Nouvelle loi sur la cybersécurité : l’État d’Erdogan prend le contrôle total de nos données personnelles !

Levent Kenez/Stockholm

Un projet de loi ambitieux sur la cybersécurité récemment présenté au Parlement turc suscite de vives réactions, les critiques exprimant leurs inquiétudes quant aux menaces potentielles pour les droits de l’homme et les libertés individuelles. Si ce texte vise à renforcer les défenses du pays face à la montée des cybermenaces, ses dispositions suscitent des inquiétudes quant à la surveillance, à la confidentialité des données et à la concentration du pouvoir au sein des institutions gouvernementales.

La commission de la défense nationale du Parlement a adopté le projet de loi le 20 janvier et il a été soumis pour approbation. Le texte devrait être examiné rapidement afin de fournir une base juridique à la Direction de la cybersécurité, fondée par le président Recep Tayyip Erdoğan le 8 janvier.

La législation proposée confère de larges pouvoirs à cette nouvelle direction, notamment la capacité de collecter et de stocker une grande quantité de données provenant des institutions publiques et des fournisseurs d’infrastructures critiques. L’article 6 autorise la collecte de données de connexion et leur transfert vers ses systèmes, faisant craindre une surveillance incontrôlée.

De plus, l’article 8 autorise des inspections sur place et des perquisitions à domicile avec peu de garanties. Dans les cas jugés « urgents », ces actions pourraient être menées sans autorisation judiciaire préalable, ce qui soulève des inquiétudes quant à d’éventuels abus et violations du droit à la vie privée.

Des termes clés tels que « cybermenace » et « infrastructure critique » restent vagues dans le texte de la loi. Les critiques estiment que cette ambiguïté pourrait conduire à des applications arbitraires et abusives de la loi, affectant de manière disproportionnée les individus, organisations ou entreprises reconnus dans ces catégories. Les journalistes et les groupes de la société civile ont exprimé leur inquiétude face à l’article 16, qui impose des sanctions sévères, y compris des peines de prison, pour diffusion de « fausses informations » sur des fuites de données ou pour ciblage d’institutions avec des allégations non vérifiées. Ils estiment que cette disposition pourrait être utilisée pour museler les lanceurs d’alerte, le journalisme d’investigation ou toute voix dissidente sous prétexte de protéger la cybersécurité nationale.

Texte du projet de loi sur la cybersécurité soumis au Parlement :

Cybersécurité à résoudre

Aux termes des articles 5 et 6, la direction se positionne comme l’autorité centrale pour la mise en œuvre et le respect des mesures de cybersécurité. Cependant, l’absence d’un mécanisme de contrôle indépendant suscite des inquiétudes quant à un pouvoir inapproprié. Les garanties judiciaires semblent limitées, notamment avec des dispositions autorisant la collecte de données et des actions intrusives sans contrôle judiciaire suffisant en cas d’urgence.

Un autre aspect controversé de la loi est sa disposition concernant le partage de données avec des entités internationales (article 6). Les critiques mettent en garde contre le manque de mesures explicites de protection des données, qui pourraient exposer des informations sensibles à une utilisation abusive par des gouvernements ou des organisations étrangères.

Bien que le projet de loi inclue un engagement en faveur des droits de l’homme et de l’état de droit à l’article 4, le manque de protections spécifiques de la vie privée et de la liberté d’expression a suscité d’importantes critiques. Les défenseurs des libertés civiles réclament une approche plus équilibrée qui réponde aux préoccupations de sécurité nationale sans compromettre les principes démocratiques.

Le député du Parti social, Alev Sezen, a vivement critiqué le nouveau projet de loi, soulignant ses mesures controversées. Sezen a écrit que saisir et copier des données, sans contrôle judiciaire suffisant, constitue un dangereux précédent », ajoutant : « Ce projet de loi transfère des pouvoirs judiciaires essentiels à une institution politiquement affiliée, portant ainsi atteinte à l’intégrité de notre système juridique. »

L’Association pour la liberté d’expression a également exprimé de sérieuses préoccupations concernant la loi. Dans une déclaration publique du 16 janvier, l’association a détaillé les risques sérieux que le projet de loi fait peser sur les droits humains fondamentaux, notamment la liberté d’expression, la protection des données personnelles et la vie privée. Même si la mission de la loi est de renforcer la cybersécurité nationale, elle introduit des dispositions rappelant une approche « orwellienne », conférant à la direction de la cybersécurité des pouvoirs vastes et non réglementés. Ces dispositions risquent de restreindre directement les droits et libertés individuels, prévient l’association.

Elle a insisté sur le fait que le recours au projet de loi sur des concepts vagues, tels que « infrastructures critiques » et « services publics critiques », associés à des sanctions judiciaires et administratives disproportionnées, viole le principe de sécurité juridique. Déléguer le pouvoir de définir ces termes à la direction (en vertu de l’article 5) affaiblit le contrôle parlementaire et pourrait conduire à des classifications arbitraires des institutions, y compris des entités autonomes telles que les universités. Cette concentration du pouvoir soulève d’importantes préoccupations constitutionnelles, notamment des violations du principe de légalité énoncé à l’article 123 de la Constitution. L’association a appelé le Parlement à réviser substantiellement ou à retirer complètement le projet de loi visant à protéger les droits fondamentaux et les principes démocratiques.

Le projet de loi intervient à un moment où les menaces à la cybersécurité se multiplient localement. Les inquiétudes concernant la sécurité des données personnelles en Turquie se sont intensifiées à la suite d’une série de révélations médiatiques très médiatisées et d’allégations croissantes de violations de bases de données publiques. Les médias ont souligné que les informations personnelles des citoyens, y compris les données sensibles provenant des bases de données gouvernementales, étaient proposées à la vente en ligne pour seulement 20 à 30 dollars. Les députés de l’opposition ont même présenté des preuves documentées au Parlement, démontrant la large disponibilité de ces données. Parmi les allégations les plus alarmantes figurent ces violations répétées de la base de données du Conseil électoral suprême (YSK) et le manque présumé de sécurité des dossiers du ministère de la Santé.

Dans une démonstration frappante de ces vulnérabilités, le journaliste İbrahim Haskoloğlu a publié en 2022 des copies de documents d’identité appartenant prétendument au président Recep Tayyip Erdoğan et au chef de l’Organisation nationale de renseignement (MİT) Hakan Fidan. Haskoloğlu a partagé ces images sur les réseaux sociaux le 12 avril 2022, indiquant qu’il avait été contacté par un groupe de hackers affirmant avoir volé des données sur le site gouvernemental E-devlet, où sont stockées les informations des citoyens ainsi que d’autres plateformes étatiques. “Il y a environ deux mois, un groupe de hackers m’a contacté lors d’une émission”, a écrit Haskoloğlu. «Ils ont affirmé avoir accédé aux données d’E-devlet et d’autres sites étatiques et ont continué à divulguer ces informations. Ils ont même partagé des détails sur certains responsables, notamment de nouvelles cartes d’identité. Le briefing d’Haskoloğlu a attiré l’attention sur les faiblesses systémiques de la sécurité des données, mais a également conduit à son arrestation le 19 avril 2022. Il a été détenu pendant huit jours avant d’être libéré pour être jugé.