Des étudiants de l'Université Pendidikan, située en Indonésie. Photo de Nadiantara, provenant du site Wikimedia Commons (CC BY-SA 4.0)

[Sauf indication contraire tous les liens renvoient vers des sites en anglais]

L’article original a été publié sur le site de l’OPTF, une organisation à but non lucratif, à l’origine de la création de l’application de messagerie instantanée Session.

Après une longue attente, la loi sur la protection des données a enfin été entérinée au Parlement indonésien le 20 septembre 2022. Présenté devant l'Assemblée nationale indonésienne en 2016, le projet de loi a généré de nombreuses désaccords entre les membres de l'exécutif, les membres de l’Assemblée et les citoyens. Ces divergences, notamment concernant la désignation de l’autorité chargée de superviser l'application de la loi, ont régulièrement entravé le processus d'adoption de la législation.

Envisageant d'attribuer cette compétence au ministère de l'Information et de la Technologie, le gouvernement a été vivement critiqué par le pouvoir législatif et certaines associations, qui plaidaient en faveur d'une alternative privilégiant un organisme de contrôle indépendant. Le débat législatif s'est retrouvé dans une impasse, laissant les parties concernées en attente d'une résolution, qui ne pourrait être rendue possible que par l’intervention du président indonésien Joko Widodo (Jokowi), chargé de désigner lui-même l'organisme de surveillance.

La sécurité des données est compromise 

Malgré l'adoption d'une nouvelle loi sur la protection des données personnelles, la controverse perdure. Les sanctions prévues pour les entreprises contrevenantes sont particulièrement sévères, impliquant de lourdes amendes et des peines d’emprisonnement. L'année 2022 a été marquée par de vifs débats entourant les questions des droits numériques, de la régulation d'Internet et de la protection des données, occupant une place centrale tant dans les médias indonésiens que sur la Toile. Ces discussions ont été alimentées par divers incidents, comprenant des fuites de données au sein d'institutions publiques, des entreprises prises pour cible par des cyberattaques exploitant des failles de sécurité, permettant le vol et la revente d'informations personnelles de nombreux citoyens, ainsi que la promulgation d'une réglementation contraignant les entreprises numériques (ESO ou « electronic system operator ») à se déclarer officiellement.

Véritables sources de préoccupation, ces immatriculations obligatoires interrogent quant à la confidentialité des données personnelles et aux potentiels risques de censure pesant sur les entreprises numériques. Les sites web d'entreprises renommées telles que Yahoo, PayPal et Steam ont été bloqués en raison de leur non-conformité à ces procédures, déclenchant ainsi un mouvement de contestation en ligne ciblant le ministère de l'Information et de la Technologie indonésien (KOMINFO), et dénonçant les troubles occasionnés sous le hashtag #BlokirKominfo.

La règlementation régissant les entreprises numériques a vocation à garantir la sécurité des données personnelles des utilisateurs indonésiens tout en permettant la surveillance par les autorités compétentes. Cependant, l'introduction de PeduliLindung, une application de traçage COVID-19 obligatoire pour monter à bord d'un avion, se déplacer en transports en commun, accéder à un centre commercial ou à tout autre lieu public, a suscité des interrogations quant au bien-fondé de cette loi. L'exécutif, qui avait gagé d'un fonctionnement optimal, fut contredit par les multiples dysfonctionnements de l’application. Par ailleurs, les défenseurs des droits numériques continuent à exprimer des réserves concernant le traitement de données sensibles, telles que des informations médicales. Les inquiétudes ont été renforcées après la fuite du certificat vaccinal du président Joko Widodo sur Internet, mettant en doute la capacité de l'exécutif à assurer la protection des données personnelles des citoyens.

L'omniprésence du numérique dans la vie quotidienne a conduit le gouvernement indonésien à se pencher sur l'élaboration de nouvelles lois pour réguler et renforcer la sécurité l'espace numérique. L'incident malheureux impliquant la loi sur les Données et Transactions Électroniques (Electronic Information and Transaction Law) met en exergue les risques potentiels inhérents à certaines législations en matière de cybersécurité.

Créée dans le but initial de prévenir le cyberharcèlement et les fraudes en ligne, cette loi a été détournée pour réprimer les voix dissidentes exprimant des désaccords avec les lois et politiques gouvernementales. La situation continue de se détériorer, ayant même des répercussions sur les relations interpersonnelles, avec des cas où des individus ont été sanctionnés pour avoir critiqué leurs concitoyens. La moindre expression de mécontentement d'un internaute est dorénavant perçue comme potentiellement suspecte. Depuis l'entrée en vigueur de cette loi, les journalistes politiques de l'opposition signalent de nombreuses atteintes à la liberté de la presse. L'Institut de la Réforme du Droit Pénal (Institute for Criminal Justice Reform) a exhorté l'exécutif a réexaminer le texte de loi, soulignant cinq points présentant des risques potentiels pour la liberté d’expression.

Les applications et les plateformes de commerce en ligne accumulent de plus en plus massivement les données de leurs utilisateurs. C'est un secteur dans lequel la protection des données personnelles est pratiquement inexistante. Lorsque les sites de vente en ligne indonésiens BukaLapak et Tokopedia ont été victimes d'une fuite de données, suivie de la revente de ces informations sur le Dark Web, l'exécutif n'a pris aucune mesure significative en réponse à cet incident. Bien que les deux entreprises aient promis de renforcer leurs protocoles de sécurité, elles n'ont manifesté ni compassion ni soutien envers leurs clients.

En septembre 2022, une administration publique a été de nouveau touchée par une importante fuite de données. Les informations personnelles de 105 millions de citoyens ont été divulguées puis mises en vente par des cybercriminels sur un forum de discussion. Actuellement, aucun dispositif n'est en place pour recueillir les plaintes ou aider les citoyens à entreprendre des démarches juridiques, le gouvernement faisant systématiquement preuve de négligence face à ce type d’infraction.

Quelle sera la prochaine étape ?

Certains militants soutiennent l'idée qu'une notification devrait systématiquement être envoyée à l'internaute lorsqu’une entreprise ou une administration récupère ses données personnelles, incluant les modalités de traitement de la data, les mesures de protection en place, ainsi que les recours disponibles en cas de fuite de données. Ils estiment également que les internautes devraient être en mesure d’intenter des actions collectives contre les entreprises qui négligent la protection de leurs données personnelles.

La récente mobilisation de plusieurs associations indonésiennes a permis de recueillir les témoignages de nombreux citoyens et groupes ayant été affectés par ces vastes fuites de données. Ces collectifs manifestent leur volonté d'entamer des procédures judiciaires en lançant une action de groupe contre le gouvernement, pour négligence en matière de protection des données.

L'instauration d'une réglementation sur la protection des données, garantissant la sécurité des internautes, s'avère impérative pour assurer un traitement équitable. Les internautes se sentent désarmés face à l'ampleur des flux de données numériques et à la diversité des pratiques commerciales. Leurs informations personnelles sont récupérées de toutes parts, y compris par des organismes gouvernementaux. Une telle réglementation pourrait simplifier les procédures de dépôt de plainte en cas d'utilisation abusive de données personnelles. Les plaintes devraient ensuite être soumises à l'évaluation d'un organisme de régulation chargé de mener une enquête avant de définir la nature de l'infraction.

Depuis l'adoption de la loi de protection des données, le domaine du droit du numérique connaît un essor significatif. D'autre part, de nombreuses associations dénoncent la participation active de l’État à la collecte extensive de données de citoyens, tout en se soustrayant aux obligations fixées par cette loi.

Il subsiste également une incertitude concernant l'attribution de la compétence de traitement de la data et l'imputabilité de la faute en cas de fuite de données. L'Indonésie n’est pas encore au bout du long chemin menant à la sécurisation complète des données personnelles en ligne.

*Juliana Harsianti, journaliste et chercheuse indépendante, se consacre à l’étude des répercussions sociétales des problématiques liées au numérique.