Droits numériques: «C'est le moment pour les Etats de protéger leurs citoyens»

De quoi est-il question quand on parle de droits numériques?
A Access Now, nous parlons plutôt de droits humains à l’ère digitale ou dans un monde digital. C’est ce que nous essayons de faire comprendre aux gens. Quand ils entendent parler de droits numériques, ils imaginent qu’ils ne se sentent pas concernés.

C’est difficile de dissocier la vie privée en ligne et la vie privée hors ligne quand quasiment tout le monde a un téléphone portable. Nous utilisons des applications au quotidien. Nos maisons sont truffées d’objets connectés et nous sommes de plus en plus intéressés par les programmes d’intelligence artificielle (voitures sans conducteur, robots).

Dans ce dernier cas, nous nous sommes rendus compte qu'ils pouvaient avoir des failles dûs à leurs concepteurs humains. Si, par exemple, vous utilisez une base de données qui a été développée par un système raciste pour nourir la machine, cette dernière va reproduire des comportements racistes. Il faut donc prendre en compte l'impact que cela peut avoir sur les droits humains et mettre en place des mécanises de protection dès la conception de ces machines. C'est l'une des thématiques qui sera, entre autres, abordée lors du prochain RightsCon qui se tiendra du 16 au 18 mai 2018 au Canada.  

Pour nous, les droits numériques renvoient à la vie privée, mais aussi à la liberté d’expression, notamment celle qui s’exprime en ligne. Mais cela inclut aussi le fait d’avoir accès à des services par les moyens de communication digitale.

Tous les citoyens ne sont pas égaux quant à la protection de leurs données personnelles, à laquelle l'opinion publique accorde une attention particulière depuis le scandale Facebook/Cambridge Analytica. Le Règlement général sur la protection des données (RGPD) va entrer en vigueur en Europe, mais Facebook prévoit d’en exclure 70% de ses utilisateurs, notamment les Africains…
Avec l’entrée en vigueur du RGPD, les Etats européens seront protégés. Il y a des entreprises qui ont pris les devants et décidé d’appliquer les mêmes politiques de protection des données pour les citoyens en dehors de l’Europe. Un exemple: je suis citoyenne française, résidant en Grande-Bretagne, qui va bientôt quitter l’Union européenne, et je suis souvent en déplacement. Dans quel cadre le RGPD s’appliquera-t-il à moi? Seulement en Europe? C’est très problématique à l'ère d’Internet et dans un monde globalisé. Comment appliquer une loi quand les citoyens bougent? 

A Access Now, nous faisons campagne pour une application globale des droits et des protections garantis par le RGPD. Bien avant le scandale que vous évoquez, nous avons fait campagne pour promouvoir la protection des données dans les pays où il n’y a pas encore de législation en vigueur.

L’Afrique est un continent qui est à la fois vulnérable et plein d’opportunités dans la mesure où on peut mettre en place des lois qui protègent les droits des citoyens. L’Union européenne a produit une législation dont le continent peut s’inspirer. Elle n’est pas parfaite mais il y a des leçons à en tirer. Le moment – c'est maintenant –, pour les Etats africains de protéger leurs citoyens de tous les abus en adoptant des lois appropriées sur la protection de la vie privée et des données personnelles de leurs citoyens.

Cependant, en Afrique, ce ne sont pas seulement les entreprises privées qui peuvent faire un mauvais usage de nos données personnelles. Il y a aussi les Etats avec les coupures d'Internet. C'est de nouveau le cas au Tchad où l'accès à Whatsapp est interrompu depuis quelques semaines. Comment se protège-t-on de ceux qui sont censés nous protéger?
Nous travaillons beaucoup, notamment avec l'ONG Internet sans frontières (basée en France), sur ces questions dans le cadre de la coalition #KeepItOn, une campagne consacrée aux coupures d'Internet et aux restrictions de services de communication comme Whatsapp. Dans ces cas-là, il y a plusieurs outils. Le premier étant l'information. Il y a beaucoup de personnes qui ne savent pas, par exemple, que Whatsapp n'est plus disponible au Tchad; ou encore qu'il y a eu une coupure Internet pendant plus de 90 jours dans les régions anglophones du Cameroun en 2017. Nous essayons d'alerter les autorités locales, régionales et la communauté internationale. Nous avons plusieurs instruments à notre disposition. Cependant, pour l'instant, sans la bonne volonté des Etats, c'est un combat difficile à mener. 

Sur de nombreuses problématiques, l'Afrique est un continent vulnérable. En est-il de même pour les droits numériques? 
De nombreux pays dans le monde ne disposent pas de loi sur la protection des données personnelles, la neutralité du Net... A ce titre, les Etats africains ne sont pas des cas isolés. A contrario, plusieurs pays sur le continent s'en sortent plutôt bien. Les chiffres croissants sur la connectivité et l'émergence de jeunes médias et de blogueurs, de starts-up, en témoignent. Seulement, il faut que les respects des droits de l'Homme soient garantis sans équivoque. Cela suppose, par exemple, de ne pas couper Internet ou restreindre la fourniture de services numériques, notamment lorsqu'il est question de museler les voix de l'opposition ou de contrôler l'information.

Il faut faire très attention quand on développe un programme d'utilisation de données biométriques. En Tunisie, il y a eu un projet de loi qui a été finalement abandonné grâce à la mobilisation de la société civile. Mais aussi parce que les parlementaires se sont informés. Ils ont pris conscience des dangers que cela représentait pour la sécurité de leurs concitoyens et ont pu amender le projet de loi afin d'y insérer les protections nécessaires, avant qu'il ne soit finament retiré.

Le Togo a annoncé qu'il souhaitait créer une identité biométrique pour ses citoyens. Ce n'est pas le seul pays africain tenté par l'aventure biométrique alors que de nombreux Etats occidentaux ont renoncé en partie à cette option. Tous ces Etats africains sont-ils capables de gérer des bases de données biométriques quand on connaît les conséquences que peuvent avoir les failles de sécurité ou qu'éventuellement elles peuvent être gérées par des sociétés privées comme envisagé en Tunisie?
Plusieurs initiatives sont effectivement en cours, des appels d'offre ont été lancés... L'une des raisons évoquées pour les justifier est la simplification administrative, notamment dans les opérations liées à la citoyenneté. En d'autres termes, on pense que sera plus simple ou sécurisé de gérer des bases de données biométriques. Ce qui n'a pas encore été prouvé. Au contraire, en Inde par exemple, le programme de cartes d'identité biométriques mis en place connaît de nombreux ratés et est remis en question. 

Quand nous travaillons sur les problématiques liées à la création de ces bases de données biométriques, le premier écueil est le manque d'information. Nous ne sommes pas parfois en mesure de savoir quelles sont les sociétés qui auront en charge leur gestion, si les Etats ont une visibilité quant à leur protection ou les mécanismes mis en place pour les protéger. Nous sommes confontés à un manque de transparence qui ne nous permet même pas d'établir des critères objectifs pour évaluer les capacités des Etats. Est-il nécessaire de stocker toutes ces informations dans une base de données qui peut s'avérer très vulnérable quand les conditions minimales de protection ne sont pas réunies?

D'autant que la collecte de données biométriques soulève une problématique très importante: nous ne pouvons pas changer nos données. Ce ne sont pas des mots de passe que nous pouvons modifier à tout moment s'ils sont compromis. Il faut éviter toute précipitation dans ce domaine.