Le dilemme des entreprises : gérer l’accès des autorités publiques à l’information

In conflict situations and in countries under authoritarian rule, government access to data poses multiple human rights challenges for corporations. Photo by NESA by Makers on Unsplash

La technologie peut s’avérer utile pour les droits humains dans les pays qui traversent un conflit ou qui sont en sortie de crise, en permettant la liberté d’expression ou en aidant à prévenir les conflits violents via la mobilisation et le dialogue démocratiques. La Révolution de jasmin en Tunisie en 2011 (où les réseaux sociaux ont joué un rôle important dans les manifestations contre les actes répréhensibles du gouvernement) et les manifestations en faveur de la démocratie lors de la « révolution des parapluies » à Hong Kong en 2014 en sont deux exemples. Cependant, la technologie a également prouvé qu’elle pouvait faciliter les violations des droits humains, comme dans le cas de la surveillance, par le gouvernement, de membres de l’opposition en Éthiopie ou de la réduction au silence des dissidents aux Émirats arabes unis.

Les entreprises collectent toujours plus de données qui permettent d’acquérir une connaissance approfondie de la vie privée et professionnelle de leurs utilisateurs, de leurs opinions politiques, de leurs modes de consommation, et de leur emplacement géographique. Le profilage des données des individus est aujourd’hui plus facile, moins coûteux, et plus répandu, comme l’a montré l’affaire Cambridge Analytica. Les gouvernements peuvent également surveiller le comportement de leurs citoyens grâce aux données des nouvelles technologies et ils ne se privent pas de le faire. Les autorités publiques s’intéressent de plus en plus à l’obtention des données collectées par les entreprises. D’après les rapports sur la transparence d’entreprise, les informations d’AccessNow, les données sur les mécanismes de réclamation et  l'indice de responsabilité des entreprises de Ranking Digital Rights, les demandes des autorités publiques d’accès aux données d’utilisateurs des entreprises sont en augmentation.

Dans les situations de conflit et dans les pays sous le joug de régimes autoritaires, l’accès aux données par les gouvernements pose une multitude de problèmes en lien aux droits humains pour les entreprises. Une fois divulguées, les données peuvent être utilisées par les gouvernements pour porter atteinte aux droits des personnes. Cependant, en ne donnant pas suite aux demandes des autorités publiques, les entreprises s’exposent à des représailles sévères, qui peuvent se traduire par des menaces et des violences à l’encontre des employés locaux ou par la confiscation des infrastructures de télécommunication. Quelle que soit leur volonté d’adhérer aux Principes directeurs relatifs aux entreprises et aux droits de l’homme de l’ONU et de protéger la liberté d’expression et la vie privée, ou au minimum de répondre aux pressions publiques allant en ce sens, les entreprises doivent peser prudemment le pour et le contre de leurs décisions en matière de données.   

Les demandes des gouvernements sur la divulgation des données ne concernent pas uniquement les États autoritaires ou les zones de conflit. Elles sont également fréquentes en Occident, dans les pays de l’OCDE, en particulier au nom de la lutte contre le terrorisme. Cependant, dans les États autoritaires et dans les zones de conflit, les conséquences peuvent être plus graves et se traduire par la détention de membres de l’opposition, la réduction au silence des minorités, l’aggravation des conflits ou, dans des cas extrêmes, de violentes attaques contre les défenseurs des droits humains.

Depuis le lancement en 2010 de son rapport biannuel sur la transparence, Google a recensé une augmentation constante des demandes de divulgation des données utilisateur émanant de tierces parties. En 2010, les autorités de Hong Kong ont délivré environ 140 demandes de données utilisateur. Au moment de la révolution des parapluies en 2014, ce chiffre était de 726 demandes. En 2014, Google a transmis des données aux autorités dans 48 % des cas entre janvier et juillet et dans 43 % des cas entre août et décembre. Toutefois, une certaine opacité règne sur la manière dont Google détermine si le fait de divulguer des données entre dans le cadre des procédures légales pour la demande de données utilisateur. Sur le territoire américain, la demande écrite doit être « signée par un responsable habilité de l’autorité administrative qui en fait la demande et délivrée dans le cadre légal approprié ». À l’extérieur des États-Unis, la procédure standard passe par des traités d’entraide juridique et d’autres accords diplomatiques ou coopératifs. Les données utilisateur peuvent également être divulguées en réponse à des procédures juridiques valides d’autorités administratives qui ne sont pas américaines, en accord avec les normes internationales, le droit américain, les politiques de Google et le droit du pays demandeur.

Dans d’autres cas, les entreprises ont résisté aux demandes de divulgation des données des gouvernements et ont été reconnues par la société civile pour leurs bonnes pratiques lorsqu’il s’agit de relever les problèmes relatifs aux droits humains en lien avec les données. Telefonica, par exemple, a été salué par la société civile pour ses pratiques de reporting toujours plus transparentes. De même, en janvier 2016, l’autorité de régulation des postes et télécommunications de la Guinée a demandé aux sociétés de télécommunications de coopérer à la mise en place d’un centre de contrôle pour toutes les transmissions vocales et de données. Le régulateur a demandé que les entreprises remettent les détails pour tous les appels passés lors du mois précédent ainsi que toutes les informations sur les abonnés. Trois des plus grands opérateurs de Guinée, Orange, MTN, et Cellcom, ont refusé la demande au motif de « l'absence totale de base légale » et de la violation de la protection de la vie privée. Si Human Rights Watch dispose d’informations indiquant que deux de ces entreprises auraient fini par donner suite aux demandes des autorités, Orange s’en serait tenu à sa décision.

Ces affaires illustrent le fait que les demandes de divulgation des données par les gouvernements, et en particulier des données utilisateur, placent les entreprises en face d’un dilemme. Les entreprises qui exploitent les réseaux sociaux et les plateformes de technologie sont souvent capables de décliner les demandes des gouvernements. En revanche, les sociétés de télécommunication investissent souvent localement des sommes considérables dans les infrastructures ou le personnel et le maintien de leur licence d’exploitation dépend généralement de leur coopération avec les acteurs publiques. Orange a par exemple souligné les difficultés de mener ses activités dans des pays en proie à des soulèvement sociaux, comme en Égypte ou en Tunisie, où les gouvernements font pression sur les entreprises afin d’accéder aux informations sur leurs utilisateurs.

En réponse à ces dilemmes, l’industrie des télécommunications a créé le Telecommunications Industry Dialogue qui a publié ses Principes directeurs sur la liberté d'expression et la vie privée en 2013. L’année dernière, cette organisation a fusionné avec le Global Network Initiative (GNI), une  initiative multipartite créée en 2008 afin de soutenir les droits humains dans le domaine des télécommunications et de l’internet. GNI travaille de plus en plus sur des affaires complexes concernant les demandes d’accès aux données utilisateurs des autorités publiques, où se mêlent protection de la vie privée, liberté d’expression, et sécurité des personnes.

Comprendre les principaux paramètres dans la prise de décision des entreprises est essentiel. Les militants désireux de protéger les droits humains en lien avec l’accès aux données doivent reconnaître la complexité des menaces qui pèsent sur le personnel des entreprises ou sur les infrastructures. La situation est souvent complexe. Les entreprises ont commencé à identifier des manières de travailler conjointement sur ces problématiques, mais il reste encore beaucoup à faire.

La transparence sur le traitement par les entreprises des demandes de divulgation des données émanant des autorités publiques doit être améliorée grâce à une information plus spécifique et qualitative. Cela permettrait d’analyser des cas complexes en facilitant l’acquisition des connaissances au sein du secteur et l’élaboration de lignes directrices sur l’action des entreprises en cas de dilemme.

Un grand nombre de géants de la technologie sont membres de réseaux progressistes, comme le GNI, et ont la capacité organisationnelle leur permettant d’uniformiser les règles du jeu. En mettant en place un système crédible servant à évaluer l’impact sur les droits humains des transmissions de données aux gouvernements, ces acteurs peuvent s’appuyer sur leur puissance commerciale afin d’améliorer la pratique des affaires à l’échelle mondiale. Ce secteur de l’économie doit aller au-delà des simples rapports afin d’atténuer les éventuelles conséquences négatives de ses technologies sur ses utilisateurs.

*** This article is part of a series on technology and human rights co-sponsored with Business & Human Rights Resource Centre and University of Washington Rule of Law Initiative.