3.1.4 Enjeux de protection des données


Comme de nombreuses crises sanitaires passées, la crise du Covid-19 va poser (et pose d’ores et déjà) de nombreuses questions quant à la protection des données personnelles et les risques pour les personnes concernées (notamment de stigmatisation, d’isolation sociale, de perte d’emploi et indirectement de santé mentale), notamment pour ce qui est des questions des outils de surveillance de masse mis en place par les acteurs (principalement gouvernementaux) et des applications de traçage des personnes contaminées.
Pour plus d’informations, voir le suivi réalisé par Privacy International ici.
Il est essentiel que malgré l’urgence, les ONG gardent en tête, dans la réorganisation de leurs activités, le principe de base : “Ne pas nuire”.
Les alternatives exposées ci-dessus, par rapport à d’autres équivalents numériques probablement déjà en place, posent néanmoins des problématiques plus limitées. Les principaux éléments à prendre en compte :
- La plupart des solutions évoquées nécessitent de recourir à des acteurs tiers privés (à la fois des fournisseurs de solutions mais aussi dans certains cas des opérateurs de réseau de téléphonie voire agrégateur). Le choix de ceux-ci (qui seront vos sous- traitants) devra donc se faire en intégrant leur capacité à répondre à leur obligations légales en matière de protection des données (sécurisation suffisante du système, granularité suffisamment fine des droits, localisation des données stockées en adéquation avec les différentes législations nationales auxquelles vous êtes soumis etc.) mais aussi en vérifiant scrupuleusement leur conditions générales (pas de réutilisation possible des données collectées à d’autres fins). N’hésitez pas également à vous renseigner sur la réputation des sous-contractants (par exemple pratiques douteuses connues dans le passé etc.). Les contrats devront faire l’objet d’une attention particulière et être validés si nécessaire par les services juridiques de votre ONG.
Voir également la note d’OCHA sur les partenariats privés, seulement en anglais.
- Il est généralement vivement déconseillé de partager des informations sensibles (telles que les données sur les violences domestique, la santé reproductive, l’emplacement de personnes vulnérables, etc.) par téléphone ou SMS. Dans le contexte actuel, il est possible que vous n’ayez pas d’autres solutions que celles mentionnés ci-dessus. Avant de choisir un type de solution, établissez impérativement (même si celui-ci est très succinct) une analyse d’impact contextuelle (DPIA8)1 en fonction de la sensibilité des messages qu’il est prévu d’échanger, avant de s’assurer que le compromis risque généré / plus-value du système est acceptable.
Dans bien des situations, il pourra être estimé que le risque généré par la collecte de données elle-même est plus élevé (par exemple, que le SMS soit lu par un tiers ayant accès au téléphone ou que la conversation soit entendue) que le besoin d’avoir des données de suivi. Dans d’autres contextes, il pourra être jugé que les SMS, bien que non sécurisés et facilement interceptables, puissent être un moyen de communication adapté car facile d’accès et plus discret pour récolter des données auprès de femmes vulnérables (plutôt que de recourir à l’installation d’applications de messageries chiffrées par exemple). Pensez dans ce cas à fournir des conseils adaptés aux personnes vous contactant (supprimer le SMS si l’information partagée est sensible) et surtout à choisir avec attention l’heure et le jour auquel vous envoyez des SMS aux personnes vulnérables. Assurez-vous également que les téléphones ne soient pas partagés entre membres du même ménage (concernant notamment les données sensibles type violence domestique).
- L’éventuelle coordination avec d’autres acteurs nécessitera probablement, encore plus que d’habitude, le besoin d’échanger des données : pensez à vérifier que vous avez le consentement des personnes concernées et à évaluer la plus-value des transferts avant de réaliser le transfert (DPIA cf. ci-dessus). Anticipez également la question des “accords d’échanges de données” entre organisations. Si vous avez besoin de partager des données, dans la mesure du possible, rendez-les anonymes. En aucun cas ne partagez en open data des données personnelles ou sensibles.
Voir par exemple la procédure sur HDX : Three ways to share data on HDX, seulement en anglais.
- Les solutions que vous utiliserez généreront automatiquement des quantités de métadonnées (les données liées à l’appel ou envoi du SMS : localisation de la personne, heure de l’appel, etc.). Vous devez être conscient de cet aspect et l’inclure dans votre analyse de risque (risque de réutilisation de ces métadonnées par des tiers privés ou gouvernementaux).
- Comme pour toute collecte, vous devrez adapter vos protocoles de protection de données. N’utilisez les appels que si les bénéficiaires ont donné leur consentement préalable (et comprennent les risques à utiliser ce type de moyen) et veillez à inclure la possibilité de ne plus être contacté, quel que soit le moyen utilisé (“opt out”). Pensez notamment à adapter vos messages de consentement à vos nouveaux moyens de communication (expliquez clairement qui appelle, ce qui sera fait ou non avec les données, assurez-vous que la personne soit dans un lieu adapté/sécurisé pour avoir la conversation) et appliquez strictement les principes de minimisation de données. Par exemple, il est très peu probable qu’enregistrer les conversations lors des entretiens/enquêtes téléphoniques soit pertinent. Pensez également à systématiquement dé-identifier et agréger au maximum les données partagées, y compris en interne au sein de votre organisation (à défaut de pouvoir totalement les rendre anonymes). Mettre en place la collecte de données à distance signifiera sans doute de revoir la gestion des droits et les comptes utilisateurs de vos systèmes (plus de personnes que d’habitude ayant probablement besoin d’accéder à ceux-ci), de telle façon que seules les personnes ayant besoin d’accéder aux données le puissent.
Pour aller plus loin sur la gestion des droits et les comptes utilisateurs, voir :
- la section 4.1.2 Focus outil - KoBoToolbox - Réfléchir à la configuration de votre compte de la Boîte à outils Collecte de données sur mobile,
- la section 6.5 Stocker, classifier, et accéder de la Boîte à outils Gestion responsable de données.
- Vous allez probablement vous retrouver très rapidement avec une grande quantité d’informations (liste de téléphone, SMS, etc.) pour lesquelles il faudra appliquer des durées de rétention minimales (conversations des SMS pendant quelques semaines ou mois maximum, par exemple) et appliquer des précautions maximales de sécurisation (limiter les accès, chiffrement, etc.).
- Expliquez, sensibilisez, formez, expliquez, sensibilisez, formez, expliquez, sensibilisez, formez, (ad vitam æternam) vos équipes aux risques posés par ce type de mécanisme, la raison des mesures mises en œuvre ainsi que la raison des clauses de confidentialité dans leurs contrats. En matière de protection de données, le facteur humain (et le risque d’erreur involontaire) est généralement négligé au profit de la sécurité des systèmes, alors qu’il s’agit bien souvent de la première cause de violation des données (fuite non intentionnelle, etc.).
Quelques ressources complémentaires (en anglais) :
- WFP - Réaliser des enquêtes par téléphone portable de manière responsable (inclus à la marge les aspect IVR, SMS etc.).
- Frontline SMS - guides sur l’intégrité des données et leçons apprises de collecte de données sensibles
- GSMA - guidelines on the protection of privacy in the use of mobile phone data for responding to the Ebola outbreak
- CICR - Humanitarian Futures for Messaging Apps (OOpportunités et risques des applications de messagerie en contexte humanitaire)
- ICRC - Data protection handbook (Chapter 11 on mobile messaging app)
- ICRC - The Humanitarian Metadata Problem - Doing No Harm in the Digital Era
En guise de conclusion
Enfin, dès que la situation le permettra à nouveau, pensez à revenir aux modes de collecte de données et de communication plus classiques, car une sur-utilisation d’outils de communication à distance peut facilement générer un sentiment de “confort” et d’acceptation d’une proximité réduite (sentiment erroné de “maîtrise de la situation”…).
Par ailleurs, avant de faire perdurer - éventuellement - les nouvelles méthodes de collecte et d’échanges de données à distance mises en place pendant la crise, pensez à bien faire une évaluation (même rapide) de celles-ci et à un retour d’expérience avec les équipes pour voir comment les améliorer.