10. Étude de cas : Lutter contre les cyber-menaces, la désinformation et les fermetures de l’internet
Ces mêmes technologies numériques capables d’améliorer la vie de tous peuvent également être dévoyées en vue de restreindre les libertés et, que ce soit sciemment ou par inadvertance, de creuser les inégalités et l’exclusion. Au nombre des risques de préjudices et d’abus figurent les cyber-attaques, la désinformation ou les discours de haine sur les médias sociaux. S’ajoutent à cela les systèmes d’identification numérique qui n’assurent pas la protection des données à caractère personnel et qui excluent les populations marginalisées, ainsi que ces villes dites intelligentes dont les outils numériques sont des moyens de surveillance des citoyens. Alors que s’accélère le passage au numérique, la nécessité de politiques publiques et de cadres fondés sur les droits humains se fait de plus en plus pressante pour en gérer les retombées tant négatives que positives.
Que ce soit par des fermetures de l’internet, des campagnes de désinformation ou des programmes d’identification numérique mal gérés, les États sont nombreux à restreindre les droits humains et les libertés fondamentales. Les programmes naissants de villes intelligentes présentent une menace pour la sécurité, la vie privée et les budgets publics.
Les pays en développement accusent du retard sur le plan des capacités en cybersécurité et de l’application des lois, faute des moyens, du savoir-faire technologique et de l’écosystème nécessaires pour réduire efficacement les risques et lutter contre la cybercriminalité.
Les acteurs de la coopération pour le développement devraient s’associer à la société civile afin d’évaluer l’impact des technologies et des outils numériques, de mieux apprécier les besoins des communautés et de réduire les risques.
La transformation numérique s’accompagne d’une panoplie de puissants outils innovants que les États peuvent déployer pour améliorer les services publics et la vie de leurs citoyens ou, au contraire, pour entraver la liberté d’expression et procéder à des activités de surveillance de masse. Depuis dix ans, le nombre de fermetures de l’internet a augmenté, et ce y compris en pleine pandémie de COVID-19, alors qu’une si grande partie de la vie économique et sociale du monde entier a dû passer au numérique. Cela étant, ces mêmes plateformes de médias sociaux qui rendent possibles les communications et sont propices à un esprit de communauté peuvent aussi héberger des discours de haine et des campagnes de désinformation. Les programmes d’identification numérique qui promettent une prestation plus efficace des services publics peuvent également exposer les données à caractère personnel à un risque de détournement et exclure les populations dépourvues de moyens de protection adéquats. Access Now surveille les usages qui sont faits des technologies numériques et en dénonce les utilisations détournées et les risques potentiels auxquels sont exposés les pouvoirs publics, les entreprises et la société civile.
En des moments critiques, les États imposent parfois des fermetures de l’internet, dont les violations des droits qu’elles provoquent ont des effets dévastateurs sur la vie des populations (Google, 2021[1]). En 2020, pas moins de 155 incidents documentés de fermeture de l’nternet dans 29 pays ont été recensés, alors même que des milliards de personnes se tournaient vers l’internet pour suivre leur scolarité, travailler et échanger pendant la crise du COVID-19 (Taye, 2021[2]). Au cours des cinq premiers mois de 2021 ont été dénombrées au moins 50 fermetures de l’internet dans 21 pays. La plus longue fermeture enregistrée est celle qui a débuté en novembre 2020 dans la région du Tigray en Éthiopie, déchirée par la guerre depuis un an. Elle a eu pour effet d’entraver l’acheminement de l’aide humanitaire, de perturber les activités des entreprises et d’empêcher les journalistes et les groupes de défense des droits de l’homme de rendre publics les abus perpétrés (Access Now, 2021[3]).
Des pouvoirs publics et des acteurs non étatiques se sont aussi servis des médias sociaux pour propager des discours de désinformation, de propagande ou de haine, pour s’ingérer dans les élections, utiliser à mauvais escient des données à caractère privé (Access Now, 2021[4]) et appliquer des lois discriminatoires. Dans ces cas-là, bien que les outils technologiques soient devenus un vecteur de préjudice, souvent les entreprises n’ont pas su anticiper les risques, les réduire ou y répondre. Des documents internes de Facebook sur les activités de l’entreprise « dressent un sombre tableau » (Garfield, 2021[5]). Par exemple, les Facebook Papers révèlent qu’à de multiples reprises, les employés ont critiqué le manquement de l’entreprise à limiter les posts incitant à la violence en Éthiopie (Access Now, 2021[6]) et ont alerté les dirigeants de la diffusion de propos incendiaires de la part d’« acteurs problématiques » (Mackintosh, 2021[7]). Malgré leur énorme déploiement au Moyen-Orient et en Afrique, à titre d’exemple, la plupart des entreprises technologiques n’établissent pas le dialogue avec la société civile dans la région ou n’embauchent pas de réviseurs de contenu et d’employés qui comprennent les langues, le contexte et les nuances s’appliquant au plan local (Gani, 2021[8]).
Des pouvoirs publics et des acteurs non étatiques se sont aussi servis des médias sociaux pour propager des discours de désinformation, de propagande ou de haine, pour s’ingérer dans les élections et utiliser à mauvais escient des données à caractère privé.
Depuis quelques années, les administrations publiques et les acteurs du développement s’intéressent à l’élaboration de systèmes d’identification. Dans le cadre de son initiative d’identification pour le développement (ID4D)1, le Groupe de la Banque mondiale a mobilisé plus d’1 milliard USD pour soutenir des efforts d’inscription à l’état civil et des projets connexes dans plus de 45 pays (Banque mondiale, 2019[9]). Or dans de nombreux pays, le système d’identification numérique a été mis au point sans tenir compte au préalable de ses conséquences sur l’égalité, la vie privée et la sécurité des citoyens (Aggarwal et Chima, 2021[10]). Ce manquement soulève deux questions : premièrement, la nécessité ou non de conditionner l’accès aux services publics à la présentation d’une pièce d’identité officielle, et deuxièmement, l’exigence ou non de faire reposer les systèmes d’identification uniquement sur le numérique.
Dans les pays dotés d’un système d’identification numérique, il arrive que les citoyens soient tenus de s’enregistrer par un moyen d’identification en ligne pour demander des prestations ou avoir accès à des services essentiels tels que la santé, l’éducation et le vote. Or ces obligations ne se traduisent pas toujours par une amélioration du service. Dans certains cas, les programmes d’identification numérique ne font que transférer en ligne des services de mauvaise qualité. Ils peuvent également exclure des individus et des communautés entières. En Inde, par exemple, la présentation de la carte numérique Aadhaar est souvent obligatoire pour se faire vacciner et des centres de santé ont renvoyé des personnes alors même qu’elles étaient munies d’une autre pièce d’identité officielle (Chakravarti, 2021[11]). Ces systèmes ne tiennent pas compte de la fracture numérique qui existe en matière d’accès à l’électricité et à l’internet (Chandran, 2021[12]). Pas plus qu’ils ne se préoccupent des différences en matière d’accès à des appareils électroniques ou de maîtrise du numérique, ni de la discrimination structurelle et des inégalités qui sont à l’œuvre (Renaldi, 2021[13]).
En outre, alors que les administrations publiques collectent une mine de données personnelles, les garanties sont parfois insuffisantes pour en prévenir la fraude ou le vol, et des violations de données ont déjà eu lieu. Le Kenya a adopté en 2019 une loi relative à la protection complète des données (Access Now, 2021[14]) et l’Éthiopie, l’Inde et l’Ouganda étudient des projets de mesures de protection des données parallèlement à l’introduction de programmes d’identification numérique. Dès lors qu’elles sont bien faites, ces garanties protègent les droits des citoyens au-delà de la simple protection de la sécurité de leurs informations. Pour autant, la législation dans ces pays est soit au point mort, soit difficile à appliquer. D’autres pays ont précipité l’adoption de mesures de protection des données pour faire bonne figure, alors que la démarche aurait dû être fondée sur les droits humains, dans le respect de principes de transparence, de bonne gouvernance et de consultation publique.
La coalition #WhyID2, dirigée par Access Now, fournit aux administrations publiques une série de questions à se poser sur les objectifs, les besoins et les avantages à prendre en compte pour un programme d’identification numérique avant de procéder à sa mise en œuvre. Access Now publie également un guide de consignes (« à faire » et « à ne pas faire ») à l’intention des législateurs pour les aider à élaborer des lois sur la protection des données qui protègent le citoyen et lui donnent des moyens d’agir3.
Les effets positifs du passage au numérique requièrent des garanties de sûreté en ligne, de sécurité et de protection de la vie privée, et un cyberespace à la fois fiable et résilient. L’Union internationale des télécommunications a mis en garde contre le creusement des écarts en matière de cybercapacités, les pays les moins avancés manquant tout particulièrement des ressources, du savoir-faire technologique et de l’écosystème de cybersécurité nécessaires pour se prémunir efficacement des risques croissants de cybercriminalité et se préparer à faire face à des « acteurs opportunistes [qui tirent] parti de notre désir d’information » (UIT, 2020[15]). L’Encadré 10.1 décrit les lacunes en matière de connaissances et d’infrastructures en Afrique ainsi que les initiatives visant à aider les administrations publiques à renforcer leurs cybercapacités.
Par l’équipe Afrique, Forum mondial sur la cyberexpertise
Bien que les pays africains aient progressé dans leurs engagements à lutter contre les menaces de cybersécurité, il leur reste des défis à relever pour se doter d’un cyberespace à la fois sûr et résilient. Le tout dernier indice mondial de cybersécurité de l’Union internationale des télécommunications fait apparaître la fragilité persistante des niveaux de cybersécurité dans de nombreux pays africains. Et comme l’a démontré la crise du COVID-19, il met aussi en évidence la nécessité d’adopter une approche multidisciplinaire et complète pour gérer les problèmes d’action collective tels que la sécurité sanitaire et la cybersécurité (UIT, 2020[15]). La Stratégie de transformation numérique pour l’Afrique (2020-2030) de l’Union africaine insiste également sur le nécessaire renforcement des capacités de détection et de lutte contre les cyberattaques (Union africaine, 2020[16]).
Les administrations publiques et les organismes internationaux devraient collaborer pour promouvoir la cybersécurité en Afrique. Les acteurs de la coopération pour le développement intensifient leur soutien à la cybersécurité en mettant l’accent sur le renforcement des capacités :
Le Fonds d’affectation spéciale multidonateurs de la Banque mondiale pour la cybersécurité dans le monde fournit une évaluation de la cybersécurité et des moyens complets de renforcement des capacités en matière de cybersécurité (Banque mondiale, 2021[17]). En collaboration avec INTERPOL, le Royaume-Uni investit 22 millions GBP dans la création de nouveaux centres au Ghana, au Kenya, au Nigeria et au Rwanda, dans le but de faciliter les opérations conjointes de lutte contre la cybercriminalité (Gouvernement du Royaume-Uni, 2021[18]).
La Banque africaine de développement a contribué à hauteur de 2 millions USD à la création du Centre africain de ressources sur la cybersécurité, destiné à fournir des services de cybersécurité et d’échange d’informations à travers l’Afrique (Banque africaine de développement, 2021[19]). Le Comité de coordination pour le renforcement des cybercapacités en Afrique vise à superviser des projets spécifiques et à en développer de nouveaux pour la région (Agence de développement de l'Union africaine, 2021[20]).
Un programme du Forum mondial sur la cyberexpertise et de l’Union africaine projette de créer une communauté de cyberexperts issus de plusieurs pays africains, de repérer les lacunes nationales en matière de cybercapacité, de hiérarchiser et de communiquer les besoins en matière de cybercapacité, et de coordonner les efforts existants et émergents de renforcement des cybercapacités en Afrique (Global Forum on Cyber Expertise, 2021[21]).
Pour l’heure, l’élaboration de législations, de politiques publiques et de normes en matière de cybersécurité se fait toujours attendre en Afrique. Seuls deux pays disposent d’équipes entièrement équipées et opérationnelles d’intervention en cas d’urgence informatique et en cas d’incident de sécurité informatique. Seulement 11 institutions sur le continent offrent une formation en cybersécurité (Keystone Masterstudy, 2021[22]). Dans les pays qui ont ratifié des lois sur la cybersécurité, celles-ci ont parfois produit des effets contraires. La législation et la réglementation concernant les utilisateurs de services numériques au Burundi, en République démocratique du Congo, en République-Unie de Tanzanie, en Ouganda et en Zambie ont mis à mal la confiance des producteurs et des consommateurs et restreint les droits humains (CIPSEA, 2019[23]).
Il ne faut pas que les efforts de renforcement de la cybersécurité aient pour effet de nuire à l’ouverture de l’internet ni à la confiance des utilisateurs. De même, des protocoles ou des normes sur la cybersécurité devraient être élaborés en consultation avec les différentes parties prenantes concernées et la dimension de la cybersécurité devrait être prise en compte dans les accords internationaux conclus dans des domaines connexes, tels que les paiements électroniques et la protection des données. La Convention de l’Union africaine de 2014 sur la cybersécurité et la protection des données à caractère personnel (la Convention de Malabo) adopte justement une telle approche transversale, mais elle n’est pas encore entrée en vigueur.
L’impact de la diffusion et de la commercialisation des technologies numériques sur la vie privée et les droits humains pose également des problèmes. Ainsi, des technologies numériques destinées à renforcer la sécurité dans les villes peuvent avoir un effet délétère sur les libertés. Dans les villes intelligentes, les habitants sont soumis au contrôle de capteurs, de caméras, de technologies biométriques et d’autres outils qui peuvent aboutir à une surveillance accrue. Les administrations publiques se gardent bien pour la plupart de se préoccuper de l’impact que peuvent exercer ces technologies sur la vie privée et les droits humains. Un grand nombre des villes intelligentes en Afrique, brandies comme solution pour éradiquer la pauvreté et la criminalité urbaine, sont considérées comme des échecs (Baraka, 2021[24]). Dans certains pays, le détournement des ressources au profit de ce type de ces projets s’est fait au détriment des dépenses de protection sociale et de bien-être. En outre, les systèmes technologiques censés résoudre des problèmes sociétaux se sont révélés inefficaces. À Nairobi, si la criminalité a chuté de 46 % la première année après l’installation en 2014 d’un système de surveillance du fabricant Huawei, elle a augmenté de 13 % en 2016, puis d’encore 50 % en 2017 (Baraka, 2021[24]).
Références
[14] Access Now (2021), Data Protection in Kenya: How is This Right Protected?, Access Now, Brooklyn, NY, https://www.accessnow.org/cms/assets/uploads/2021/10/Data-Protection-in-Kenya.pdf (consulté le 8 novembre 2021).
[4] Access Now (2021), « LGBTQI communities: Proud and secure online », page web, https://www.accessnow.org/lgbtqi-communities-proud-and-secure-online (consulté le 8 novembre 2021).
[6] Access Now (2021), Open letter to Facebook on violence-inciting speech: act now to protect Ethiopians, https://www.accessnow.org/open-letter-to-facebook-protect-ethiopians/ (consulté le 8 novembre 2021).
[3] Access Now (2021), « What’s happening in Tigray? Internet shutdowns avert accountability », page web, https://www.accessnow.org/tigray-internet-shutdowns (consulté le 8 novembre 2021).
[20] Agence de développement de l’Union africaine (2021), « Africa Cyber Capacity Building », Agence de développement de l’Union africaine, https://www.nepad.org/news/africa-cyber-capacity-building (consulté le 10 novembre 2021).
[10] Aggarwal, N. et R. Chima (2021), « Privacy for sale: India is pushing for more data exploitation, not personal data protection », Access Now Blog, https://www.accessnow.org/india-personal-data-protection (consulté le 8 novembre 2021).
[19] Banque africaine de développement (2021), « La Banque africaine de développement accorde un don de $2 millions pour renforcer la cybersécurité et accroître l’inclusion financière en Afrique », communiqué de presse, Banque africaine de développement, https://www.afdb.org/fr/news-and-events/press-releases/la-banque-africaine-de-developpement-accorde-un-don-de-2-millions-pour-renforcer-la-cybersecurite-et-accroitre-linclusion-financiere-en-afrique-42573 (consulté le 10 novembre 2021).
[17] Banque mondiale (2021), « Cybersecurity Multi-Donor Trust Fund », page web, https://www.worldbank.org/en/programs/cybersecurity-trust-fund.
[9] Banque mondiale (2019), « L’identification numérique peut multiplier le nombre d’opportunités accessibles aux plus vulnérables », Banque mondiale, Washington, D.C., https://www.worldbank.org/en/news/immersive-story/2019/08/14/inclusive-and-trusted-digital-id-can-unlock-opportunities-for-the-worlds-most-vulnerable (consulté le 8 novembre 2021).
[24] Baraka, C. (2021), « The failed promise of Kenya’s smart city », Rest of World, New York, N.Y., https://restofworld.org/2021/the-failed-promise-of-kenyas-smart-city (consulté le 8 novembre 2021).
[11] Chakravarti, A. (2021), « For Covid-19 vaccine Aadhaar is mandatory even if registration on CoWin done with other ID. Sort of. », India Today, https://www.indiatoday.in/technology/news/story/for-covid-19-vaccine-aadhaar-is-mandatory-even-if-registration-on-cowin-done-with-other-id-sort-of-1805290-2021-05-21 (consulté le 8 novembre 2021).
[12] Chandran, R. (2021), « India’s digital IDs for land could exclude poor, indigenous communities », Reuters, https://www.reuters.com/article/india-landrights-digital-idUSL8N2LT0E6 (consulté le 8 novembre 2021).
[23] CIPSEA (2019), Digital Rights in Africa: Challenges and Policy Options, Collaboration on International ICT Policy for East and Southern Africa, Kampala, https://cipesa.org/?wpfb_dl=287 (consulté le 12 novembre 2021).
[8] Gani, A. (2021), « Facebook’s policing of vitriol is even more lackluster outside the US, critics say », The Guardian, https://www.theguardian.com/technology/2021/oct/17/facebook-policing-vitriol-outside-us (consulté le 8 novembre 2021).
[5] Garfield, L. (2021), « What you need to know about the Facebook Papers », Access Now Blog, https://www.accessnow.org/facebook-papers-what-you-need-to-know (consulté le 8 novembre 2021).
[21] Global Forum on Cyber Expertise (2021), « AUC-GFCE Collaboration: « Enabling African countries to identify and address their cyber capacity needs » », Global Forum on Cyber Expertise, https://thegfce.org/auc-gfce-collaboration-enabling-african-countries-to-identify-and-address-their-cyber-capacity-needs (consulté le 10 novembre 2021).
[1] Google (2021), « The Current: The Internet shutdowns issue », Jigsaw 4, https://jigsaw.google.com/the-current/shutdown (consulté le 8 novembre 2021).
[18] Gouvernement du Royaume-Uni (2021), « UK pledges £22 million to support cyber capacity building in vulnerable countries », communiqué de presse, Gouvernement du Royaume-Uni, Londres, https://www.gov.uk/government/news/uk-pledges-22m-to-support-cyber-capacity-building-in-vulnerable-countries (consulté le 10 novembre 2021).
[22] Keystone Masterstudy (2021), « Masters programs in cybersecurity in Africa 2022 », page web, https://www.masterstudies.com/Masters-Degree/Cyber-Security/Africa.
[7] Mackintosh, E. (2021), « Facebook knew it was being used to incite violence in Ethiopia. It did little to stop the spread, documents show », CNN Business, https://edition.cnn.com/2021/10/25/business/ethiopia-violence-facebook-papers-cmd-intl/index.html (consulté le 8 novembre 2021).
[13] Renaldi, A. (2021), « Indonesia’s invisible people face discrimination, and sometimes death, by database », Rest of World, https://restofworld.org/2021/indonesias-invisible-people-face-discrimination-and-sometimes-death-by-database (consulté le 8 novembre 2021).
[2] Taye, B. (2021), Shattered Dreams and Lost Opportunities: A Year in the Fight to #KeepItOn, Access Now, Brooklyn, N.Y., https://www.accessnow.org/cms/assets/uploads/2021/03/KeepItOn-report-on-the-2020-data_Mar-2021_3.pdf.
[15] UIT (2020), Global Cybersecurity Index 2020, Union internationale des télécommunications, Genève, https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2021-PDF-E.pdf.
[16] Union africaine (2020), The Digital Transformation Strategy for Africa (2020-2030), Union africaine, https://au.int/sites/default/files/documents/38507-doc-dts-english.pdf.
Notes
← 1. Pour en savoir plus sur cette initiative, voir : https://id4d.worldbank.org.
← 2. Pour en savoir plus sur la coalition, voir : https://www.accessnow.org/whyid.
← 3. Pour plus d’informations, voir : https://www.accessnow.org/cms/assets/uploads/2019/11/Data-Protection-Guide-for-Lawmakers-Access-Now.pdf.