Link Search Menu Expand Document
Boîte à outils gestion responsable de données

6.1 Définir les besoins

13-Sept-2022 9 mins Share on social networks


TABLE DES MATIÈRES

Cas d’étude : la mise en place trop rapide d’outil

La situation

Vous êtes logisticien d’une ONG venant en aide à des réfugiés et vous avez produit et maintenez à jour une carte en ligne des risques sécuritaires et de la localisation des groupes armés de votre zone d’intervention dans un contexte de guerre. Le lien n’est pas trouvable sur internet par une recherche lambda, mais vous l’avez partagé par email aux équipes concernées pour faciliter leurs déplacements et il ne nécessite pas de compte pour la version gratuite.

Vous apprenez en écoutant la radio locale qu’une des factions armées en a appris l’existence, n’apprécie pas la communication d’informations les concernant et dénigre le travail de votre organisation auprès de la population locale., vous accusant de travailler pour d’autres factions.

Quels sont les risques potentiels ?

Si les risques dépendront toujours du contexte spécifique, nous pouvons imaginer :

  • Pour les bénéficiaires, une perte de confiance en l’action de l’ONG et dans le principe de neutralité des ONG, voir même de devenir la cible d’intimidations/pressions/violences par le groupe armé
  • Pour les équipes, pour l’ONG, un risque de perte de temps, un risque réputationnel , voire de mauvaises décisions sécuritaires car ils n’auront plus accès à une donnée critique de qualité.

Que faire ?

Dans l’immédiat, le plus important est de décommissionner la carte ou d’en fermer l’accès si c’est possible facilement, en mettant en place les droits d’utilisateurs adaptés, et de mettre en place des mesures de mitigations à définir en fonction des potentiels dégâts causés (protection de vos équipes, des populations bénéficiaires, échange avec les populations, campagne de communication etc…)

Comment la situation aurait pu être évitée ?

C’est le cas typique d’un membre d’ONG pensant bien faire, mais n’étant pas sensibilisé à la protection des données et comment appliquer le principe du “do no harm” aux outils de gestion de données.

Une session de sensibilisation, de mise en situation et/ou d’échange entre pairs animé par un point focal, où des sujets tels que les étapes à suivre pour choisir ou mettre en place un outil de manière responsable, ou bien comment faire une analyse contextualisée des risques sont abordés, aurait probablement permis au personnel concerné de se poser des questions au bon moment quant aux risques de sa démarche.

Il est bien entendu de la responsabilité également du chef de mission de veiller à ce que toutes les équipes soient au fait des risques contextuels et outillées pour y faire face.

Cas d’étude : le staff faisant du zèle

La situation

Vous êtes un chef de projet venant d’une ONG médicale traitant de données très sensibles et commencez à travailler dans une petite ONG de développement rural qui soutient les fermiers en termes de formation et de conseil concernant leurs exploitations et la vente équitable de leurs productions agricoles. Au démarrage d’un projet ayant pour objectif de comprendre les connaissances des fermiers sur de nouvelles semences qu’ils s’apprêtent à utiliser, une collecte est réalisée auprès d’eux. Vous produisez comme vous en avez l’habitude une analyse de risque poussée, cartographiant tous les acteurs de la zone et leur possible intérêt pour les données, avec une formation auprès des trois enquêteurs du projet de 5 jours à la prise en main de la démarche de collecte auprès des fermiers pour éviter tout impair, et un plan de collecte avec chiffrement des données et serveur non connecté à internet. Votre chef de mission vous indique qu’entre les couts de licence et le temps de formation il ne reste plus de budget sur le projet.

Quels sont les risques potentiels ?

  • La réponse n’est pas adaptée aux besoins spécifiques de l’activité et très couteuse ;
  • La complexité technique de ce qui est mis en œuvre va être difficile à transmettre au reste de l’équipe ;
  • Maintenir une telle solution sur la durée, avec une transmission et une formation des équipes, est trop ambitieux ;
  • Risque d’abandon de l’outil ou de la procédure, non appropriation de la procédure
  • La surenchère technique ne garantit pas la sécurité des données.

Que faire ?

Revoir sa position et revenir à un mode de collecte plus simple et éviter d’aller aussi loin à l’avenir.

Comment la situation aurait pu être évitée ?

Il n’existe pas de guide universel à suivre pour définir ses besoins en protection des données, chaque situation étant différente en termes de contexte (politique, législatif, technologique, éthique, partenarial…), de risques, de moyens à allouer au sujet…

Néanmoins, dans ce cas, dans un contexte qui semble au premier abord peu risqué, l’approche mise en place par le chef de projet semble démesurée pour les risques potentiels (liste de noms de fermiers soutenus pour de la montée en compétence). Gardons en tête que le mieux est l’ennemi du bien, il ne faut pas mettre en place des procédures et formations inutilement complexes si la situation ne le requiert pas.

Dans ce type de situation, il semble essentiel de garder les pieds sur terre et commencer par une rapide analyse générale, évaluant peut-être de plus près un ou deux acteurs à risque (entreprises céréalières avec intérêts particuliers dans la région par exemple ou législation concernant les données personnes), d’échanger avec d’autres acteurs qui ont pu être confrontés à des problématiques similaires pour vérifier la cohérence de l’approche envisagée et de mettre en place un plan mesuré au vu de ces éléments.

Le cas inverse est bien entendu bien plus fréquent que celui-ci, mais c’est important également de ne pas en faire trop pour éviter que le sujet de la gestion responsable de données ne soit vu que comme une approche normative lourde plutôt qu’une opportunité de pratiques plus respectueuses des personnes et acteurs.

Cas d’étude : la collecte de données culturellement inapropriée (ou contraire au principe d’“empowerment”)

La situation

Lors d’une enquête de type “connaissance, attitudes, pratiques” sur l’eau, l’hygiène et l’assainissement (ou WASH KAP) dans un camp de réfugiés, afin de mieux comprendre les besoins en termes d’activités de sensibilisation et de distributions associées, vous demandez à vos enquêteurs (principalement des hommes) de poser des questions sur les menstruations aux filles et femmes concernées par le sujet. Vous demandez également à prendre des photos des types de protection hygiéniques utilisées et de l’endroit où les protections sont changées.

C’est un contexte où le sujet est relativement tabou et non maitrisé par les hommes des cellules familiales, qui sont généralement ceux auxquels les enquêteurs ont accès pour leur questionnaire.

Votre organisation reçoit ensuite différentes plaintes à ce sujet et les autorités demandent à ce que les activités en la matière cessent.

Quels sont les risques potentiels ?

  • Risque de stigmatisation envers les personnes concernées et de non-respect des principes éthiques, bénéficiaires des activités et enquêteurs ;
  • Risque de perte de crédibilité et d’accès pour les équipes, voire de violences à leur égard.

Que faire ?

À court terme, il n’y a pas grand-chose à faire hormis revoir les modalités et le contenu de la collecte s’il est encore temps de le faire pour qu’elles soient plus adaptées au contexte en question. Par exemple, cela pourrait être avec une demande de l’accord pour poser ces questions spécifiques en amont.

Comment la situation aurait pu être évitée ?

Ce type de situation aurait pu être évitée en faisant un peu de recherche contextuelle (discussion avec d’autres ONG, avec des informateurs clé, des groupes de discussion…) pour comprendre ce qui est acceptable ou non dans le contexte en question, ce qui est recherché par les populations concernées.

En fonction, il est nécessaire d’adapter sa collecte et ses activités pour qu’elles soient en adéquation avec les normes culturelles locales. Par exemple, investir dans l’identification d’enquêtrices ou de personnes relais au sein de la communauté pour aborder ce sujet sensible sans offenser ; ou bien encore envisager une discussion de groupe qui aurait permis de présenter et expliquer le besoin d’avoir ces informations dans le but de déterminer avec des membres de la communauté la meilleure façon de collecter un volume de données suffisant et de qualité.

Ressources clés