5.1 L'analyse de risques et préjudices

TABLE DES MATIÈRES

• 5.1.1 Les termes à comprendre
  • i. Qu’est-ce qu’une menace ?
  • ii. Qu’est-ce qu’un préjudice ?
  • iii. Qu’est-ce qu’un risque ?
  • iv. DPIA/AIPD ?
• 5.1.2 Gérer les risques liés à la protection des données
• 5.1.3 Des exemples de AIPD
• 5.1.4 Les cas où un AIPD est obligatoire
• 5.1.5 Pour aller plus loin
• 5.1.6 Que faire en cas de violations des données personnelles ?

---

Les acteurs du secteur de la solidarité internationale – et particulièrement les ONG humanitaires- traitent beaucoup de données personnelles et sensibles dans le cadre de leurs interventions. Gérer les données des populations affectées de manière responsable, en en collectant le moins possible et en les protégeant, est une manière tout simplement de respecter le principe du « Do no harm » appliqué au contexte digital dans lequel les ONG travaillent aujourd’hui.

Or, pour pouvoir s’assurer que les traitements effectués n’auront pas de conséquences néfastes sur les populations affectées, il faut avant tout faire une analyse des risques (généralement appelée AIPD- Analyse d’Impact sur la Protection des Données), qui vous aidera à identifier et à minimiser les risques d’un projet en matière de protection des données.

5.1.1 Les termes à comprendre

Plusieurs termes de la protection des données personnelles sont à connaitre avant de réaliser une analyse de risques en protection des données : ce qu’est une menace, un préjudice, un risque et un AIPD.

i. Qu’est-ce qu’une menace ?

Dans le domaine de la protection des données personnelles ou sensibles, « les menaces correspondent à tout ce qui est susceptible de causer des préjudices, que ce soit de manière intentionnelle ou non. » (Source : guide d’initiation CartONG/Tdh à la protection des données), .

Exemples de menaces :

• Collecte de données injustifiable ou excessive. Par exemple : collecte de données sur la situation matrimoniale des parents pour un projet sur la nutrition infantile.
• Utilisation inappropriée des données.
  • Utilisation non raisonnable. Par exemple : utilisation des données pour cibler l’aide selon la situation matrimoniale plutôt que les besoins.
  • Utilisation non autorisée. Par exemple : des personnes soutenues ont autorisé le personnel d’une ONG à prendre des photos au moment d’inscrire leurs enfants. Ces photos sont maintenant utilisées pour une campagne de marketing sans le consentement explicite des parents ni des enfants.
  • Stockage ou utilisation de données inexactes ou périmées. Par exemple : certains enfants n’ont pas droit à une aide parce que leur âge a mal été saisi dans la base de données.
• Problèmes de sécurité.
  • Perte de données. Par exemple : perte d’une clé USB ou bris d’un disque dur contenant des données.
  • Vol de données : des données perdues se retrouvent entre de mauvaises mains par accident ou des données sont copiées ou volées à des fins criminelles.
  • Accès, transfert, partage ou publication non justifiée de données. Les données se retrouvent entre les mains de personnes non autorisées. Il n’y a toutefois pas d’intention criminelle comme dans le cas de données volées. Par exemple : des données sont envoyées par courrier électronique à des gens qui ne devraient pas y avoir accès ou un mot de passe est révélé à trop de personnes.

ii. Qu’est-ce qu’un préjudice ?

Le préjudice est la (ou les) conséquence(s) négative(s) que peut(peuvent) avoir la manipulation de données, y compris toute violation des droits et libertés fondamentaux -sur la ou les personne(s) concernée(s) ou les organisations.

Préjudices les plus courants :

• Préjudices tangibles : blessures corporelles, perte de liberté de mouvement, préjudices à la personne ou aux biens et autres préjudices matériels ou corporels.
• Préjudices psychologiques : gêne, anxiété, traumatismes, sentiments d’insécurité et autres préjudices psychologiques.
• Préjudices sociaux : discrimination, stigmatisation, perte de confiance, persécution judiciaire et autres préjudices sociaux.
• Préjudices économiques : pertes financières, détérioration des perspectives économiques et autres préjudices économiques.

Par exemple : être stigmatisé·e par ses voisin·es constitue une forme de dommage social. Être victime de violence physique constitue un dommage tangible. Être chassé·e de son village constitue une forme de dommage tangible (perte de sa demeure), économique (perte de biens et probablement de perspectives économiques) et social.

Exemples de préjudices dans le cadre d’interventions humanitaires issus du guide d’initiation CartONG/Tdh à la protection des données :

iii. Qu’est-ce qu’un risque ?

« Les risques se situent à la croisée des menaces et des préjudices. Ils décrivent la probabilité qu’une menace se concrétise et son impact » (Source : guide d’initiation CartONG/Tdh à la protection des données).

Pour illustrer, ce qu’est un risque, si l’on prend le dernier préjudice mentionné ci-dessus, le risque d’inculpation des hommes sera bien plus probable dans un pays hostile à l’homosexualité.

iv. DPIA/AIPD ?

Pour aider à gérer ces risques et « à construire des traitements de données respectueux de la vie privée », il existe ce que l’on appelle l’AIPD (Analyse d’Impact relative à la Protection des Données) ou DPIA en anglais. C’est un processus qui vous aide à identifier et à minimiser les risques d’un projet en matière de protection des données.

Votre AIPD doit (voir section 2.1 de la boite à outil) :

• Décrire la nature, la portée, le contexte et les objectifs du traitement des données ;
• Évaluer la nécessité, la proportionnalité et les mesures de conformité ;
• Identifier et évaluer les risques pour les personnes ;
• Identifier toute mesure supplémentaire pour atténuer ces risques.

5.1.2 Gérer les risques liés à la protection des données

Maintenant que vous maitrisez les termes ci-dessus, vous comprendrez que pour éviter les risques de porter atteinte à la vie privée et aux droits des populations, généraliser des analyses de risques est nécessaire.

Pour vous donner un éclairage complémentaire, vous trouverez dans la capsule ci-dessous des éléments de réflexion pouvant vous permettre de comprendre les différentes dimensions à prendre en compte dans votre analyse de risque :

5.1.3 Des exemples de AIPD

Voici des exemples concrets d’AIPD utilisés par certaines ONG que vous pouvez télécharger et adapter :

Ce document Excel comprend :

• L’analyse des risques (AIPD), première partie descriptive,
• L’analyse des risques (AIPD), seconde partie sur l’évaluation des risques,
• Le support d’analyse de risques.

Attention : le AIPD est un outil qui s’adapte en fonction des différentes zones d’intervention car les risques ne sont pas identiques d’un contexte à un autre.

Dans le domaine très sensible du cash ou des interventions monétaires, de nombreuses ressources du Calp Network peuvent vous aider tel :

• Un outil d’analyse des risques et bénéfices en matière de protection des données.
• L’IFRC a lancé un guide pratique (cash et vouchers).

5.1.4 Les cas où un AIPD est obligatoire

La CNIL a établi une liste de traitement des données pour lesquelles une AIPD est obligatoire, dont nous avons compilé un extrait pertinent pour le secteur de la solidarité internationale :

• évaluation/scoring (y compris le profilage),
• traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci,
• collecte de données sensibles ou données à caractère hautement personnel,
• collecte de données personnelles à large échell,
• croisement de données,
• personnes vulnérables (patients, personnes âgées, enfants, etc.),
• usage innovant (utilisation d’une nouvelle technologie),
• traitements ayant pour finalité l’accompagnement social, ou médico-social des personnes,
• traitements de données biométriques aux fins d’identifier une personne physique de manière unique parmi lesquelles figurent des personnes dites « vulnérables ».

Au vu des programmes des ONG, on peut résumer en indiquant que la très grande majorité des cas de collecte et traitement de données des acteurs de notre secteur requièrent une forme d’AIPD. De plus, les bailleurs de fonds demandent parfois de mener une AIPD : c’est le cas par exemple d’ECHO.

C’est d’autant plus essentiel que le consentement ne devrait plus être la base légale de collecte aussi largement utilisée par les ONG du fait du rapport de force dans lesquelles elle se trouve (comme on l’a vu dans la sous-section 3.1, partie 1.3 sur les bases légales). Cela signifie que, sans consentement, les ONG ont une responsabilité encore plus forte concernant les données, et ont donc besoin de réaliser une analyse de risques d’autant plus poussée.

Dans tous les cas, l’énergie de l’AIPD sera bien entendu à déterminer en fonction du contexte d’intervention (un programme de formation au Sénégal ne nécessitera pas la même profondeur d’analyse qu’un programme cash dans un contexte de guerre civile avec de nombreux groupes armés).

5.1.5 Pour aller plus loin

La CNIL a mis en place un modèle de DPIA. Pour s’orienter dans la démarche, plusieurs guides sont mis à dispositions sur son site, qui propose la méthodologie suivante :

• délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
• analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
• apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
• formaliser la validation du PIA (logiciel de AIPD) au regard des éléments précédents ou bien décider de réviser les étapes précédentes.

5.1.6 Que faire en cas de violations des données personnelles ?

Une violation des données signifie une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données, de manière accidentelle ou illégale. Cela inclut les violations qui résultent de causes accidentelles et délibérées. Cela signifie également qu’une violation ne se limite pas à la perte de données personnelles.

Le degré de gravité et les conséquences de toute violation de données dépendront de la nature et de l’utilisation des données, allant de l’inconséquence à la mise en danger de la vie des personnes concernées.

Voici quelques exemples de violations de données personnelles et sensibles :

• les données auxquelles un intervenant non autorisé a accès (ex : un ancien employé a toujours accès aux bases de données de l’organisation, ou des serveurs sont piratés dans le but de copier les listes de bénéficiaires),
• les actions (ou inactions) délibérées ou accidentelles d’une partie prenante (ex : des documents confidentiels sont oubliés dans l’imprimante ou chez une personne enquêtée),
• envoyer des données personnelles à un·e destinataire incorrect par courrier électronique (ex : en cliquant sur “répondre à tous·tes”),
• la perte ou le vol de périphériques informatiques contenant des données personnelles (ex : une base de données d’enquête copiée sur une clé USB est perdue),
• la modification des données personnelles sans autorisation (ex : par erreur, un membre du personnel supprime le contenu d’un fichier sensible, qui n’était pas protégé par un mot de passe) ; et/ou
• la perte d’accès ou de disponibilité des données.

Recommandations à mettre en place en cas de violation de données :

• Informer de la violation :
  • Quoi ?
    • Sur la nature de la violation
    • Le type et le nombre de personnes concernées
    • Les conséquences sur la vie privée des personnes concernées et/ou au niveau de l’organisation
    • Les mesures prises pour y remédier et atténuer les risques :
  • A qui ?
    • les personnes concernées sur les données précises qui ont été dégradées et en particulier sur ses conséquences/risques pour elles. Attention : il est important de communiquer en termes accessibles (et de penser au vocabulaire, aux enjeux, à la langue etc), pour s’assurer de la compréhension de l’impact de la violation des populations sur leur vie privée .
    • le·la DPO de notre organisation, qui vous aiguillera dans les étapes à suivre
    • l’organisation responsable de traitement si c’est le.a sous-traitant.e qui découvre la violation
    • les partenaires et les bailleurs de fonds concernés
    • l’autorité de contrôle de l’ONG (en France c’est la CNIL par exemple) et celle du pays d’intervention s’il y en a une (lien pour trouver l’autorité de contrôle d’un autre pays de l’UE / au Royaume-Uni c’est l’ICO) dans les 72 heures suivant la prise de connaissance si vous êtes dans un contexte réglementé par le RGPD
    • de manière publique si nécessaire, par exemple si la violation touche un grand nombre de personnes
• Mettre en place des mesures techniques ou organisationnelles pour atténuer les risques pour les droits des personnes concernées.

À noter que pour certaines, il vaut mieux qu’elles aient été mise en place au démarrage du projet de collecte -comme par exemple créer des mécanismes de plaintes pour traiter les réclamations ou les feedbacks ou impliquer les communautés dès la conception des projets via des mécanismes de monitoring (Source : outil d’analyse des risques et bénéfices en matière de protection des données, ERC). Pour d’autres, les mesures peuvent être mises en place suite à la violation (pause dans les activités, resécurisation des systèmes, discussions avec les communautés ou les personnes ayant eu accès aux données etc)

• Tirer les leçons de la violation des données personnelles, de son contexte et de sa gravité, et dans la mesure du possible, prendre des mesures préventives afin d’éviter que la situation ne se reproduise.

Nous ne pouvons que louer la réaction du CICR après la cyberattaque de très grande ampleur dont elle a été la cible en 2022. Une communication forte a été mise en place à la suite de l’attaque, afin d’informer toutes les personnes concernées par la violation des données, par principe de transparence. Les implications sur les activités ont néanmoins été très fortes (certaines activités ont été mises en pause pendant plusieurs semaines). Cette campagne de communication a permis d’alerter à nouveau le secteur humanitaire sur les risques existants en matière de protection des données.