Contexte politique
Les élections présidentielles ont eu lieu le 20 mai 2020 malgré l’épidémie de coronavirus.
C’est le général Evariste Ndayishimiye, dauphin de Pierre Nkurunziza, décédé en juin 2020, qui a été élu à 73,9% des voix, des résultats décriés par l’opposition comme « fantaisistes ».
Le gouvernement avait annoncé que les observateurs qui viendraient pour surveiller le processus électoral devraient passer deux semaines en quarantaine, les empêchant donc d’effectuer leur observation, l’élection s’est ainsi passée à huis clos.
Le jour du vote,l’accès aux réseaux sociaux a été bloqué pendant toute la journée, notamment impossibilité d’accéder aux réseaux sociaux (notamment Facebook, Twitter, WhatsApp et Youtube) sur les réseaux des opérateurs de téléphonie mobile locaux que sont Econet, Onatel et Lumitel.
Une organisation travaillait sur la thématique dans le pays mais elle a fermé au moment où son directeur a été arrêté.
Contexte légal
Selon les associations de défense des droits numériques, de nombreuses législations ont été introduites au Burundi au cours de la décennie passée pour légitimer les pratiques d’abus et de surveillance de l’État.
Décret-loi n°1/011 de 1997 portant dispositions organiques sur les télécommunications.
Ce décret-loi créée l’Agence de Régulation et de Contrôle des Télécommunications (ARCT) qui a pour rôle le contrôle et la régulation du secteur des télécommunications. Elle vient compléter le travail de l’autre autorité de régulation au Burundi, le Conseil National de la communication (CNC) créé en 1992 qui est chargé lui spécifiquement de la régulation des médias. Ces deux institutions sont des organismes d’exécution et ne sont pas chargées de la réforme de la réglementation qui relève du Ministère de la Jeunesse, des Postes et des TIC.
Au sein du ministère a été créé le Secrétariat Exécutif des TIC (SETIC) qui a, entre autres missions, celle de promouvoir la politique nationale des TIC et la mise en œuvre du Plan d’action de développement des technologies de l’information et de la communication (le Plan NICI).
La Loi n°1/025 du 27 novembre 2003 régissant la presse, mentionne explicitement les informations publiées sur Internet. L’article 18 du texte stipule que : « avant la publication de tout journal, écrit périodique ou agence de presse sur le Web, il sera fait au Conseil National de la Communication et au parquet du Procureur de la République […] une déclaration de publication ». Cette dernière doit comprendre toutes les informations sur le journal et sur l’identité du directeur de la publication.
En mai 2012, le Burundi a amendé la loi de 2003 régissant la presse pour renforcer les dispositions régulant les publications papiers ou sur internet (articles 26-35 ; 44-45, loi 1/11 du 4 juin 2013). La loi impose également des restrictions sur la manière dont les médias peuvent rendre compte de questions touchant à l’ordre public, la sécurité nationale, la souveraineté nationale, l’unité nationale, ou bien la moralité. L’article 20 de la loi de juin 2013 oblige les journalistes à révéler leurs sources lorsque les informations données sont liées à la défense nationale ou l’ordre public. En septembre 2018, une nouvelle loi sur les médias (loi 1/19 du 14 septembre 2018) est adoptée : son article 62 interdit la publication de « tout contenu contraire à la morale ou qui pourrait menacer l’ordre public ». Le flou sur les termes utilisées pourrait faciliter la censure et les poursuites contre les médias.
La Loi n°1/05 du 22 avril 2009 portant révision du Code pénal contient des articles sur la cybercriminalité dans son chapitre V portant sur la criminalité informatique.
La Loi organique n°1/03 du 20 février 2017 portant sur les missions, organisation, composition et fonctionnement de la police nationale au Burundi établit, dans son article 83, la création d’un service chargé à la cybercriminalité au sein de la police nationale.
En avril 2014, le décret n° 100/97 oblige les fournisseurs de services de télécommunications à assurer la géolocalisation des utilisateurs finaux et leur identification « pour les besoins de la sécurité publique, de la lutte contre la fraude, de la poursuite des infractions pénales » (articles 29 et 30). Cette même loi a augmenté le coût d’une licence de télécommunication de 500 %, les coûts se reportant sur le grand public et sur la possibilité d’accès à internet de chacun·e.
En avril 2016, une ordonnance ministérielle du ministère des finances interdit la possession de deux cartes SIM par une même personne chez un même opérateur de télécommunication. Il faut pour cela obtenir l’autorisation de l’ARCT. Selon le centre d’analyse ICT en Afrique, en vertu de l’article 5, le régulateur et son partenaire technique sont autorisés à faire une requête de données personnelles aux opérateurs lorsqu’elles s’avèrent nécessaires pour combattre la fraude.
Les fournisseurs sont également tenus de fournir une application web sécurisée au régulateur, permettant à l’ARCT d’avoir accès au registre des utilisateurs finaux. L’article 6 prévoit que l’ARCT et son partenaire technique ont le droit d’installer des sondes IP dans l’équipement technique des fournisseurs d’accès à Internet ».
La Loi N°1/09 du 11 mai 2018 portant sur la modification du code de procédure pénale a permis aux forces de sécurité de mener des perquisitions multiples, sans mandat d’un juge, de jour comme de nuit et d’accroître les prérogatives de l’État en matière de surveillance et cybersurveillance.
Ainsi, selon l’article 72 du texte, « lorsque les nécessités de l’information concernant un crime ou un délit entrant dans le champ d’application de l’article 49 l’exigent, le Procureur de la République peut, dans le cadre d’une enquête judiciaire, à l’insu des intéressés, autoriser par écrit les Officiers de Police Judiciaire à mettre en place un dispositif technique ayant pour objet, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques audiovisuels. »
À cet article s’ajoutent l’article 132 qui stipule que « les officiers de police judiciaire peuvent, au cours d’une perquisition effectuée dans les conditions prévues par le présent paragraphe, accéder par un système informatique implanté sur les lieux où se déroule la perquisition à des données intéressant l’enquête en cours et stockées dans ledit système ou dans un autre système informatique » et l’article 134 qui indique que « les officiers de police judiciaire peuvent, par tout moyen, requérir toute personne susceptible : 1° D’avoir connaissance des mesures appliquées pour protéger les données auxquelles il est permis d’accéder dans le cadre de la perquisition ; 2° De leur remettre les informations permettant d’accéder aux données mentionnées au point précédent. Le fait de s’abstenir de répondre dans les meilleurs délais à cette réquisition est puni d’une amende d’un million de francs burundais », soit 465€. Les policiers peuvent ainsi exiger d’une personne qu’elle leur révèle ses mots de passe de téléphone et d’ordinateur.
La surveillance numérique est menée, comme les autres surveillances dans le pays, par le Service National de Renseignements (SNR).
Dans l’article 29 de la Loi organique N°1/17 du 11 juillet 2019 portant sur les missions, organisation et fonctionnement du Service National de Renseignement, il est stipulé que « le Département de Renseignement Intérieur s’occupe de tous les renseignements intérieurs dans tous les aspects. Il a notamment pour mission de […] contrer les menaces technologiques portant notamment sur les activités de cyber répression et de télécommunications ». Ce service est, comme précisé dans l’article 3 du texte cité ci-dessus, « placé sous l’autorité du Président de la République » et ne rend de comptes qu’à lui.
Selon un rapport d’Human Rights Watch publié le 7 juillet 2016, les agents du SNR ont régulièrement recours à des actes de violences et à la torture contre les opposants présumés.
Contexte “technologique/industriel”
La loi n° 1/011 du 4 septembre 1997 a autorisé l’octroi de licences aux sociétés de télécommunications privées.
En 2018, moins de 1 % de la population avait un abonnement à de la téléphonie fixe (24,810 abonnements). En mars 2020, le taux de pénétration de la téléphonie mobile est de 56,88 % (6 850 472 abonnements).
Selon les chiffres de l’Autorité de régulation et de contrôle des télécommunications (ARCT), le taux de pénétration d’internet est de 10% (en juin 2020, 1 068 525 abonnements internet dont 4 090 via « l’internet fixe », soit 0,4 %).
En 2018, le gouvernement a lancé le « Burundi Broadband Project » (ou « Stratégie Burundi Large Bande ») avec l’objectif que tout le pays soit connecté d’ici à 2025.
Dans le rapport Hootsuite de janvier 2020, le taux de pénétration des réseaux sociaux au Burundi est estimé à 4,5 % (530 000 utilisateurs).
En 2017, Facebook indique compter 450 000 abonnés au Burundi (soit 4 % de la population). En juin 2020, Facebook précise n’avoir jamais reçu de demande de données d’un utilisateur par le gouvernement du Burundi. Par contre, le réseau social précise qu’une coupure internet de 18h a eu lieu le 20 mai 2020, sur tout le territoire du pays.
En juillet 2020, le débit fixe Internet est estimé à : 7.14 Mbps (download) et 7,88 Mbps (upload). Seuls 0,36 % des abonnés internet jouissent du haut débit ; 0,02 % du bas débit. 99,62 % passent par l’Internet mobile.
Dans un rapport de 2015 , l’ARCT précise que « l’accès des utilisateurs s’effectue « via le Réseau Téléphonique Public Commuté (RTPC) pour le bas débit, et par liaison radioélectrique (CDMA, WIMAX, WI-FI), liaison spécialisée filaire (ADSL, RNIS), fibre optique et par VSAT pour le haut débit ». « Aujourd’hui, la population burundaise a la possibilité d’accéder à l’internet grâce aux opérateurs de la téléphonie mobile via leurs technologies GPRS de la 2èmegénération (2G), WCDMA et WIFI de la 3ème génération (3G) et 4G LTE ».
Si en juin 2020, à peine plus d’un million de Burundais a un abonnement internet mobile, près de 7 millions disposent d’un abonnement de téléphone mobile (6 878 121). L’ARCT estime qu’ « en moyenne 16 sur 100 abonnés à la téléphonie mobile possèdent des téléphones ayant accès à au service de l’Internet. »
Pour les usagers de téléphonie mobile, en mars 2020, on compte 83 268 677 minutes d’appel (trafic national), pour 473 701 655 SMS. En décembre 2020, inquiet de la baisse du chiffre d’affaire des « communication voix » des opérateurs mobile et donc d’une baisse des revenus de l’État par minute de communication mobile, causée par l’augmentation de l’usage des réseaux sociaux », le gouvernement burundais a organisé une table avec les opérateurs télécom pour repenser leur taxation.
Cette pratique de taxation des réseaux sociaux est pratiquée par des pays voisins du Burundi, c’est aussi une manière de limiter le droit à l’information et à l’organisation des militant·es.
Au 30 juin 2020, l’ARCT indique que le Burundi compte :
- huit fournisseurs d’accès internet fixe : Cbinet ; Spidernet ; Usan, Lamiwireless, NT Global, BBS, Onatel, Vietell ;
- 5 fournisseurs d’accès à l’internet mobile : Econet Leo/Econet wireless, Lacell SU, Vietell, Onatel, Lamiwireless.
- 4 opérateurs de téléphonie mobile : Econet Leo, Viettel, Lacell, Onatel.
Viettel Burundi et BBS disposent de l’infrastructure de la fibre.
En 2014, « le Point d’Echange Internet du Burundi (BurundiXP) » a été créé. Il a pour but de « servir de cadre d’échange et de collaboration entre les fournisseurs des services internet ; collaborer avec des organismes nationaux, régionaux et internationaux et nouer des liens de partenariat en vue de l’adoption des meilleures pratiques relatives à la fourniture des services Internet au Burundi.. ». « Est éligible en qualité de membre, tout fournisseur des services Internet opérant sur le territoire burundais, ayant une licence valide ou autres institutions légalement reconnues, cette personne morale est aussi cosignataire du contrat avec BDIXP ».
Selon le centre d’analyse ICT en Afrique, « la loi 100/122 du 13 mai 2014 définit le statut juridique et opérationnel de cette infrastructure Internet. L’article 9 de cette loi prévoit le contrôle et le suivi de l’utilisation de cette infrastructure par l’ARCT, qui est autorisée à accéder librement aux locaux où est hébergé BurundiXP et à récolter toutes les données dont elle a besoin. Étant donné que le BurundiXP est un hub où les différents fournisseurs d’accès Internet se rencontrent afin d’échanger librement le trafic, il est possible qu’il constitue également un guichet unique où les données des utilisateurs finaux peuvent être facilement accessibles en cas de besoin ».
Depuis 2010, le gouvernement burundais a régulièrement bloqué l’accès aux réseaux sociaux (notamment pendant 10 jours lors des mobilisations contre la candidature de P. Nkurunziza aux élections présidentielles de 2015). Les blocages sont généralement justifiés comme relevant de la sécurité nationale et assortis de menace contre les entreprises de télécommunication récalcitrantes de perdre leur licence.
Des sites de presse (ou leur partie forum/ commentaires) ont également été bloqués.
Le principal fournisseur d’accès internet au Burundi est Econet Leo, filiale burundaise d’Econet Wireless Africa, elle-même filiale d’Econet Global, multinationale (dont le siège est en Afrique du sud) créée par le zimbabwéen Strive Masiyiwa, connu pour s’être battu contre le monopole d’État du secteur des télécommunications au Zimbabwe (et ayant obtenu son démantèlement). L’entreprise obtient sa licence « Mobile network operator » (opérateur réseau mobile) à la fin des années 2000 au Burundi. L’entreprise Econet Wireless Burundi » se donne comme mission de « servir le Burundi en innovant, en développant, en renforçant et en soutenant une télécommunication effective et de haute qualité conformément aux normes mondiales de télécommunications sans compromis d’éthique ». Pourtant l’entreprise semble n’avoir jamais communiqué sur les « coupures internet ».
Econet Leo est sommé en février 2018 de payer des arriérés d’impôt par le commissaire général de l’office burundais des recettes. En décembre 2018, le président Nkurunziza avait mis en garde les sociétés de télécommunication qu’elles recevraient des sanctions lourdes si elles ne payaient pas leurs impôts.
En juillet 2020, dans le cadre de la lutte contre la pandémie de Covid19, le gouvernement burundais a lancé l’application « CARP » développée par l’entreprise MediaBox, « entreprise de services spécialisée en intelligence d’affaires, gestion des données, analyse prédictive et géomatique ». Les défenseurs des libertés numériques s’inquiètent alors que le Burundi n’a toujours pas adopté de loi sur la protection des données personnelles. En février 2021, cette même entreprise annonce avoir signé avec le ministère des télécommunications « une convention de partenariat pour développer les TIC au Burundi ».
Points d’attention pour la protection numérique des défenseur·ses des droits humains
- Géolocalisation
- Blocages internet
- Surveillance des communications téléphoniques
- Sécurité du stockage informatique
- Enjeu des cartes SIM et des données d’identité.