twitter facebook rss

Ressources

Imprimer Texte plus petit Texte plus grand

Pourquoi la cybersécurité est une question de droits de l’homme et qu’il est temps de commencer à la traiter comme telle

vendredi 20 décembre 2019

Prononçant pour la première fois le discours d’ouverture de l’Assemblée générale des Nations Unies en 2017 son secrétaire général Antonio Guterres a souligné que le nombre croissant des menaces à la cybersécurité en faisait une des menaces principales à la sécurité internationale. Outre la menace de cyberguerre les cyberattaques ont provoqué des fermetures d’hôpitaux, déconnecté des transformateurs électriques, paralysé des villes et même compromis l’intégrité du processus démocratique. Un rapport récent commandé par IBM évalue le coût moyen d’une fuite de données pour une entreprise en 2019 à $3,92 millions.

Les menaces à la cybersécurité se banalisant et devenant plus sophistiquées et plus sévères, il n’est pas étonnant que les gouvernements, le secteur industriels et les spécialistes du secteur mettent l’accent sur le nécessaire renforcement de la cybersécurité. Mais ces efforts négligent souvent sa dimension ‘droits de l’homme’, ou pire encore, la perçoivent comme un obstacle à la cybersécurité. C’est une hypothèse erronée et il est temps de commencer à la considérer comme telle.

Définir la cybersécurité

Il n’y a pas de définition universelle de la cybersécurité. Mais la définition donnée par le groupe de travail de la FOC (Freedom Online Coalition) ‘ Un Internet Libre et Sécurisé’ est intéressante. Ce groupe, composé de techniciens, d’experts des droits de l’homme et de représentants des gouvernements définit la cybersécurité comme la préservation – par la politique, la technologie et l’éducation – de la disponibilité, de la confidentialité et de l’intégrité des informations et de leur infrastructure sous-jacente afin d’améliorer la sécurité des personnes en ligne et hors ligne.

En quoi la cybersécurité est-elle une question de droits de l’homme Si on utilise la définition de la cybersécurité de la FOC il est facile de comprendre que les menaces à la cybersécurité – ou la cyberinsécurité – peuvent être des violations des droits de l’homme. Le déni de fourniture d’information et de son infrastructure sous-jacente, sous la forme de fermeture de réseau, par exemple, viole une large gamme de droits, en particulier en restreignant l’accès à l’information et la possibilité pour les individus de s’exprimer, de se rassembler pacifiquement et de s’associer, mais aussi de profiter d’une série de droits économiques, sociaux et culturels. En 2018 on a comptabilisé 196 coupures d’internet dans 68 pays.

Il y a d’innombrables exemples de cas ou la sécurité de l’information est compromise que ce soit par des fuites de données pour des bénéfices financiers, par une surveillance de masse par les gouvernements ou par des attaques ciblées sur des défenseurs des droits de l’Homme ou des journalistes, en violation du droit à la protection de la vie privée, parmi d’autres droits. Les atteintes à la confidentialité des communications par la surveillance ont pour conséquence de sévères violations des droits de l’homme, comme la détention, la torture et des exécutions extrajudiciaires. On peut citer l’exemple d’un cas particulièrement scandaleux, la surveillance du dissident saoudien Omar Abdulaziz qui a contribué à l’exécution extrajudiciaire du journaliste saoudien Kamal Kashoggi. Selon une plainte, le téléphone d’Abdulaziz a été piraté compromettant la confidentialité de ses communications avec Kashoggi sur les projets de l’opposition dans les mois précédant le meurtre de celui-ci.

Même si la plupart des gens connaitront au cours de leur vie une forme ou une autre de cyberinsécurité, même ceux pour lesquels un accès significatif à internet est un défi, tous ne ressentent pas également cette insécurité [1]. Les défenseurs des droits de l’homme, les journalistes et tous ceux qui sont en situation de marginalisation ou de vulnérabilité, en raison de leur religion, de leur appartenance ethnique, de leur orientation sexuelle ou de leur identité sexuelle, par exemple, sont particulièrement à risque. Ils sont, par exemple, plus susceptibles d’être ciblés par une surveillance gouvernementale ou latérale, et les conséquences des menaces plus générales comme les fuites de données, les fermetures d’internet sont souvent plus graves pour eux en raison de leur position particulière dans la société.

Plus il y aura d’individus et d’objets connectés, plus les risques liés à la cyberinsécurité augmenteront. Malheureusement les gouvernements ne mettent pas les droits de l’homme au centre des discussions ou, pire encore, ils utilisent l’excuse de la cybersécurité pour renforcer leur contrôle sur internet.

La sécurisation du ‘cyber’

L’élaboration des lois, des politiques et des normes de la cybersécurité a tendance à se faire dans des lieux opaques ou des enceintes sécurisées et donc ne bénéficie pas des apports de la société civile ou des experts des droits de l’homme. Cela va à l’encontre d’une approche multipartite de la gouvernance d’internet reposant sur un engagement total des gouvernements, du secteur privé et des organisations internationales. Et cette approche exclut tout particulièrement les compétences et le suivi nécessaire à la protection des droits de l’homme. Les discussions sur la cybersécurité ont souvent lieu dans les confins des services de renseignements ou d’autres agences gouvernementales ou militaires qui ne sont pas soumises au regard et à la vigilance du public. La cybersécurité est aussi parfois assimilée à la sécurité nationale, sphère sacrée dans laquelle les gouvernements peuvent faire tout ce qu’ils veulent loin des regards et plus encore du contrôle du public. De ce fait les lois, les usages et les politiques ne s’inscrivent pas dans un cadre fondé sur les droits de l’homme, et rendent possible des abus de pouvoir.

Les débats internationaux sur la cybersécurité manquent leur objectif Il est clairement établi que les textes internationaux sur les droits de l’homme s’appliquent aux technologies du numérique [2]. Toutefois, dès que l’on aborde la cybersécurité, les droits de l’homme ne sont jamais au centre de la discussion, voire même n’en sont pas un élément. C‘est partiellement dû au fait que les débats internationaux sur la cybersécurité traitent essentiellement du problème des attaques entre Etats et relèvent donc de la rubrique de la sécurité internationale et du désarmement. Mais la teneur de ces débats et les normes qui en découlent ont des implications sur la manière dont les Etats abordent la cybersécurité au niveau national. Les efforts de l’Organisation de Coopération de Shanghai sont particulièrement inquiétants car ce groupe milite depuis des années pour étendre la souveraineté nationale et le contrôle de l’information dans le cyberespace. Depuis 2013 l’ONU soutient que le droit international, dont font partie le droit humanitaire international et le droit international des droits de l’homme, s’applique au cyberespace. En 2015 le groupe d’experts gouvernementaux sur les développements dans le domaine de l’information et des télécommunications dans le contexte de la sécurité internationale a précisé que le respect des droits de l’homme et des libertés fondamentales est « d’une importance cruciale » et a recommandé aux Etats de respecter les résolutions des Nations-Unies relatives aux Droits de l’Homme sur internet et au respect de la vie privée à l’âge du numérique.

Alors que la communauté internationale s’enlise dans les débats sur l’application des textes internationaux au cyberespace, la discussion s’est centrée sur le droit humanitaire international. Cette approche est erronée pour plusieurs raisons. D’abord parce que le droit humanitaire ne s’applique qu’en cas de conflit armé alors que les droits de l’homme s’appliquent en permanence (en temps de guerre ou de paix). Etant donné que la plupart des actes de cyberinsécurité ont lieu en temps de paix (ou au moins en l’absence d’une cyberguerre déclarée) ce sont les textes relatifs aux droits de l’homme qui s’appliquent le plus souvent. Ensuite, et c’est lié, mettre l’accent sur le droit humanitaire international participe à promouvoir l’idée que les Etats sont dans un cyberconflit permanent, ce qui favorise une escalade dans les cyberattaques. Enfin, le droit humanitaire est un cadre juridique plus permissif et préjudiciable au grand public que ce qui est habituellement accepté.

Les mécanismes internationaux de protection des droits de l’homme proposent des directives spécifiques qui s’appliquent tout à fait à la cybersécurité et auxquelles on devrait se référer pour développer des normes pour une conduite responsable des Etats dans le cyberespace. Par exemple les Procédures Spéciales des Nations Unies expliquent pourquoi un codage puissant est nécessaire à la confidentialité des informations et en quoi les fermetures de réseau sont une violation des textes sur les droits de l’homme et entravent indûment la disponibilité de l’information. Il y a dans la législation sur les droits de l’homme un ensemble de normes, en particulier les « Principes directeurs relatifs aux entreprises et aux droits de l’homme » des Nations Unies qui énoncent clairement la responsabilité du secteur privé dans le respect des droits de l’homme, il se doit d’atténuer les effets négatifs de ses actes et de réparer les préjudices. Et c’est un point fondamental étant donné que c’est le secteur privé qui possède et/ou exploite la plupart des infrastructures, du hardware et des logiciels dont dépend internet.

La sécurité pour qui ?

La menace peut-être la plus pernicieuse est que les Etats exploitent la gravité des menaces à la cybersécurité pour prendre des libertés qui leur permettent d’exercer leur pouvoir dans le cyberespace de façon contraire aux droits de l’homme. Pour évaluer un cadre de cybersécurité il est essentiel de se demander : la sécurité pour qui ? la sécurité de quoi ? et la sécurité par quels moyens ? Trop souvent les réponses à ces questions montrent que pour l’Etat la sécurité s’est d’abord se protéger lui-même de l’instabilité politique, ce qui l’amène à mettre en place des mesures disproportionnées pour assurer sa propre survie et à devenir lui-même source d’insécurité.

Pour citer juste quelques exemples : au Vietnam la loi sur la cybersécurité votée l’année dernière permet au gouvernement de forcer les sociétés technologiques à lui remettre des quantités potentiellement importantes de données et à censurer les messages d’utilisateurs. L’année précédente la Chine a adopté une loi sur la cybersécurité qui oblige les sociétés à censurer les informations ‘interdites’, restreint l’anonymat en ligne, allant jusqu’à demander le vrai nom lors de l’enregistrement, et exige le stockage dans le pays des données des utilisateurs chinois. En Israël le projet de loi ‘Cyber Sécurité et Direction nationale de la cybersécurité’ donnerait au gouvernement des pouvoirs extrêmement larges pour s’introduire dans les ordinateurs ou les téléphones de toute personne ou organisme considérée comme une menace à la cybersécurité et d’accéder au dispositif et d’en extraire les données sans décision de justice. Plus tôt cette année le gouvernement du Venezuela a proposé la ‘Loi Constitutionnelle sur le cyberespace’ qui déclare la souveraineté du Venezuela sur le cyberespace et qui obligerait les fournisseurs de services de messagerie à censurer le contenu sans décision judiciaire préalable et sans respecter un minimum de garanties d’une procédure régulière, et ce n’est qu’une des mesures destinées à étendre le contrôle de l’Etat sur internet.

Chacun de ces exemples montre un gouvernement qui instrumentalise la sécurité aux dépens des droits de l’homme, en particulier des droits au respect de la vie privée, à la liberté d’expression, d’association et de rassemblement, et ce, d’ailleurs , aux dépens de la cybersécurité, c’est-à-dire de la disponibilité, la confidentialité et l’intégrité de l’information et de son infrastructure sous-jacente.

Mettre la cybersécurité sur la bonne voie

Pour préserver les droits de l’homme à l’âge du numérique il est temps de traiter la cybersécurité comme une question qui relève des droits de l’homme.

Il faut tout d’abord réfuter l’idée selon laquelle les droits de l’homme sont un obstacle à la sécurité. L’exemple peut-être le plus souvent cité pour prouver que les droits de l’homme se mettent en travers de la sécurité est la thèse selon laquelle le codage, essentiel pour appliquer le droit au respect de la vie privée, entrave le travail de la justice. Régulièrement les gouvernements plaident en faveur de portes dérobées et de codage affaibli pour permettre aux forces de l’ordre d’avoir accès aux communications codées. Mais les experts sont d’accord pour dire que l’on ne peut pas donner accès aux données codées à un Etat sans le donner à tous les gouvernements ainsi qu’à des acteurs non-gouvernementaux malveillants. Autrement dit on ne peut pas abaisser la cybersécurité pour les forces de l’ordre sans abaisser la sécurité pour tous et mettre les droits de l’homme de tous en danger. Et ceci parce que la cybersécurité est inexorablement lié à la sécurité des individus qui est un des fondements des droits de l’homme. La cybersécurité et les droits de l’homme sont complémentaires, interdépendants et se renforcent mutuellement. Il faut rechercher les deux à la fois pour promouvoir efficacement la liberté et la sécurité.

Deuxièmement il est impératif d’avoir une approche axée sur les droits de l’homme dans l’élaboration des lois, des politiques et des pratiques liées à la cybersécurité. Les risques de cyberinsécurité ne devraient jamais être un prétexte pour violer les droits de l’homme. Tout au contraire reconnaitre que la sécurité individuelle et collective est au cœur même de la cybersécurité implique que la protection des droits de l’homme devrait être au centre de l’élaboration des politiques de cybersécurité. Au niveau international il est impératif d’ancrer les débats sur la cybersécurité dans le droit international des droits de l’homme. Un groupe de travail de la FOC a élaboré un ensemble de recommandations axées sur la cybersécurité et les droits de l’homme destinées à s’assurer que les politiques et les pratiques de la cybersécurité sont fondées sur les droits de l’homme et totalement compatibles avec ces droits – en fait que les politiques et les pratiques de cybersécurité respectent les droits de l’homme dans leur conception même. Ces recommandations, qui ont été cautionnées par 30 gouvernements membres de la FOC et plus de deux douzaines d’ONG, sont un point de départ utile pour enraciner les politiques et les pratiques de la cybersécurité dans les droits de l’homme.

Troisièmement, les entreprises doivent respecter les droits de l’homme, les gouvernements doivent les en tenir pour responsables. Les ‘Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme’ offrent le cadre nécessaire, toutefois il faut une surveillance et un contrôle plus rigoureux des compagnies technologiques, à la fois celles qui fournissent le hardware et les logiciels utilisés pour lancer les cyberattaques et celles qui offrent la première ligne de défense dans les cyberattaques. En plus d’effectuer des évaluations des impacts sur les droits de l’homme pour identifier, comprendre analyser et résoudre les effets négatifs de leurs politiques et de leurs pratiques sur les garanties des droits de l’homme, elles devraient revoir la gouvernance et les processus et les contrôles utilisés pour sécuriser les informations qu’elles traitent. Certaines entreprises ont pris des initiatives pour mettre en place des procédures avancées d’autorégulation. On peut citer le ‘Cybersecurity Tech Accord’, l’accord technologique sur la cybersécurité de Microsoft, qui veut répondre à toutes les cyberattaques qui font peser un risque sur les individus mais n’a pas une optique spécifiquement liée aux droits de l’homme et a donc des failles.

Les gouvernements peuvent aussi faire plus pour prévenir et atténuer les violations des droits de l’homme dans le cas de cyberinsécurité. Par exemple le rapporteur spécial des Nations Unies sur la promotion et la protection du droit à la liberté d’opinion et d’expression a récemment demandé un moratoire sur la surveillance technologique. On a besoin de gestes audacieux de ce genre non seulement pour l’industrie de la surveillance électronique mais aussi pour le secteur technologique dans son ensemble, pour s’assurer que les entreprises ne profitent pas des violations des droits de l’homme ou ne traitent pas les données personnelles imprudemment.

Quatrièmement les processus de cybersécurité doivent être multipartites et inclusifs mais aussi multidisciplinaires, imprégnés à la fois de droits de l’homme et d’expertise technologique. Ce qui veut dire qu’il faut sortir la cybersécurité des confins de la sécurité nationale et des agences de renseignements et contester l’idée que la cybersécurité est d’abord et avant tout une question de sécurité nationale. Compte tenu de ce que l’on demande si souvent aux citoyens de faire des sacrifices au nom de la sécurité nationale, il est essentiel que ces sacrifices soient étudiés de très près pour établir leur nécessité et leur proportionnalité. Il faut qu’il y ait un contrôle indépendant des réponses aux menaces à la sécurité internationale pour vérifier qu’elles sont bien justifiées, et qu’il y ait plus de transparence et de débat public pour s’assurer que la sécurité nationale n’est pas confondue avec la sécurité du régime en place.

Les technologies du numérique constituent un défi nouveau et imprévu aux droits de l’homme et à la sécurité qui va demander bien plus d’étude, de recherche et d’analyse. Aussi longtemps que la cybersécurité et les droits de l’homme ne seront pas considérés et traités comme complémentaires et se renforçant mutuellement ces deux aspects de la question en souffriront.

Deborah Brown et Anriette Esterhuysen,

(Source : Association for progressive communications, 20 décembre 2019)

[1] Mêmes les individus qui ne sont pas encore connectés et pour lequel un accès significatif est un défi dépendent des infrastructures numériques pour la jouissance effective des droits de l’homme. L’utilisation par les gouvernements d’identités numériques pour l’usage de services publiques qui permettent par exemple d’exercer le droit de ne pas avoir faim, suppose qu’une grande quantité d’informations personnelles, y compris les données biométriques sont rassemblées et stockées, parfois de manière précaire. En Inde il y a eu de nombreux rapports de pertes de données concernant le système de d’identification basé sur la biométrie Aadhaar. On peut se référer par exemple à : https://cis-india.org/internet-gove... ainsi qu’à https://inc42.com/buzz/aadhaar-uida....

[2] Voir les résolutions du Conseil des Droits de l’Homme sur ‘La promotion, la protection et la jouissance des droits de l’homme sur Internet’ 20/8(2012), 26/13(2014), 32/13(2016) et 38/7(2018)

Mots clés

Inscrivez-vous a BATIK

Inscrivez-vous à notre newsletter et recevez toutes nos actualités par email.

Navigation par mots clés

INTERNET EN CHIFFRES

- Bande passante internationale : 172 Gbps
- 4 FAI (Orange, Arc Télécom, Waw Télécom et Africa Access)
- 10 534 038 abonnés Internet

  • 10 531 260 abonnés 2G+3G+4G (97,58%)
    • 2G : 29,14%
    • 3G : 54,77%
    • 4G : 16,08%
  • 101 090 clés et box Internet (0,96%)
  • 151 915 abonnés ADSL/Fibre (1,47%)
  • 1781 abonnés bas débit (0,02%)
  • 2778 abonnés aux 4 FAI

- Liaisons louées : 22 570

- Taux de pénétration des services Internet : 66,98%

(ARTP, 30 septembre 2019)

- 7 260 000 utilisateurs
- Taux de pénétration : 58,20%

(Internet World Stats 31 décembre 2018)

- 5800 noms de domaine actifs en .sn

(NIC Sénégal, décembre 2019)

TÉLÉPHONIE EN CHIFFRES


Téléphonie fixe

- 3 opérateurs : Sonatel, Expresso et Saga Africa Holdings Limited
- 225 643 abonnés
- 183 331lignes résidentielles (81,25%)
- 42 312 lignes professionnelles (18,75%)
- Taux de pénétration : 1,4352%

(ARTP, 30 septembre 2019)


Téléphonie mobile

- 3 opérateurs (Orange, Tigo et Expresso)
- 17 398 285 abonnés
- Taux de pénétration : 110,63%

(ARTP, 30 septembre 2019)

FACEBOOK

- 3 171 000 utilisateurs

- Taux de pénétration de Facebook : 18,6%

(Facebook, Juin 2019)