02/08/2016

 

Comité international de la Croix Rouge, Genève, juin 2016

 

Mme Catherine LENNMAN, représentante du PFPDT (Suisse) et coordinatrice du Groupe de travail de la Conférence internationale des commissaires à la protection des données et à la vie privée sur la protection des données et l’action humanitaire, et Mme Floriane LECLERCQ, Chargée de mission à l’AFAPDP, ont participé à deux ateliers de travail organisés les 13 et 14 juin à Genève par le Comité international de la Croix Rouge (CICR) et le Brussels Privacy Hub (BPH). Le premier atelier était consacré à la biométrie et le second aux programmes d’aide financière.

 

Usage de la biométrie dans l’humanitaire: exemple au Haut-Commissariat aux Réfugiés (HCR)

Le HCR utilise un système d’enregistrement biométrique baptisé proGres et développé depuis 2003. Ce système vise à « mieux enregistrer et protéger les personnes, vérifier leur identité, cibler l’aide ». Il est utilisé désormais dans 97 pays et contient 7,2 millions de dossiers. Il est le principal outil de stockage et de gestion des données personnelles des personnes prises en charge par le HCR. Lire la présentation du système par Microsoft.

 

Usage des programmes d’aide financière: exemple du CICR

Les programmes d’aide financière comprennent les aides financières dont les bons pour l’achat de produits spécifiques et la distribution d’argent selon plusieurs modalités : par téléphone mobile, cartes prépayées, transferts bancaires, cartes à puce, etc. Ces programmes font partie des réponses des organisations humanitaires pour subvenir aux besoins de base des personnes prises en charge et pour (r)établir les moyens de subsistance. Les familles peuvent ainsi acheter ce dont elles ont le plus besoin ou monter une petite affaire. Une première étape pour un retour à la dignité.

 

→ Pour un petit tour d’horizon des technologies utilisées dans le domaine humanitaire, lire cet article: « Crise des réfugiés: quand la technologie répond« , publié sur ZDNet.fr le 23/10/2015.

 

Préoccupations en matière de vie privée

Les quelques 35 participants ont reçu, préalablement à la tenue des ateliers, deux documents de travail préparés par le CICR et le BPH et consacrés pour l’un à la biométrie et pour l’autre aux programmes d’aide financière. Pour chacun des deux domaines, les documents comprennent les sections suivantes :

  • Une présentation du contexte de ces technologies dans l’humanitaire.
  • Une présentation des données collectées et des acteurs impliqués dans la gestion des traitements.
  • L’impact potentiel de l’utilisation de ces technologies pour la protection des données et de la vie privée des personnes concernées.
  • Les principes de base des traitements de données et leur application dans chacun des deux domaines.
  • Les bases légales des traitements.
  • Les droits des personnes concernées.
  • Les règles pour le partage des données.

Ces documents ont servi de lignes directrices pour les interventions et discussions.  De nombreuses questions sont soulevées par le CICR et le BPH qui mettent aussi en garde : les technologies rendent les actions humanitaires plus efficaces mais ne doivent en aucun cas conduire à une exploitation, à une mise en danger ou à un préjudice pour les bénéficiaires de ces actions. Une majorité des participants partagent ces préoccupations, mais sur le terrain on constate que les principes de la protection des données ne sont pas toujours pris en compte.

 

Une des difficultés principales relevées dès le début des discussions est la multiplicité des acteurs impliqués dans la définition de la finalité et des moyens utilisés pour la mise en œuvre des traitements : les organisations internationales, les donateurs et les autorités publiques, et sur le terrain : les organisations locales et les fournisseurs de services techniques et financiers. Tous ces acteurs poursuivent des intérêts différents et appartiennent à des juridictions différentes. Dans cette mesure, les organisations humanitaires ont des difficultés à déterminer quel est le droit applicable. Les organisations humanitaires regrettent l’absence de cadre international de protection des données. Un tel cadre leur permettrait d’avoir un même texte de référence et de pouvoir établir les règles de partage des données avec les autorités publiques et États sur la base de ce texte.

 

Afin de préciser le contexte et l’objectif des traitements mis en place par les organisations humanitaires, plusieurs discussions ont eu lieu sur le principe de finalité. Ces finalités sont souvent multiples et pas toujours définies au moment de la collecte (en situation d’urgence) : restituer une identité, apporter des soins, distribuer de la nourriture, des biens ou une assistance financière, rassembler des familles, relocaliser, lutter contre la fraude et la corruption  – de façon plus efficace et ciblée grâce aux technologies utilisées. De ce fait, le principe de proportionnalité et de minimisation de la collecte ne sont pas toujours pris en compte.

 

Les participants ont discuté longuement du consentement et de l’information des bénéficiaires, principes auxquels les organisations humanitaires sont attachées. Le consentement individuel est-il la base légale à privilégier, sachant que les personnes concernées sont en situation de déséquilibre voire de dépendance vis-à-vis des organisations qui les prennent en charge et leur propose des services parfois vitaux ou financiers ? Certaines organisations privilégient le consentement et l’information délivrée au moment de la collecte des données.

 

« Le plus grand défi a consisté à convaincre les réfugiés de s’enregistrer, car ils n’étaient pas sûrs de l’objectif global de l’exercice. Mais une fois que nous leur avons expliqué, ils ont adopté ce projet et se sont présentés massivement », déclare Kelvin Sentala, employé du HCR sur le terrain au Malawi » (voir cet article cité plus haut).

 

Les bénéficiaires peuvent ‘consentir à l’enregistrement des données’ par écrit, au  moment de la collecte. Ils ont conscience malgré tout des enjeux et acteurs multiples dans la chaine de prise en charge et dans la chaine de distribution. Les participants aux ateliers ont évoqué d’autres bases légales telles que l’intérêt public (pour les organisations officiellement mandatées) et la sauvegarde de l’intérêt de la personne.

 

Le partage des données (biométriques et financières) a également occupé une grande part des discussions. Le premier défi est l’identification des destinataires des données : les partenaires des actions, les États où se déroulent les opérations (et les États donateurs). Les organisations humanitaires subissent une forte pression de la part des gouvernements pour que celles-ci partagent leurs données, à travers des accords de partage de données (sur un set de données minimal). Dans le contexte de l’aide financière, les organisations doivent prendre en compte la complexité des flux entre les organisations et leurs partenaires commerciaux et financiers, et les obligations ou intérêts propres à ces partenaires telles que la conservation des données par les opérateurs de télécommunications et les processus « Connaitre son client »[1] (« Know Your Customer ou KYC) par les institutions financières voire les autorités publiques:

 

[1] Règlementation bancaire consistant à ce qu’une entreprise vérifie l’identité de ses clients dans le cadre de la lutte anti-corruption et anti-blanchiment, contre l’usurpation d’identité, la fraude financière ou le financement du terrorisme. Ces processus se font par analyse de données, vérification de la présence sur les listes, l’analyse du comportement et des transactions (source : Wikipedia).

 

Les participants ont échange également sur d’autres points tels que la sécurité des données et les évaluations d’impact pour la protection des données et la vie privée (la nécessité de bien identifier les risques et de mettre en place les mesures de prévention et les procédures de réaction adéquates), la conservation et l’archivage des données, … Le CICR et le BPH utiliseront les conclusions des ateliers pour revoir les documents de travail et y ajouter les recommandations des participants. Le Groupe de travail de la Conférence internationale sur la protection des données et l’action humanitaire sera impliqué dans la préparation des versions finales de ces deux documents.

 

A mentionner également, la visite de M. Joe Cannataci, Rapporteur spécial des Nations Unies pour la vie privée, intervenu lors de ces journées pour présenter les conclusions de la première année de son mandat et appeler les organisations humanitaires à lui transmettre leurs préoccupations.

 

Prochains rendez-vous

Une session de sensibilisation à la protection des données dans l’humanitaire est prévue lors de la 9ème Conférence de l’AFAPDP à Ouagadougou le 22 septembre prochain.

 

Les deux prochains ateliers organisés par le CICR et le BPH auront lieu à Bruxelles les 28 et 29 septembre et porteront sur l’informatique dans les nuages (cloud) et les Privilèges et Immunités des organisations humanitaires internationales, et sur les SMS groupés et les applications de messagerie sur mobile.

 

Article publié en anglais dans la newsletter de la CICPDVP Volume 2 Numéro 5 du mois d’août 2016.

 

Protection des données dans l’humanitaire: des préoccupations partagées et une recherche de solutions communes

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.