confient généralement l'administration des programmes d'identification à des entreprises privées non tenues responsables 25.
Après le succès du programme national d'identification, les parties prenantes gouvernementales rwandaises sont optimistes quant au succès potentiel de cette initiative. De nombreux intervenants estiment que l'initiative de carte à puce rwandaise permettra d'améliorer la qualité de la prestation des services tout en réduisant les longs délais d'exécution 26.
Interception des communications
En août 2013, le gouvernement rwandais a adopté des amendements à une loi de 2008 relative à l'interception des communications. En lisant la plupart des articles des médias critiquant la loi, les profanes dans le domaine ne savent plus de quoi il s’agit, quand elle est légale et quand elle est illégale et qui est autorisée à intercepter des communications.
La loi définit l'interception des communications comme « l'écoute, l'enregistrement, le stockage, le décryptage, l’interception, la perturbation ou tout autre type de surveillance de communications vocales ou de données à l'insu de l'utilisateur et sans son autorisation expresse » 27.
Les autorités pertinentes sont autorisées à effectuer l’interception des communications à des fins de sûreté nationale 28. «Si les autres moyens d'investigation ne suffisent pas à la manifestation de la vérité, l'Officier de Police Judiciaire chargé de l'instruction du dossier peut, sur autorisation écrite du Procureur Général de la République écouter, prendre connaissance ou enregistrer pendant leur transmission des documents, des conversations, des télégrammes, des cartes postales, courrier électronique et tous autres moyens de communication 29 ».
Des interceptions des correspondances émises par voie postale et par télécommunication
Quant à la loi régulant les télécommunications, l’article 54 reconnaît la vie privée, la protection des données, interdit l'interception des communications et stipule que : « Les communications vocales ou de données émises par un réseau de télécommunications ou un service de télécommunications demeurent confidentielles pour l’utilisateur et le destinataire prévu de ces communications ». Si un tribunal autorise l'interception ou l'enregistrement de communications dans l'intérêt de la sécurité nationale et pour la prévention, la recherche, la détection et la poursuite d'infractions pénales, l'article ci-dessus ne s’applique pas.
Les autorités publiques des « organismes de sécurité pertinents » sont autorisées à demander un mandat d'interception. En mai 2014, le gouvernement a nommé un médiateur et un médiateur adjoint pour former une équipe d'inspecteurs chargée de veiller à ce que l’application de l'interception des communications soit conforme à la loi 30. Nul ne peut dévoiler une information qui lui est accessible dans l'exercice de ses responsabilités ou de ses fonctions en rapport avec cet ordre, sauf sur autorisation du chef de l'organisme de sécurité qui a effectué l'interception (article 8) 31.
Les actes suivants ne sont pas considérés comme une interception des communications :
- Preuves d’un crime recueillies après que le récepteur a reçu le message.
- Preuves fondées sur une communication enregistrée par l’expéditeur ou le destinataire ou toute autre personne sans utiliser un appareil de surveillance pour l’interception des communications 32.
Conclusion
Comme il est devenu pratique courante dans la plupart des pays démocratiques, au Rwanda, les interceptions de communications orales, téléphoniques et numériques ne sont faites par les services de police ou de renseignement qu'après approbation par un juge et seulement dans le cadre d'enquêtes sur des crimes graves.
Les arguments contre l'interception des communications, qui affirment que les raisons avancées pour l'interception sont peu convaincantes, semblent être extrêmes pour un pays en développement. En l'absence d'études de cas claires et d’opinions impartiales qui tiennent compte des avantages et des inconvénients de la surveillance des communications, le public ne peut pas savoir comment la surveillance peut rendre la société plus sûre, comme le disent les gouvernements, ni comment elle peut être préjudiciable à leurs droits, comme le soutiennent les militants des droits humains.
Avec l'enregistrement des cartes SIM, vos courriels, votre identité et votre téléphone sont liés. L'exigence de donner un numéro de téléphone lors de l'utilisation des services des grandes compagnies de téléphonie, par exemple, est également dangereuse et favorise la surveillance inutile des données personnelles, puisque les utilisateurs ne savent pas qui accède à leurs données ni à quoi elles servent.
Mesures à prendre
Outre les lois existantes, le gouvernement rwandais devrait tenir compte de ce qui suit:
- Le gouvernement doit informer les citoyens rwandais par des campagnes de sensibilisation sur les procédures, les pratiques et la législation relatives à la surveillance des communications. Cette mesure est nécessaire pour qu’ils connaissent mieux les questions liées à la surveillance et pour les aider à utiliser les moyens de communication de façon responsable.
- Les fournisseurs de services de télécommunication et d’internet devraient améliorer la qualité des services qu'ils offrent aux clients, car un piètre service qui oblige les clients à demander de l'aide à un centre de service à la clientèle est susceptible d'exposer leur vie privée.
- Les organisations de la société civile et œuvrant pour les droits humains du Rwanda devraient pouvoir bien comprendre ce qu’implique la surveillance des communications afin d'éviter de dépendre de renseignements incertains.
References
1 Republic of Rwanda. (2004). MYICT performance contract for FY 2014-2015, p. 4.
3 Commission nationale des droits de la personne. (n/d). Le droit à la vie privée à l’ère du numériqe. www.ohchr.org/Documents/Issues/Privacy/RwandaNHRC.pdf
4 www.parliament.gov.rw/fileadmin/Images2013/Rwandan_Constitution.pdf
5 www.mhc.gov.rw/fileadmin/templates/PdfDocuments/Laws/Official_Gazette_n__10_of_11_March_2013.pdf
6 www.mhc.gov.rw/fileadmin/templates/PdfDocuments/Laws/Official_Gazette_n__10_of_11_March_2013.pdf
lip.alfa-xp.com/lip/AmategekoDB.aspx?Mode=r&pid=7801&iid=2369
8 www.parliament.gov.rw/uploads/tx_publications/DRAFT_LAW___GOVERNING_INFORMATION_AND_COMMUNICATION_TECHNOLOGIES.pdf
9 www.rura.rw/fileadmin/laws/TelecomLaw.pdf
10 www.rwanda.eregulations.org/media/Electronic%20law.pdf
11 Kenyanito, E. P. (9 mai 2014). What did Africa get out of NetMundial internet governance discussions? Access. https://www.accessnow.org/blog/2014/05/09/spotlight-on-african-contributions-to-internet-governance-discussions-part-
12 document.netmundial.br/1-internet-governance-principles
13 www.ohchr.org/en/professionalinterest/pages/ccpr.aspx
14 Nyst, C. (17 juillet 2014). UN privacy report a game-changer in fighting unlawful surveillance. Privacy International. https://www.privacyinternational.org/blog/un-privacy-report-a-game-changer-in-fighting-unlawful-surveillance
15 https://www.privacyinternational.org/issues/communications-surveillance
16 Taylor, A. (16 juin 2014). Google and Yahoo want to ‘reset the net’. But can it work? The Guardian. www.theguardian.com/commentisfree/2014/jun/16/google-yahoo-reset-the-net-tech-nsa-data-collection
17 Commission nationale des droits de la personne. (n/d). Op. cit.
18 Nyst, C. (25 août 2012). Rwandan government expands stranglehold on privacy and free expression. Privacy International. https://www.privacyinternational.org/blog/rwandan-government-expands-stranglehold-on-privacy-and-free-expression
19 Donovan, K. P., & Martin, A. K. (3 février 2014). The rise of African SIM registration. First Monday. firstmonday.org/ojs/index.php/fm/article/view/4351/3820
20 Bright, E. (4 février 2013). SIM card registration gets under way. The Rwanda Focus. focus.rw/wp/2013/02/sim-card-registration-gets-under-way/
21 Donovan, K. P., & Martin, A. K. (3 février 2014). Op. cit.
22 Wokabi, C. (23 décembre 2013). East African states to share SIM card, national ID data. Pan African Visions. panafricanvisions.com/2013/east-african-states-share-sim-card-national-id-data
23 www.worldbank.org/content/dam/Worldbank/Event/social-protection/Building_Robust_Identification_Systems_Session_Packet.pdf
24 IWACU. (14 janvier 2014). ID cards to replace passports in EAC. IWACU English News. www.iwacu-burundi.org/blogs/english/id-cards-to-replace-passports-in-eac/
25 https://www.privacyinternational.org/issues/id
26 Sivan, S. K. (n/d). Enhancing public and private sector delivery through Rwandan national smart card initiative. www.appropriatetech.net/files/ENHANCING_PUBLIC_AND_PRIVATE_SECTOR_DELIVERY.pdf
27 Loi sur l’interception des communications.
28 Ibid.
29 Loi N° 13/2004 portant Code de procédure criminelle. www.refworld.org/docid/46c306492.html
30 2014 Ordonnance présidentielle nommant des inspecteurs chargés de surveiller l’interception des communications.
31 2014 Ordonnance du Premier ministre déterminant les modalités de l’application de la loi régulant l’interception des communications.
32 Ibid.