En Jordanie, l'absence d'une politique de protection des données menace le droit à la vie privée des citoyens et des réfugiés

• Traduction publiée le 26/01/2020 9:21 GMT
• Ecrit par Global Voices MENA Traduit par Global Voices en français
• Lire cet article en English, Italiano, Ελληνικά, Español, عربي, English

Plusieurs entreprises régionales de technologie sont basées dans la capitale jordanienne Amman, parfois appelée la Silicon Valley du Moyen-Orient. Crédit photo: Dimitris Vetsikas via Pixabay [CC0].

Cet article a été écrit par Raya Sharbain de l'Association Jordanie Open Source (JOSA), qui œuvre à la promotion des droits numériques et d'une culture libre et ouverte en Jordanie.

En novembre 2018, lors de la 31^e session de l'Examen périodique universel [pdf], la Jordanie a reçu pour la première fois de son histoire deux recommandations sur le droit à la vie privée. L’Estonie et le Brésil ont tous deux attiré l’attention sur la nécessité de respecter la vie privée des citoyens. Cependant, l'expérience de la Jordanie a montré que les menaces à la vie privée et aux droits numériques proviennent non seulement du gouvernement, mais aussi d’organismes internationaux et d'entreprises, y compris les fournisseurs d'accès à Internet et les start-ups technologiques.

En l'absence d'une loi sur la vie privée, comment les données personnelles sont-elles traitées aujourd'hui en Jordanie par les acteurs publics, privés et internationaux ? L’adoption d'une loi sur la protection des données renforcera-t-elle la protection de la vie privée dans le pays ?

Des lois permettant la surveillance gouvernementale

Il existe une croyance enracinée dans la population jordanienne, qui veut que les citoyens soient toujours sur écoute, que ce soit lors de leurs appels téléphoniques ou sur Internet. La surveillance exercée par le gouvernement menace fortement [pdf] le droit des Jordaniens à la vie privée, ce qui a poussé beaucoup de gens, y compris des journalistes, à pratiquer l’autocensure.

Le règlement sur la protection et la surveillance de la vie privée comprend la Loi sur les télécommunications (13/1995), qui stipule [pdf] que « les appels téléphoniques et les télécommunications privées sont considérés comme relevant du domaine confidentiel, qui ne peut être enfreint, sous peine de poursuites » (Article 56, 4). Bien qu’il mentionne un moyen traditionnel de communication, cet texte ne fait aucune référence particulière aux plateformes numériques. De plus, la Loi antiterroriste de 2006, et plus précisément l’article 4, menace le droit à la vie privée [pdf] sous prétexte de protéger la sûreté et sécurité publique. Elle ne respecte pas non plus les Principes nécessaires et proportionnés [pdf], puisqu’elle stipule qu’une personne peut être soumise à une surveillance « si le procureur général a reçu des informations fiables indiquant qu’une personne ou un groupe de personnes est liée à une quelconque activité terroriste ». Les définitions de ce qui constitue des « informations fiables » et des « activités terroristes » sont absentes de l’article.

En 2018, le gouvernement a proposé des modifications à la Loi sur la cybercriminalité, qui comprenaient des « requêtes » à ajouter à la liste des « systèmes d’information » pouvant être soumis à une inspection gouvernementale. Le procureur a également obtenu plus de pouvoirs de surveillance. Lors d’une session parlementaire en février 2019, la majorité des députés ont voté en faveur [ar] du projet d'amendement.

Pire encore, en l’absence d’une loi sur la protection des données, le gouvernement jordanien impose à ses citoyens des cartes d’identité intelligentes obligatoires qui stockent des données biométriques, et un programme d’enregistrement obligatoire de la carte SIM qui obligera [ar] les citoyens à soumettre leurs empreintes digitales pour enregistrer un nouveau numéro de téléphone.

Droit à la vie privée pour les réfugiés

Scanner d’iris utilisé par les réfugiés pour acheter de la nourriture au camp de réfugiés d’Azraq
en Jordanie le 3 avril 2019. Photo de l'auteur, reproduite avec son autorisation.

Par ailleurs, les institutions internationales doivent également prendre leurs responsabilités. La Jordanie accueille environ 531 000 réfugiés syriens, dont 123 000 vivent dans des camps de réfugiés (à compter de décembre 2019). À leur arrivée en Jordanie, les réfugiés doivent fournir leurs données biométriques. Selon la politique de protection des données du HCR, les données ne devraient être obtenues que « soit par une déclaration écrite ou orale, soit par une affirmation claire par des gestes ». Mais le Programme alimentaire mondial s'est associé avec avec le Haut Commissariat des Nations unies pour les réfugiés (UNHCR) et la société jordano-britannique IrisGuard dans la mise en œuvre d’un système de transaction biométrique par lequel les réfugiés achètent de la nourriture, font leurs courses alimentaires et retirent de l’argent aux guichets automatiques en scannant leurs iris. On peut se demander si les réfugiés sont au courant de la possibilité de se retirer d’un tel système, et si leur consentement éclairé a été obtenu en premier lieu.

Rôle des entreprises de technologie

Dans le secteur privé, c’est l’absence de politiques publiques qui menace les droits numériques. Le secteur des technologies est très dynamique à Amman, la capitale de la Jordanie. De nombreuses entreprises régionales telles que la plate-forme de petites annonces en ligne OpenSooq, l'hébergeur de contenu en langue arabe Mawdoo3, la société régionale de services météorologiques ArabiaWeather, et le détaillant régional de livres en ligne Jamalon, ont leur siège à Amman. Des sociétés internationales comme Expedia, Amazon, Microsoft et Careem ont des bureaux d’ingénierie dans le pays. En l’absence de loi sur la protection des données, ces sociétés sont livrées à elles-mêmes et il n'y a aucune cohérence dans la gestion des données des utilisateurs. Un simple survol des politiques de protection de la vie privée de certains de ces sites Web révèle certaines pratiques intrusives.

Par exemple, le site de recherche d’emploi Akhtaboot affirme en toute franchise dans sa politique de confidentialité qu’il vend les données des utilisateurs :

…we reserve the right to sell the information that is willingly posted by users on the site to third party customers seeking recruitment services. Akhtaboot is not responsible for any actions taken by any third party customer with regards to the information that is posted by users.

[…] Nous nous réservons le droit de vendre les informations publiées volontairement par les utilisateurs sur le site à des tiers clients qui demandent des services de recrutement. Akhtaboot n’est pas responsable des mesures prises par un client concernant les informations publiées par les utilisateurs.

Après avoir développé Salma, un agent conversationnel arabophone similaire à Siri et Alexa, Mawdoo3 a approuvé sa propre politique de confidentialité en indiquant que l'entreprise « se réservait le droit de surveiller et de sauvegarder les enregistrements sonores, ainsi que toute correspondance établie par l’utilisateur dans le cadre de la demande, à des fins de contrôle de qualité et pour des raisons de sécurité, dans les limites de la loi ». Les utilisateurs doivent également « accepter que Mawdoo3 ne soit aucunement responsable de la compromission des données des utilisateurs résultant du piratage ».

Le ministère des Transports a demandé à Careem, une application de commande de taxi (qui a été acquise par Uber en mars 2019), de fournir aux forces de l'ordre un accès sans restrictions aux ordinateurs, aux serveurs et aux données afin d'obtenir l'autorisation de fonctionner en Jordanie.

Les fournisseurs d'accès à Internet en Jordanie ont également été impliqués dans des pratiques qui portent atteinte à la vie privée des utilisateurs. Une étude récente d’AccessNow et d’impACT a montré que non seulement les FAI recueillent plus de données que nécessaire, mais qu’ils ne révèlent pas aux utilisateurs la nature des données enregistrées, ni l'usage qu'ils en font.

Projet de loi sur la protection des données personnelles

En 2014, le ministère jordanien des Technologies de l’information et de la Communication (désormais connu sous le nom de ministère de l’Économie numérique et de l’entrepreneuriat) a présenté un projet de loi sur la protection des données personnelles, qui en est actuellement à sa quatrième et dernière version.

Le projet de loi sur la protection des données personnelles s’aligne partiellement sur les aspects fondamentaux du règlement général de l’Union européenne sur la protection des données (RGPD) et s’applique à toutes les institutions privées et publiques en Jordanie, y compris les agences et organisations internationales enregistrées localement. Il reflète les concepts de transparence, d’exactitude, de limitation du stockage et de minimisation des données du RGPD.

Toutefois, dans sa forme actuelle, le projet de loi continue de soulever de grandes inquiétudes. Par exemple, la Commission jordanienne de protection de la vie privée, telle que proposée dans ce texte, manque d’indépendance. En fait, selon le projet actuel, la commission sera non seulement nommée par le gouvernement, mais aussi présidée par le ministre des Technologies de l’information et de la Communication.

Le calendrier d'adoption de cette loi est encore flou. Le projet doit d'abord être approuvé par le Parlement, avant d'être officiellement adopté dans un délai de six mois grâce à la sanction royale.

I am trying to draw a country that will be friendly to my poetry, a country that will not come between me and my thoughts, a country that won't have soldiers wandering over my forehead.

J’essaie de dessiner un pays qui sera accueillant pour ma poésie, un pays qui ne s'interposera pas entre moi et mes pensées, un pays où les soldats ne se promèneront pas sur mon front.

En Jordanie, et dans toute la région, la surveillance a été utilisée pour faire taire la dissidence. Cependant, dans le monde des communications modernes d'aujourd'hui, les menaces à la vie privée en Jordanie proviennent non seulement du gouvernement, mais aussi d’organismes internationaux et d'entreprises, y compris les fournisseurs d'accès à Internet et les start-ups technologiques.

Les lois sur la protection des données ont tendance à être perçues comme une panacée pour tous les problèmes de confidentialité, mais il reste à voir comment le projet de loi proposé en Jordanie prendra forme et s'il sera réellement appliqué après son adoption.