NAWAZ DOOKHEE
Avocat
Expert en droit des TIC
Il y a dix jours, il était moins clair si une opération de ‘sniffing’ ou de ‘data capture’ avait bel et bien eu lieu à Baie du Jacotet. Aujourd’hui, ce doute est dissipé car l’ex-Chief Technical Officer (CTO) de Mauritius Telecom (MT), qui était sur le site avec des techniciens indiens, a confirmé qu’une « intervention », a priori hors normes, a indiscutablement eu lieu sur la « landing station ». En vertu de nos lois, la section 32 (5) et (6) ICT Act, l’interception est autorisée dans des circonstances très limitées. C’est l’exception à la règle. Le 15 avril 2022, aucune de ces circonstances exceptionnelles n’a transpiré dans les déclarations officielles, sauf qu’un « survey » était nécessaire pour sécuriser le réseau.
J’avais rappelé le 16 juillet dernier dans la page Forum du Mauricien, qu’une telle intervention ne pouvait se faire sans l’autorisation du régulateur des TIC, en vertu de plusieurs sections de l’ICT Act que j’avais précisées. Plusieurs de nos lois, soulignons-le, criminalisent le recueil des données ou la divulgation non-autorisée de celles-ci. Par exemple la Data Protection Act 2017, la Cybercrime and Cybersecurity Act 2021 et l’ICT Act 2001. Sous les ‘Privacy Laws’, cela s’assimile à une violation de lois touchant à la vie privée où une personne envahit mon espace privé, écoute et affiche toutes mes activités en ligne (en langue créole – un « bhai looke » version virtuelle !). Sous l’article 22 du Code Civil, sous le titre ‘Du respect de la vie privée’, on peut lire ceci : « Chacun a droit au respect de sa vie privée. Les juridictions compétentes peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie. »
Les preuves : le nœud du problème
Bien qu’il existe des preuves circonstancielles que l’on brandit à droite et à gauche, la principale question qui semble avoir échappé à tout le monde est celle-ci : comment prouver effectivement qu’il y a eu une capture de données ? Les témoignages oraux suffiront-ils ? À mon plus humble avis, la Cour exigera plus qu’un témoignage oral ou même un rapport explicite venant d’un technicien présent sur le site de Baie du Jacotet le 15 avril 2022. En passant, le rapport de l’ex-CTO, présenté comme faisant autorité, est loin d’être complet avec une partie du contenu pouvant se prêter à la controverse.
N’est-il également pas ‘in order’ de souligner que même l’ex-CEO de MT n’est pas exempt de tout blâme car n’a-t-il pas permis la capture illégale (selon ses propres mots) de données alors qu’il était tenu, en tant qu’un ‘licencee’ responsable de l’ICTA, de soumettre une demande pour cette opération au régulateur même si MT est copropriétaire du câble SAFE? De plus, il n’a alerté ni soulevé aucune inquiétude jusqu’à fin juin. Son silence est éloquent pendant cette période avant qu’il ne démissionne de son poste. L’élément le plus révélateur dans sa conduite est qu’il n’a pas jugé bon de porter cette affaire devant le conseil de MT au cours de ces trois derniers mois. En outre, il n’a révélé aucune preuve documentaire émanant du PMO jusqu’ici.
Quelqu’un a suggéré que l’ICTA n’a vraisemblablement pas approuvé l’importation du dispositif d’interception. Selon mon entendement, un ordinateur portable pourrait constituer tout l’équipement nécessaire avec un logiciel de décryptage pour capturer les données aux fins d’analyse. Contrairement aux affirmations ridicules dans certains quartiers, cela ne fera ni exploser l’ordinateur ni ne déclenchera un incendie, et un simple disque dur externe avec une capacité suffisante fera le nécessaire.
Le « survey », réalisé en avril 2022, avec la bénédiction des plus hautes sphères, était, à mon humble opinion, à la fois une enquête et un recueil de données. Il s’agissait, parait-il, quoiqu’hypothétiquement, d’une enquête visant à saisir des données pour déterminer le type de dispositif d’interception à raccorder. La présentation des données qui auraient été capturées, constitue, selon moi, la seule preuve tangible pour établir exactement ce qui a été capté, comment elles ont été captées et de surcroît, s’il y a eu violation des lois susmentionnées.
Nous savons maintenant que cette capture des données a été faite uniquement grâce à des outils appartenant à des tiers. Ces données ne sont pas en possession de MT ou de qui que ce soit à Maurice; ou le sont-elles ? S’il y a enquête, comment récupérer cette preuve ? À travers une assistance initiée à la demande de L’Attorney General alors que nous connaissons déjà, suite à sa conférence de presse, sa position sur le sujet ? Ou devrons-nous chercher une ordonnance d’extradition sommant un pays étranger à nous remettre ces précieuses données considérant qu’en vertu de la section 52 de la loi sur la Cybercrime et la Cybersecurity de 2021, il est affirmé ce qui suit : « Extradition: Any offence under this Act shall be considered to be an extraditable crime for which extradition may be granted or obtained under the Extradition Act. »
Cette demande de capture de données, quelle que soit l’origine de la demande, nous a montré à quel point nos lois s’entremêlent dans le secteur de la technologie et nous fait appréhender l’aspect multijuridictionnel de l’industrie des télécoms. Les autorités peuvent-elles agir proprio motu ? Cette initiative reviendrait-elle à l’ICTA, à la Data Commissionner ou au Commissaire de Police ? Il ne sera probablement pas possible de prouver une violation de la loi faute de preuves tangibles. Rien ne nous empêche cependant de conclure qu’il y a bien eu violation des règles morales et de la confiance qui doit exister entre les gouvernés et le gouvernant.