L’identification des abonnés aux services de communications électroniques et des clients des cybercafés était régie jusque-là par le décret n°2018-1270/PRES/PM/MDENP/MSECU du 31 décembre 2018, adopté en application de la loi n°061-2008/AN du 27 novembre 2008 sur les réseaux et services de communications électroniques. Ce décret visait notamment à résoudre la problématique déjà ancienne des modalités d’accès aux cartes SIM. On se souvient encore des années 2009-2010 quand il était particulièrement facile pour quiconque de se procurer un nombre illimité de cartes SIM pour soi ou pour autrui avec n’importe quelle pièce d’identité et quand il était courant de se voir vendre une carte SIM pré-identifiée au nom du revendeur. À l’époque, l’Autorité de régulation (ARCEP) était déjà montée au créneau contre ces pratiques (v. Décision n° 2010 -000140/ARCE/CR du 28 septembre 2010 et la rencontre d’information avec les distributeurs et les opérateurs de téléphonie mobile, du 21 août 2012). Mais le décret visait surtout, dans un contexte de lutte contre le terrorisme, à permettre aux autorités publiques de disposer d’une base de données fiables des usagers des services de communications électroniques (Conseil des ministre, 8 juin 2018) ; ce qu’il n’a pas pu pleinement apporter après cinq (5) années d’application. Le 17 mars 2023, lors d’une session plénière, les députés de l’Assemblée législative de transition (ALT) avaient d’ailleurs rappelé à la Ministre en charge des communications électroniques que les mesures encadrant la vente des cartes SIM étaient insuffisantes et que l’étaient également les sanctions encourues par les opérateurs de téléphonie mobile. Il en était ressorti par ailleurs que les cartes SIM constituaient un véritable souci sécuritaire, tant les terroristes s’en procureraient facilement et les utiliseraient pour tendre facilement des embuscades aux Forces de défenses et de sécurité (B24, 17 mars 2023).
Prenant acte de cette nécessité d’adapter le cadre règlementaire de l’identification des abonnés au niveau de la menace sécuritaire et de fournir une réponse aux détournements d’usage des services de communications électroniques, le Conseil des ministre du 18 octobre 2023 a acté la relecture du décret. Le décret n° 2023-1721/PRES-TRANS/PM/MTDPCE/MATDS portant modalités d’identification des abonnés aux services de communications électroniques et des cybercafés, a finalement été signé le 15 décembre 2023 par le Président de la Transition. Il accorde aux fournisseurs de services de communications électroniques un délai transitoire de trois (3) mois à compter de sa date d’entrée en vigueur pour s’y conformer. Pour ce qui est de son contenu, s’il reprend pour l’essentiel les disposition de son prédécesseur au sujet des responsabilités qu’ont les fournisseurs de services de communications électroniques de veiller à l’identification de leurs abonnés et/ou clients, il introduit également d’importants changements. Cela se remarque déjà à travers sa longueur. Alors que le texte précédent contenait 27 articles, le nouveau lui en contient 36, soit 9 de plus.
Comme on pouvait s’y attendre, plutôt qu’un renforcement de la protection des données des abonnés et clients, la relecture a surtout consisté en une réponse aux besoins de la lutte contre le terrorisme. Elle a accrue les prérogatives des autorités publiques, limité le nombre de pièces pouvant servir à l’identification et relevé le niveau de responsabilité des opérateurs. L’objectif annoncé était justement d’assurer un meilleur encadrement de l’accès aux cartes SIM et une fiabilité des données des usagers des services de communications électroniques en vue de lutter efficacement contre leur utilisation à des fins illicites. Si les points qui ont retenu l’attention de l’opinion publique ont concerné la précision des éléments d’identification (1) et la limitation de l’accès aux cartes SIM (2), le décret a permis par ailleurs de rendre plus sévère la sanction des éventuels manquements aux obligations des opérateurs (3).
1.- Identification des abonnés
Les articles 5 et 6 du décret rappellent que les services de communications électroniques ne peuvent être fournis à un abonné ou un client qu’après son identification et que celle-ci doit notamment concourir à renseigner les services en charge de la sécurité nationale et les autorités judiciaires (art. 6). Du reste, toutes les données d’identification doivent être transférées à l’ARCEP et au Centre de documentation du Ministère en charge de la Sécurité. Les modalités de ce transfert doivent être définies par arrêté conjoint du Ministre en charge de la Sécurité et celui en charge des communications électroniques sur proposition de l’ARCEP (art. 15). En plus, pour s’assurer de la fiabilité des données, le décret accorde aux fournisseurs un accès à la base de données de l’Office Nationale d’Identification (ONI) conformément à l’arrêté n° 2021-0789/MSECU/SG/ONI portant modalités d’accès à la base de données de l’ONI (art. 32). Il est précisé que chaque fournisseur ou opérateur est responsable de l’identification sur l’ensemble de son circuit et son réseau de distribution et, pour ce faire, il est tenu de mettre à la disposition de ses distributeurs, le matériel requis. Il est également tenu d’assurer la conservation et la sécurité des données et papiers d’identification.
Les informations à recueillir pour l’identification sont désormais reparties en fonction de la qualité du souscripteur. Pour les personnes physiques majeures, il est requis une liste d’informations minimales contenant aux termes de l’article 10 : les nom et prénoms, les date et lieu de naissance, le lieu de résidence au moment de la souscription, les références de la pièce qui a servi à son identification (numéro, date et lieu d’établissement, l’autorité l’ayant établi et la date d’expiration). On n’y retrouve plus la profession ou le secteur d’activités (cela est certainement dû au fait que cette mention n’est plus visible sur la carte d’identité), ni la personne à prévenir en cas de besoin. Aux fins de son identification, le souscripteur doit fournir une pièce en cours de validité qui peut être (art. 14, al. 1) sa carte nationale d’identité s’il est burkinabè, son passeport s’il est étranger, sa carte consulaire, sa carte d’identité de réfugié ou son attestation de réfugié délivrée par la Commission nationale pour les réfugiés. On constate une limitation du nombre de ces pièces, certainement pour en assurer la fiabilité et contrôler l’accès aux services. Ainsi, la possibilité pour les ressortissants de la CEDEAO de produire leur carte nationale d’identité a disparu (ils doivent désormais produire un passeport). Il en est de même de la carte militaire pour les militaires et de l’attestation d’inscription à un ordre professionnel pour les professions libérales. En cas de souscription pour autrui (art.11), le mandataire doit fournir sa pièce d’identité, celle du mandant et un acte de procuration dûment établi. Les copies de ces pièces et les informations d’identification du mandataire sont conservées par le fournisseur du service.
Le mineur, s’il a 15 ans ou plus, peut désormais souscrire seul. S’il a moins de 15 ans au jour de la souscription (art. 12), celle-ci est faite par l’un de ses « parents biologiques » (une nouvelle limitation au père ou à la mère biologique) ou son représentant légal (tuteur notamment). Celui-ci est tenu de signaler au fournisseur qu’il le fait pour un mineur de moins de 15 ans. Le fournisseur doit exiger une pièce d’identité du parent biologique ou du représentant légal ainsi que la preuve du titre en vertu duquel il agit (selon les cas, extrait d’acte de naissance du mineur portant mention du nom et du prénom des parents, copie de la décision de justice statuant sur l’autorité parentale, décision du conseil de famille qui désigne le tuteur…). Le fournisseur conserve copies des pièces produites et des informations d’identification du souscripteur et du mineur. Il est précisé que le mineur et le souscripteur sont solidairement responsables de l’utilisation du service.
Les souscriptions au profit des personnes morales (art. 13) sont faites sur demande adressée à l’opérateur par le représentant légal. Le fournisseur recueille les références de la lettre de demande, le numéro d’identification fiscale unique, le nom ou nom commercial, le statut juridique (société, association, fondation), les date et lieu de création, l’objet social, l’adresse postale et le numéro de téléphone le cas échéant ainsi que les données d’identification du représentant légal. Pour ce faire, le représentant légal doit produire l’une ou l’autre des pièces (art. 14, al. 2) : extrait du registre de commerce et du crédit mobilier, récépissé (associations et fondations), acte de création (structures publiques), accords de siège et autre convention (organisations internationales, missions diplomatiques, ambassades). Il est également exigé la pièce d’identité du représentant légal. À défaut de ces pièces, le fournisseur doit refuser le service. Au-delà de toutes ces informations, les exploitants de cybercafés doivent enregistrer l’identifiant du terminal utilisé pour la connexion et les dates et heures de début et de fin de la connexion (art. 27).
Les informations qui répondent à la qualification de données personnelles doivent être traitées conformément à la loi dédiée (art. 18). Elles doivent être conservées aussi longtemps que les abonnés restent actifs sur les réseaux. En cas de résiliation de l’abonnement, pour les opérateurs de réseaux et services de communication électroniques, la suppression des données doit intervenir 5 ans après la dernière utilisation du service. Mais avant toute suppression, une copie doit être transmise à l’ARCEP (art. 17). Les exploitants de cybercafés et les fournisseurs d’accès à internet eux conservent les données d’identification de leurs abonnés et/ou clients pensant toute la durée d’utilisation des services et pendant une durée de deux (2) ans à compter de la cessation de l’utilisation de ces services (art. 28).
2.- Dispositions relatives aux cartes SIM
Les conditions entourant l’accès aux cartes SIM ont été aussi renforcées. Les opérateurs doivent encoder les données d’identification de l’abonné avant l’activation d’une carte SIM (art. 21). La vente ou la donation de cartes SIM pré-activées et sans identification est interdite, de même que la vente de cartes SIM pré-identifiées. Pour empêcher les « ventes à la sauvette », il est imposé aux opérateurs de prendre des dispositions pour s’assurer que les ventes de cartes SIM sont faites dans leurs agences et dans des points de vente agréés. Ces points de vente doivent être répertoriés par l’opérateur et la liste mise à jour et régulièrement transmise à l’ARCEP. Ensuite, alors que sous le décret de 2018 il était possible pour une seule personne physique de se voir attribuer jusque 5 cartes SIM par opérateur, le nouveau texte réduit ce nombre à 2, sauf autorisation préalable et expresse de l’ARCEP (art. 22). Autre nouveauté, interdiction est faite de faire usage d’une Carte SIM identifiée au nom d’une personne décédée (art. 24). En cas de transfert de carte SIM, l’opérateur doit en être informé et doit procéder à la vérification de l’identité du cédant et du nouvel utilisateur. Dans ce cas, la carte SIM est identifiée au nom du nouvel utilisateur. Le décret impose également aux opérateurs, sur injonction de l’ARCEP ou de l’autorité judiciaire, de désactiver les cartes SIM utilisées pour commettre des délits (art. 25).
3.- Dispositions relatives aux sanctions
Le niveau des sanctions a également été revu à la hausse pour ce qui est des opérateurs de télécommunication (art. 29). C’est la prise en compte des critiques faites par les députés de l’ALT durant la session plénière du 17 mars 2023. Si le défaut d’identification est toujours sanctionné par 100 000 FCFA par numéro ou dispositif d’accès non identifié, cela vaut désormais par jour à partir du début de l’utilisation du service. La pré-identification et la pré-activation sont aussi sanctionnées par 100 000 FCFA/jour à partir du début de l’utilisation du service. Quant au non-respect du nombre maximum de cartes SIM, il fait l’objet d’une sanction pécuniaire de 100 000 FCFA par numéro supplémentaire attribué et par jour à partir du début de l’utilisation du service. Pour les fournisseurs d’accès à internet et les exploitants de cybercafés, les dispositions de l’ancien décret ont été reconduites : 50 000 FCFA par abonné ou client non-identifié pour les fournisseurs d’accès et 5000 par abonné ou client non identifié pour les cybercafés. Toutefois, il désormais possible de les assortir également d’une astreinte. Toutes les sanctions peuvent désormais être assorties d’astreintes.
Dans l’ensemble, si la situation de la menace terroriste justifie certaines des exigences introduites par ce décret (relèvement du niveau des sanctions, obligation pour les opérateurs de répertorier, de tenir à jour la liste des points de vente et de la transmettre à l’ARCEP, limitation du nombre de cartes SIM par abonné et par opérateur, interdiction de l’usage de la carte SIM d’une personne décédée, encadrement de la souscription pour autrui et des transferts de cartes SIM), d’autres peuvent en revanche inquiéter en terme de protection des données des abonnés. C’est le cas notamment de la quantité des données et pièces que les opérateurs sont autorisés à collecter et conserver. Cette conservation peut notamment poser des problèmes de sécurité. Est aussi préoccupante, l’obligation qui est faite aux opérateurs de transférer toutes les données d’identification au Centre de documentation du Ministère en charge de la sécurité (art. 15, al. 1). On s’interroge notamment sur son utilité. L’article 16 du décret permet déjà aux services de sécurité et de la sureté de l’État d’accéder aux données d’identification « en tant que de besoins » et conformément aux lois et règlements en vigueur. De même l’article 19 oblige les opérateurs à répondre, conformément à la loi, dans un délai maximal de 48 h aux injonctions et demandes d’informations des autorités compétentes relatives aux données d’identification. L’arrêté conjoint annoncé à l’article 15, alinéa 2 devrait permettre d’en saisir les contours.
Par Arnaud NADINGA.