Publié le par safelinksLaisser un commentaire sur Le nouveau code des communications électroniques au Burundi face aux défis de la cybersécurité

Le 22 août 2024, une loi portant nouveau code des communications électroniques a été promulguée pour répondre au besoin d’adaptation du cadre réglementaire à l’évolution des communications électroniques. Le texte de base qui régissait le secteur jusque-là datait de 1997, ce qui constituait un véritable décalage et un handicap majeur dans la gouvernance des communications électroniques et la régulation des interactions des parties prenantes.

Au-delà des dispositions visant à redéfinir et à optimiser la réglementation en matière d’implémentation des solutions et infrastructures de communications électroniques, ce texte était également attendu pour répondre aux défis de cybersécurité liés à leur utilisation quotidienne. Faisons un point sur les apports du nouveau texte ainsi qu’un aperçu sur les modalités de leur application.

Un chapitre sur la cybersécurité

Le nouveau code des communications électroniques et postales consacre un chapitre sur la cybersécurité. Il s’agit du chapitre IX du texte, qui, de l’article 160 à l’article 167 porte les dispositions suivantes sur la cybersécurité :

Article 160 : Les dispositions du présent chapitre s’appliquent sans préjudice des obligations des fournisseurs des services et des opérateurs des réseaux telles que déterminées par la loi n° 1/10 du 16 mars 2022 portant prévention et répression de la cybercriminalité au Burundi

 Article 161 : Les exploitants des systèmes d’information prennent toutes les mesures techniques et administratives afin de garantir la sécurité des services offerts. A cet effet, ils se dotent de systèmes normalisés leur permettant d’identifier, d’évaluer, de traiter et de gérer continûment les risques liés à la sécurité des systèmes d’information dans le cadre des services offerts directement ou indirectement.

Les exploitants des systèmes d’information mettent en place des mécanismes techniques pour faire face aux atteintes préjudiciables à la disponibilité permanente des systèmes, à leur intégrité, à leur authentification, à leur non répudiation par des utilisateurs tiers, à la confidentialité des données et à la sécurité physique prévus à l’alinéa 1.

Les plates-formes des systèmes d’information font l’objet de protection contre d’éventuels rayonnements et des intrusions qui pourraient compromettre l’intégrité des données transmises et contre toute autre attaque externe notamment par un système de détection d’intrusions.

Article 162 : Les personnes morales dont l’activité est d’offrir un accès à des systèmes d’information sont tenues d’informer les usagers :

1° du danger encouru dans l’utilisation des systèmes d’information non sécurisés notamment pour les particuliers ;

2° de la nécessité d’installer des dispositifs de contrôle parental ;

3° des risques particuliers de violation de sécurité, notamment la famille générique des virus ;

4° de l’existence de moyens techniques permettant de restreindre l’accès à certains services et de leur proposer au moins l’un de ces moyens, notamment l’utilisation des systèmes d’exploitation les plus récents, les outils antivirus et contre les logiciels espions et trompeurs, l’activation des pare-feu personnels, de systèmes de détection d’intrusions et l’activation des mises à jour automatiques.

Article 163 : Les exploitants des systèmes d’information informent les utilisateurs de l’interdiction faire d’utiliser le réseau de communications électroniques pour diffuser des contenus illicites ou tout autre acte qui peut entamer la sécurité des réseaux ou des systèmes d’information.

L’interdiction porte également sur la conception de logiciel trompeur, de logiciel espion, de logiciel potentiellement indésirable ou de tout autre outil conduisant à un comportement frauduleux.

Article 164 : Les exploitants des systèmes d’information ont l’obligation de conserver les données de connexion et de trafic de leurs systèmes d’information pendant une période de dix (10) ans.

Les exploitants des systèmes d’information sont tenus d’installer des mécanismes de surveillance de contrôle d’accès aux données de leurs systèmes d’information. Les données conservées peuvent être accessibles lors des investigations judiciaires.

Les installations des exploitants des systèmes d’information peuvent faire l’objet de perquisition ou de saisie sur ordre d’une autorité judiciaire dans les conditions prévues par les lois et règlements en vigueur.

Article 165 : Les exploitants des systèmes d’information évaluent, révisent leurs systèmes de sécurité et introduisent en cas de nécessité les modifications appropriées dans leurs pratiques, mesures et techniques de sécurité en fonction de l’évolution des technologies.

Les exploitants des systèmes d’information et leurs utilisateurs coopèrent entre eux pour l’élaboration et la mise en œuvre des pratiques, mesures et techniques de sécurité de leurs systèmes.

Article 166 : Les fournisseurs de contenus des réseaux de communications électroniques et systèmes d’information sont tenus d’assurer la disponibilité des contenus ainsi que celle des données stockées dans leurs installations.

Ils ont l’obligation de mettre en place des filtres pour faire face aux atteintes préjudiciables aux sonnées personnelles et à la vie privée des utilisateurs.

Article 167 : Les réseaux de communications électroniques et les systèmes d’information sont soumis à un régime d’audit de sécurité obligatoire et périodique de leurs systèmes de sécurité.

L’audit de sécurité et les mesures d’impact de gravité sont effectués par l’ARCT chaque année ou lorsque les circonstances l’exigent.

Les rapports d’audit sont confidentiels et adressées au Ministre en charge des communications électroniques et postales.

Une ordonnance du Ministre en charge des communications électroniques et postales fixe les conditions des niveaux d’impact de gravité.

Quelles modalités d’application?

Les dispositions ci-haut reprises posent les bases d’un cadre d’une règlementation en matière de cybersécurité pour les communications électroniques. Elles fixent les principes suivant lesquels les technologies et leurs environnements doivent être gérés pour assurer la confidentialité, l’intégrité et l’accessibilité de l’information tout en préservant une protection de la vie privée des consommateurs. Toutefois, ces dispositions sont insuffisantes à elles seules : des textes d’application ainsi que des dispositifs techniques sont nécessaires pour implémenter une conformité effective à cette nouvelle loi. Les régulateurs des différents secteurs exploitant les communications électroniques, le régulateur du secteur Telecom en premier lieu, ont un rôle crucial à jouer pour transformer ce texte en véritables actions de cyberdéfense dans les entreprises. Il faudra une synergie proactive des différentes parties prenantes, qui doivent trouver le bon équilibre entre enjeux de rentabilité et impératifs de sécurité, en s’appuyant sur les bonnes pratiques et les retours d’expérience au niveau régional et international.

Le nouveau code des communications électroniques au Burundi face aux défis de la cybersécurité

Vous pourrez aussi aimer

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *