Afrique : « Lorsque vos données personnelles sont volées, tout peut arriver… »
jeudi 28 avril 2022
L’accroissement des usages numériques génère autant de données à protéger. La diversité des profils fait varier l’échelle des menaces dont il faut se prémunir. Mais, quels sont les risques en cas de récupération des données ? Et comment en faire une bonne gestion ? Analyse.
En 2019, seuls 28 % d’Africains utilisaient Internet et les acheteurs en ligne étaient encore relativement peu nombreux. Ils devraient atteindre 39,5 %, selon les estimations de Statitica et de l’Union internationale des télécommunications (UIT). Mais, la crise de Covid-19 a rapidement augmenté l’attrait des internautes pour les solutions numériques, en même temps que le volume des données échangées.
En 2020, que ce soit via Zoom et WhatsApp ou via Facebook, Instagram ou TikTok, les données échangées par minute ont été impressionnantes. Selon le média tech clubic.com, sur Facebook, quelques 147 000 photos ont été publiées et 150 000 messages partagés. Plus de 208 000 personnes ont participé aux réunions Zoom et près de 42 millions de messages ont été échangés sur WhatsApp. Et chaque minute, plus de 2 700 téléchargements ont été effectués sur TikTok. Ces chiffres sont en nette progression.
Les internautes échangent des informations, du son et des images d’une personne physique identifiée ou identifiable. « Si, par le passé, la catégorie des données personnelles était considérée comme étroite et définie, la réglementation moderne en matière de protection de la vie privée élargit le champ. Sont inclus les données des ménages, les données pseudonymisées, les adresses IP, les identifiants des appareils, etc. », précise Enza Iannopollo, analyste principal chez Forrester, un cabinet d’études et de conseils qui accompagne les responsables métiers et les leaders technologiques.
Vulnérabilité des données
A l’instar du pétrole dans l’industrie contemporaine et de l’or parmi les métaux, les données sont des ressources vitales pour le monde numérique. Et plus le monde des TIC devient transversal, plus la valeur de la donnée supplante toutes les autres parce qu’elle regroupe l’ensemble des informations dont la divulgation peut nuire à l’existence de la victime. Les données sont-elles de facto exposées ou accessibles ? « Lorsqu’on est connecté, certaines données telles que les adresses IP, les données de navigation, l’historique de connexion, les données de localisation… sont accessibles et collectées par les équipementiers, les Fournisseurs d’accès internet (FAI), les GAFAM et autres », répond Yvon Détchénou, président de l’Autorité de protection des données personnelles (APDP) au Bénin.
Pour Roland Aïkpé, ingénieur en cybersécurité à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) au Bénin, les informations généralement accessibles au public sont les noms et prénoms, les photos et les vidéos publiées, etc. Par contre, nuance-t-il, les données renseignées lors de la création d’un compte, sur une banque en ligne, par exemple, ne sont pas accessibles au public. Dans ce cas, il revient à l’entreprise de prendre les dispositions nécessaires pour les protéger. « Les bannières de cookies et les avis de consentement, par exemple, donnent aux utilisateurs le choix de partager ou non leurs données », précise Enza Iannopollo. Mieux, « ils aident les utilisateurs à comprendre quelles données un site web tente de collecter et pourquoi. Nos données suggèrent également que les individus du monde entier utilisent de plus en plus des technologies, telles que “do not track me” ou des extensions de navigateur similaires. Ceci pour empêcher les sites web et les applications de collecter leurs données personnelles. »
Risques de vol de données
Internet étant à l’image d’un open space, les risques de vol ou de récupération des données personnelles sont permanents. Et toutes les données sont utiles. Elles servent parfois à cerner la personnalité d’un internaute, ses goûts, ses choix ou ses besoins. Créer un compte sur les réseaux sociaux nécessite des données personnelles. Et chaque internaute a un compte sur plusieurs réseaux à la fois, sans compter les adresses emails. Ceux-ci s’exposent déjà, en plus des faits de piratage qui surviennent chaque année chez les géants tels que Facebook, Google, Yahoo, et qui les rendent plus vulnérables. « Lorsque vos données personnelles sont volées, tout peut arriver », prévient l’analyste principal de Forrester.
Chez les internautes, le vol de données peut mener à l’usurpation d’identité, le chantage, le spamming, l’hameçonnage, l’anxiété et le risque réputationnel. « Ce qu’il faut craindre, c’est la capacité des systèmes à identifier des déterminants de la personne qui peuvent se retourner contre elle », avertit Yvon Détchénou. Enza Iannopollo renchérit : « L’utilisation abusive des données ne produit toutefois pas toujours du vol. Lorsqu’une entreprise utilise vos données personnelles d’une manière inattendue ou sans que vous ne le sachiez, il s’agit d’une mauvaise utilisation de vos informations. Et, malheureusement, ces données peuvent être utilisées pour nous manipuler de manière subtile, sans même que nous nous en rendions compte. »
Pour les entreprises, la fuite des données peut engendrer des risques économiques, une atteinte à la notoriété, une baisse du chiffre d’affaires ou une perte financière. Dans le cas des gouvernements, il est souvent question de cyber espionnage. L’autre façon subtile de collecter les données personnelles passe par l’acceptation, à l’aveuglette, des conditions d’utilisation ou des cookies, lors de la création d’une adresse email ou de l’accès à un site web. Diverses sortes de cookies [de cession, techniques, publicitaires ou de navigation] permettent au propriétaire de site web de connaître les habitudes des internautes en termes de publicité et de diffusion d’informations.
Quid de la réglementation ?
Selon la Conférence des Nations-Unies pour le commerce et le développement (CNUCED), 128 des 194 pays du monde ont mis en place une législation pour assurer la protection des données et de la vie privée. En Afrique, seulement 33 pays sur 54 ont adopté une loi sur la protection des données des consommateurs. Et seuls 18 pays du continent ont une autorité de contrôle. Si beaucoup considèrent le Règlement général européen sur la protection des données (RGPD) comme une norme mondiale en matière de protection de la vie privée, de nombreux autres pays ont élaboré leur propre réglementation en matière de protection de la vie privée. A l’instar de l’Afrique du Sud, avec la loi sur la protection des informations personnelles (POPIA). Et du Bénin, avec la loi n°2017 du 20 avril 2018, portant code du numérique, qui met en place les dispositions nécessaires pour protéger la vie numérique de la population. En outre, « il faut une certaine participation de l’internaute dans la protection de ses données personnelles. Quand on possède des données sensibles, il faut mettre des couches supplémentaires de sécurité, comme un mot de passe. Il faut tout le temps verrouiller son téléphone pour qu’en cas de perte, personne ne puisse accéder à ses informations », conseille Roland Aïkpé.
Hormis la réglementation, la souveraineté des données permet une meilleure protection de leur gestion. Comme le rappelle Enza Iannopollo, « toute organisation qui utilise des services en nuage doit s’assurer qu’elle sait où ses données sont effectivement stockées et/ou traitées. En fonction des flux de données et des pays qu’ils traversent, les entreprises doivent tenir compte des exigences spécifiques en matière de confidentialité et de gouvernement concernant l’accès aux données, leur protection, etc. »
La plupart des organisations ou des Etats africains hébergent leurs données à l’étranger. La tendance change, ces dernières années, avec la construction de datacenters nationaux, avec le choix des équipements, les stratégies de gestion des équipements et des données, et la soumission aux lois du pays. « Cela protège la propriété intellectuelle et renforce la confiance numérique », renchérit l’ingénieur de l’ANSSI. Néanmoins, l’illusion d’être derrière son Smartphone ou son ordinateur, ou l’ignorance des règles de protection et de sécurité des données, continuent de faire des internautes, des proies faciles.
Michaël Tchokpodo
(Source : CIO Mag, 28 avril 2022)