Les talibans ont pris le contrôle de systèmes informatiques contenant des données biométriques sensibles que les gouvernements occidentaux fournisseurs d’aide ont abandonnés en Afghanistan en août 2021, ce qui met en danger des milliers d’Afghans, a déclaré Human Rights Watch aujourd’hui.
Ces systèmes numériques d’identification et de rémunération contiennent les données personnelles et biométriques de nombreux Afghans, dont des scans de l’iris de l’œil, leurs empreintes digitales, leurs photos, leur profession, leur adresse et les noms de leurs proches. Les talibans pourraient utiliser ces données pour cibler des personnes considérées comme des opposants, et des recherches effectuées par Human Rights Watch indiquent qu’ils ont peut-être déjà commencé à le faire dans certains cas.
« Les gouvernements et organisations qui ont aidé à recueillir de grandes quantités de données personnelles sur de nombreux citoyens afghans sont peut-être en train de faciliter involontairement la répression exercée par les talibans », a déclaré Belkis Wille, chercheuse senior auprès de la division Crises et conflits de Human Rights Watch. « Le caractère hautement intrusif de la collecte de données et l’absence de protections adéquates peut accroître les risques que certaines personnes subissent des abus de la part des talibans. »
Des gouvernements étrangers, comme celui des États-Unis, et des institutions internationales, notamment les agences des Nations Unies et la Banque mondiale, ont financé et, dans certains cas, mis en place ou aidé à mettre en place de vastes systèmes informatiques destinés à rassembler les données biométriques et d’autres informations personnelles concernant diverses catégories de citoyens afghans, à des fins officielles. Dans certains cas, ces systèmes ont été mis sur pied pour l’ancien gouvernement afghan. Dans d’autres, ils étaient destinés à des gouvernements étrangers et à leurs forces armées.
L’Afghanistan ne dispose pas actuellement de loi de protection des données. L’existence d’une telle loi, même en supposant qu’elle ait été conforme aux normes internationales, n’aurait pas garanti une protection adéquate des données mais aurait pu aider à assurer le recours à de meilleures pratiques et à réduire les risques de préjudice pour les personnes dont les données sont tombées entre les mains des talibans.
Human Rights Watch s’est entretenu avec 12 Afghans ayant une bonne connaissance des systèmes biométriques du pays, dont 6 juges ; 5 chercheurs étrangers spécialistes des questions de vie privée et de droits humains qui documentent l’impact potentiel de l’accès des talibans à ces systèmes; 3 membres du personnel de l’ONU travaillant sur l’Afghanistan; et 2 officiers de l’armée américaine anciennement basés en Afghanistan.
Un ancien commandant militaire qui est toujours en Afghanistan a déclaré que les talibans l’avaient détenu pendant 12 jours en novembre et avaient pris ses empreintes digitales et scanné ses iris à l’aide d’un outil de collecte de données. « Ils m’ont dit qu’ils prenaient mes empreintes digitales pour vérifier si j’étais un militaire et que s’ils pouvaient le confirmer, ils me tueraient », a-t-il dit. « J’ai eu beaucoup de chance car, pour une raison que j’ignore, ils n’ont pas trouvé de confirmation. »
Human Rights Watch a examiné six systèmes établis par des compagnies privées pour des gouvernements étrangers et des institutions internationales, ou avec leur assistance :
- Le Système biométrique national afghan, utilisé pour émettre des cartes nationales d’identité afghanes, connu sous le nom de e-Tazkira ;
- Le Système automatisé d’identification biométrique du département américain de la Défense (Automated Biometric Identification System, ABIS), utilisé pour identifier les personnes considérées par les États-Unis comme pouvant poser un risque sécuritaire, ainsi que celles qui travaillent pour le gouvernement américain ;
- Le Système automatisé d’identification biométrique afghan (Afghan Automated Biometric Identification System, AABIS), utilisé pour identifier les criminels et les membres de l’armée et de la police afghans ;
- Le Système de paie et de personnel du ministère afghan de l’Intérieur et de la Défense (Afghan Personnel and Pay Systems, APPS) destiné à l’armée et à la police, dans lequel l’AABIS a été intégré début 2021 ;
- Le système de rémunération de la Direction nationale de la sûreté, l’ancienne agence de renseignement de l’État ; et
- Le système de paie de la Cour suprême afghane.
Fin 2021, plusieurs organisations de défense du droit à la vie privée et organes de presse ont exprimé leur préoccupation à l’idée que les talibans allaient avoir accès à certains de ces systèmes, en particulier l’APPS et l’AABIS. Les inquiétudes à propos de l’accès des talibans aux autres systèmes n’ont pas été largement couvertes par les médias. Toutefois, selon des informations qu’un ancien conseiller du gouvernement a partagées avec Human Rights Watch, les talibans n’ont peut-être pas accès à l’APPS.
L’accès des talibans à toutes ces données survient à un moment où ils s’en prennent directement à certaines personnes à cause de leurs liens avec l’ancien gouvernement, en particulier les anciens membres des forces de sécurité, les anciens juges et procureurs et les anciens fonctionnaires, y compris les femmes travaillant dans ces secteurs. Les talibans ont également emprisonné et commis des abus à l’encontre de personnes qui ont critiqué leur politique. En novembre, Human Rights Watch a documenté les meurtres par les talibans ou les disparitions forcées de 47 anciens membres des Forces nationales de sécurité afghanes (Afghan National Security Forces, ANSF) – personnel militaire, police, membres des services de renseignement et miliciens – entre le 15 août et le 31 octobre, tandis que l’ONU faisait état d’allégations crédibles concernant les meurtres d’au moins 130 membres des forces de sécurité ou de membres de leurs familles.
Les talibans ont pris pour cible des journalistes et menacé des activistes des droits humains, notamment des activistes des droits des femmes, des femmes travaillant dans des secteurs que les talibans estiment inappropriés pour elles, ainsi que des personnes lesbiennes, gays, bisexuelles et transgenres (LGBT).
Depuis la prise de contrôle du pays par les talibans le 15 août, de nombreuses personnes qui s’estiment en danger vivent dans la clandestinité et se déplacent fréquemment. L’accès des talibans à ces systèmes de données risque de rendre beaucoup plus difficile, voire même impossible, pour ces personnes de rester cachées. Les talibans ont également pris des mesures pour empêcher les gens de s’enfuir du pays.
Les talibans ont déjà eu recours à des données biométriques pour cibler des personnes. En 2016 et 2017, des journalistes ont affirmé que des combattants talibans avaient utilisé des scanners biométriques pour identifier et exécuter sommairement des passagers d’autocars dont ils ont déterminé qu’ils étaient d’anciens membres des forces de sécurité, et tous les Afghans interrogés ont mentionné ces incidents.
Aziz Rafiee, directeur exécutif du Forum de la société civile afghane, qui a une bonne connaissance de plusieurs de ces systèmes et des risques qu’ils posent, a déclaré : « La communauté internationale a peut-être cru qu’elle nous aidait, mais en fait elle a joué avec notre destin et a créé des systèmes qui sont plus dangereux qu’utiles. »
Une personne ayant une bonne connaissance de la mise au point et de la gestion d’un des systèmes examinés, et qui a souhaité garder l’anonymat, a déclaré que certaines personnes qui ont travaillé pour la compagnie qui assurait la maintenance du système étaient toujours en Afghanistan et risquaient d’être ciblées par les talibans. Il a ajouté que les talibans avaient arrêté deux employés expérimentés pour forcer l’entreprise à continuer d’entretenir le système, ce qu’elle refuse de faire.
Le 21 août, Nawazuddin Haqqani, un commandant de brigade taliban, aurait déclaré à Zenger News, un organe de presse en ligne basé aux États-Unis, que son unité utilisait des scanners portables fabriqués aux États-Unis pour puiser dans les systèmes du ministère de l’Intérieur et d’autres systèmes biométriques nationaux pour recueillir des données, notamment sur « des journalistes et des soi-disant défenseurs des droits humains. » « Ceux qui aboyaient qu’ils avaient des dollars dans leurs poches jusqu’à ces derniers jours — ils ne seront pas épargnés », a-t-il dit. « Ils ne peuvent pas être épargnés, n’est-ce pas ? »
Human Rights Watch a écrit, le 10 février 2022, au gouvernement américain, à l’Union européenne, à l’Organisation internationale pour les migrations, à la Banque mondiale, à Grand Technology Resources, à Leidos et à Netlinks Inc., leur demandant quelles mesures ils avaient prises, avant et après août 2021, pour protéger les données biométriques des Afghans et pour alerter les personnes sur d’éventuelles fuites de données. L’Organisation internationale pour les migrations a transmis une réponse, ainsi qu’une compagnie qui a demandé que sa réponse soit traitée de manière confidentielle.
Human Rights Watch a également écrit aux talibans, demandant à quels systèmes de collecte de données biométriques de citoyens afghans ils avaient eu accès et, si c’est le cas, ce qu’ils avaient l’intention de faire de ces informations. Les talibans n’ont pas répondu.
Compte tenu des événements survenus depuis août 2021, tous les acteurs impliqués dans le financement et la mise au point de ces systèmes biométriques, y compris le gouvernement américain, l’Union européenne, les agences de l’ONU et la Banque mondiale, devraient rendre publics le type de données perdues ou potentiellement saisies par les talibans, l’architecture de ces systèmes, les évaluations des impacts en termes de droits humains et de protection des données effectuées avant et pendant le cycle d’existence de ces systèmes, ainsi que les mesures qu’ils ont prises pour informer les personnes de ce qu’il est advenu de leurs données personnelles.
« Les gouvernements, les organisations internationales et les compagnies devraient travailler ensemble pour contribuer à protéger les personnes qui se trouvent en danger du fait de l’accès des talibans à certains de ces systèmes », a affirmé Belkis Wille. « Ils devraient également tirer les leçons de ce fiasco, de sorte qu’à l’avenir, les systèmes de collecte de données soient mieux conçus et mieux protégés. »
Informations complémentaires
Système national de données biométriques
En 2010, le gouvernement afghan a lancé une campagne, sous l’égide de son ministère de la Communication et des Technologies de l’information, visant à recueillir les données personnelles, notamment biométriques, des citoyens afghans, afin de les doter de cartes d’identité électroniques. Ce système numérisé d’identification est connu sous le nom d’e-Tazkira. Il contient au minimum le nom de la personne, les noms de son père et de son grand-père, son numéro national d’identité, ses caractéristiques physiques, son lieu d’origine, sa date et son lieu de naissance, son sexe, son statut marital, sa religion, ses liens tribaux, son ethnicité, sa langue de naissance, sa profession, son niveau d’éducation, son degré d’alphabétisation et ses données biométriques (balayage de l’iris, empreintes digitales et photographie).
Le gouvernement afghan a alors passé un contrat avec Grand Technology Resources pour mettre sur pied et gérer le système. Le gouvernement a reçu à cette fin des financements provenant au moins des États-Unis, de l’Union européenne et de la Banque mondiale.
Les bureaux ministériels dans les sept principales régions de l’Afghanistan disposent d’ordinateurs qui permettent d’accéder aux informations relatives à toute personne enregistrée dans la région, mais pas à celles des autres régions, a déclaré Rafiee, du Forum de la société civile afghane. À Kaboul, le personnel du ministère doté des autorisations nécessaires peut accéder aux informations concernant toute personne enregistrée dans le système.
Un ancien commandant adjoint des forces armées a déclaré que lorsqu’il s’est fait inscrire dans le système de données d’e-Tazkira, il a affirmé qu’il était agriculteur de profession. « Depuis des années, nous savions que les talibans pourraient s’emparer de ces données », a-t-il dit. Cinq des juges que nous avons interrogés ont déclaré qu’ils n’avaient pas dit qu’ils étaient juges lorsqu’ils s’étaient inscrits dans le système, de peur que les talibans n’aient un jour accès aux données personnelles qu’il contient. Rafiee a indiqué que même s’il ne s’était pas inscrit dans e-Tazkira, il s’était fait enregistrer dans la précédente version, non électronique, du système : « Quand je me suis inscrit dans ce système, je n’ai pas dit aux responsables que j’étais ingénieur. J’ai dit que j’étais étudiant. Je ne voulais pas révéler mon niveau d’éducation, ni mon activité professionnelle, de crainte qu’un jour cette information tombe aux mains d’extrémistes. »
Human Rights Watch a demandé au gouvernement américain, à l’Union européenne et à la Banque mondiale quelles évaluations ils avaient faites concernant ces risques et quelles mesures de sécurité avaient été mises en place pour protéger les données contenues dans le système, mais ils n’ont pas fourni d’informations substantielles en retour. Le président afghan à l’époque, Ashraf Ghani, a ordonné en 2015 une étude technique du système, laquelle a permis d’identifier divers problèmes concernant des questions comme l’exploitation et la sécurité des données, la sûreté des transmissions et du stockage des données, la possibilité de pertes de données, la connectivité et l’absence d’un test sérieux du système.
Système automatisé d’identification biométrique du département américain de la Défense (Automated Biometric Identification System, ABIS)
En 2004, le département de la Défense américain a créé le Système automatisé d’identification biométrique (ABIS), qui sert de dépôt central de données personnelles, y compris de données biométriques (scan de l’iris, empreintes digitales et photo), collectées par des militaires américains et d’autres personnels du département concernant des personnes en Afghanistan et en Irak qui pourraient représenter un risque sécuritaire.
Parmi les autres compagnies impliquées, le département de la Défense a passé un contrat avec Northrop Grumman, une entreprise basée aux États-Unis, pour créer et gérer le système, mais le contrat a été repris en 2015 par Leidos, une autre compagnie américaine. Le système contient les données de personnes considérées comme un risque pour la sécurité nationale des États-Unis, parmi lesquelles se trouvent des détenus, des personnes qui se sont portées candidates pour travailler sur les bases militaires américaines en Afghanistan, ainsi que des Afghans travaillant pour des projets financés par les États-Unis.
Quoique le système ait été créé pour poursuivre ces objectifs, une journaliste d’investigation, Annie Jacobsen, a affirmé dans son livre First Platoon: A Story of Modern War in the Age of Identity Dominance qu’en 2020, le Pentagone avait cherché à recueillir des données biométriques sur 80% de la population afghane. Par exemple, le « Guide du commandement pour la collecte de données biométriques en Afghanistan », établi par l’armée américaine à l’intention des forces américaines et alliées de la coalition, indiquait que :
Chaque personne vivant dans une zone opérationnelle devrait être identifiée et entièrement répertoriée biométriquement, avec photos, balayages de l’iris et les empreintes de leurs dix doigts (s’ils sont présents). Ces informations devraient être accompagnées de bonnes données contextuelles, comme leur lieu de résidence, leur profession et à quelle tribu ou clan ces personnes appartiennent.
Dans son livre, Jacobsen déclarait que le but à long terme de l’armée était de céder le système au gouvernement afghan de l’époque. Le système contient les données d’au moins 2,5 millions de personnes en Afghanistan. Après la prise du pouvoir par les talibans, leurs forces auraient été en mesure de s’emparer de certaines des machines qu’utilisaient les militaires américains pour enregistrer ces données, notamment des Équipements portables interagences de détection d’identité (Handheld Interagency Identity Detection Equipment, HIIDE), ce qui leur donne accès à certaines données.
Deux membres du personnel militaire américain ont déclaré qu’à l’époque de la prise du pouvoir par les talibans, l’armée américaine utilisait deux générations du HIIDE. La première génération avait une large part des données collectées stockées sur un disque interne local. La seconde génération avait des capacités internet améliorées, de sorte que moins de données étaient stockées localement, mais les profils des personnes travaillant pour des projets américains dans la région étaient toujours stockées localement. Selon ces sources, les disques internes locaux des deux générations du sytème pouvaient stocker au moins plusieurs milliers de profils et ces profils incluaient des informations indiquant pour quelles entités américaines ces Afghans travaillaient. Un militaire américain a déclaré :
Ma crainte est que les talibans aient pu trouver un transfuge possédant un appareil HIIDE et sachant s’en servir et qu’en conséquence, ils aient accès au minimum aux profils stockés localement sur cet appareil. Dès lors, ils pourraient utiliser cela pour faire du porte-à-porte et voir qui travaillait pour nous. Ou alors, des ingénieurs d’un État étranger pourraient aider les talibans à accéder aux données contenues dans le système et à les télécharger.
Un ancien commandant militaire qui est actuellement en Afghanistan a déclaré que depuis leur prise du pouvoir en août, il a vu des membres des forces talibanes s’installer à des postes de contrôle dans tout le secteur où il habite et stopper les gens pour vérifier leur identité et leur visage à l’aide de listes de noms et de photos d’anciens membres de l’armée et de la police. Il a ajouté que début novembre, des talibans avaient fait irruption à son domicile en pleine nuit et l’avaient arrêté. Ils l’ont gardé pendant 12 jours dans divers lieux de détention. Lors de sa détention, les forces talibanes ont pris ses empreintes digitales et scanné ses iris à l’aide d’un appareil HIIDE, qui lui était familier du fait qu’il avait été militaire et avait suivi des programmes d’entraînement dispensés par les États-Unis, mais par chance, les talibans n’ont pas trouvé d’équivalence et l’ont remis en liberté.
Ni le gouvernement américain, ni Leidos n’ont répondu de manière substantielle à une lettre de Human Rights Watch leur demandant quelles mesures ils avaient prises pour protéger le système et pour alerter les personnes dont les données ont été stockées contre tout défaut de sécurité.
Système automatisé d’identification biométrique afghan (Afghan Automated Biometric Identification System, AABIS)
Conçu sur le modèle de l’ABIS et mis en place officiellement fin 2009 dans le but d’empêcher les personnes soupçonnées de crimes et les membres des talibans d’infiltrer l’armée et la police, le Système automatisé d’identification biométrique afghan (Afghan Automated Biometric Identification System, AABIS), géré par le gouvernement afghan, contient les données biométriques (balayage d’iris, empreintes digitales et photo) d’anciens membres de l’armée et de la police afghanes. Ce système a été utilisé pour recouper les données avec les archives biométriques tenues par le Centre national de détention afghan, le Commandement central de la police de Kaboul, la Police anti-drogue d’Afghanistan et les registres des prisons de Kaboul, Hérat et Kandahar de la Sûreté fédérale américaine (FBI). Le FBI a soutenu la création de ce système et a fourni son aide pour le partage des données, le parrainage et la formation.
On ignore encore si les talibans ont accès à ce système.
Système de paie et de personnel du ministère afghan de l’Intérieur et de la Défense (Afghan Personnel and Pay Systems, APPS)
En 2007, le Programme des Nations Unies pour le développement (PNUD) a créé un système de paie destiné à la police afghane, appelé WEPS. Il contenait les noms des membres de la police, les noms de leur père et grand-père, leur grade et leurs coordonnées bancaires, mais pas leurs données biométriques, selon le personnel du PNUD. En février 2021, dans le cadre d’un accord avec les bailleurs de fonds conclu en 2014, dont la mise en application a été retardée pendant plusieurs années, le Commandement conjoint des forces coalisées (Combined Security Transition Command–Afghanistan) a créé un nouveau système intégré de gestion des ressources humaines et de la paye, l’APPS, qui contient les données personnelles des membres de l’armée et de la police. Le département américain de la Défense a financé la création de l’APPS en 2016 et a passé contrat avec Netlinks, une compagnie informatique afghane, pour qu’elle gère le système et y intègre les données biométriques de l’AABIS (balayage d’iris, empreintes digitales et photos).
Des employés du ministère de l’Intérieur et de la Défense ont déclaré que l’APPS contient des détails supplémentaires sur le lieu de résidence de la personne, sa taille, la couleur de ses yeux, les noms des membres de sa famille - proches et distants – ainsi que leurs détails personnels, leur province d’origine, leur village, leur district, leur adresse permanente, leur adresse actuelle, leur langue, leur ethnie, leur religion, ainsi que les noms, adresses, professions et liens familiaux de deux témoins de moralité qui se sont portés garants d’eux lorsqu’ils ont présenté leur candidature pour obtenir leur emploi.
« Toutes ces données sont la propriété du gouvernement afghan et, puisque les talibans sont désormais le gouvernement, ils ont un accès illimité à tous les systèmes gouvernementaux », a déclaré un membre du personnel du PNUD, qui a souhaité garder l’anonymat. Les serveurs sur lesquels sont stockées les données concernant la police étaient hébergés par le ministère de l’Intérieur, ont indiqué un ancien employé afghan de l’OTAN qui gérait le système et un ancien agent de police qui utilisait le système. Deux anciens militaires afghans ont estimé que les serveurs contenant les données du personnel militaire étaient installés au siège du ministère de la Défense à Kaboul. Bien que ces militaires n’étaient pas en mesure de se connecter au système de données, ils ont affirmé que les talibans avaient raflé et tué ou fait disparaître de force de nombreux militaires qu’ils connaissaient au cours des quatre mois précédents.
L’ex-employé de l’OTAN a déclaré :
Si les talibans obtiennent l’accès à ces systèmes de paie, ils auront toutes les informations dont ils ont besoin sur les anciens employés des ministères de l’Intérieur, de la Défense et de la Sécurité nationale, y compris le statut de chaque individu en matière de sécurité nationale et son origine. Je suis particulièrement préoccupé au sujet de la sécurité de nos collègues féminines, qui étaient plusieurs milliers. Et même si ces personnes ont pu quitter le pays, les talibans pourraient s’en prendre à leurs familles.
Un ancien fonctionnaire afghan qui travaillait à la collecte de données biométriques et a souhaité garder l’anonymat a déclaré à un journaliste que les talibans avaient effectivement accès aux systèmes APPS. Toutefois, le 28 mars, Human Rights Watch s’est entretenu avec un ancien conseiller du gouvernement, qui a déclaré avoir discuté de cette question avec des techniciens des ministères de l’Intérieur et de la Défense et avec un employé senior de Netlinks qui ont tous affirmé qu’une semaine avant la prise de contrôle de Kaboul par les talibans, le personnel de ces ministères ont perdu l’accès à l’APPS et ils estiment que c’est dû au fait que le gouvernement américain a évacué du pays les serveurs contenant les données de ces systèmes et en a bloqué l’accès.
Human Rights Watch a envoyé une requête au gouvernement américain et à Netlinks au sujet de l’APPS, demandant dans quelle mesure les talibans ont accès au système, mais n’a pas reçu de réponse substantielle.
Système de paie de la Cour suprême afghane
Parmi les six juges afghans que nous avons interrogés se trouvent quatre hommes et deux femmes. Trois de ces six personnes vivent dans la clandestinité en Afghanistan. Toutes les personnes interrogées ont indiqué que la Cour suprême disposait d’un système de paie contenant de nombreuses données personnelles sur tous les magistrats et leurs familles, y compris leurs données biométriques (empreintes digitales, balayage de l’iris et photos), leur adresse actuelle, le modèle de leur voiture, sa couleur et son numéro d’immatriculation. Les rapports périodiques de l’Union européenne laissent penser qu’elle a peut-être participé au financement de ce système.
Le juges ont exprimé leur conviction que les données biométriques stockées dans le système rendraient impossible pour n’importe quel magistrat de garder son identité secrète indéfiniment. C’était particulièrement un sujet d’inquiétude pour les juges qui sont toujours en Afghanistan, qui ont déclaré avoir décidé de vivre dans la clandestinité car ils craignaient d’être arrêtés ou tués par les talibans ou par des criminels qu’ils avaient envoyés en prison mais qui ont été remis en liberté après la prise du pouvoir par les talibans.
Les six juges ont tous estimé que les talibans se servaient du système pour essayer de les repérer et de les arrêter, eux ou d’autres. Une juge connue pour son combat contre les violences conjugales a déclaré que dès que les talibans ont pris le contrôle de sa ville, ses membres ont investi son domicile, mais elle avait déjà pris la fuite. Les talibans sont alors allés à sa recherche au domicile de sa mère. « Comment connaissaient-ils l’adresse de ma mère? », a-t-elle demandé. « Elle ne vit même plus avec mon père. Ces détails ne pouvaient se trouver que dans le système de la Cour suprême. »
D’autres juges ont partagé une capture d’écran montrant un affichage de début décembre effectué par un groupe de juges sur la messagerie Telegram, au sujet d’un juge de Bamiyan que les talibans ont arrêté au bureau local de délivrance de passeports après avoir appris quelle était sa profession. Ce juge essayait de faire renouveler son passeport, afin de pouvoir quitter le pays. Les juges ont affirmé que selon les membres du groupe communiquant sur Telegram, ce sont les empreintes digitales de cet homme qui ont permis aux talibans de l’identifier comme juge.
Les juges se sont dits convaincus que les talibans pouvaient accéder aux serveurs hébergeant le système, estimant qu’ils étaient installés au siège de la Cour suprême à Kaboul. Un juge a déclaré que fin novembre, son assesseur lui avait dit que les talibans l’avaient convoqué dans le tribunal et lui avaient ordonné de leur donner son mot de passe pour entrer dans le système des affaires criminelles. Il s’agit d’un système différent de celui contenant les données relatives aux magistrats, mais cela démontre la facilité avec laquelle les talibans sont capables d’obtenir accès. Un juge a déclaré qu’en novembre et décembre, il a entendu dire, sans pouvoir en obtenir confirmation, que des hommes armés avaient tué deux juges à Kaboul près de leur domicile, dont un qu’il connaissait personnellement.
Human Rights Watch a demandé à l’Union européenne si elle avait financé le système, mais n’a pas été en mesure de le confirmer ou de déterminer quelles évaluations des risques les bailleurs de fonds effectuaient ou quelles mesures de précaution étaient mises en place pour protéger les données contenues dans le système.
Système de rémunération de la Direction nationale de la sûreté
La Direction nationale de la sûreté (National Directorate of Security, NDS), l’agence de renseignement de l’ancien gouvernement qui a été longtemps impliquée dans des actes de torture et des meurtres extrajudiciaires, disposait de ses propres systèmes de ressources humaines et de paie contenant les mêmes informations sensibles concernant ses personnels, dont les serveurs étaient situés à son siège de Kaboul. L’ancien commandant militaire des forces de sécurité gouvernementales a déclaré que quand les talibans l’ont remis en liberté après l’avoir détenu pendant 12 jours, il s’est aperçu qu’ils l’avaient détenu au bureau local de la NDS dans son quartier.
Human Rights Watch n’a pas été en mesure de vérifier si les talibans ont pu accéder aux systèmes de paie, mais un ancien responsable gouvernemental afghan non identifié, cité par le New Scientist, a déclaré que les talibans avaient saisi des équipements de la NDS, ajoutant : « Ils avaient été abandonnés dans la précipitation du départ. Ils ont tout. » Dans son interview au mois d’août, Nawazuddin Haqqani, le commandant de brigade taliban, a mentionné spécialement ce service, soulignant que son personnel ne serait pas « laissé tranquille. » La NDS a été créée par l’agence de renseignement américaine (CIA) après 2001 et entièrement financée par le gouvernement des États-Unis.
Human Rights Watch a interrogé le gouvernement américain, mais n’a pas été en mesure de déterminer quelle évaluation des risques a été effectuée par les bailleurs de fonds et les mesures de sauvegarde mises en place pour protéger les données contenues dans le système.
Droit international
Le Pacte international des Nations Unies relatif aux droits civils et politiques (PIDCP), dont l’Afghanistan est signataire, affirme, dans son article 17, le droit au respect de la vie privée, qui ne peut faire l’objet d’une ingérence arbitraire ou illégale. Le Comité des droits de l’homme (CDH) de l’ONU, l’organe international d’experts qui a autorité pour interpréter le PIDCP, a affirmé que « toute interférence avec la vie privée doit être proportionnée au but poursuivi et nécessaire compte tenu des circonstances de chaque cas. »
Il a également affirmé que « la collecte et la conservation d’informations personnelles dans des ordinateurs, des banques de données et d’autres supports, que ce soit par des autorités étatiques ou par des personnes privées, doivent être réglementées par la loi » et que chaque personne devrait avoir le droit de savoir « quelles données personnelles sont stockées… et dans quel but » et « quelles autorités publiques ou personnes ou entités privées contrôlent ou pourraient contrôler leurs dossiers. » Si une personne est inquiète de la possibilité que des données aient été collectées ou utilisées de manière incorrecte, elle devrait disposer de recours pour remédier à cette situation.
Le CDH, dans son observation générale n°. 16 (1988) sur le droit à la protection de la vie privée, a déclaré qu’il incombait aux gouvernements de prendre des mesures effectives pour faire en sorte que les informations concernant la vie privée d’une personne ne tombent pas aux mains de personnes qui ne sont pas autorisées par la loi à les recevoir, les traiter et les utiliser, et que ces informations ne soient pas utilisées dans des buts incompatibles avec le PIDCP. Une protection effective devrait inclure la possibilité pour chaque personne de savoir avec certitude, de manière claire, si certaines de ses données personnelles sont stockées dans des dossiers automatisés, lesquelles et dans quels buts. Chaque individu devrait également être en mesure de savoir avec certitude quelles autorités publiques ou quelles personnes ou entités privées contrôlent ou pourraient un jour contrôler les informations le concernant.
Recommandations
Les gouvernements bailleurs de fonds, les organisations internationales, les compagnies impliquées et l’ancien gouvernement afghan n’auraient pas dû mettre en place ces systèmes potentiellement dangereux sans avoir effectué une évaluation complète des impacts en matière de droits humains et de protection des données qui comprenne une analyse du contexte, une analyse de la technologie à déployer dans ce contexte, un modèle d’évaluation des menaces au système afin de connaître les risques et les conséquences possibles d’une faillite de celui-ci, et une évaluation des besoins en matière de protection des données et de cyber-sécurité particulière au contexte afghan.
Une fois la décision prise d’installer ces systèmes, ils auraient dû dialoguer effectivement avec les personnes pour leur expliquer comment leurs données seraient utilisées et comment ils géraient et minimisaient les risques. Ils auraient dû réviser ces évaluations et ces communications régulièrement, à mesure que le paysage politique et sécuritaire en Afghanistan évoluait.
Compte tenu des événements survenus depuis août 2021, toutes les parties impliquées dans le financement et l’élaboration de ces systèmes biométriques, notamment le gouvernement américain, l’Union européenne, les agences de l’ONU et la Banque mondiale, devraient rendre publics:
- Le type de données qui ont pu être perdues ou saisies à la suite de la prise du pouvoir par les talibans, y compris les données qu’ils avaient transmises à l’ancien gouvernement afghan ou collectées pour lui ;
- L’architecture de tous les systèmes utilisés pour contenir des données – biométriques ou autres – de larges segments de population, afin que les personnes affectées aient une meilleure idée des impacts possibles et des mesures qu’elles peuvent prendre pour limiter les risques. Cela devrait inclure les flux de données et les mesures cruciales de sécurité telles que la surveillance, l’encodage, l’authentification/autorisation, et les capacités d’effaçage et de destruction ;
- Les évaluations d’impact en matière de droits humains et de protection des données qui ont été effectuées pour ces systèmes (s’il y en a eu) et comment ces évaluations ont été conçues pour cadrer avec le contexte et les menaces spécifiques à l’Afghanistan. Cela inclut de préciser si ces évaluations ont été mises à jour pour tenir compte des gains territoriaux réalisés par les talibans au fil des années ou si des analyses séparées ont été faites de manière plus générale sur les possibilités de détournement ou de saisie des données par les talibans ;
- Les mesures qu’ils ont prises pour informer les personnes dont les données étaient conservées dans les systèmes compromis, quand c’était possible sans mettre encore plus en danger ces personnes. Cela inclut des informations au sujet des systèmes eux-mêmes au moment de la prise des données ou de leur exploitation (par exemple une notification en bonne et due forme, une déclaration de consentement et une notice d’information) et, ultérieurement, au sujet de toute mesure de sauvegarde ou de limitation des dommages prises pour les personnes dont les données biométriques peuvent désormais être entre les mains des talibans, et s’ils ont émis des notifications de fuites, conformément aux normes de bonne gestion de ce genre d’information et des bonnes pratiques en matière de protection de données. S’ils estiment qu’informer les personnes dont les données ont été compromises les exposerait à des risques accrus, ils devraient révéler publiquement avec quelle fréquence ils réexamineront leur décision de ne pas les en informer et quelles mesures additionnelles d’atténuation des dommages ils prennent afin de protéger les personnes affectées.
Compte tenu des événements en Afghanistan, les bailleurs de fonds devraient prendre l’engagement d’élaborer une série de bonnes pratiques dans des contextes similaires, incluant l’adoption de procédures pour la destruction des données sensibles ayant été recueillies grâce à leur financement et la mise en place de limites effectives à la collecte de données, en conformité avec les principes de proportionnalité et de nécessité.
Le Haut-Commissaire des Nations Unies pour les réfugiés (UNHCR) et les pays qui examinent les demandes d’asile déposées par des Afghans devraient prendre en considération les risques que la prise de contrôle par les talibans des systèmes biométriques a créés, lorsqu’ils prendront leurs décisions sur l’octroi ou non du statut de réfugié.
Lorsqu’ils fournissent, élaborent ou apportent leurs conseils sur des systèmes et des outils qui peuvent être utilisés dans des zones de conflit, des espaces fragiles ou des situations humanitaires délicates, les acteurs du secteur privé devraient s’assurer que leurs partenariats incluent un engagement clair pour le respect du droit à la protection de la vie privée. Un tel engagement devrait également être mis en relief dans les principes, le champ d’application et la mise en œuvre de ces partenariats.
.....................
Tweets