Cambridge Analytica : quelle protection des données à caractère personnel en Afrique ?
jeudi 12 avril 2018
L’onde de choc provoquée par l’affaire Cambridge Analytica qui secoue notamment le réseau social Facebook semble également se propager au continent africain avec des soupçons sur les deux dernières élections présidentielles organisées au Kenya [1]. A ce propos, le recours aux technologies du big data et du data marketing notamment à des fins électorales interroge en Afrique sur la protection des données à caractère personnel au regard des insuffisances réglementaires et institutionnelles en la matière.
Les technologies de l’information et de la communication (TIC) sont de plus en plus sollicitées en Afrique dans le cadre des élections. Si pour l’instant le recours à celles-ci se limite principalement aux opérations électorales (recensement et établissement des listes électorales, suivi du déroulement de l’élection ou encore décompte des résultats) afin d’en assurer la transparence et l’intégrité, lesdites technologies semblent désormais être de précieuses alliées pour les candidats qui briguent les suffrages de leurs concitoyens.
En effet, on observe que les équipes de campagne desdits candidats recourent entre autres et, de plus en plus, aux TIC lors des campagnes électorales comme l’illustre l’affaire Cambridge Analytica.
Le scandale Cambridge Analytica ou les dérives des cyber-campagnes électorales
A l’origine de cette affaire, se trouve la société britannique éponyme, Cambridge Analytica, l’une des nombreuses Start-up de l’écosystème du marketing politique. En effet, cette entreprise de « psychographie », aurait illégalement acquis des données de 87 millions [2] d’utilisateurs du réseau social Facebook qui ont été ensuite utilisées en faveur de Donald Trump lors de sa campagne électorale victorieuse de 2016. Pour arriver à ses fins, Cambridge Analytica aurait eu recours aux services d’un professeur de l’université de Cambridge, Aleksandr Kogan. Ce dernier a mis au point une application de tests psychologiques à des fins supposées de recherches universitaires selon les déclarations qu’il a faites à Facebook. Les 305.000 utilisateurs dudit réseau social qui ont consenti à participer aux tests proposés ont donné un accès total à leurs données à caractère personnel disponibles sur Facebook en contrepartie d’une rémunération.
Par ailleurs, en utilisant l’application « ThisIsYourDigitalLife » du professeur Kogan, ces utilisateurs de Facebook donnaient également un accès aux données de leurs amis sans qu’aucune faille technologique n’ait été exploitée. A ce propos, l’accès aux données à caractère personnel des amis des personnes sondées était plutôt facilité par le Social Graph API, un temps considéré par Facebook comme étant « sa colonne vertébrale ».
Concrètement, le Social Graph disposait d’informations précieuses sur « les gens, les liens entre les utilisateurs du réseau et leurs centres d’intérêt » et dont l’accès était ouvert aux développeurs informatiques. Ainsi, d’une part, grâce à cette API (Interface de programmation ou Application Programme Interface en anglais) - qui favorise l’interaction entre deux systèmes informatiques totalement indépendants - et d’autre part, munis d’une simple URL [3], lesdits développeurs pouvaient permettre à toute application tierce de lire et de collecter toutes les données contenues sur le Social Graph d’un utilisateur.
Il va s’en dire donc que l’ensemble de ces données, laissé en libre accès aux développeurs (avant avril 2015), auraient été collectées et revendues à la société Cambridge Analytica qui, grâce notamment au big data, en a fait usage pour influencer l’opinion entre autres, des électeurs américains en 2016.
Data-marketing et Big data au service des cyber-campagnes électorales
Avec le développement du big data couplé au data-marketing, le temps où les candidats à une élection misaient toute leur chance de succès exclusivement sur des meetings publics haut en couleur semble décidemment bien révolu.
En effet, ces technologies inaugurent l’ère des cyber-campagnes électorales en facilitant une collecte massive et rapide d’informations sur les électeurs, faisant ainsi des données collectées une véritable mine d’or pour les équipes de campagne qui, grâce à des sociétés spécialisées dans le big data et le marketing politique peuvent les traiter avec pertinence.
En outre, les informations collectées au sujet des électeurs (dont certaines sont publiques tels que les listes de recensement, les listes électorales, les résultats des derniers scrutins, les tendances de consommation par ville et par catégorie sociale), favorisent une segmentation de la population : découpage en sous-groupes homogènes selon différents critères tels que les données sociodémographiques (jeunes, chômeurs, retraités, actifs, familles, etc.) et comportements d’achat notamment. Cette segmentation facilite le ciblage des électeurs qui intervient ensuite pour permettre aux candidats d’orienter les choix desdits électeurs par le biais de messages sur mesure et individualisés qui sont adressés à ces derniers par email, SMS ou messagerie instantanée de réseau social, publicités, démarchages téléphoniques etc.
Dès lors, l’on observe que depuis quelques années le data-marketing et le big data semblent a priori favoriser d’une part, une meilleure connaissance de l’électorat et d’autre part, l’élaboration de messages électoraux ciblés à leur destination afin d’influencer leur opinion. Les succès de Barack Obama aux élections américaines de 2008 et de 2012 et le succès d’Emmanuel Macron en France en 2017 sont à mettre en partie au crédit de ces nouveaux outils digitaux qui néanmoins soulèvent partout des questionnements relatifs notamment à la protection des données à caractère personnel [4].
En Afrique, ces questionnements semblent plus prégnants en raison de considérations réglementaires, institutionnelles, sociales et économiques particulières.
L’Afrique à l’ère des cyber-campagnes électorales
Si ces dernières années Facebook est accusé d’avoir servi de plateforme de manipulation des opinions publiques lors de la campagne électorale américaine de 2016 et lors de celle relative au référendum sur le Brexit en 2016, ce sont surtout ses limites - exploitées par Cambridge Analytica - en matière de protection des données à caractère personnel des utilisateurs du réseau social que semblent mettre en lumière l’Affaire précitée.
Aussi, les révélations concernant le recours à Cambridge Analytica ou à sa maison mère (SCL Elections) lors des élections kenyanes de 2017 et nigérianes de 2007 et 2015 [5] interrogent sur les conditions de collecte et de traitement des données à caractère personnel des internautes africains notamment dans le cadre de processus électoraux.
A ce propos, l’Afrique présente d’importantes fragilités réglementaires et institutionnelles en matière de protection des données à caractère personnel dont l’exploitation à des fins électorales expose les opinions africaines à des manipulations diverses aggravées entre autres, par les insuffisances en matière de culture politique et une situation socio-économique précaire. Ces fragilités sont liées notamment au fait que dans la majorité des pays africains, il n’existe pas de dispositions relatives à la protection des données à caractère personnel (Comores, République Centrafricaine ou encore Algérie a adopté récemment un projet de loi allant dans ce sens en Conseil des ministres). En effet, selon le président du Réseau africain des autorités de protection des données à caractère personnel (RAPDP), « seulement 10 pays disposent d’une loi et/ou d’une autorité » relative à la protection des données à caractère personnel.
En outre, lorsque lesdites dispositions existent (cas du Cap-Vert, de la Côte d’Ivoire, du Mali, du Burkina-Faso, du Bénin, de la Tunisie, du Gabon ou encore du Maroc), leur effectivité n’est pas toujours garantie faute d’autorité en charge de leur respect ou de moyens à la disposition desdites autorités pour exercer le contrôle des activités de collecte et de traitements des données à caractère personnel. Il convient également de relever que l’exercice par les citoyens de leur droit d’accès à leurs informations personnelles est limité entre autre, par le manque de pédagogie sur l’importance de la protection de ses données personnelles notamment celles diffusées sur les réseaux sociaux.
L’on notera donc que les conditions de collecte et de traitement de ces informations, dans les contextes politiques fragiles caractérisant le plus souvent nombre de pays africains, peuvent être attentatoires aux droits de l’homme et aux libertés. En effet, les informations en jeu sont considérées comme étant des données sensibles, autrement dit « toutes les données à caractère personnel relatives aux opinions ou activités religieuses, philosophiques, politiques, syndicales, à la vie sexuelle ou raciale, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales et administratives » selon la définition retenue par l’Acte Additionnel relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO [6] (Communauté économique des Etats de l’Afrique de l’Ouest).
Aux fragilités précitées, il faut ajouter celles d’ordre socio-économiques : adhésion massive et sans discernement de nombreux Africains aux TIC, manque de pédagogie sur les données collectées via celles-ci et désintéressement et/ou l’absence de compréhension des décideurs politiques et socio-politiques quant aux enjeux de la protection des données à caractère personnel.
Au regard de ces différentes insuffisances, il convient donc de souligner que la collecte et le traitement des données à caractère personnel à des fins électorales en Afrique méritent une attention particulière. A l’ère de l’économie numérique et à l’heure où l’Union Européenne par exemple prend à bras le corps ce sujet stratégique avec l’entrée en vigueur prochaine du Règlement général sur la protection des données personnelles (RGDP), il conviendrait que la Convention africaine sur la cyber sécurité et la protection des données à caractère personnel adoptée le 27 juin 2014 à Malabo (Guinée Equatoriale) puisse enfin entrer en vigueur et qu’elle soit mise en œuvre de manière effective.
En outre, sous l’égide de l’Union Africaine, il serait opportun que les Etats africains mènent une réflexion sur les valeurs et la philosophie communes qu’ils souhaitent porter en la matière. Il serait également primordial, en raison des fragilités socio-économiques précitées, d’introduire dans ledit cadre réglementaire l’approche du « Privacy by Design ». Cela implique pour les entreprises notamment, que le recours à chaque nouvelle technologie traitant des données personnelles ou permettant d’en traiter garantisse dès sa conception et lors de chaque utilisation le plus haut niveau possible de protection des données même si cela n’est pas prévue à l’origine.
Enfin, à l’image de la démarche annoncée le 4 avril par Facebook [7], une simplification des conditions générales d’utilisation des différents outils technologiques et des réseaux sociaux collectant des données à caractère personnel serait nécessaire à la protection et à la responsabilisation des internautes africains.
A l’heure où les algorithmes rythment de plus en plus les activités économiques, sociales et politiques, il conviendrait en définitive d’alerter sur les risques liés à un laisser-aller en la matière qui amplifierait le mouvement déjà en cours d’appropriation desdites données par différents acteurs non seulement publics mais aussi privés (les GAFA notamment) au détriment non seulement des libertés et des droits fondamentaux des populations mais aussi des opportunités économiques stratégiques que peuvent constituer les données à caractère personnel pour le développement de l’Afrique.
Fortuné B. Ahoulouma et Fabien Lawson,
Avocats associés LABS-NS Avocats, Docteurs en droit
(Source : La Tribune Afrique, 11 avril 2017)
[1] Election invalidée du mois d’août et élection du mois d’octobre ayant conduit à la réélection du Président Kenyatta. https://afrique.latribune.fr/politique/gouvernance/2018-03-20/kenya-le-scandale-facebook-cambridge-analytica-eclabousse-uhuru-kenyatta-772464.html
[2] Election invalidée du mois d’août et élection du mois d’octobre ayant conduit à la réélection du Président Kenyatta. https://afrique.latribune.fr/politique/gouvernance/2018-03-20/kenya-le-scandale-facebook-cambridge-analytica-eclabousse-uhuru-kenyatta-772464.html
[3] Acronyme anglais désignant Uniform Resource Locator
[4] Voir à ce propos Fortuné B. Ahoulouma & Fabien Lawson Election de Macron : les ressorts d’une campagne électorale disruptive !
[5] https://afrique.latribune.fr/politique/gouvernance/2018-04-02/nigeria-les-autorites-federales-lancent-une-enquete-contre-cambridge-analytica-773923.html
[6] Acte Additionnel A/SA.1/01/10 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO du 16 février 2010.