Après s’être enrôlé, l’étape ultime est de pouvoir vérifier si son nom est affiché dans les bureaux de vote ou centres d’enrôlement. Une exigence de la loi à laquelle cette année la Céni a essayé de s’adapter autrement, en prévoyant un affichage électronique via son site internet. Ce qui est plus pratique que d’avoir à imprimer des listes et les placarder. Toute la question est : cet affichage respecte-t-il le code du numérique ?
Dans le centre où je me suis enrôlé, il y a plus de 8 000 électeurs inscrits. Imaginez la galère d’avoir à parcourir des listes affichées sur papiers ! Seulement voilà, certaines données personnelles sur les électeurs ne devraient pas être affichées publiquement sur le site de la Céni.
Trop d’informations sur les électeurs
Malgré le côté pratique d’un affichage en ligne, j’estime que les informations personnelles dévoilées par la Céni sur les électeurs sont très sensibles. En cybersécurité, la date de naissance par exemple est un élément clé utilisé dans de nombreuses opérations pour authentifier toute personne. Utilisés par de nombreux fournisseurs et prestataires de service pour récupérer votre mot de passe en cas d’oubli, il est l’un des éléments clés d’accès aux services en ligne pour des millions d’utilisateurs à travers le monde. C’est ce que confirme cette étude sur les usages d’accès des internautes.
Facile à mémoriser qu’un mot de passe complexe, la date de naissance, souvent couplée à un élément du nom, est la principale combinaison de mots de passe la plus fréquemment utilisée. Avoir de telles informations libres d’accès est une aubaine pour un pirate. Je pense qu’il aurait été plus judicieux pour la Céni de s’arrêter aux noms complets et anonymiser le reste.
Les autres informations personnelles sensibles qu’il ne faut jamais dévoiler à des inconnus sont (à l’exception de vos mots de passe), votre adresse physique et votre numéro de téléphone privé. Tous ces éléments combinés peuvent donner à quelqu’un disposant de logiciels appropriés, un avantage offensif dans la récupération illégale de vos informations personnelles ou la compromission de vos comptes sociaux ou en ligne.
Cette erreur de la Céni révèle également les limitations du code sur le numérique dans son volet données personnelles pour lequel, les mesures d’application n’existent toujours pas à l’heure actuelle. Les données dites sensibles au regard de la loi N°20/017 relative aux Télécommunications et aux Technologies de l’information ne se limitent qu’à celles qui révèlent l’origine raciale, ethnique ou régionale, la filiation, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, la vie sexuelle, les données génétiques et celles relatives à l’état de santé. Une délimitation qui ne prend pas en compte le contexte changeant de l’environnement cyber où, le caractère sensible s’est étendu à d’autres groupes de données.
Pourquoi lors du procès des 100 jours, certains témoins appelés à la barre, n’ont pas communiqué au micro leur adresse en direct à la télévision et ont préféré le faire à voix basse ? À chaque fois que je suis dans un supermarché, les bonus de remise pour achat nécessitent que je communique mon numéro privé au caissier à voix intelligible, au vu et au su de tout le monde dans la file d’attente.
Finissons-en avec les élections et prenons le temps de parler sérieusement de la sécurité des données personnelles.
Je ne pense pas que sur le plan juridique, l’on parlerait d’une violation du code du numérique dans ses dispositions relatives aux données personnelles. Aux termes de l’article 2 dudit code, la date de naissance ne constitue pas une donnée personnelle « sensible ». Et même si cette donnée serait sensible, son traitement (en l’espèce sa divulgation) n’est pas nécessairement interdit. En effet, une donnée sensible peut faire l’objet d’un traitement (notamment la publication) si le responsable du traitement (la CENI) a recueilli le consentement des électeurs (ce qu’il faut vérifier). Et même sans recueillir le consentement, la CENI est en droit de publier ses données sur le fondement d’un motif d’intérêt public (article 195, point 4 du code du numérique) car elle est une institution d’appui à la démocratie qui exerce des missions d’intérêt public (les élections). Donc la finalité de cette publication est le devoir de transparence sur l’âge des électeurs. Toutefois, sur le plan de la cybersécurité et non pas des données personnelles, la publication des dates de naissance peut constituer une faille de sécurité pour certains électeurs. La solution serait alors de sensibiliser la population d’utiliser des mots de passe qui ne renvoie pas à leurs dates de naissance.