Des étudiants de l'Université Pendidikan en Indonésie. Photo de Nadiantara, provenant du site Wikimedia Commons (CC BY-SA 4.0)

[Sauf indication contraire tous les liens renvoient vers des sites en anglais]

L’article original a été publié sur le site de l’OPTF, une organisation à but non lucratif, à l’origine de la création de l’application de messagerie instantanée Session.

Après une attente prolongée, la loi relative à la protection des données a finalement été adoptée au Parlement indonésien, le 20 septembre 2022. Présenté à l'Assemblée nationale indonésienne en 2016, le projet de loi suscita de nombreuses divergences d’opinions entre les membres de l'exécutif, les représentants de l’Assemblée et les citoyens. Ces désaccords, notamment en ce qui concerne la désignation de l’autorité chargée de superviser l'application de la loi, ont entravé à plusieurs reprises l'adoption de la législation.

Le gouvernement, qui envisageait d’attribuer cette compétence au ministère de l'Information et de la Technologie, a fait face à de vives critiques de la part du pouvoir législatif et des organisations associatives, qui plaidaient pour une alternative en faveur d'un organisme de contrôle indépendant. Le débat législatif a abouti dans une impasse, laissant les parties concernées dans l'attente d'une résolution qui ne pourrait être rendue possible que par l’intervention du président indonésien Joko Widodo (Jokowi), qui serait chargé de désigner lui-même l'organisme de surveillance.

La confidentialité des données est compromise 

L'épineux débat concernant la protection des données personnelles persiste, malgré l'adoption d'une nouvelle loi en la matière. Les sanctions prévues, particulièrement sévères, impliquent de lourdes amendes pour les entreprises contrevenantes, ainsi que des peines d’emprisonnement. En 2022, plusieurs incidents liés à la question de la protection et au contrôle des droits digitaux dans les espaces médiatiques et numériques ont suscité de houleux débats en Indonésie. Des entreprises ont été victimes de cyberattaques exploitant des failles de sécurités, permettant à des hackers de dérober et de revendre les informations personnelles de nombreux citoyens. À la suite de fuites de données ayant affecté des administrations publiques, une règlementation contraignant les entreprises numériques (ESO ou « electronic system operator ») à se déclarer a été imposée.

Véritables sources de préoccupation, ces immatriculations obligatoires interrogent quant à la confidentialité des données personnelles et la possible censure des entreprises numériques. Yahoo, PayPal et Steam figurent parmi les entreprises n'ayant pas respecté la procédure d’immatriculation, entraînant, en représailles, le blocage de leurs sites web. Le ministère de l'Information et de la Technologie indonésien (KOMINFO) s’est rapidement trouvé confronté à une vague de contestation en ligne, dénonçant le chaos provoqué sous le hashtag #BlokirKominfo.

La législation encadrant les entreprises numériques doit protéger les données personnelles des utilisateurs indonésiens tout en permettant aux autorités compétentes de surveiller ces entreprises. Le lancement de PeduliLindung, une application de traçage COVID-19 obligatoire pour monter à bord d'un avion, se déplacer en transports en commun, accéder à un centre commercial ou à tout autre lieu public, a suscité des interrogations quant au bien-fondé de cette loi. L'exécutif, ayant gagé d'un fonctionnement optimal, fut contredit par les multiples dysfonctionnements de l'application. Les défenseurs des libertés numériques continuaient à exprimer des réserves concernant le traitement de données aussi sensibles que des informations médicales. Les militants ont également exprimé leurs inquiétudes à la suite de la fuite du certificat vaccinal du président Joko Widodo sur Internet, mettant en doute la capacité du pouvoir exécutif à assurer la protection des données personnelles des citoyens.

La prépondérance du numérique dans la vie quotidienne a poussé le gouvernement indonésien se pencher sur l’élaboration de nouvelles lois visant à réguler et sécuriser l'espace numérique. La regrettable affaire de la loi sur les Données et Transactions Électroniques (Electronic Information and Transaction Law) illustre parfaitement les risques potentiels inhérents à certaines lois en matière de cybersécurité.

Initialement conçue afin protéger les internautes contre le cyberharcèlement et les arnaques en ligne, cette loi a été détournée pour réprimer les voix dissidentes désapprouvant les législations et politiques gouvernementales. La situation continue de se dégrader, affectant même dans relations interpersonnelles, avec des cas où des individus ont été sanctionnés pour avoir critiqué leurs concitoyens. Une simple expression de mécontentement de la part d’un internaute est désormais perçue comme potentiellement suspecte. Les journalistes politiques de l'opposition signalent également de nombreuses atteintes à la liberté de la presse depuis l’entrée en vigueur de cette loi. L'Institut de la Réforme du Droit Pénal (Institute for Criminal Justice Reform) a exhorté l'exécutif a réexaminer le texte de loi sur cinq points mettant en évidence de potentiels risques pour la liberté d’expression. 

Les applications et les sites de commerce en ligne collectent de plus en plus massivement les données de leurs utilisateurs. C'est un secteur dans lequel la protection des données personnelles est pratiquement inexistante. Lorsque les sites de vente en ligne indonésiens BukaLapak et Tokopedia furent victimes d'une fuite de données, suivie de la revente de ces informations sur le Dark Web, aucune mesure significative ne fut prise par l’exécutif en réponse à l’incident. Les deux entreprises ont promis de renforcer leurs protocoles de sécurité, mais n’ont manifesté ni compassion ni de soutien envers leurs clients.

En septembre 2022, une administration publique fut de nouveau touchée par une importante fuite de données. Les informations personnelles de 105 millions de citoyens furent divulguées puis mises en vente par les cybercriminels sur un forum de discussion. Il n'existe actuellement aucun dispositif permettant de recueillir les plaintes ou d'aider les citoyens à entreprendre des démarches juridiques, le gouvernement faisant systématiquement preuve de négligence face à ce type d'infraction.

Que se passera-t-il ensuite ?

Certains militants estiment qu’une notification, comprenant notamment les modalités de traitement de la data, les mesures de protection mises en place, ainsi que les recours en cas de fuite de données, devrait être systématiquement envoyée à l’internaute lorsque des données sont collectées par une entreprise ou une administration. Les utilisateurs doivent être en mesure d’intenter des actions collectives contre les entreprises qui négligent la protection de leurs données personnelles.

La récente mobilisation de plusieurs associations indonésiennes a permis de recueillir les témoignages de nombreux citoyens et groupes ayant été affectés par ces vastes fuites de données. Ces collectifs souhaitent engager des poursuites judiciaires en initiant une action de groupe contre le gouvernement pour négligence en matière de protection des données.

Afin d’assurer une justice équitable, il est impératif qu’une règlementation sur la protection des données, garantissant efficacement la sécurité des internautes, entre en vigueur. Les internautes se retrouvent démunis face à de tels flux de données numériques et à des pratiques commerciales si disparates. Leurs données personnelles sont récupérées de toutes parts, y compris par des administrations gouvernementales. Une telle réglementation pourrait alors faciliter les démarches de dépôt de plainte en cas d'utilisation abusive de données personnelles. Les plaintes devraient ensuite être examinées par un organisme de régulation chargé de mener une enquête avant de se prononcer sur la nature de l'infraction.

Depuis l'adoption de la loi de protection des données, le domaine du droit du numérique connaît un essor significatif. De nombreuses associations dénoncent le fait que, bien que l’État participe activement à la collecte massive des données des citoyens, il semble échapper aux obligations de cette loi.

Il subsiste également une incertitude concernant l'attribution de la compétence de traitement de la data et l'imputabilité de la faute en cas de fuite de données. L'Indonésie n’est pas encore au bout du long chemin menant à la sécurisation complète des données personnelles en ligne.

*Juliana Harsianti, journaliste et chercheuse indépendante, se consacre à l’étude des répercussions sociétales des problématiques liées au numérique.