6.7 Partager et transférer
TABLE DES MATIÈRES
- Cas d’étude : Le partage de données sensibles par un canal non sécurisé
- Cas d’étude : La demande bailleur de votre liste de bénéficiaires
- Cas d’étude : Risque d’identification des contributrices à un groupe de discussion
- Ressources clés
Cas d’étude : Le partage de données sensibles par un canal non sécurisé
La situation
Vous êtes un chef de projet travaillant dans un contexte de développement. Vous utilisez un logiciel de cryptage pour encrypter vos fichiers, avant de les envoyer au siège, pour être sûr que ceux-ci soient bien protégés. Avec un protocole AES 256, vous êtes convaincu que les données partagées sont inviolables. Vous cryptez donc votre fichier avec un logiciel spécialisé et obtenez une clé de cryptage (c’est en effet, le mode de fonctionnement des logiciels de ce type).
Vous envoyez le fichier à votre siège, et communiquez par écrit -dans votre mail incluant le fichier - la clé de cryptage. Plusieurs semaines après cette communication, vous vous rendez compte que les données médicales que comprenait ce fichier ont été diffusées, avec un impact certain sur une partie des bénéficiaires (notamment ceux qui ont des MST, sujet tabou dans le contexte d’intervention en question).
Quels sont les risques potentiels ?
- Divulgation de données personnelles et sensibles non conformes aux principes humanitaires et de la protection des données
- Ciblage d’une population vulnérable
- Risques réputationnels, Perte de confiance des bénéficiaires victimes vis-à-vis de l’ONG
Que faire ?
Dans cet exemple, notre chef de projet a oublié de protéger la clé de cryptage, et l’a donc partagé par un mode de communication non sécurisé.
Tout d’abord, il faut comprendre que ce n’est pas, dans la majeure partie des cas, la technologie qui est en faute, mais le plus souvent l’utilisateur, et sa méconnaissance du fonctionnement et des limites des outils.
Nous en avons une illustration flagrante ici, ce n’est pas parce qu’on utilise un logiciel de cryptage que nos données sont protégées : le faux sentiment de sécurité procuré par la technologie a leurré l’utilisateur, qui a adopté une conduite imprudente, et n’a pas su adapter en conséquent son comportement. En effet, si les technologies qui permettent le cryptage sont relativement sûres (du moins jusqu’à aujourd’hui, et l’avènement des technologies quantiques pourraient remettre fondamentalement en cause ce paradigme), il existe toujours un point « faible », c’est celui de la clé de cryptage. En effet, il faut porter une attention particulière à la préservation de cette clé et aux modalités de partage de celle-ci. Tout d’abord, parce que le fichier ne sera lisible par l’usager que dans le cas où celui-ci possédant la clé permettant de déverrouiller le fichier. Mais aussi et surtout parce que les modalités de conservation et de partage de la clé sont fondamentales dans le « niveau de sécurité » de l’usage. Ainsi, vous pourrez avoir le cryptage le plus fort possible, si vous partagez vos fichiers et clés via mail, vous pouvez exposez la donnée source de votre fichier.
Comment la situation aurait pu être évitée ?
La formation et l’accompagnement des équipes en leur mettant à disposition des recommandations et procédures (à leur portée en termes de temps et de compétences) est généralement ce qui permet de sécuriser le transfert de données. En effet, à l’échelle d’une organisation, le mieux peut être l’ennemi du bien : vouloir tout crypter, ou tout verrouiller peut pousser les employés à partager les clés par des canaux non sécurisés, soyez donc attentifs sur le dimensionnement de vos outils et de votre sécurité, en vous remémorant toujours que votre sécurité est généralement aussi forte que votre maillon le plus faible.
En termes de logiciels pour partager et crypter des fichiers, vous pouvez utiliser des outils comme Vera Crypt, OnionShare, TresoritSend. Pour partager un texte sensible (comme une clé de partage), privilégiez (plutôt que des canaux de communication courants peu sécurisés) des solutions de type « burn-after-reading » qui assurent que la page ne peut pas être consultée plus d’un certain nombre de fois, tels PasteBin, PrivateBin, Threema, TresoritSend. Et assurez-vous que la connexion que vous utilisez est sécurisée (évitez le wifi d’aéroport par exemple). Mais, encore une fois, ayez également à l’esprit que vous devez avoir un interlocuteur acclimaté aux types de sécurisation mis en place, surtout lorsque vous partagez des données très sensibles. Si celui-ci note sur un papier la clé de cryptage que vous avez partagé de manière confidentielle via les solutions mentionnées précédemment, vous exposez probablement vos données.
Cas d’étude : La demande bailleur de votre liste de bénéficiaires
La situation
Vous êtes chef de projet et vous intervenez dans une zone à fort enjeux politiques concernant une population persécutée par différents pays. A la fin d’une phase de projet, le bailleur de fond, proche des autorités publiques, vous demande sans notification antérieure de communiquer vos listes de bénéficiaires. Ceux-ci n’ont par contre jamais donné leur consentement pour une telle utilisation. Le bailleur vous informe que ne pas le faire vaut pour lui comme un non-respect de vos engagements et donc que cela remettrait en cause toute continuation des actions de votre ONG dans le pays.
Quels sont les risques potentiels ?
- Ciblage d’une population vulnérable
- Divulgation de données personnelles et sensibles non conformes aux principes humanitaires et de la protection des données
- Risques réputationnels, Perte de confiance des bénéficiaires victimes vis-à-vis de l’ONG
- Risques financiers (vis-à-vis du bailleur, mais aussi d’amendes), remise en cause de vos activités
Que faire ?
Si les données demandées sont à vocation d’audit ou de statistique, il est tout à fait envisageable par le biais d’un accord de partage de données de leur fournir des données pseudonymisées.
Si la vocation est autre, commencez par vérifier que vous ne vous y êtes pas engagés contractuellement, et aussi à vérifier vos obligations légales (par exemple, sans consentement éclairé, vous n’avez tout simplement pas le droit dans le cadre de règlementation telles le RGPD si celle-ci est applicable). Dans tous les cas, il risque de ne pas y avoir de résolution simple au problème, car cela serait totalement contraire à l’éthique et aux principes humanitaires de partager de telles données.
Il faut donc leur présenter vos arguments éthiques, si possible vous appuyant sur la charte du bailleur à ce sujet que la majorité des bailleurs ont et/ou à toute politique publique que votre organisation aurait sur la gestion responsable de données, en expliquant que vous ne pouvez pas aller à l’encontre de vos engagements éthiques, vous y tenir, et si possible faire front commun avec d’autres organisations dans la même situation.
Comment la situation aurait pu être évitée ?
Pour éviter ce type de situation difficile pour toutes les parties, il faut chercher au démarrage du partenariat à clarifier autant que faire se peut le type de demande qu’il pourrait y avoir sur les données, pour mettre en place les mesures adaptées (contrat, consentement…). Ce n’est par contre pas parce la demande est faite au démarrage du projet qu’il faut y répondre par la positive- cherchez toujours à comprendre l’utilisation qui pourrait être faite sur ces données et donc si c’est en accord avec les principes de votre organisation. Echangez également avec d’autres organisations pour comprendre le contexte politique et le poids associé des données et les risques associés à un tel partage.
Ensuite, sensibilisez vos sièges à publier des politiques en la matière pour donner du poids à votre prise de position (telles la prise de position d’Oxfam sur la donnée biométrique par exemple). Cela facilitera votre argumentaire et asseyant sa légitimité. Vous n’aurez peut-être pas gain de cause (et aurez peut-être besoin de fermer effectivement vos activités dans la zone si aucune solution acceptable n’est trouvée), mais vous aurez au moins tout fait pour apporter une solution éthique au problème rencontré.
Cas d’étude : Risque d’identification des contributrices à un groupe de discussion
La situation
Dans le cadre d’un projet de soutien aux femmes victimes de violences, un groupe de discussions a été organisé sur les questions de violences basées sur le genre (VBG). Suite à la publication d’un rapport sur le projet, vous êtes alerté par une organisation tierce, sur le fait que les femmes présentes lors du groupe de discussion peuvent être identifiées. En effet, malgré l’agrégation des données, les cartes publiées dans ce rapport utilisent une localisation trop précise et des typologies risquées, voire douteuses. Il est en effet possible d’identifier les participantes en recoupant les informations visibles sur les cartes et les résultats de l’analyse des données qualitatives recueillies.
Quels sont les risques potentiels ?
- Les participantes pourraient être ciblées, avec des risques de stigmatisation et potentiellement de représailles
- Les activités prévues dans le cadre du projet pourraient être compromises car reposant sur l’anonymat des participantes
- Risques réputationnels, perte de confiance des bénéficiaires victimes vis-à-vis de votre ONG
- Données personnelles et sensibles accessibles par des tiers ce qui est non conformes aux principes humanitaires et de la protection des données
Que faire ?
Dans l’immédiat, il est essentiel de retirer le rapport du domaine public pour éviter une plus large diffusion et procéder aux modifications nécessaires. Évaluez au plus vite quelles sont les données sensibles qui ont pu être divulguées et les risques associés, et prévenez les personnes concernées pour les informer de la situation.
Comment la situation aurait pu être évitée ?
Avoir une procédure de validation avant publication qui prend en compte la gestion responsable des données. Par exemple, mettre en place une grille d’évaluation des risques à laquelle se référer dès que des données sensibles sont collectées et avant que des rapports basés sur ces données soient rendus publiques
Sensibilisez les équipes et mettre à disposition des ressources sur la représentation de données sensibles sous forme de cartes permettrait à plusieurs personnes de l’équipe d’être acclimatées à ces questions de protection des données personnelles et d’avoir un regard critique sur ce type de documents avant leur partage.
Ressources clés
- Les notes d’orientation d’OCHA restent des références sur le partage de données :
- Cette étude de cas du CALP sur le partage de données avec des gouvernements
- Cette ressource sur le partage de données entre organisations humanitaires et bailleurs
- Un outil d’aide à la décision sur le partage responsable de données géolocalisées
- Deux exemples de “Scandale” en termes d’utilisation non souhaitée de données: ici, ici et ici
- La section sur les données sensibles de la boite à outils SIGdu coin d’apprentissage de CartONG
- Pour connaitre quelques solutions de partage sécurisées de fichier, vous pouvez consulter ce le lien