David Cheshire/Loop Images/laif

Confidentialité et sécurité des données dans les projets de développement

De nos jours, le contexte du développement serait inconcevable sans la collecte et l’utilisation de quantités importantes de données. Cet état de fait pose également la question de savoir comment gérer et protéger ces données. L’auteur exige que les mêmes normes s’appliquent dans le Nord et dans le Sud.

Le droit à la vie privée est un droit humain initialement inscrit dans la Déclaration universelle des droits de l’homme en 1946 puis repris dans le Pacte international relatif aux droits civils et politiques des Nations-Unies en 1966. De même, le droit à la confidentialité n’est pas simplement un « problème du premier monde » (Kate McKee), même s’il existe des différences culturelles quant à ce que les gens du monde entier considèrent être une information confidentielle.

Par ailleurs, ce n’est pas seulement la confidentialité qui est en jeu aujourd’hui dans un environnement toujours plus numérisé. Comme de plus en plus de données personnelles sont collectées dans les villes comme dans le monde rural, la question est la suivante : qui est responsable de ces collectes de données et le citoyen, le client ou l’agriculture lambda a-t-il une chance de savoir comment ses données sont traitées ou de pouvoir contrôler le traitement de ses données ?

 Il est certainement vrai de dire que les agriculteurs africains ont d’autres problèmes en tête, et des problèmes bien plus importants, que ceux qui concernent la protection de leurs données. En même temps, cet énoncé est quelque peu paternaliste compte tenu des garanties de protection des données dont bénéficient les habitants des pays développés. Les organismes d’aide installés en Europe ou, par exemple, au Canada, doivent se conformer aux règles de confidentialité et de sécurité des données appliquées dans leurs pays respectifs lorsqu’ils participent à des projets de développement en Afrique et ailleurs. Parallèlement, les producteurs de technologies agricoles ne devraient pas être autorisés à tenir moins compte des normes de protection des données établies dans les pays développés lorsqu’ils vendent leurs matériels et logiciels aux agriculteurs africains.

Protection des données

La protection des données (parfois appelée « confidentialité des données ») va au-delà du concept de confidentialité car elle donne à la personne concernée le droit d’accéder à ses données personnelles, de les corriger et d’obtenir qu’elles soient effacées lorsque leur stockage n’est plus nécessaire. Mais surtout, les pays développés et en développement se sont mis d’accord, dans le cadre de l’Organisation de coopération et de développement économiques (OCDE), sur les Lignes directrices régissant la protection de la confidentialité et les flux transfrontaliers de données de caractère personnel (1980, révisées en 2013). Ces lignes directrices montrent que le gouvernement considère que la coopération économique, le développement – le droit à un niveau de vie suffisant est inscrit dans le Pacte international relatif aux droits économiques, sociaux et culturels depuis 1966 – et la protection des données ne sont pas des valeurs contradictoires mais complémentaires. Cela est particulièrement important compte tenu du fait que les données personnelles sont traitées au niveau mondial et que les services exigeant la collecte de telles données sont offerts, eux aussi, au niveau mondial.

Pourquoi la confidentialité et la protection des données sont-elles importantes dans le contexte du développement ? Dans de nombreux pays développés (par ex. en Union européenne, en Amérique du Nord, en Australie, au Japon) les cadres juridiques de la protection des données ont été mis en place avec certaines différences, mais aussi avec d’importants points communs : les données personnelles doivent être collectées de manière transparente, la personne concernée a le droit d’accéder à ces données et de savoir à quelles fins elles sont utilisées et pendant combien de temps elles sont stockées par les gouvernements et l’industrie.

En ce qui concerne le secteur privé, les données personnelles ne devraient être collectées qu’avec le consentement éclairé de la personne concernée et seulement dans la mesure où elles sont nécessaires à la réalisation d’un objectif particulier. Le passage au numérique se faisant à une vitesse folle, il est primordial que la personne concernée soit assurée que les données qu’elle divulgue pour utiliser certains services ou certaines machines de traitement de données ne sont pas utilisées à d’autres fins (par ex. du marketing). La confidentialité des données est un élément clé de l’instauration de cette confiance.  

Trois exemples peuvent illustrer ce propos. L’agriculture « intelligente » (ou, comme on l’appelle également, l’agriculture « de précision ») nécessite la collecte et l’utilisation d’un nombre important de données sur l’état du sol, le climat, les ressources, la culture et la gestion de l’exploitation agricole. Ces données sont, dans la plupart des cas, des données personnelles de l’agriculteur et, très occasionnellement seulement, des données concernant une coopérative (données non personnelles).

L’agriculteur qui utilise des équipements ayant la capacité de stocker ces données souhaite souvent analyser sa « récolte de données », c’est-à-dire le savoir-faire qu’il a acquis en pratiquant une culture intelligente. Cette « récolte de données » a une valeur économique pour lui et il peut ne pas souhaiter la partager avec son voisin qui se trouve être un concurrent. Il peut également réfléchir à deux fois si une compagnie étrangère lui offre d’utiliser des services sur le Cloud pour pratiquer l’agriculture intelligente car il veut être certain de garder le contrôle de ces données. Que se passe-t-il si la compagnie fait faillite ou est vendue à une autre compagnie qui ne semble pas être aussi digne de confiance que le prestataire de services initial ? L’agriculteur pourra donc préférer utiliser une solution matérielle et logicielle lui permettant de stocker localement ses données.  

Deuxièmement, une entreprise vendant du matériel agricole électronique capable de stocker des données peut ne pas autoriser l’agriculteur à extraire les données s’il souhaite passer à du matériel d’un autre fabricant. L’Europe va adopter le « droit à la portabilité des données » en 2018, ce qui empêcherait cet effet de verrouillage rendant les agriculteurs dépendants d’une technologie ou d’une entreprise données et empêchant de ce fait toute concurrence. Cela est au moins aussi important à l’échelle mondiale où des compagnies étrangères dominent souvent les marchés. Enfin, l’accès aux ressources financières (inclusion financière) est un autre domaine où la confidentialité et la protection des données sont de plus en plus considérées comme des questions qu’il faut résoudre pour s’assurer que les services financiers numériques non pas un effet exclusif, au lieu d’un effet inclusif, sur les agriculteurs et autres personnes demandant des microcrédits.

Les principes de haut niveau du G 20, de 2016, demandent donc la création de pratiques financières responsables et d’un « cadre efficace de protection des consommateurs et des données » « qui est indispensable pour avoir confiance dans l’acquisition et l’utilisation continue de services financiers numériques, notamment pour les clients ayant peu de connaissances financières ou pas les moyens d’absorber des pertes » (Principe 5). Les gouvernements du G20 poursuivent les discussions sur la façon de donner vie à cette déclaration d’ordre général. Bien évidemment, les institutions financières ont un intérêt légitime à contrôler la situation financière de clients potentiels quant à leur capacité à rembourser un crédit et en même temps les protéger du surendettement. Mais cela ne justifie pas la collecte excessive de données personnelles n’ayant rien à voir avec cela.

Comme des personnes ayant besoin de capitaux peuvent aller jusqu’à accepter des formes illégitimes de collecte de données, le consentement ne constitue pas une base juridique suffisante. Ce qu’il faut, ce sont des contraintes réglementaires raisonnables sur la collecte des données personnelles au niveau national et international. Les nouvelles lignes directrices de l’OCDE (2013) et le Règlement européen sur la protection des données peuvent servir de modèles à ce sujet.

Sécurité des données

La protection des données restreint la collecte et l’utilisation des données personnelles. La sécurité des données est l’autre composante nécessaire de l’autonomie informationnelle : elle exige du contrôleur (c’est-à-dire de l’agriculteur ou du prestataire offrant à l’agriculteur des services incluant le traitement de données personnelles) qu’il prenne les mesures techniques et organisationnelles nécessaires pour garantir la sécurité et l’intégrité des données traitées. Cela inclut la protection de ces données contre l’accès non autorisé par les gouvernements, les hackers et les voleurs d’identité.

L’augmentation des violations des données personnelles est vertigineuse, comme cela est devenu évident dans les pays où la loi prescrit la notification des violations de sécurité, dans tous les cas aux autorités de surveillance et dans certains cas aux personnes concernées. Les agriculteurs africains ne doivent pas se satisfaire de normes de sécurité des données inférieures à celles des agriculteurs européens ou nord-américains. N’importe qui devrait pouvoir disposer des meilleurs outils de cryptage disponibles pour stocker et communiquer ses données personnelles, sans frais supplémentaires.

Dans ce contexte, l’Union européenne s’engage dans un nouveau concept en soutenant l’idée d’une certification et de l’application de sceaux dans son Règlement sur la protection des données. Les produits et services élaborés selon le principe de confidentialité dès la conception ou par défaut devraient être certifiés et porter un sceau indiquant à l’utilisateur que la technologie a été conçue et fabriquée conformément aux normes juridiques pertinentes. Ces produits et services auront un avantage concurrentiel, surtout s’ils doivent bénéficier d’un traitement préférentiel dans les projets de développement et dans les passations de marchés publics. Cette solution n’exclut pas complètement d’éventuelles violations ou fuites pendant le déploiement de cette technologie, mais elle peut créer le climat de confiance nécessaire pour utiliser des services et appareils numériques.

Conclusion

La question de savoir comment trouver un équilibre entre les droits de l’homme à la vie privée, à la confidentialité et à la protection des données et les droits de l’homme à un niveau de vie suffisant est primordiale dans de nombreux projets de développement. Mais ce serait une erreur de supposer qu’il y a un compromis entre ces deux droits. Disposer d’un niveau de vie suffisant n’empêche pas de respecter la vie privée des agriculteurs et de s’assurer qu’ils peuvent garder le contrôle de leurs données personnelles. Les États membres de l’OCDE se sont, dans l’ensemble, mis d’accord sur ce sujet lorsqu’ils ont adopté les nouvelles lignes directrices de l’OCDE régissant la protection de la confidentialité et les flux transfrontaliers de données de caractère personnel en 2013. Comme Albert Schweitzer l’a dit dans son discours d’acceptation du Prix Nobel en 1954, « La confiance est, pour toutes les entreprises, le grand capital dont aucune œuvre ne saurait se passer. » Il s’exprimait ainsi en parlant de la paix. Mais cela est tout aussi vrai pour les projets de développement. La protection et la sécurité des données sont les grands principes à respecter pour instaurer un climat de confiance.

Alexander Dix
Académie européenne de la liberté d’information et de la sécurité des données
Berlin, Allemagne
dix@eaid-berlin.de