Données personnelles et cybercriminalité -...

Présentée par

Etienne FIFATINPrésident de la Commission Nationale de l’Informatique et des

Libertés du Bénin

IntroductionLe développement des échanges internationaux, laglobalisation, l’abolition virtuelle des frontières, lahiérarchisation de nouvelles normes aux quatre coins de laplanète, sont les mots qu’imprime en lettres majeures,l’évolution fulgurante des nouvelles technologies del’information et de la communication ;

L’essor des sciences et technologies de l’information etl’internet des objets, voire Smartphones et autres,constituent de formidables opportunités dont particuliers,entreprises, administrations se servent au quotidien dansleurs activités.

Introduction Mais l’euphorie des nouvelles technologies de

l’information et les outils auxquels nous fait oublier queleur utilisation nous rend de plus en plus vulnérables auxrisques inhérents au cyberespace.

Ainsi de nos jours des cyber-attaques contre lesentreprises et les individus et même contre lesinstitutions étatiques, les infrastructures stratégiques, sedéveloppent avec à l’assaut, des moyens de plus en plussophistiquées; les unes marqués par des intérêtsfinanciers et les autres par des considérations religieuses,philosophiques et politiques.

IntroductionNos activités privées ou professionnelles et celles des

fournisseurs d’accès appellent des collectes systématiques ou

massive de données personnelles, lesquelles deviennent la cible

de cybermenaces et des cyber-attaques: fichiers clients,

réponses à des appels d'offre, données personnelles des salariés,

des dirigeants, des actionnaires, informations financières,

informations industrielles, secret des affaires, secret des

correspondances, tout cela nourrit la cybercriminalité.

IntroductionLes propos ci-après rapportés de Joseph CANNATACI, Directeur

de recherche en droit européen aux Pays-Bas, RapporteurSpécial des Nations Unies Chargé de la Vie privée, résument fortéloquemment la problématique de notre intervention:

« Les données personnelles constituent la matière première dela

cybercriminalité»,

On ne peut pas lutter contre la cybercriminalité sans sepréoccuper de la protection des données personnelles ».

IntroductionPour mieux cerner cette problématique il nous faut partir dela définition des données personnelles pour en préciser lesconcepts (I).

De même, il nous faut appréhender les enjeux de laprotection des données personnelles (II) à l’épreuve del’émergence d’une nouvelle forme de délinquance à savoir, lacybercriminatié, qui se nourrit de ces données (III).

Enfin quelques aspects des défis seront abordés (IV).

Telle est, la démarche que nous vous proposons etqu’empruntera notre intervention.

I – Définition et ConceptsDonnées à caractère personnel (au sens de la loi n°2009-09 du

Mai 2009 portant protection des données personnelles au Bénin)

On entend par "données à caractère personnel" touteinformation relative à une personne physique identifiée oususceptible de l’être, directement ou indirectement, parréférence à un numéro d’identification ou à un ou plusieurséléments qui lui sont propres.

Vie privée et personne physique

La protection des données découle de la protection et du respectde la vie privée. Le concept de la vie privée renvoie à l’idée d’unêtre humain. Les personnes physiques sont donc les principalesbénéficiaires de la protection des données.

I – Définition et ConceptsVie privée et personne morale

On peut se demander si les personnes morales ont des donnéesqu’on peut légitiment protéger ? En principe non, mais il a étéconsidéré dans certaines circonstances qu’une personne moralepuisse avoir un intérêt à la protection de ses données.

Une personne identifiable

Une personne est identifiable lorsqu’un fichier comporte desinformations permettant indirectement son identification :adresse IP, nom, n° d’immatriculation, n° de téléphone,photographie, éléments biométriques tels que empreintedigitale, ADN,

I – Définition et Conceptsensemble d’informations permettant de discriminer unepersonne au sein d’une population (certains fichiersstatistiques) tels que, par exemple, le lieu de résidence etprofession et sexe et âge,....).

Des données qu’on peut considérer comme anonymespeuvent également constituer des données à caractèrepersonnel si elles permettent d’identifier indirectement oupar recoupement d’informations une personne précise. Ilpeut en effet s’agir d’informations qui ne sont pas associéesau nom d’une personne mais qui permettent aisément del’identifier et de connaître ses activités, ses comportementsses habitudes ou ses goûts.

I – Définition et ConceptsVie privée et vie professionnelle et autres

Il est parfois difficile de séparer la vie privée de la vieprofessionnelle lorsque notamment l’information recueilliedans un cadre professionnel touche à la vie privée.

Les données à caractère personnel couvrent les informationsrelatives à la vie privée proprement dite, mais également auxinformations ou renseignements sur sa vie professionnelle oupublique lorsqu’il existe un lien étroit entre les deux réalités.

Nature des données

Toute sorte d’informations peut constituer des données à caractèrepersonnel dès lors qu’elles concernent une personne.

Les données à caractère personnel couvrent les informations relatives àla vie privée proprement dite, mais également sur les renseignementssur sa vie professionnelle ou publique lorsqu’il existe un lien étroitentre les deux réalités.

I – Définition et Concepts

Dans l’affaire Volker und Markus Schecke Eifert c/ Land Hessen, la

Cour Européenne des Droits de l’Homme (CouEDH) a jugé qu’il est

« sans incidence, le fait que les données publiées ont trait à des

activités professionnelles.

Au sens de l’article 8 de la Convention Européenne des droits de

l’homme, les termes ‘’vie privée’’ ne devaient pas être interprétés

de façon restrictive ; aucune raison de principe ne permet d’exclure

les activités professionnelles de la vie privée ». (1)


En revanche, dans une autre affaire Uzun c. Allemagne, le requérant

et un autre homme avaient été placés sous surveillance grâce à une

caméra placée dans l’une des voitures en raison de leur implication

supposée dans des attaques à la bombe.

Alors la CouEDH a estimé que l’observation du requérant par GPS

constituait une ingérence dans sa vie privée.


Toutefois la Cour a jugé que la surveillance GPS était prévue par la

loi, ainsi que proportionnée au but poursuivi d’enquête sur

plusieurs chefs de tentative de meurtre et, par conséquent, était

nécessaire dans une société démocratique.

On voit là une balance des intérêts qui est opérée entre la nécessité

de la préservation de la vie privée et les impératifs de sécurité

auxquelles la jurisprudence donne un sens (2).


I – Définition et ConceptsDonnées sensibles

Les données sensibles sont celles qui font apparaître, directement ouindirectement, les origines raciales ou ethniques, les opinionspolitiques, philosophiques ou religieuses ou l’appartenancesyndicale des personnes, ou qui sont relatives à la santé ou à la viesexuelle.

La collecte et le traitement de ces données sont en principeinterdites.

Cependant, dans la mesure où la finalité du traitement l’exige, nesont pas soumis à cette interdiction :

I – Définition et Concepts- les traitements pour lesquels la personne concernée a donné

son consentement exprès ;

- les traitements justifiés par un intérêt public après autorisationde la CNIL.

D’autres données sont considérées comme des données à risque. Ils’agit notamment de :

données génétiques ;

données relatives aux infractions pénales, aux condamnations, à l’état desanté d’une personne etc. ;

données comportant des appréciations sur les difficultés sociales despersonnes ;

données biométriques (L’ADN, la rétine, l’iris, les empreintes digitales, le

contour de la main, ...)

La collecte et le traitement de ces données doivent dans ceshypothèses, être justifiés au cas par cas au regard des objectifsrecherchés.

L’identification d’une personne, les intrusions dans sa vieprivée, au moyen d’informations qui sont susceptibles d’êtrerecueillies sur elle, avec ou sans son consentement, à son insuou non et les différentes exploitations qu’on pourrait en faire,des plus naïves aux plus malveillantes, constituent un véritabledanger.

I – DÉFINITION ET CONCEPTS

II- Les risques liées à la collecte et à l’exploitation des données personnelles

Les dangers auxquels sont exposées les données personnellespeuvent être appréciés à l’aune de trois questions qu’il convientde se poser.

La première question est liée à la collecte et l’utilisation desdonnées informationnelles par des organismes privés oupublics pour des finalités diverses : commerciales, marketing,politique, sécurité de l’Etat, lutte contre la criminalité et autres.

La deuxième question à résoudre est celle liée à nos proprescomportements;

La troisième est l’influence et le poids des innovationstechnologiques sur notre vie privée.


Les réponses à ces questions permettent de mesurer les risques etle niveau de vulnérabilité de nos données personnelles.

Au niveau des responsables de traitement

- Des services administratifs collectent des données personnellesy compris numériques des citoyens qu’ils exploitent à diversesfins ;

- Des hôpitaux, les laboratoires et autres centres de santécollectent au quotidien des données des malades, constituent etexploitent des fichiers sur leur santé ;


- Des banques collectent massivement des données des clients,les exploitent et les manipulent au quotidien;

- Des institutions comme le port, l’aéroport utilisent desdonnées biométriques pour mieux contrôler les accès ;

- Les réseaux GSM organisent des collectes de donnéespersonnelles aux fins d’identification de leurs clients ;

- Ces réseaux de téléphonies opèrent des distributionssystématiques sans le consentement de leurs clients;


- Les services d’immatriculation de véhicules constituent unebanque de données qui permettent de remonter à chaquepropriétaire à partir du numéro d’immatriculation d’unvéhicule ;

- La mise en place de systèmes d’accès biométriques pouraccroître la sécurité dans les administrations relevant dusecteur public ou privé;

- Le recensement biométrique des femmes bénéficiaires desMicrocrédits aux plus pauvres afin d’éviter les créditsmultiples ;

- Mise en place de systèmes d’assurance maladie avec parfois lacréation de fichiers sanitaires sur les bénéficiaires etc.


Plus aucun secteur de la vie n’échappe à cette tendance encore moins lesdomiciles avec la pause et l’exploitation des caméras de surveillance.

Des données sont collectées, numérisées, enregistrées, organisées,conservées, consultées et utilisées par les responsables destraitements sans requérir l’avis de l’autorité en charge du contrôle dela création de ces traitements.


Des données sensibles sont collectées au quotidien par les servicesde police sur les passagers à l’aéroport et lors de l’établissement despasseports sans que cela n’inquiète personne.

Des organisations privées collectent massivement et opèrent mêmedes transferts de données des personnes sans la moindre formalité.

La collecte, l’enregistrement, l’organisation, la conservation,l’adaptation ou la modification, l’extraction, la consultation,l’utilisation, la communication par transmission, la diffusion outoute autre forme de mise à disposition, le rapprochement oul’interconnexion, ainsi que le verrouillage, l’effacement ou ladestruction de ces bases sont potentiellement sources d’atteintesaux données personnelles et à la vie privée.


Aujourd’hui il est possible de façon frauduleuse, à l’aide depuissants moteurs de recherche, de réaliser l’interconnexionde fichiers d’origines diverses. Il peut s’agir de fichiers del’état civil, de l’immatriculation de véhicules, de fichierssanitaires, de la Liste Electorale Permanente Informatisée,des données bancaires etc.; car il suffirait de connaître le nomd’une personne ou même le numéro d’immatriculation d’unvéhicule pour avoir toutes sortes d’informations sur unepersonne.


Les comportements à risque des personnes elles-mêmes

Le monde des jeunes artisans qui exerce dans le secteur informel sesert également de l’outil informatique et manipule consciemmentou inconsciemment les données personnelles.

De même, les marchands de toutes catégories et de tous les niveauxmanipulent des données personnelles par l’utilisation detéléphone mobile.

De nombreux béninois insoupçonnés savent comment envoyer dediverses informations, des photos à partir de leurs téléphonesmobiles, leurs tablettes et autres sans se rendre véritablementcompte des dangers qu’ils courent à travers leurs gestes mêmes lesanodins.


Le développement de l’Internet au Bénin a été suivi del’ouverture et de l’exploitation de nombreux cyber centresdans les principales villes du pays fréquentés par denombreux jeunes internautes béninois.

Les réseaux sociaux constituent de nos jours un tremplin ;Retrouver un ami du moment ou des copains d’enfance,aller en contact avec un collègue dans les relations detravail sur un réseau professionnel, envoyer des invitationsà ses contacts.


Les réseaux se développent de nos jours comme « une boulede neige ». En créant un lien avec une personne, vous pouvezretrouver des contacts communs. Il y a vous, vos amis, lesamis de vos amis et le reste du monde. Grace aux réseauxsociaux on peut partager des informations, des photos.Certains sont spécialisés dans le partages d’information : YouTube, LinkedIn, twitter,instagram.

Tout le charme de ces outils nous attire, mais nous rend enretour vulnérables quant à nos informations personnellesque nous partageons.


Les risques induits des objets connectés

Le propre d’un objet connecté est d’échanger des informations surles réseaux de manière quasi permanente et instantanée, parl’intermédiaire d’une application web ou mobile. Or, plusieursétudes ont révélé d’importantes failles de sécurité dans les objetsconnectés, rendant ainsi possible le détournement d’unemultitude de données personnelles au profit de tiers nonautorisés, l’utilisation malveillante des données interceptées,voire la prise de contrôle de l’objet connecté lui-même (caméra desurveillance installée au sein d’une maison, ou véhicule parexemple).


Dans une étude réalisée en 2014, Fortify, la division d’H, dédiée à lacyber sécurité, a constaté que sur 10 objets connectés audités, 70 %ne cryptaient pas les données échangées avec le réseau, 80 % nenécessitaient pas de mot de passe suffisamment complexe et 60%n’offraient pas une interface Web suffisamment sécurisée. S’il estvrai que les vulnérabilités informatiques ont toujours existé, lamultiplication des objets connectés et le stockage des donnéesdans le Cloud augmentent, de fait, les risques d’atteinte à lasécurité au détriment des intérêts des utilisateurs.

En cas de faille de sécurité d’un dispositif de serrure connectée,c’est l’accès au domicile et à l’intégralité de son contenu qui estrendu possible, sans effraction apparente.


L’utilisateur d’objets connectés et d’applications mobiles peut perdre la maitrise

de ses données une fois celles-ci collectées et faire l’objet d’un profilage qui peut

lui être préjudiciable.

Les différents risques liés à l’environnement numérique actuel, au

comportement des responsables de traitement des données personnelles,

des personnes utilisant les outils informatiques, l’état des serveurs,

posent un véritable problème d’insécurité des informations ; ce qui laisse

le champ libre à toutes sortes d’intrusion qui profitent à la

cybercriminalité.

III- Quelques décisions de la CNIL en matière de protection des données personnelles

-Délibération n°2016-001/AT/CNIL du 18 août 2016 Relative à la demande

d’autorisation de collecte de données personnelles d’identification des

abonnés de la société SPACETEL BENIN SA (MTN Bénin)

-Délibération n°2016-002/AT/CNIL du 19 Août 2016 portant autorisation de

traitement et de transfert de données à caractère personnel des employés

de SPACETEL Bénin SA (MTN Bénin)

-Délibération n°2016-008/RE/CNIL du 09 novembre 2016 portant

conditions de mise en place et d’utilisation d’un système de

vidéosurveillance

IV- Manifestations de la cybercriminalité au Bénin en lien avec les données personnelles:

Les TIC sont devenus les cibles de la malveillance en raison desfacilités et opportunités qu’elles offrent.

En effet, les formes d’utilisation des TIC au delà des facilités etopportunités qu’elles offrent, ont vu naitre une nouvelle formede criminalité et de délinquance qui se distingue des formestraditionnelles, donc de nouveaux types de comportementsdéviants appelées « cybercriminalité » dans un environnementvirtuel qualifié de « cyberespace ».


Les nouvelles formes d’actes criminels visés regroupenttoutes les infractions pénales susceptibles de secommettre sur ou au moyen d’un système informatiquegénéralement connecté à un réseau informatique ou detélécommunication.

Nous nous contenterons d’indiquer à ce niveau lesgrandes lignes de la cybercriminalité en lien avec lesdonnées personnelles telle que nous la percevons. Il estentendu que d’éminents spécialistes bien avisés vont seconcentrer sur la question spécifique de lacybercriminalité.


Quelques caractéristiques et manifestations de la cybercriminalité au BENIN

Les cybercriminels utilisent les réseaux internet fixes et mobiles enpleine expansion.

L’émergence de la cybercriminalité tient au fait que les délinquants, qui sont dans leur quasi majorité jeunes, excellent dans la maîtrise de l’outil informatique et les rouages du web.

Quelques modes opératoires :

Spams relatifs aux transferts de sommes faramineuses, aux invitations à des colloques, représentations commerciales et autres manifestations;

Spams de désinformation et de manipulation ;

Vols d’identité et d’adresses IP ;

Appels téléphoniques suite à des recherches minutieuses sur Internet ;


Pornographie enfantine, le sexting (pornographie par texte ouimage)

Réseaux de photos pornographiques et promesses de mariage fictives;

Chantages à l’endroit de personnalités politiques et administratives, aumoyen de diffusion de vidéos d’aventures sexuelles préalablementconstituées ou enregistrées à l’insu de ces personnalités avec la complicitéde prostituées par exemple ;

Promesse de prétendus fonds bloqués dans une banque, au nom d’héritiersimaginaires ne pouvant récupérer leurs avoirs sans l’intervention d’un tiers(L’objectif étant d’obtenir le numéro du compte bancaire et un exemplairede la signature pour donner de faux ordres de virements à une banque).

Le mode opératoire du cybercriminel est fonction des informationsqu’il collecte et qu’il exploite. C’est pour cela que toute actiontendant à lutter contre la cybercriminalité doit passer parl’information qui fait défaut à plusieurs égards.

V - Du défaut d’information à l’absence de réponse

Les parents Les parents ne partagent pas le même motif de protection des données

personnelles;

La plupart des parents interrogés ou approchés ne sont pas bien informés des questions de protection de données personnelles;

Leurs préoccupations immédiates étant de limiter l’accès de leurs enfants pour leur permettre de se consacrer plutôt à leurs activités scolaires;

Les jeunes non informés avouent leur totale ignorance de la gravité des actes qu’ils posent.

Les éducateurs manquent d’informations

Ils avouent leur ignorance sur les questions de protection des données personnelles;

La situation est quasiment la même dans les établissements universitaires

V - Du défaut d’information à l’absence de réponse

En milieu judiciaireLes personnes qui sont en charge de juger et ceux qui ont pour missionde défendre la veuve et l’orphelin ne sont pas suffisamment

informés des questions de protection des données personnelles

Au niveau des pouvoirs publicsLes décideurs ne sont pas pleinement informés de leurs devoirs et deleur responsabilité en matière de protection de données personnelles;

Tout cela appelle une nécessaire action de d’informationet de sensibilisation de tous les acteurs

VI- Les actions de sensibilisation et de formation

Dans son plan d’action, la CNIL entend entreprendrecertaines actions :

Organiser au profit des administrations centrales et lescommunes, des journées de sensibilisation sur laprotection des données à caractère personnel;

Prévoir l’édition et la diffusion de guide sur les sujetsimportants destinés au jeune public et aux salariés,employeurs, collectivités locales, les communes, lesavocats et les professionnels de la santé ;

VI- Les actions de sensibilisation et de formation Actions de formationEn collaboration avec les chambres de commerce et d’industrie, la

CNIL BENIN envisage de s’impliquer dans toutes les activités, débats,conférences, ainsi qu’aux diverses rencontres;

Au niveau des tribunaux, il est très difficile pour un juge, auxconnaissances limitées en informatiques, de juger des faitsconstitutifs d’infractions liés à l’utilisation des TIC. Entreprendre àcet égard la formation des acteurs de la justice (magistrats, avocats etautres);

Entreprendre un recensement des besoins de formationsinformatiques et protection des données personnelles dans lesordres d’enseignement;

Etablir une convention de partenariat avec les écoles et universités,de manière à promouvoir la culture informatique et libertés dans lesécoles et universités.

VI- Les actions de sensibilisation et de formationAu plan structurel

En l’état actuel des choses, les forces de sécurité, ne semblent pasavoir toutes les ressources pour lutter efficacement contre lanouvelle délinquance liée à l’utilisation des TIC. Il y a lieud’entreprendre des actions hardies pour y remédier enconcertation avec la CNIL;

Améliorer le cadre légal

Nécessité d’adoption de la loi sur la cybercriminalité qui doit tenircompte des évolutions de la technologie et de l’environnementnumérique. Un projet en cours d’adoption à l’Assemblée nationale ;

ConclusionFace à l’utilisation inconséquente des outils informatiquesdans ce monde qui bouge, nous ne devons pas perdre de vueles menaces qui pèsent sur nos données personnelles et notrevie privée.

Nul n’est à l’abri d’abus divers sur ses données personnelles.Nous devons en prendre conscience désormais.

DONNÉES PERSONNELLES ET CYBERCRIMINALITÉ

• Etienne FIFATIN

Données personnelles et cybercriminalité -...

Documents

Transcript of Données personnelles et cybercriminalité -...