La Tunisie dispose d’un cadre légal pour la protection des données personnelles, mais fait face à une recrudescence des cyberattaques. Il est vrai que la législation prévoit des sanctions sévères contre le piratage et l’utilisation illégale de données, mais ce qui se passe laisse planer un grand danger sur la protection de ces données. D’ailleurs, la retentissante affaire du piratage du système d’orientation universitaire dans le gouvernorat du Kef est venue nous rappeler que nous devons faire beaucoup plus pour y arriver ou, du moins, limiter au maximum les dégâts…
Il faut, à cet effet, rappeler que la Loi organique n° 2004-63 du 27 juillet 2004 régit la protection des données à caractère personnel en Tunisie, consacrant ce droit comme fondamental. Et, en matière de lutte contre la cybercriminalité, le décret-loi n° 2022-54, signé en septembre 2022, est spécifiquement relatif à la lutte contre les infractions liées aux systèmes d’information et de communication. L’article 19 de ce décret-loi punit de trois ans d’emprisonnement et d’une amende quiconque endommage, modifie ou détruit sciemment des données informatiques, et jusqu’à un an d’emprisonnement et une amende de 10 000 dinars pour l’accès illégal à un système.
Se contenter d’une telle législation pour mettre fin à ces pratiques illégales suffit-il pour persuader les hors-la-loi et les décourager ? Absolument pas, et la récente déclaration du chef de service à la Direction de la police judiciaire au ministère de l’Intérieur, le confirme. Il n’a pas manqué de souligner, dans une déclaration aux médias, il y a quelques jours, l’importance croissante de la cybersécurité face aux menaces numériques qui pèsent sur les individus, les institutions et la sécurité nationale dans un espace numérique devenu une composante essentielle de notre quotidien. Il a mis en garde contre les dangers réels que représentent les cyberattaques pour la sécurité des citoyens, la stabilité de la société et la souveraineté de l’État.
Une stratégie axée sur la prévention et la coopération
Selon ce même responsable, la stratégie du ministère repose sur trois axes majeurs : la sensibilisation du public, la formation des compétences nationales dans les domaines de la cybersécurité et la coopération avec les secteurs public et privé, aussi bien au niveau national qu’international : « La lutte contre la cybercriminalité ne peut se faire sans une mobilisation collective, incluant les institutions sécuritaires, les experts, les universités et les entreprises ». Il a, par ailleurs, rappelé que les cybercrimes regroupent tous les actes criminels pouvant être commis à travers Internet, tels que le piratage de comptes personnels ou institutionnels, le vol de données bancaires ou personnelles, le chantage en ligne, les attaques informatiques contre les entreprises et les infrastructures sensibles, ainsi que la diffusion de fausses informations ou de contenus mensongers.
Malgré le sérieux et la compétence des structures chargées de lutter contre les crimes de piratage, certaines affaires viennent nous rappeler que ces efforts doivent être plus soutenus et plus efficaces encore . On a eu à le constater à travers l’affaire du piratage du système d’orientation universitaire dans le gouvernorat du Kef et qui en dit long sur les menaces qui guettent aussi bien le service public que les données personnelles.
Quoique jugulé à temps, l’incident continue de susciter plusieurs interrogations concernant les menaces qui guettent aussi bien le service public que les données personnelles. Cela étant, l’une des grandes affaires ayant secoué la Tunisie ces dernières années est survenue en 2022. Un réseau criminel spécialisé dans le piratage des systèmes informatiques avait été démantelé par l’unité centrale de lutte contre les délits des technologies relevant de la Garde nationale à Al Aouina. Selon les éléments de l’enquête, plusieurs hackers avaient été arrêtés à cette époque suite au vol d’un million 200 mille dinars à une société de télécommunication. Les accusés de ce piratage avaient, en effet, profité d’une faille du système informatique de cette entreprise pour détourner cette importante somme d’argent.
Une année plus tard, une grande banque de la place avait vu son système informatique piraté et tous les services bancaires avaient été paralysés pendant plusieurs jours. L’Agence nationale de la sécurité informatique (ANSI) met, par ailleurs, régulièrement en garde le grand public contre des tentatives de phishing visant à dérober les données personnelles et bancaires des citoyens sur les réseaux sociaux.
Selon les spécialistes en la matière, ces cyber attaques exploitent des techniques d’usurpation d’identité en se faisant passer pour des institutions financières ou des fournisseurs de services de télécommunications, en lançant de faux concours, des prix fictifs et des offres trompeuses. Ces arnaques s’accompagnent souvent de témoignages et d’interactions falsifiées pour renforcer leur crédibilité. Les comptes personnels sont aussi la cible des pirates qui usent des données en leur possession pour menacer leurs victimes.
Pièces d’identité biométriques, une arme à double tranchant
Sur un autre plan, les cartes d’identité et passeports biométriques, considérés comme des outils innovants et sécurisants, marquent une étape importante dans la modernisation des systèmes administratifs. L’introduction de ces documents, régis par la loi organique n° 2024-23 du 11 mars 2024, modifiant et complétant la loi n° 75-40 du 14 mai 1975, relative aux passeports et aux documents de voyage, parue au Journal Officiel dans son édition du mardi 12 mars 2024, est prévue pour les mois qui viennent. Cette mesure vise à se conformer aux directives de l’Organisation de l’aviation civile internationale (OACI) pour la sécurisation des déplacements internationaux et aux normes internationales ainsi qu’à s’aligner sur les autres pays qui l’ont déjà adoptée.
Or, bien que prometteuse en termes de sécurité, l’adoption des documents biométriques comporte un risque majeur en cas de compromission de la base de données où sont stockées les informations personnelles des citoyens. Une telle base contient des données sensibles, comme les empreintes digitales, les photographies et d’autres identifiants biométriques, qui, si elles venaient à être piratées ou détournées, pourraient être exploitées à des fins malveillantes, telles que l’usurpation d’identité ou le chantage.
Dotés d’une puce électronique contenant des données personnelles, ces nouvelles pièces d’identité sont présentées comme un moyen efficace de lutter contre la fraude, l’usurpation d’identité et leur exploitation à des fins criminelles ou terroristes. Cependant, des questions subsistent : où seront stockées ces données sensibles ? Qui en aura l’accès ? Et surtout, comment garantir qu’elles ne soient pas utilisées à des fins malsaines ?
Selon certains spécialistes, il est possible et tout à fait faisable de stocker les données uniquement sur la puce et de procéder à l’identification des personnes en cas de besoin, sans créer une base de données biométriques, car il existe un risque de mettre en danger les données biométriques de tous les Tunisiens âgés de plus de 15 ans, en les concentrant dans un seul endroit.
C’est dire que ces crimes incitent à mettre les bouchées doubles pour préserver, de manière sûre, les données personnelles des citoyens et c’est à ce niveau que les autorités compétentes doivent faire encore plus pour y parvenir. En tous les cas, les compétences tunisiennes dans le domaine sont parfaitement au fait de tous ces risques.
Kamel ZAIEM