Link Search Menu Expand Document
Boîte à outils gestion responsable de données

6.3 Collecter

13-Sept-2022 13 mins Share on social networks


TABLE DES MATIÈRES

Cas d’étude : le consentement éclairé

La situation

Suite à un volume important de changement de personnes au sein de l’équipe , en tant que chef de projet reprenant le projet déjà en cours, vous vous rendez compte que la localisation GPS de personnes enquêtées (porteuses du VIH) a été collectée sans leur demander leur consentement. Or, cette information est primordiale pour la préparation des activités, notamment celles concernant l’accès aux soins.

Les enquêteurs vous rassurent : ils ont bien compris qu’ils pourront obtenir le consentement des personnes interrogées en leur expliquant de manière détaillée en quoi répondre à ce questionnaire permet à l’ONG d’avoir les meilleures informations pour mettre en place des activités de qualité, et que cela permettra aux enquêtés d’avoir accès à des services (de soins, de sécurité alimentaire) de qualité.

Quels sont les risques potentiels ?

  • Utilisation de données personnelles et sensibles non conformes aux principes humanitaires et de la protection des données
  • Risques réputationnels, perte de confiance des bénéficiaires victimes vis-à-vis de l’ONG, voir arrêt des soins nécessaires à leur santé
  • Ciblage d’une population vulnérable si l’information n’a pas été suffisamment protégée

Que faire ?

Il est primordial de recontacter l’intégralité des personnes enquêtées et de leur faire savoir qu’ils peuvent exercer leur droit à la rétractation de leurs informations, étant donné que leur consentement n’a pas été obtenu sur ce point, ou sinon obtenir leur consentement en leur expliquant pourquoi cette donnée est collectée et comment elle sera utilisée. Il faut mettre en suspens le procédé d’analyse, étant donné que l’échantillon sur lequel a été/va être effectué l’analyse pourrait être amputé/incomplet, tant que la vérification n’est pas terminée et la base de données mise en jour en fonction.

Attention à ne pas se dire que la vérification n’en vaut pas la peine et que personne n’en saura jamais rien, ce qui peut être une tendance pour des raisons d’efficacité - en termes éthiques, cette approche serait tout à fait contraire aux principes humanitaires, et le danger que cela peut faire porter sur le projet et l’ONG en termes réputationnels est trop important pour ne pas être considéré avec attention.

Comment la situation aurait pu être évitée ?

Dans ce type de situation, il est essentiel de réfléchir à la base légale en amont de la collecte, et, si le consentement est la base qui semble la plus pertinente, à voir comment la mettre en œuvre. Dans ce cas particulier, Il faudrait donc que le consentement des personnes interrogées ait été obtenu en leur expliquant de manière détaillée en quoi répondre à ce questionnaire et fournir les informations dues (dont la localisation GPS) permet à l’ONG d’avoir de meilleures informations pour mettre en place des activités adaptées , d’avoir accès à des services (de soins, de sécurité alimentaire) de qualité, ainsi que le fait de refuser n’aura pas de conséquence sur cet accès et qu’ils peuvent demander la destruction de leur données le cas échéant.

La notion de consentement est particulièrement complexe à expliciter, les rapports socio-culturels aux données et au numérique étant perçus différemment d’une culture à l’autre. C’est pourquoi la formation des enquêteurs sera essentielle.

Dans cet effort de sensibilisation, il est utile de définir les risques les plus courants au cas où les informations seraient diffusées, en se basant sur des exemples concrets. Ce n’est pas si simple. En effet, les organisations éprouvent des difficultés suivantes : on liste les dangers les plus courants, ceux qui résonnent avec notre environnement culturel mais on sous-estime le fait que les personnes interrogées ne se reconnaissent pas dedans. C’est pourquoi travailler et réfléchir avec l’équipe des enquêteurs qui auront la responsabilité de poser et expliciter les questions est capitale.

Pour vérifier lors de la collecte que le consentement est bien demandé de manière responsable, le responsable d’enquête peut :

  • Accompagner les équipes les premiers jours pour observer les pratiques ;
  • Puis organiser des sessions de retours avec les équipes pour échanger les impressions, discuter des situations compliquées, vérifier que tout a bien été compris regarder et analyse la fréquence des non-consentement pour voir s’il y a des changements à faire dans la collecte etc ;
  • Ajuster le processus pour améliorer la qualité les jours suivants.

Si cela permet de réagir rapidement en cas de problème, cela évite surtout de découvrir des erreurs ou des incohérences ultérieurement lors de l’analyse de données ; ou bien que des frustrations ou des incompréhensions se développent entre l’organisation et les populations enquêtée.

Cas d’étude : l’ONG partenaire avec des pratiques irresponsables

La situation

Dans un contexte de projet de sécurité alimentaire, vous travaillez depuis plusieurs années avec différentes ONG locales partenaires qui vous aident à implémenter des activités. Suite à un atelier de travail avec vos partenaires sur la question de la gestion de données, vous vous rendez compte que l’une d’entre elles partage les listes de bénéficiaires avec les autorités sur simple demande et une autre réutilise des données collectées pour d’autres besoins avec d’autres organisations partenaires. Ni l’une ni l’autre ne se rendent compte des impacts potentiels et vous ont communiqué l’information en toute bonne foi.

Quels sont les risques potentiels ?

  • Divulgation de données personnelles et sensibles non conformes aux principes humanitaires et de la protection des données
  • Ciblage potentiel d’autres acteurs
  • Risques réputationnels, perte de confiance des bénéficiaires victimes vis-à-vis de l’ONG partenaire, et de votre organisation par procuration

Que faire ?

A court terme, il faut chercher à :

  • comprendre les conséquences de ces partages sur les personnes concernées ;
  • informer les personnes concernées de ce partage ;
  • le cas échéant, communiquer cette divulgation des données à toute autorité compétente en fonction du contexte légal ;
  • et mettre en place rapidement des mesures de mitigation correctives afin de protéger les données et les personnes.

Comment la situation aurait pu être évitée ?

Si, dans ce type de situation, la responsabilité en termes de protection des données est partagée entre les différentes parties prenantes dans ce type de contexte, il est du devoir de votre organisation de vérifier que les pratiques de vos partenaires en termes de gestion responsable de données sont en accord avec vos propres pratiques.

Si c’est le cas, vous ne pouvez qu’encourager le partenaire à garder ce niveau de gestion responsable de données en valorisant son travail et ses initiatives en la matière.

Si ce n’est pas le cas, c’est de votre responsabilité de tout faire pour que votre partenaire se mette à niveau (en le formant, le sensibilisant, en soutenant la mise en place d’outils et de pratiques sûres et responsables…). Si ces efforts sont concluants, c’est que la collaboration peut continuer dans de bonnes conditions ; si ce n’est pas le cas, vous devriez reconsidérer votre collaboration, car en contradiction avec le respect du principe du “ne pas nuire”.

  • Gardez en tête que vous avez certainement des choses à apprendre de vos partenaires en termes de défis ou contraintes auxquels ils font face dans leur contexte d’intervention qui est peut être différent du votre (ou dont vous n’aurez pas conscience) et qui pourrait expliquer leurs pratiques.
  • Encouragez un travail de fond pour explorer les situations concernées ensemble pour voir comment respecter vos engagements sans mettre en péril des activités par ailleurs pertinentes.

Cas d’étude : Les enquêteurs qui utilisent les tablettes à usage professionnel en dehors du travail

La situation

Des tablettes ont été achetées pour les besoins en suivi et évaluation de votre projet, et sont utilisées lors d’une collecte de données sur mobile, à l’échelle d’une région et pendant plusieurs jours d’affilés. Cette enquête est faite auprès de jeunes ayant été incarcérés et faisant l’objet d’un accompagnement au retour à l’emploi. En vérifiant un appareil mobile par hasard, vous voyez de nombreuses applications de jeux pour enfants installées sur celui-ci. En creusant, vous vous rendez compte que les enquêteurs ne passent pas par le bureau en fin de journée pour y laisser le matériel, mais amènent et gardent les tablettes chez eux jusqu’au lendemain. Les tablettes sont utilisées à des fins personnelles car laissées sans surveillance au domicile des enquêteurs et non protégées par un mot de passe, elles sont donc potentiellement accessibles à des tiers (famille, amis).

Quels sont les risques potentiels ?

  • Données personnelles et sensibles accessibles par des tiers donc non conformes aux principes humanitaires et de la protection des données
  • Risque de perte et de destruction des données
  • Perte de temps si ces données doivent être collectées à nouveau (et perte de confiance des bénéficiaires vis-à-vis de l’ONG)
  • Perte de matériel, vol ou destruction de ressources matérielles

Que faire ?

À court terme, il faut chercher à :

  • Comprendre les conséquences potentielles de cet incident ;
  • Évaluer la nature des données présente sur ces tablettes et si certaines d’entre elles ont été vues/modifiées/effacées ;
  • Mettre en place rapidement des mesures de mitigation correctives afin d’empêcher l’accès aux tablettes et protéger les données ;
  • Mettre en place un protocole (et adapter l’emploi du temps si nécessaire) pour permettre aux enquêteurs de passer par le bureau en fin de journée pour y déposer les tablettes dans un endroit sécurisé.
  • S’il n’est pas possible logistiquement pour les enquêteurs de passer par le bureau, s’assurer qu’ils comprennent la nature de risque potentiel et comment empêcher l’accès aux tablettes et aux données par exemple en ayant des mots de passe.
  • Analyser s’il est possible d’envoyer les données collectées sur le serveur en fin de journée pour ensuite les effacer afin qu’il n’y ai rien de stocké en local sur les tablettes.

Comment la situation aurait pu être évitée ?

L’inclusion d’un volet de sensibilisation à la protection des données, qui inclut la sécurité du matériel, lors de la formation des enquêteurs permettrait de sensibiliser les enquêteurs aux risques engendrés par ce type de situation.

De plus, pour les futures collectes de données sur mobile la mise place d’un protocole adapté et clair par rapport aux appareils mobiles à usage professionnel est nécessaire. Dans certains contextes, avoir un lieu spécifique, tel qu’une armoire pour charger les appareils mobiles peut faciliter la vérification rapide de présence des tablettes.

Cas d’étude : Communication par SMS avec des informateurs clés dans une zone de conflit

La situation

Vous travaillez dans une zone inaccessible où des groupes armés hostiles très au fait des nouvelles technologiques sont présents et cherchent à intimider les populations pour en tirer des bénéfices financiers. Vous menez un projet de cash transfers pour lequel les communications se font via SMS avec les bénéficiaires. Vous apprenez que les téléphones de plusieurs d’entre eux ont été saisis par des acteurs du conflit et vous n’avez aucune idée si vos bénéficiaires ont procédé à l’effacement de leurs communications avec l’équipe (Vous ne leur avez en tout cas fourni aucune recommandation en la matière).

Quels sont les risques potentiels ?

  • Les téléphones saisis peuvent trahir non seulement leur participation au programme de cash transfers mais aussi d’autres informations qu’elles ont pu communiquer à l’équipe (par exemple, sur la situation sécuritaire de la zone)
  • Ciblage et représailles envers ces personnes
  • Informations sensibles qui tombent entre les mains des protagonistes du conflit et mettent en danger indirectement des habitants de la zone
  • Mise en danger de la faisabilité de la mission sur cette zone

Que faire ?

Dans l’immédiat, il faut bien entendu prévenir les personnes concernées de ce risque et les accompagner pour effacer toutes traces de leur communication avec l’équipe. Ensuite, essayez d’évaluer la teneur des données présente sur les appareils saisis et l’impact que leur divulgation auprès de groupes armées peut avoir sur les populations locales et la continuité du projet.

Le cas échéant se mettre en contact avec les autorités compétentes afin d’assurer la sécurité des populations potentiellement ciblées.

Comment la situation aurait pu être évitée ?

En amont, faire une analyse contextuelle des risques d’atteinte aux personnes bénéficiaires de ce projet et au fait de communiquer directement avec elles, dans une zone inaccessible et en conflit, par des moyens non sécurisés. S’il est avéré que les risques ne peuvent pas être minimisés et sont trop importants pour les personnes impliquées, il faut remettre en question le bienfondé de l’utilisation de ce mode de communication.

Au vu du contexte et des conséquences potentielles, la piste évidente pour éviter ce type de situation est d’avoir un protocole d’accompagnement des populations pour s’assurer qu’elles connaissent les risques et les procédures pour les minimiser en effaçant toute trace de leur communication.

Des sessions de sensibilisation, des formations pratiques avec des mises en situation, par exemple animées par un point focal local, afin de démontrer les étapes à suivre pour utiliser ce mode de communication de manière responsable et sécurisée permettrait de minimiser les risques et tester la validité et l’efficacité de ces procédures peut-être pas en conditions réelles mais tout du moins de manière approfondie.

Ressources clés