Elle a été votée à l’unanimité avec une loi sur la protection des données personnelles, fortement inspirée du RGDP européen. En préparation depuis 2015, elle a suscité un tollé au sein de la société civile. C’est qu’elle protège davantage les intérêts du gouvernement que les citoyens ou les entreprises.

Un précédent juridique. La première loi thaïlandaise sur la cybersécurité ambitionne de protéger les infrastructures numériques du pays en régulant le développement de son économie virtuelle. Le texte prévoit ainsi la création d’une Commission nationale pour la cybersécurité, présidée par le Premier ministre, et de deux comités, composés de représentants de l’armée et des sociétés de télécommunications. Elle liste une série de secteurs considérés comme sensibles pour la sécurité nationale, dont la santé, les transports ou la finance, et recommande des « plans d’actions » en cas de « cybermenace ».

Ses détracteurs lui reprochent sa rigidité. Selon Sutee Tuvirat, membre de l’Association thaïlandaise pour la sécurité de l’information et de l’Association thaïlandaise d’informatique médicale, cité par le Bangkok Post, cette loi est nécessaire mais aura des conséquences « tectoniques » sur les télécommunications du pays, faute d’être amendée. Au cœur des préoccupations du secteur privé et de la société civile, l’article 58 de cette loi qui contraint les entreprises et les individus à collaborer avec la Commission (remise de données, de documents ou de matériel). Ces dernière est autorisée à perquisitionner sans contrôle judiciaire en cas d’atteinte à la sécurité nationale.

Que faut-il attendre d’une telle loi ? Peut-elle soutenir l’écosystème naissant des start-ups dans le pays, comme elle le prétend ? Ou bien faut-il craindre un nouvel instrument de coercition entre les mains d’un gouvernement accusé de mener à reculons sa transition démocratique ?

Garder la main sur les entreprises digitales

Le gouvernement thaïlandais s’est engagé sur la voie du développement numérique en lançant à grande pompe le slogan de la « Thaïlande 4.0 ». Pour le pouvoir, il y a urgence à moderniser le pays. Encore minoritaire dans l’économie nationale, le secteur digital est promis à une croissance rapide, notamment grâce à un fort taux de pénétration du smartphone dans la population, à Bangkok comme en province. Cependant, à l’instar de nombreux pays de la région embarqués sur la voie du développement digital, la Thaïlande est vulnérable aux cyberattaques, qu’il s’agisse d’intrusions qui la ciblent directement ou menées depuis son territoire par des hackers venus y trouver refuge.

Selon Kaspersky, qui actualise en temps réel une carte des pays les plus attaqués au monde, la Thaïlande occupe le 17ème rang, loin devant Singapour, considéré comme une référence en matière de cybersécurité, qui pointe à la 52ème place. Conscient de ses faiblesses, le pays multiplie les signes d’engagement pour prouver à ses partenaires régionaux sa prise de conscience des problèmes de cybersécurité. En septembre dernier, la Thaïlande avait ainsi inauguré un centre régional de formation et de prévention des cyberattaques, financé par le Japon, et hébergé à Bangkok. 700 hauts fonctionnaires des pays de l’ASEAN devraient y être formés d’ici 2022.

Pour l’État thaïlandais, cette première loi sur la cybersécurité lui permettrait non seulement d’améliorer ses capacités en matière de cyberdéfense, mais aussi de garder la main sur les entreprises du secteur digital, dont le développement récent lui a largement échappé. Pour s’assurer ce contrôle, l’État doit mettre à jour ses connaissances juridiques en la matière. Ce qu’explique un économiste basé à Bangkok et qui a voulu rester anonyme : « La politique d’échanges thaïlandaise et son cadre légal ont été définis dans les années 1970, période qui correspond à la mise en place de l’industrie automobile et pétrochimique dans le pays. Pour ouvrir son économie aux sociétés de service en ligne, l’État doit impérativement moderniser son approche juridique. »

Tandis que l’e-commerce fleurit en Chine et Vietnam, il existe en effet une situation inverse en Thaïlande. L’apparition des start-ups s’effectue dans un flou juridique qui les fragilise, analyse l’économiste : « L’État en Chine et au Vietnam s’est doté de solides lois de protection du cyberespace, motivées par des choix politiques qui étaient prévalents. Les sociétés vietnamiennes et chinoises d’e-commerce se sont ainsi épanouies sur une réseau Internet extrêmement contrôlé, et donc, ironiquement, sécurisé. »

Légiférer sur le microcosme des start-ups digitales, dont une partie des activités échappent pour l’instant aux taxes, permettrait notamment à l’État de financer ses dépenses de vieillissement. Un problème appelé à prendre de l’ampleur en Thaïlande dans la décennie à venir. Cela concerne aussi ses voisins, notamment le Vietnam, qui commence à se pencher sur le financement de son système de retraites après son décollage économique des années 1990. « Pour l’État thaïlandais qui fait face à un besoin de financement des dépenses de vieillissement, il ne peut être question de laisser se développer un secteur économique qui échappe à l’impôt, au moins en partie », conclut notre économiste.

La loi sur la cybersécurité du 28 février peut-elle apporter une réponse crédible à ces défis sécuritaires, économiques et sociaux ? Si les membres de la communauté locale des affaires et de la tech que nous avons rencontrés reconnaissent unanimement la nécessité de légiférer sur la cybersécurité et l’économie digitale, ils émettent de fortes réserves sur cette nouvelle loi. La formule suivante revient souvent : voilà un « un texte conçu pour protéger l’État, non les citoyens, et encore moins les entrepreneurs du pays ».

Manque de cybermaturité

Parmi les critiques des entrepreneurs thaïlandais, le flou conceptuel de cette loi, qui laisse une très grande liberté d’interprétation à la Commission pour définir une « cybermenace » et saisir tout appareil connecté, y compris un smartphone, chez un particulier, une entreprise ou une ONG. Difficile dans ces conditions de garantir le secret des affaires ou de protéger l’anonymat d’une source. « Cette loi ignore également la réalité de l’environnement technologique thaïlandais, celui d’un pays avec une très faible cybermaturité », explique une consultante qui conseille, depuis 15 ans, des start-ups locales en marketing digital et communication institutionnelle.

Ses propos font écho à une étude comparative publiée en 2017 par l’Australian Strategic Policy Institute. Ce rapport évalue le taux de cybermaturité de 25 pays d’Asie-Pacifique à partir de dix facteurs, de l’économie digitale à la gouvernance, en passant par les applications militaires. La Thaïlande occupe le 13ème rang, loin derrière le Japon (2ème), mais devant le Vietnam (14ème) et le Cambodge (16ème). Ainsi s’expliquerait le peu de réactions dans la population thaïlandaise après l’annonce de cette loi, car la cybersécurité demeure, en dehors des centres urbains de Bangkok et Chiang Mai, une question abstraite pour la majorité des internautes dans le pays. Selon notre consultante, « le taux de pénétration d’Internet est très haut en Thaïlande, y compris dans les zones rurales, mais la population manque cruellement d’éducation digitale, c’est-à-dire d’une formation aux bonnes pratiques d’Internet. Pour la majorité des Thaïlandais, Internet se résume à un nombre restreint d’applications, Line et Facebook en tête, par le biais desquelles ils accèdent au réseau. Ce dont les Thaïlandais ont besoin, c’est d’une éducation à Internet, comme par exemple apprendre à s’informer, détecter les fraudes et les fake news qui ont fait tant de ravages en Birmanie et en Indonésie, plutôt que d’une loi censée les protéger des périls de la toile. »

Trop imprécise, déconnectée des enjeux économiques actuels, cette loi est incapable de créer un environnement des affaires attractif, contrairement à Hong-Kong et Singapour, résument de nombreux entrepreneurs. « A titre d’exemple, il est possible d’ouvrir une plateforme d’e-commerce en deux jours à Singapour, contre quatre mois en Thaïlande ! déplore notre consultante. L’argument selon lequel la première loi du Royaume sur la cybersécurité puisse protéger les citoyens et les entreprises du pays me paraît donc peu crédible », conclut-elle. Avant de concéder, avec un soupire excédé : « Mais au moins, nous en avons une à présent. »

Par Thibaud Mougin - Asialyst - 29 juin 2019