Son Excellence Mamady Youla
Premier Ministre de la République de Guinée-Conakry
Objet : Protection de la confidentialité des données personnelles dans le secteur des télécommunications
Monsieur le Premier Ministre,
Human Rights Watch est une organisation non gouvernementale internationale qui assure un suivi des atteintes aux droits humains et en rend compte dans quelque 90 pays du monde. Cela fait plus de 15 ans que nous recueillons des informations et menons un plaidoyer en faveur d’un processus de réparation en Guinée, et nous défendons également la liberté d’expression et la protection de la vie privée en ligne depuis une décennie.
Nous vous écrivons aujourd’hui pour demander à votre gouvernement de s’assurer que l’Autorité de Régulation des Postes et Télécommunications (ARPT) protège la vie privée et les autres droits de manière adéquate concernant l’accès aux données détenues par les entreprises de télécommunications, et pour l’exhorter à faire savoir clairement si l’ARPT a récemment obtenu un accès aux données personnelles d’utilisateurs de téléphones portables.
Des informations parues dans les médias indiquent en effet que le 6 janvier 2016, le Directeur général de l’ARPT alors en fonction a adressé une lettre aux opérateurs de téléphonie pour leur faire savoir que l’ARPT envisageait de « mettre en place un centre de contrôle et de suivi du trafic (voix et données) » afin de vérifier les recettes des prestataires de services à des fins d’évaluation fiscale. Cette démarche, si elle est directement reliée aux réseaux et aux systèmes de facturation des entreprises de télécommunication, pourrait permettre au régulateur de surveiller l’intégralité du trafic voix et données et, en cas d’utilisation abusive, procurer à l’opérateur, au régulateur et éventuellement à d’autres départements gouvernementaux un accès détourné aux fichiers d’appels des clients.
Nous croyons également comprendre que dans son courrier du 6 janvier, l’ARPT demandait à accéder à certaines parties des fichiers binaires des entreprises – connus sous le nom de « CDR » – pour le mois de décembre 2015, ainsi qu’au document technique nécessaire au décodage des CDR.
Bien que les CDR ne révèlent pas la teneur d’un appel téléphonique, ils peuvent inclure les numéros de téléphone des deux parties à l’appel, l’heure, la date et la durée de l’appel et même le lieu approximatif où se trouvaient ces parties. Ces données peuvent révéler des informations sensibles sur les contacts et les déplacements d’une personne, surtout lorsque ces données sont cumulées. En effet, cette information peut souvent être plus révélatrice de la vie privée d’une personne que ne l’est le contenu de ses conversations à proprement parler.
Nous croyons comprendre que l’ARPT cherche à instaurer un système de vérification des chiffres financiers et fiscaux que les entreprises de téléphonie communiquent au gouvernement guinéen. Cependant, bien que les gouvernements doivent effectivement pouvoir appliquer des réglementations dans le domaine fiscal et des télécommunications, les demandes de documents ne devraient pas affecter de manière disproportionnée le droit à la vie privée et d’autres droits connexes.
En effet, l’article 116 de la loi guinéenne de 2015 régissant les télécommunications exige des prestataires de services mobiles et Internet qu’ils protègent l’intégrité et la confidentialité des données qu’ils détiennent.
Une réglementation à des fins fiscales légitimes ne devrait pas nécessiter la collecte de grandes quantités de données personnelles sensibles, portant ainsi atteinte au droit à la vie privée de tous les utilisateurs de téléphones portables. Si la collecte de ces données a d’autres finalités, par exemple la sécurité nationale ou l’application des lois, toute demande gouvernementale devrait exiger une supervision judiciaire et une justification spécifique et ne devrait cibler que les individus soupçonnés de méfaits.
Nous croyons comprendre que trois opérateurs de télécommunications – Cellcom, Orange et MTN – ont d’abord déclaré dans un courrier daté du 19 janvier qu’ils n’accéderaient pas à cette demande de transmission de leurs fichiers et qu’ils ne soutiendraient pas l’instauration d’un système de contrôle centralisé sans connaître avec plus de clarté les objectifs de ce système et sa base juridique.
Dans des lettres de suivi adressées aux opérateurs de télécommunications, lettres que Human Rights Watch a passées en revue, des agents de l’ARPT ont menacé d’imposer une amende journalière de cinq millions de francs guinéens (650 dollars US) aux entreprises qui tarderaient à accéder à la requête de l’Autorité, ainsi que des sanctions pénales et civiles indéterminées. À l’heure actuelle, nous croyons comprendre que deux des entreprises avaient convenu d’accéder à la demande du gouvernement.
Au vu de ce qui précède, nous demandons instamment au gouvernement de veiller au respect des principes de nécessité et de proportionnalité de toute méthode employée pour vérifier les recettes fiscales et empêcher la fraude et impliquant une ingérence dans la vie privée. Concernant l’accès aux données détenues par les entreprises de télécommunications, nous demandons à votre gouvernement et à l’ARPT, dans l’intérêt du respect de la vie privée et d’autres droits, de :
- Promulguer des mesures de protection pour veiller à ce que les données personnelles ne soient collectées que si nécessaire à des fins légitimes clairement définies par la loi, et que cette collecte soit le moins intrusive possible en termes de portée et de moyens employés pour remplir ces objectifs légitimes ;
- Clarifier si, suite à la demande des fichiers d’appels du 15 décembre adressée aux opérateurs de téléphonie, l’ARPT ou toute autre agence gouvernementale a obtenu ou obtiendra des informations sensibles relatives aux clients, telles que le nom du client qui a passé les appels ; la date, l’heure et la durée des appels ; et la localisation approximative du téléphone ;
- Supprimer toute information sensible relative aux clients qui a été acquise suite à la demande formulée le 6 janvier ;
- S’assurer qu’à l’avenir, tout système ou contrôle mis en œuvre pour surveiller les recettes d’une entreprise ne fournisse pas à l’ARPT ou à toute autre agence gouvernementale un accès aux informations personnelles sensibles d’un client ;
- Imposer des restrictions pour que seuls certains agents de l’ARPT puissent accéder aux données collectées, quelles qu’elles soient ;
- Adopter des mesures de protection pour interdire que les données collectées à des fins d’application des réglementations relatives aux télécommunications soient partagées avec d’autres agences gouvernementales ou tiers ; et
- Supprimer rapidement les données qui ne sont plus requises à des fins réglementaires.
Nous nous tenons à votre entière disposition pour discuter de ces points avec vous.
Dans l’attente, veuillez agréer, Monsieur le Ministre, l’expression de nos respectueuses salutations.
Cynthia Wong
Chercheuse senior sur l’Internet et les droits humains
Human Rights Watch
Corinne Dufka
Directrice de recherches sur l’Afrique de l’Ouest
Human Rights Watch
Copie :
M. Oumar Said KOULIBALY, Directeur général par intérim, Autorité de Régulation des Postes et Télécommunications, République de Guinée
Me Cheick SAKO, Ministre de la Justice, Garde des Sceaux, République de Guinée
M. Moustapha Mamy DIABY, Ministre des Postes, Télécommunications et de l’Économie numérique, République de Guinée