Le projet de loi sur les technologies de l’information (ICT law), rebaptisée loi sur les transactions électroniques, est prêt : il ne reste plus qu’à l’envoyer au Parlement. Ce qui devrait être fait d’ici à début décembre, selon Ahmad Fatfat, président de la commission parlementaire qui a œuvré au projet.
Mais la version finale n’a pas été divulguée au public et le secteur privé, qui a fait partie des négociations, n’en a pas obtenu de copie. Ce que regrette Farès Qobeissi, président de l’Association libanaise pour le secteur informatique (ALSI) qui a participé au travail : « J’espère que les remarques du secteur privé ont bien été prises en compte. Le problème dans ce genre de textes est qu’il suffit de changer un mot pour que tout le sens de la loi change. »
L’enjeu principal des négociations concerne les compétences et les pouvoirs de l’autorité chargée de contrôler et réguler le secteur sur les transactions électroniques : le projet de loi initial lui avait octroyé des pouvoirs “démesurés”, selon le secteur privé (voir Le Commerce du Levant d’octobre 2010), ce qui avait suscité un tollé de la société civile et son renvoi en commission parlementaire en juin dernier. 
« Le nouveau projet de loi comporte grosso modo quatre grandes sections, explique Farès Qobeissi. Un premier chapitre sur les transactions bancaires en ligne (e-banking), un deuxième sur les autorités d’authentification et le commerce en ligne, un autre sur les fournisseurs de services Internet (ISP) et un dernier sur la protection des données personnelles. » Les trois derniers chapitres tombent sous la coupe de ladite Autorité de contrôle et de régulation, dont les pouvoirs et compétences ont été largement réduits, selon Linda Qassem, du ministère de l’Économie. Initialement, l’autorité avait le droit de perquisitionner dans les bureaux des sociétés qu’elle contrôlait sans avoir à demander de mandat judiciaire ; il est maintenant prévu qu’elle passe par les autorités judiciaires pour exercer son contrôle. Il revient également à l’autorité le pouvoir d’octroyer des licences aux organismes de certification (type Verisign) qui facilitent le développement des transactions sur le Net en les sécurisant, mais le processus d’octroi des licences aurait été simplifié ; et il est de son ressort d’attribuer des licences aux sociétés de droit libanais qui collectent des données personnelles.
Ce dernier point, sujet à de vives polémiques, « risquait de créer un goulot d’étranglement pour le secteur privé, car tout le monde collecte des données personnelles, explique Qobeissi. Nous avons donc proposé, sur le modèle de certains pays européens, une longue série d’exemptions ». Linda Qassem affirme que cette liste d’exemptions a été prise en compte, et que le nouveau projet de loi distingue même entre les sociétés qui collectent les données personnelles pour leur propre usage, à qui il est uniquement demandé de se déclarer, et celles qui comptent faire une utilisation commerciale des données collectées, qui devront obtenir une licence au préalable.
Du propre aveu d’Ahmad Fatfat, la commission parlementaire, composée de trois personnes (y compris lui-même), n’était pas spécialisée dans le sujet et a donc travaillé comme un agrégateur entre le secteur privé et les différents organismes publics pour élaborer un projet de loi qui tienne la route. C’est ainsi que l’ALSI, l’Association professionnelle des ordinateurs (PCA, Professional Computer Association), la Chambre du commerce de Beyrouth, la Banque du Liban, le ministère de l’Économie, le ministère de la Justice, le ministère des Finances, l’OMSAR (Office of the Minister of State for Administrative Reform, ou bureau du ministre d’État pour la Réforme administrative) et le ministère des Télécoms ont été consultés par la commission. Ce dernier ministère aurait décliné de prendre part aux discussions, selon Fatfat, bien qu’il soit directement concerné par la partie traitant des fournisseurs de services Internet. Sa position, transmise via le conseiller du ministre Mahmoud Haïdar, est qu’il n’est pas nécessaire d’avoir une nouvelle autorité, puisqu’il existe déjà une Autorité de régulation des télécoms (ART).
Comme prévu dans le projet de loi initial, les membres de l’Autorité de régulation et contrôle des transactions électroniques seront nommés par le Conseil des ministres ; l’autorité elle-même dépendra de l’OMSAR. Elle a cependant toute latitude pour décider de son budget, de son règlement interne, des conditions d’obtention des licences, des prix de ces dernières, etc. 
De l’avis de la société civile, si jamais cette loi est approuvée par le Parlement, elle aura au moins le mérite d’instaurer au Liban un cadre pour la protection des données personnelles. D’ailleurs, tout le chapitre traitant de ce sujet aurait pu faire l’objet d’une loi à part, mais lorsque le chantier avait été lancé en 2004 par Ecomleb (un projet financé par l’Union européenne pour développer un cadre légal pour le commerce en ligne), personne ne se doutait de l’ampleur qu’allait prendre cette partie. « Et aujourd’hui la faire passer dans une loi séparée prendrait trop de temps », explique Linda Qassem. Le récent scandale des applications iPhone, qui permettent de trouver les coordonnées des personnes sans leur accord (voir article suivant), montre en tout cas le caractère urgent d’une telle loi.