Cet article de Sajini Wickramasinghe a été publié à l'origine sur Groundviews, un site web primé de médias citoyens du Sri Lanka. Une version éditée et abrégée est publiée ici dans le cadre d'un accord de partage de contenu avec Global Voices.
Le 18 septembre, le gouvernement sri-lankais a publié une notification au journal officiel annonçant un projet de loi intitulé « Cybersécurité » visant à établir la Commission de sécurité en ligne proposée et à réglementer certains contenus des espaces en ligne. Ce projet de loi a fait l'objet d'une attention particulière, d'un discours et de critiques, et a été présenté au parlement le 3 octobre.
À ce stade, il est pertinent de comparer l'essence et l'objectif du projet de loi sri-lankais avec le projet de loi britannique sur la cybersécurité, adopté par le parlement le 19 septembre et actuellement en attente de la sanction royale. Comme le projet de loi britannique est un document volumineux, nous n'en aborderons que quelques éléments clés dans cet article, afin de montrer comment certains problèmes graves mis en évidence dans le projet de loi sri-lankais peuvent être abordés et résolus.
Dès le départ, le projet de loi britannique est parrainé par le ministère du Numérique, de la Culture, des Médias et des Sports, tandis que le ministère de tutelle du projet de loi sri-lankais est le ministère de la Sécurité publique. Bien que le Sri Lanka dispose de deux ministères distincts pour les médias de masse et la technologie numérique. Le retrait de ces deux ministères est discutable, étant donné que le projet de loi prétend assurer la sécurité en ligne. Dans le contexte actuel du projet de loi sri-lankais, des tâches telles que la nomination d'experts en technologies de l'information pour mener des enquêtes (section 37), la conservation et l'interception de données et d'informations, y compris de données relatives au trafic, à des fins d'enquête (section 39 (2)) et l'élaboration globale de règlements en vertu de la loi (section 54), seront exécutées par le ministre de la Sécurité publique sans aucune implication des ministères chargés des médias et des technologies.
Définitions
Le projet de loi sur la cybersécurité est un autre texte législatif sri-lankais qui comporte des imprécisions en raison de l'absence de définitions. Par exemple, l'article 3 (a) du projet de loi sri-lankais stipule que l'un des objectifs est de « protéger les personnes contre les dommages causés par la communication de fausses déclarations ou de déclarations menaçantes, alarmantes ou angoissantes ». Ces termes sont à nouveau utilisés à l'article 22, pour définir le harcèlement :
Le harcèlement est un acte ou un comportement qui a pour effet de menacer, d'alarmer ou d'affliger une personne, de porter atteinte à sa dignité ou de créer un environnement intimidant, dégradant, hostile, humiliant ou offensant, ou qui a tous ces effets.
Les mots « menacer », « alarmer » et « affligeant » ne sont pas définis, ce qui laisse place à l'interprétation. Des mots tels que « intimidant » et « offensant » sont des termes vagues qui ne peuvent rester indéfinis dans la législation. Une déclaration hilarante pour l'un peut être angoissante et offensante pour l'autre et, par la suite, dans ce cas, pour la Commission de la cybersécurité . Des aspects tels que le contexte, l'intention et l'étendue sont primordiaux pour déterminer si certains contenus en ligne doivent être interdits et si leurs éditeurs doivent être sanctionnés.
Un autre exemple se trouve à l'article 36, qui traite de la lutte contre les comportements inauthentiques coordonnés et les comptes en ligne inauthentiques. Le comportement inauthentique coordonné est défini comme «une activité coordonnée menée à l'aide de deux comptes en ligne ou plus, afin d'induire en erreur les utilisateurs finaux au Sri Lanka de tout service intermédiaire sur l'internet sur quelque sujet que ce soit, mais exclut toute activité menée à l'aide de comptes en ligne » :
(a) qui sont contrôlés par la même personne ; et (b) dont aucun n'est un compte en ligne inauthentique ou n'est contrôlé par un robot.
Dans ce contexte, l'utilisation d'un filtre pour modifier votre apparence sur Instagram et le fait que quelqu'un en soit affligé ou offensé relèveraient-ils de cette disposition ? En tant que tel, le projet de loi comporte plusieurs ambiguïtés qui empêchent de comprendre raisonnablement l'intention du législateur ou l'objectif positif de son incorporation.
Le projet de loi britannique a été méticuleux et précis dans la définition des termes utilisés. Sans utiliser des termes tels que « distressing », « intimidating » ou « offensive », le projet de loi a inclus le « threatening communications offence » dans l'article 162. Pour qu'il y ait menace, il faut que le message transmis soit une menace de mort ou de dommage grave et qu'au moment de l'envoi, la personne.. :
(i) avait l'intention de faire craindre à une personne rencontrant le message que la menace serait mise à exécution, ou (ii) ne s'est pas soucié de savoir si une personne rencontrant le message craindrait que la menace soit mise à exécution.
Au sens de la présente section, les dommages graves sont définis comme suit :
(a) des blessures graves équivalant à des lésions corporelles graves au sens de la loi de 1861 sur les infractions contre les personnes, b) un viol, c) une agression par pénétration au sens de l'article 2 de la loi de 2003 sur les infractions sexuelles, ou d) une perte financière grave.
Il est évident que la définition a établi un seuil manifeste et élevé qui ne peut être utilisé abusivement dans l'exercice des pouvoirs conférés par la loi. Ainsi, une caractéristique louable du projet de loi britannique est que des définitions claires sont systématiquement fournies pour les termes qui peuvent être considérés comme vagues ou trop larges, minimisant ainsi les possibilités d'abus de pouvoir.
Devoirs à l'égard des droits de l'homme et de la démocratie
Le projet de loi sur la cybersécurité du Sri Lanka est totalement silencieux sur la protection des droits et des libertés démocratiques, en particulier la liberté d'expression, lorsqu'il s'agit d'assurer la sécurité en ligne. L'utilisation même de certains termes tels que « offensant », « angoissant » et « intimidant », ainsi que l'absence de définitions, violent intrinsèquement la liberté de parole et d'expression en conférant à la commission, nommée par le président exécutif, des pouvoirs illimités pour pénaliser les éditeurs qu'ils considèrent comme violant la loi.
Le projet de loi britannique, quant à lui, comporte certaines caractéristiques importantes et nécessaires pour équilibrer la liberté et la sécurité. L’Office of Communications (OFCOM) est l'organisme de régulation prévu par le projet de loi, et des types définis de fournisseurs de services se voient assigner un grand nombre de devoirs, y compris, mais sans s'y limiter, des devoirs concernant la liberté d'expression et la vie privée, des devoirs de protection du contenu d'importance démocratique, des devoirs de protection du contenu des éditeurs de nouvelles et des devoirs de protection du contenu journalistique, afin d'accepter et de garantir que les droits et les libertés ne sont pas menacés lors de la régulation des espaces en ligne. Dans la section 18, les obligations relatives à la liberté d'expression et à la vie privée sont identifiées comme des obligations transversales. En vertu de cette section, les fournisseurs de services sont tenus de réaliser des évaluations d'impact et de les publier, en notant l'impact de leur politique et de leurs mesures de sécurité sur l'expression, notamment sur le contenu journalistique et celui des éditeurs de presse.
Plusieurs dispositions obligent l'OFCOM à protéger la liberté d'expression et la vie privée. Ainsi, l'article 69 prévoit que l'OFCOM doit consulter des personnes qu'il considère comme compétentes en matière d'égalité et de droits de l'homme, en particulier de liberté d'expression et de droit à la vie privée, lors de l'élaboration d'un rapport de transparence guidant les fournisseurs de services dans l'élaboration d'un rapport sur leurs services. En vertu de l'article 144, le rapport de l'OFCOM pour chaque exercice financier doit contenir une déclaration sur les mesures qu'il a prises et les procédures qu'il applique pour s'assurer que ses fonctions de cybersécurité ont été exercées au cours de cet exercice de manière compatible avec la liberté d'expression et le droit au respect de la vie privée. Alors que le projet de loi britannique comprend plusieurs autres dispositions à cet effet, il est décourageant, mais non surprenant de voir que le projet de loi sri-lankais n'impose pas de devoirs et ne protège pas activement les droits et les libertés démocratiques.
Protection de l'enfance
De nombreuses entités, dont la Commission des droits de l'homme du Sri Lanka, ont salué le projet de loi sri-lankais pour son inclusion de la maltraitance des enfants par le biais de moyens en ligne. L'article 22 du projet de loi sri-lankais codifie la maltraitance des enfants par toute personne au Sri Lanka ou à l'étranger, dans les espaces en ligne, comme un délit passible d'une peine d'emprisonnement n'excédant pas 20 ans ou d'une amende, ou des deux à la fois, ainsi que d'une indemnisation des enfants concernés. Toutefois, l'examen de législations similaires, y compris le projet de loi britannique, indique que le projet de loi sri-lankais dispose d'un vaste potentiel pour améliorer la protection des enfants, en particulier pour adopter des mécanismes préventifs.
Le projet de loi britannique a pris en compte la protection des enfants en prévoyant des évaluations des risques pour les enfants, des obligations de sécurité pour les protéger, une évaluation de la manière dont les services susceptibles d'être consultés par les enfants peuvent se conformer à leurs obligations d'évaluation des risques pour les enfants, et des dispositions sur le signalement des contenus qui exploitent les abus sexuels commis sur les enfants. Ces mesures préventives, telles que l'évaluation des risques, de l'accès et de la sécurité, sont d'une importance capitale pour garantir la sécurité globale en ligne, car il est très difficile de traquer les auteurs dans le cyberespace.
Dernières inquiétudes
La concentration des pouvoirs auprès du président, en particulier en ce qui concerne la Commission pour la cybersécurité et ses nominations, privant la commission de son indépendance est un autre point clé du projet de loi, qui a été porté à l'attention de nombreuses entités à maintes reprises. Il est évident que le projet de loi sur la cybersécurité du Sri Lanka est loin d'être un instrument aspirant réellement à rendre les espaces en ligne plus sûrs. Il a le potentiel d'être principalement un outil antidémocratique dangereux qui peut entraver les droits de l'homme, en particulier la liberté d'expression, victimiser les individus et déclencher des agendas cachés.
Il ne s'agit pas de faire l'éloge du projet de loi britannique, car il existe également des suggestions pour cet instrument. Toutefois, comme il s'agit d'une législation contemporaine, il est indéniable qu'elle est beaucoup plus avancée et multiforme dans sa compréhension et dans les mécanismes mis en place pour assurer la cybersécurité à la fois de manière protectrice et préventive. Par conséquent, les législateurs sri-lankais devraient prendre toutes les mesures possibles pour fournir un instrument complet et bien fondé axé sur la protection du public et non un autre cheval de Troie.