La protection des données et des organisations humanitaires contre les menaces numériques
Tilman Rodenhäuser (CICR), Silvia Pelucchi (CICR),
James De France (Fédération internationale)
Début 2022, une cyberattaque sans précédent a entraîné le vol de données personnelles qui avaient été confiées au Comité international de la Croix-Rouge (CICR) et aux Sociétés nationales de la Croix-Rouge et du Croissant-Rouge (Sociétés nationales). Le Conseil des Délégués du Mouvement international de la Croix-Rouge et du Croissant-Rouge (Mouvement) a réagi en adoptant, en juin de la même année, une résolution sur la protection des données humanitaires qui traite de plusieurs questions interdépendantes. La résolution souligne notamment la responsabilité qui incombe aux organisations humanitaires de protéger les données qu’elles collectent en adoptant et en mettant en œuvre des mesures de cybersécurité et des pratiques de protection des données. Elle réaffirme aussi la protection conférée aux organisations humanitaires par le droit international humanitaire et appelle les États et les autres acteurs à respecter et protéger les organisations humanitaires impartiales en ligne comme elles le font hors ligne. Enfin, elle encourage la recherche et l’innovation en vue de mieux protéger les données humanitaires.
Afin de renforcer les capacités de protection des données au sein du Mouvement (et plus globalement de la communauté humanitaire), le CICR a mis en place deux programmes : l’un axé sur la formation et la certification des personnes responsables de la protection des données, avec l’Université de Maastricht, et l’autre consistant à mener des recherches conjointes sur la transformation numérique et ses implications pour l’action humanitaire, avec l’Université de Cambridge. En avril 2023, le programme de formation et de certification élaboré avec l’Université de Maastricht avait été mené à bien huit fois sur quatre continents, au bénéfice de plus de 230 professionnels de l’humanitaire, dont une centaine parrainés par des Sociétés nationales. Le CICR aide également les Sociétés nationales du monde entier à se conformer au Code de conduite relatif à la protection des données à caractère personnel pour les activités de rétablissement des liens familiaux (RLF), en mettant au point des outils de protection des données pour l’ensemble du réseau RLF, en adaptant ces outils aux différents contextes et en soutenant les Sociétés nationales dans leur dialogue avec les autorités, en particulier après la violation de données de 2022.
Plusieurs Sociétés nationales ont de leur côté consacré des efforts importants à la protection des données. En 2023, par exemple, la Croix-Rouge du Zimbabwe a approuvé un accord qui doit être signé par son personnel et ses volontaires actifs dans le domaine du RLF et qui les engage à respecter le Code de conduite relatif à la protection des données ; la Croix-Rouge de l’Ouganda a été agréée par l’autorité nationale chargée de la protection des données pour la collecte, le traitement et le contrôle des données ; et la Croix-Rouge australienne a élaboré un exercice de simulation pour renforcer les capacités de protection des données du personnel et des volontaires participant aux activités de RLF dans le pays.
Quant à la Fédération internationale des Sociétés de la Croix-Rouge et du Croissant-Rouge (Fédération internationale), elle a continué de développer ses pratiques internes de protection des données et de travailler avec les Sociétés nationales à la mise en œuvre des obligations en la matière. Elle a par exemple effectué, en collaboration avec des Sociétés nationales, plusieurs analyses d’impact relatives à la protection des données dans le cadre de projets faisant appel à de nouvelles techniques de traitement des données. Elle a en outre élaboré des accords de partage de données et des déclarations de confidentialité standardisés dans le but d’assurer la transparence, la sécurité et la légalité de ses transferts de données personnelles avec les Sociétés nationales dans les situations d’urgence. La Fédération internationale continue, en coopération avec les Sociétés nationales, à concevoir des outils logiciels centrés sur les exigences de la protection des données et le principe « ne pas nuire ».
Mais même une protection solide des données par les organisations humanitaires ne suffira pas pour empêcher toutes les violations. Désireux d’alerter les États sur ces nouvelles menaces et de rappeler le consensus existant de longue date sur la protection des organisations humanitaires contre les attaques, le CICR a soulevé la question auprès des Nations Unies, appelant les États à réaffirmer que les organisations humanitaires, leur personnel et les données humanitaires ne doivent jamais être pris pour cible, que ce soit dans le monde physique ou dans le monde numérique. Nous sommes déterminés à obtenir la mise en place de cadres juridiques et politiques à cet effet.
Cela étant, comme le prévoit la résolution, toutes les composantes du Mouvement devraient s’efforcer d’investir davantage dans la protection des données. En parallèle, le CICR recherche des solutions techniques permettant de renforcer la protection des organisations humanitaires et de leurs données contre les attaques. Il a par exemple ouvert en 2022 une délégation pour le cyberespace, conçue comme un laboratoire où il peut mener en toute sécurité des travaux de recherche et développement pour mettre au point des services numériques sûrs à l’intention des communautés affectées. Le CICR et la Croix-Rouge australienne ont en outre publié, en novembre 2022, un rapport sur la numérisation des emblèmes de la croix rouge, du croissant rouge et du cristal rouge intitulé Digitalizing the Red Cross, Red Crescent and Red Crystal Emblems: Benefits, Risks, and Possible Solutions. Au cours des derniers mois, le CICR a engagé des discussions sur un emblème numérique avec les Sociétés nationales et les États et continué de perfectionner des solutions techniques possibles.
Les travaux consacrés à la protection des données ont débouché sur l’adoption de la résolution intitulée « Rétablir les liens familiaux tout en respectant la vie privée, y compris en ce qui concerne la protection des données personnelles » par la Conférence internationale de la Croix-Rouge et du Croissant-Rouge en 2019, ainsi que de la résolution sur la protection des données humanitaires par le Conseil des Délégués de 2022. Mais il ne s’agit là que d’un point de départ et, depuis l’adoption de ces résolutions, de nouvelles cyberattaques contre des organisations humanitaires sont venues encore souligner la nécessité de prendre des mesures concrètes et décisives. C’est pourquoi nous devrons, en nous appuyant sur la résolution adoptée en 2022, discuter la question de la protection des organisations humanitaires et de leurs données contre les menaces numériques lors de la XXXIVe Conférence internationale.
Pour en savoir plus
Rodenhäuser, Staehelin, Marelli, Safeguarding Humanitarian Organizations from Digital Threats
The International Committee of the Red Cross, the International Federation of Red Cross and Red Crescent Societies, and the Standing Commission of the Red Cross and Red Crescent, in its function as Trustee of the International Conference of the Red Cross and Red Crescent (the Conference), cannot be held responsible or liable in any manner for any user-generated content or posts on this Database. In the event that the Website team considers any post or content to be incompatible with the Fundamental Principles of the International Red Cross and Red Crescent Movement and/or with the objectives of the Conference, it reserves the right to remove such content.