Tech CareTech Care

1. Concevoir votre cadre de travail

collage du suculent

En créant un cadre de travail pour votre centre d’assistance à la sécurité numérique pour la société civile (CASNSC), vous décrirez en détail ce que votre centre ou ligne d’assistance fera, pour qui, dans quel contexte et qui entrera en coopération. Cet exercice vous aidera également à comprendre les ressources dont vous aurez besoin pour aider vos bénéficiaires. Vous devrez consacrer suffisamment de temps à la conception de votre cadre de travail car il vous permet d’établir les fondations de votre centre d’assistance.

Ce chapitre aborde comment identifier votre public, analyser les besoins de vos bénéficiaires, définir votre mission et votre structure organisationnelle, établir vos services de base, définir vos paramètres de communication et spécifier vos politiques. Les centres d’assistance à la sécurité numérique pour la société civile peuvent être très différents les uns des autres, chacun aura donc son propre cadre de travail mais les éléments décrits dans ce chapitre s’appliqueront à tous les projets. Vous pouvez télécharger un modèle de cadre de travail pour vous aider à réfléchir à cette étape.

1.1 Définissez votre public

Dans ce guide, on utilisera le terme de « public » pour définir l'ensemble des bénéficiaires pris·es en charge par un CASNSC. De même, le terme « bénéficiaire » désignera un·e individu ou une organisation. Lorsque l’on met en place un CASNSC, il est essentiel d’avoir une idée claire de qui seront vos bénéficiaires, et du type d’environnement au sein duquel vos services seront développés. Votre décision de qui vous prendrez ou non en charge se fondera sur la mission de votre organisation, les politiques de vos bailleurs, les considérations d'ordre légal voire le panorama politique changeant qui met en péril un groupe spécifique de personnes.

En général, le public d’un CASNSC est supposé être la société civile ou une partie de celle-ci. Malgré tout, étant donné que la définition de « société civile » peut grandement varier selon le groupe ou le secteur, il peut être utile de proposer une liste des types de bénéficiaires actuellement pris·es en charge par les CASNSC qui sont membres du CiviCERT :

  • Activistes
  • Organisations non-gouvernementales
  • Défenseur·es des droits humains
  • Organisations de défense des droits humains menacées
  • Médias indépendants
  • Organisations indigènes
  • Journalistes
  • Défenseur·es des terres
  • Groupes LGBTQIA+
  • Femmes
  • Jeunes

Nous travaillons avec les femmes partout dans le pays. Il existe un problème d’accès, qui est fondamentalement lié à la classe et à l’âge. En général, les femmes plus jeunes et de classe moyenne ne nous écrivent pas tellement car elles parviennent à résoudre leurs propres problèmes de violences de genre générés via les TIC. Ensuite, il y a des adultes plus âgé·es, des enfants et des adolescent·es de zones rurales qui démarrent tout juste leur relation avec les TIC. Nous soutenons et accompagnons également les personnes ayant un profil public et qui sont constamment attaquées. Nous avons besoin de stratégies spécifiques pour ces personnes également. Il y a donc une différence entre la façon dont nous travaillons et faisons face à la violence avec ces groupes.

SOS Digital (Haché, 2021).

1.2 Analysez les besoins de votre public

Pour la réussite de votre projet, il sera essentiel d’identifier et d’évaluer les besoins et les attentes de votre public et le contexte dans lequel il fonctionne. Vous devrez discuter avec votre public de la valeur véritable que pourrait amener votre CASNSC, en analysant les menaces auxquelles font face les bénéficiaires et leurs besoins face aux incidents de sécurité numérique et la prévention des menaces. Ceci peut se faire en personne ou à distance, en groupe ou en entretiens individuels, de façon publique ou privée.

Un certain nombre de cadres de travail peuvent être utilisés pour ce type d’analyse ; en voici deux, les plus habituellement utilisés :

  • SWOT : permet d’identifier les points forts (Strengths), les points faibles (Weaknesses), les opportunités (Opportunities) et les menaces (Threats).
  • PESTLE : permet d'intégrer des dimensions politiques, économiques, sociales, technologiques, légales et environnementales à l’analyse contextuelle.

Après avoir analysé les besoins de votre public, une bonne pratique est d'effectuer une activité de modélisation des menaces, afin d'analyser les caractéristiques du contexte politique au sein duquel vous allez travailler, identifier les vulnérabilités et les menaces que pourraient subir le centre d’assistance, en parallèle de leur probabilité, et spécifier les conditions nécessaires à la prévention et à l'atténuation. Le modèle de menaces doit être pris en considération lors de l’élaboration des politiques, des procédures techniques, de la documentation et de la formation des personnels de votre centre d’assistance.

Vous retrouverez certaines clés pour mener à bien ces analyses dans le modèle de cadre de travail.

Pour en savoir plus

Nous avons généré des connaissances sur la façon dont les femmes vivent les violences au Mexique, afin de les identifier et analyser leurs caractéristiques. Dans le cadre de ce processus, nous avons œuvré à rendre ces violences visibles dans la sphère publique. C’est ce qui nous a fait devenir une référence, et les demandes de soutien ont commencé à affluer. La possibilité d'avoir un espace pour soutenir les femmes face aux violences est donc apparue. En mars 2020, nous avons donc décidé de prendre des dispositions pour accompagner les femmes en demande de soutien et d’information.

Luchadoras (Haché, 2021).

1.3 Définissez votre mission

Après avoir analysé les besoins et le contexte de votre public, l’étape suivante de planification devra être la rédaction d’un énoncé de mission. En définissant votre mission, vous expliquerez clairement votre but et la fonction de votre CASNSC et fournirez un aperçu des principaux objectifs de votre projet.

Ceci constituera le fondement de votre travail pour plusieurs années, il est donc de bonne pratique d’éviter toute ambiguïté en privilégiant un énoncé de mission compact, mais sans être trop court non plus. Voici deux exemples d’énoncé de mission de membres du CiviCERT :

Plateforme d'assistance pour la sécurité numérique d’Access Now

Access Now défend et renforce les droits numériques des utilisateur·rices à risque partout dans le monde. En alliant soutien technique direct, engagement envers une politique intégrale, plaidoyer mondial, concession de subventions et réunions telles que RightsCon, nous luttons en faveur des droits humains à l’ère numérique.

La Plateforme d'assistance pour la sécurité numérique d’Access Now fournit des solutions technologiques et des conseils en temps réel à des utilisateur·rices à risque dans des circonstances où les communications ne sont pas ouvertes, libres ou sécurisées. Via notre plateforme d’assistance ouverte 24h/24, 7j/7 et 365j/an, nous offrons des conseils techniques et des réponses aux incidents, afin d’informer et soutenir les activistes, journalistes, défenseur·es des droits humains et acteur·rices de la société civile sur le terrain.

Les principaux objectifs de la plateforme d’assistance pour la sécurité numérique d’Access Now sont :

  • Fournir un soutien technique direct aux utilisateur·rices et organisations à risque afin d’identifier et d’aborder leurs nécessités de sécurité numérique.
  • Fournir une aide aux utilisateur·rices et organisations à risque pour sécuriser leurs actifs numériques, leurs communications et toute autre activité en ligne, et les aider à contourner la censure et obtenir un accès aux services dont ils et elles ont besoin.
  • Fournir une expertise, un soutien et de la coordination pour prévenir et enrayer les infections par logiciel malveillant, et s’occuper des vulnérabilités au sein des systèmes et des logiciels.
  • Tenir le public au courant de toutes les nouvelles menaces et vulnérabilités ayant besoin d’être abordées de toute urgence.
  • Coordonner le soutien aux utilisateur·rices à risque dans les cas où il vaut mieux que ce soutien soit fourni par d’autres CERT.
  • Devenir un centre reconnu pour son excellence dans la sécurité de l'information auquel les organisations nationales et internationales peuvent se référer.

Mnemonic

Mnemonic travaille à l’échelle mondiale pour aider les défenseur·es des droits humains à utiliser efficacement la documentation numérique des violations des droits humains et des crimes internationaux, afin d'appuyer le plaidoyer, la justice et la responsabilisation.

Nous visons à :

  • Archiver les informations numériques pour veiller à ce que les preuves potentielles ne soient pas perdues et restent accessibles et utilisables pour les futurs mécanismes de responsabilité.
  • Former les défenseur·es des droits humains à maximiser l’impact de l'information numérique et autonomiser ceux et celles qui travaillent avec.
  • Réduire l’impact des politiques néfastes de modération de contenu par les entreprises de réseaux sociaux et les gouvernements en fournissant des données exhaustives et fiables sur les retraits de la documentation des droits humains sur les plateformes de réseaux sociaux.
  • Bâtir et soutenir le développement d’outils et de méthodes en open-source, afin d’améliorer la capacité défenseur·es des droits humains à utiliser les informations numériques pour faire avancer la justice sociale.

Nous contestons et perturbons l'industrie de la surveillance et le ciblage des activistes via le soutien technique numérique, la recherche, le plaidoyer et les campagnes. Chez Amnesty, notre équipe doit définir le problème auquel elle veut s’attaquer et créer une stratégie pour le changement. Nous nous demandons donc : « Comment changeons-nous cela ? ». Cette question mène à de nombreuses discussions, nous nous focalisons donc davantage sur la recherche. Tandis qu’Access Now et d'autres organisations fournissent un soutien numérique à un large public, nous, nous le faisons principalement pour les personnes qui sont ou ont fait l’objet de surveillance. Nous menons des recherches et fournissons un soutien en sécurité numérique.

Etienne Maynier, Amnesty Tech (entretien, décembre 2021).

1.4 Définissez votre structure organisationnelle

Lorsque vous planifiez la création d’un CASNSC, vous devez prendre des décisions sur votre structure organisationnelle : ferez-vous partie d’une plus grande organisation ou fonctionnerez-vous en autonomie ? Aurez-vous besoin de lever vous-même des fonds ou y aura-t-il un service de collecte de fonds qui vous donnera des ressources ?

Votre CASNSC peut adopter différentes structures organisationnelles. Nombres de CASNSC sont des projets d’organisations sans but lucratif de plus grande échelle, ou qui travaillent au sein de fournisseurs de services internet pour la société civile. D’autres sont indépendants et certains fonctionnent sur la base du volontariat. De multiples capacités de gestion des incidents peuvent également exister au sein d’une même organisation-mère, par exemple un département qui s’occupe des personnels de l'organisation et des incidents dans son infrastructure, tandis qu’un autre département se charge du public externe. Parmi leurs services, certaines CERT peuvent inclure la gestion des incidents de sécurité numérique qui touchent les organisations sans but lucratif.

1.5 Définissez vos services de base

Un CASNSC peut offrir un grand nombre de services différents mais tant que vous fournissez une sorte de réponse aux incidents de sécurité numérique, vous ne devez pas tout faire et vous pouvez vous focaliser sur un petit ensemble de services de base. Vous pouvez par exemple vous concentrer sur la sécurité des comptes de réseaux sociaux ou sur les recommandations à faire sur la façon de contourner la censure dans une zone particulière.

Nombre de CASNSC fournissent à la fois des services réactifs (réponse aux incidents de sécurité numérique) et des services préventifs (efforts de formation à la sécurité numérique afin de réduire le risque d'incidents), mais dans la plupart des cas, ils limiteront leur liste de services en fonction de leur capacité et décideront de rediriger vers d’autres équipes si d’autres services sont nécessaires.

Voici une liste des services réactifs et des services préventifs proposés par les membres du CiviCERT, y compris des services hors du champ de la sécurité numérique :

  • Réactifs
    • Triage initial
    • Soutien numérique 24h/24, 7j/7
    • Remplacement d’équipements
    • Gestion des vulnérabilités et des logiciels malveillants
    • Gestion du piratage de compte
    • Atténuation du cyberharcèlement
    • Analyse criminalistique
    • Contournement de censure
  • Préventifs
    • Formation présentielle
    • Conseils en sécurité organisationnelle
    • Hébergement sécurisé de site web
    • Protection de site web
    • Protection contre le déni de service
    • Évaluation des menaces et des risques
    • Sécurisation des communications
    • Sécurité des dispositifs
    • Sécurité de la navigation sur le web
    • Sécurité des comptes
  • Non strictement liés à la sécurité numérique
    • Subventions et financements
    • Relocalisation des individus à risque
    • Sécurité physique
    • Soutien juridique
    • Soutien psycho-social
    • Plaidoyer public

La ligne d’assistance sert de dérivation, de pont. Nous soumettons les cas aux plateformes de réseaux sociaux le cas échéant, car nous sommes en communication directe avec Facebook et son programme pilote « Pas sans mon consentement ». Nous contactons également le programme pilote en ligne de l’Internet Watch Foundation pour les cas de pédopornographie et nous lui faisons remonter les demandes de retrait pour faire disparaître les contenus nocifs. Parfois, nous accompagnons les plaignant·es pour déposer plainte auprès des autorités au Pakistan. Ou nous mettons en contact les femmes et les filles qui souhaitent s'extirper de familles toxiques ou de relations violentes avec des refuges au Pakistan. Tout cela va au-delà des services de sécurité numérique et de l’assistance juridique que la ligne d’aide fournit.

Digital Rights Foundation (Haché, 2021).

Nous proposons un ligne d’assistance pour nous occuper des femmes faisant face à de la cyberviolence au Mexique. Cette initiative est apparue après une hausse des demandes de soutien sur nos différents réseaux sociaux. Les principaux services que nous proposons sont les suivants : offrir un accompagnement intégral ; prodiguer les premiers soins psychologiques ; fournir des informations sur les actions alternatives : façons d’effectuer un signalement, contenu sur la cyberviolence, sécurité numérique, ou contacts de réseaux de soutien ; remontée des cas via les signalements sur les différentes plateformes ; redirection vers les organisations et institutions spécialisées pour un soutien optimal et un meilleur suivi.

Luchadoras (Haché, 2021).

1.6 Communiquer avec votre public

Un élément crucial de ce cadre de travail est la définition des façons dont le CASNSC communiquera avec son public. Il vous faudra décider de quelle façon le public vous contactera, quelle sera votre disponibilité et votre délai de réponse, et déterminer clairement comment communiquer avec des personnes qui pourraient être traumatisées du point de vue émotionnel.

Décidez comment votre public vous contactera

Vous aurez besoin d’identifier les meilleurs canaux de communication pour que vos bénéficiaires puissent obtenir de l'aide auprès de la ligne ou du centre d’assistance.

Parmi les choses qu’il vous faudra envisager, en vous appuyant sur l’analyse initiale de contexte et le modèle de menaces, il faudra déterminer si vos bénéficiaires auront besoin d’un chiffrement de bout en bout ou d’un mécanisme anonyme de réception pour commencer. Si c'est le cas, réfléchissez à toutes les méthodes possibles pour échanger des informations sensibles via un canal sécurisé.

Nous recommandons de mettre en place au moins deux façons de contacter votre centre d'assistance :

  • Un canal accessible à quiconque n’ayant aucune connaissance technique ; une adresse email, par exemple.
  • Un canal sécurisé pour les personnes ayant les connaissances techniques nécessaires pour l’utiliser ; un email chiffré ou une application de messagerie chiffrée comme Signal ou Wire.

Il est important de veiller à la sécurité des communications. Toutefois, votre priorité est de vous assurer que votre CASNSC est facilement joignable. Voilà pourquoi il est important de proposer plusieurs canaux de communications à vos bénéficiaires. Avoir de multiples canaux de communications n'est pas nécessairement un problème tant que votre équipe est suffisamment organisée pour partager les informations.

Voici une liste de tous les outils de communications offerts par les membres du CiviCERT à leurs bénéficiaires comme méthodes possibles pour établir un premier contact avec leur CASNSC :

  • Formulaire internet anonyme
  • Email
  • Email chiffré par PGP
  • Téléphone
  • Courrier traditionnel
  • Signal
  • Telegram
  • Formulaire internet
  • WhatsApp
  • Wire

Nous avons un email, une ligne téléphonique et WhatsApp. Les gens nous contactent également via nos réseaux sociaux ou le formulaire de contact sur notre site web. Ils et elles nous contactent également suite à une dérivation par d'autres organisations qui reçoivent les cas et nous demandent de l’aide.

Luchadoras (Haché, 2021).

Tenez compte également du fait que certain·es de vos bénéficiaires peuvent avoir vécu des épisodes traumatisants et peuvent avoir besoin d’écoute active et d’empathie, qui sont plus faciles si le contact est fait par appel téléphonique ou vidéo. Une foule d’autres options existent pour nouer un lien avec les bénéficiaires et recevoir des retours d’expérience, notamment :

  • Les forums
  • Les listes de diffusion et les autres espaces communautaires
  • Les réunions, les conférences, les ateliers, les présentations (présentielles ou virtuelles)
  • Les newsletters
  • Les réseaux sociaux

Établissez votre disponibilité et vos délais de réponse

Vous devez communiquer clairement vos délais de réponse à vos bénéficiaires pour éviter de fausses attentes et pour établir un accord de niveau de service adéquat avec votre public. Il est crucial de donner une réponse prompte aux bénéficiaires lors de la gestion d’un incident, à la fois pour le traitement du problème qu’ils et elles rencontrent mais aussi pour la réputation de votre CASNSC.

La disponibilité et les délais de réponse de votre CASNSC dépendront en grande partie du nombre de personnes dans votre équipe et de leurs horaires de travail.

À moins que votre CASNSC ne soit ouvert 24h/24 et 7j/7, il vous faudra décider de la façon dont les incidents seront signalés en dehors des heures ouvrables. Vous pouvez par exemple choisir de passer en revue le jour ouvrable suivant tous les messages arrivés, ou vous pouvez avoir un·e membre de votre équipe d'astreinte pour les demandes qui arrivent, qui décidera de leur urgence.

Il est important de tenir compte de votre contexte lorsque vous prenez cette décision : si vos fonds sont limités, vous ne serez peut-être pas en mesure de payer un ou une opératrice qui travaillerait en dehors des heures ouvrables. Il s’agit là également d’éléments importants pour la sécurité psychosociale de vos personnels : si votre CASNSC est géré par des volontaires, ils et elles peuvent être disposé·es à accepter des demandes à n'importe quelle heure de la nuit ou du jour, mais ceci peut pousser rapidement à l’épuisement de vos opérateurs et opératrices les plus dévoué·es.

Pour en savoir plus

  • Pour approfondir sur la façon dont prendre soin du bien-être de l’équipe du CASNSC, lisez la section correspondante de la Politique en matière de bien-être des équipes au chapitre 2.

Définissez les protocoles et le ton de la conversation

Outre le fait de garantir la confidentialité des communications avec les bénéficiaires, lors des réponses aux demandes, les CASNSC doivent toujours garder en tête que leurs bénéficiaires peuvent être en situation de traumatisme émotionnel à cause de l'attaque à laquelle ils et elles font face.

Voici quelques conseils pour établir la communication avec une personne qui fait face à une attaque :

  • Enregistrez la communication, vérifiez si des communications semblables ont déjà été enregistrées.
  • Adoptez une approche sensible, avec une perspective intersectionnelle.
  • Placez la personne en demande au centre, désamorcez la culpabilité, acceptez ses sentiments.
  • Évitez toute re-victimisation.
  • Acceptez et marquez votre accord avec la décision qu’elle prend dans la situation qu’elle vit.
  • Prenez en compte les éléments de différents contextes. Ouvrez-vous aux cas qui pourront vous arriver sans porter de jugement.

Pour la communication, il est crucial pour nous de mettre les besoins de ces personnes au centre, de chercher à désactiver tout sentiment de culpabilité, à accepter leurs sentiments, en évitant toute re-victimisation. La communication des Luchadoras est conçue pour que les personnes qui nous contactent sentent qu’elles peuvent nous parler comme à un·e ami·e, qui accepte et est d'accord avec la décision qu’elles prennent dans la situation dans laquelle elles se trouvent.

Luchadoras (entretien, janvier 2022).

Nous appliquons les concepts de soutien émotionnel et empathique à notre ligne d’assistance. Nos premiers soins psychologiques se fondent sur trois questions : « Comment vous sentez-vous avec tout ce stress ? », pour leur faire comprendre que nous nous préoccupons vraiment de leur bien-être ; « Pouvez-vous m'expliquer le problème ? », pour leur laisser prendre le contrôle du récit ; et « Que voulez-vous que nous fassions pour vous ? Quel est votre souhait ? », pour créer des solutions aux côtés de la personne qui cherche du soutien.

Vita Activa (Haché, 2021)

Pour en savoir plus

1.7 Définissez vos politiques

Les politiques d’un CASNSC sont une série d’accords et de lignes directrices qui organisent son flux de travail et établissent ses procédures et protocoles standards. Chaque CASNSC aura besoin de politiques qui répondent à ses exigences uniques, elles-mêmes liées à la mission, la taille, la structure et les services du groupe. Cette section vous propose une description des politiques de base adoptées par les CASNSC, ainsi que des modèles que vous pourrez utiliser pour créer votre CASNSC :

  • Politique de gestion de l’information
  • Plan de réponse aux incidents
  • Politique de vérification
  • Code de conduite
  • Procédures opératoires standards pour les opérateurs et opératrices des CASNSC

Une fois conçues et mises en œuvre, les politiques doivent être réexaminées régulièrement pour s’assurer qu'avec le temps, elles sont toujours pertinentes et adéquates à la structure du CASNSC, ses procédures, ses besoins et ses capacités.

Politique de gestion de l’information

Chaque CASNSC a besoin d’une politique en matière de gestion et de protection de l’information qui tienne compte des processus et procédures opérationnelles et administratives internes, ainsi que de la législation et des standards. Il vaut donc mieux faire appel à un ou une consultante juridique lorsque vous élaborez votre politique de gestion de l’information.

Votre politique de gestion de l’information devra répondre à ces questions les plus basiques :

1. **Comment l’information est-elle « étiquetée » ou « classée » ?**

La plupart des CASNSC, ainsi que le CiviCERT, classent les informations en utilisant l’Information Sharing Traffic Light Protocol (TLP), autrement dit, le [protocole de feu tricolore] :

  • TLP:RED (rouge)= ne peut pas être divulguée, restreinte aux participant·es uniquement.

    Les sources peuvent utiliser le TLP:RED lorsque l’information ne peut pas être utilisée efficacement par d’autres parties, et peut avoir des impacts sur la vie privée, la réputation ou les opérations de l’une des parties si elle est mal utilisée. Les réceptionnaires ne doivent pas partager une information TLP:RED avec aucune partie hors de l’échange spécifique, de la réunion ou de la conversation au cours de laquelle elle a été divulguée à l’origine. Dans le contexte d’une réunion, par exemple, l'information TLP:RED est limitée aux personnes présentes lors de ladite réunion. Dans d’autres circonstances, l’information TLP:RED devrait être échangée à l’oral ou en personne.

  • TLP:AMBER (orange) = divulgation limitée, restreinte aux organisations des participant·es.

    Les sources peuvent utiliser le TLP:AMBER lorsque l'information a besoin de soutien pour être utilisée efficacement, mais comporte des risques pour la vie privée, la réputation ou les opérations si elle est partagée hors des organisations impliquées. Les réceptionnaires peuvent utiliser l’information TLP:AMBER uniquement avec leur propre organisation, et avec les bénéficiaires qui ont besoin de connaître l'information afin de se protéger ou d’éviter tout autre préjudice. Les sources sont libres de spécifier d'autres limites au partage, limites qui devront être respectées.

  • TLP:GREEN (vert) = divulgation limitée, restreinte à la communauté.

    Les sources peuvent utiliser le TLP:GREEN lorsque l'information est utile pour sensibiliser toutes les organisations participantes ainsi que les pairs au sein de la communauté ou du secteur plus vaste. Les réceptionnaires peuvent partager l’information TLP:GREEN avec les pairs et organisations partenaires au sein de leur secteur ou communauté, mais pas via des canaux d’accès public. L'information de cette catégorie peut être diffusée largement au sein d’une communauté spécifique. L'information TLP:GREEN ne doit pas être publiée en dehors de la communauté.

  • TLP:WHITE (blanc) = aucune limite à la divulgation.

    Les sources peuvent utiliser le TLP:WHITE lorsque le risque que l'information soit mal utilisée n'est que minimal ou non prévisible, et conformément aux procédures et règles applicables pour sa publication. L'information TLP:WHITE peut être distribuée sans restriction, dans le respect des règles du droit d'auteur.

  1. Comment cette information est-elle traitée et sécurisée ?

Vous devez définir comment vous protégerez l'information que vous conservez dans votre infrastructure et vos communications, mais aussi combien de temps vous la conserverez dans votre infrastructure et que se passe-t-il en cas de violation des données.

  1. Quelles mesures sont établies pour la divulgation d'informations, en particulier si les informations liées à un incident sont transmises à d’autres équipes ou sollicitées par les forces de l’ordre ?

  2. Faut-il prendre en compte des aspects juridiques lors du traitement de l'information ?

  3. Votre politique définit-elle comment votre infrastructure et votre équipement techniques doivent être sécurisés et utilisés ?

Amnesty applique une politique stricte en matière de consentement, nous ne pouvons donc rien publier sans le consentement de le/la [bénéficiaire], pas même de façon anonyme. Nous devons appliquer une politique stricte, en passant en revue les risques avec le/la bénéficiaire, etc. À ce stade, si le cas est réactif et ne vient pas d’un projet que nous avons démarré auparavant, nous commençons à réfléchir à la stratégie pour le changement : que savons-nous ? Que pouvons-nous prouver ? Que pouvons-nous faire pour changer cela ? En général, nous avons une discussion où nous déterminons ce que ce serait le plan de plaidoyer, quel angle pourrait être adopté pour mener campagne, s’il y a du travail à faire avec l’équipe du pays, quel serait le risque de publication, quel serait l'avantage de publier.

Etienne Maynier, Amnesty Tech (entretien, décembre 2021).

Nous essayons de publier le plus de données possibles : indicateurs, méthodes, etc. Par exemple, avec Pegasus, nous avons également publié des traces criminalistiques détaillées. Plus nous publions, plus les personnes qui pourront publier leurs propres recherches seront nombreuses, et nous recevons également moins de pression pour nous obliger à fournir des données, par les gouvernements par exemple. On publie ensuite des rapports techniques détaillés, et comme ça, lorsqu’un gouvernement nous contacte, on peut dire : « Tout a déjà été rendu public ». C’est l’une des politiques d’Amnesty : publier les preuves afin qu’il soit moins susceptible qu’on nous demande de fournir des informations privées.

Etienne Maynier, Amnesty Tech (entretien, décembre 2021).

Il est important pour nous que certains protocoles soient mis en place. Un protocole considéré comme essentiel est que toutes les personnes qui travaillent sur la ligne d'assistance respectent un accord de confidentialité, afin de veiller au respect de l’intimité et de la vie privée, et afin que personne ne puisse être identifié·e par les données que nous conservons. De cette façon, personne ne peut comprendre ces données sauf la personne qui la traite ou la conserve.

Digital Rights Foundation (Haché, 2021).

Téléchargez le modèle de politique de gestion de l’information.

Plan de réponse aux incidents

Les procédures de gestion des incidents décrites dans votre plan de réponse aux incidents font partie des mesures clés à mettre en place, car elles aideront tout le monde à comprendre ce qui est attendu de chacun et chacune. Décrivez les types d’incidents en les distinguant par degré d’impact et établissez les étapes que devront suivre vos équipes.

Définissez quel·les membres dans l’équipe devront être contacté·es en cas d’incident. Dressez une liste des options requises pour faire remonter ou transmettre les cas, et organisez-les avec les membres de vos équipes. En d’autres mots, assurez-vous que les attentes sont bien gérées au sein de l’organisation.

Pour vous doter d’une approche documentée et coordonnée pour répondre aux problèmes de sécurité numérique, votre plan de réponse aux incidents devra inclure les éléments suivants :

  • Comment les cas sont reçus et assignés
  • Comment les cas sont priorisés
  • Le flux de travail du CASNSC pour la réception, la vérification et la remontée
  • Le cycle de vie de la réponse à un incident du CASNSC
  • Comment les cas sont clôturés

Téléchargez le modèle de plan de réponse aux incidents.

Politique de vérification

S’assurer que le CASNSC soutient son véritable public est essentiel à sa réputation. Voilà pourquoi de nombreuses lignes et centres d’assistance vérifient que les personnes qui effectuent des demandes sont bien celles qu’elles prétendent être avant de démarrer le processus de traitement des incidents.

Pour définir le processus de vérification, il convient de développer une politique de vérification, qui décrit les objectifs du processus, mais aussi les étapes que les opérateurs et opératrices devront suivre pour vérifier le nouveau ou la nouvelle bénéficiaire, obtenir son consentement éclairé sur le processus et protéger sa vie privée le plus possible.

Nous commençons de base par le fait que les personnes viennent nous voir pour une raison. Souvent, ces personnes viennent parce qu’elles ont reçu des SMS ou des emails bizarres. On essaie ensuite de rassembler des informations sur le contexte, on enquête sur l’email ou le SMS qu’elles ont reçu. Mais avant, il faut nous assurer qu’il s’agit bien de défenseur·es des droits humains, ce qui peut s’avérer assez compliqué car Amnesty a une définition étroite de ce qu'est un·e défenseur·e des droits humains parfois, et cela dépend de l'équipe du pays. Amnesty International travaille sur deux niveaux : les équipes de pays et les équipes thématiques. Dans mon équipe par exemple, nous travaillons sur la technologie, mais chaque fois que l’on travaille dans un pays, il nous faut travailler avec l’équipe de ce pays. Lorsque l’on reçoit une demande, il nous faut vérifier qui est la personne qui fait cette demande et si c’est bien une défenseure des droits humains, ce qui peut s’avérer difficile car il nous faut parfois demander aux gens qui ils sont, puis nous devons vérifier auprès de l’équipe de pays si ce sont bien des défenseur·es des droits humains et nous assurer que nous avons approbation. Puis, si c’est bien le cas - souvent avec les journalistes, c'est plus facile - nous faisons une enquête, nous essayons de comprendre ce qui s'est passé.

Etienne Maynier, Amnesty Tech (entretien, décembre 2021).

Téléchargez le modèle de politique de filtrage et approbation.

Code de conduite

Un code de conduite est un document qui définit le comportement attendu des opérateurs et opératrices du CASNSC lorsqu’ils et elles s’occupent des bénéficiaires. Un code de conduite efficace devra comprendre les éléments suivants :

  • Des descriptions spécifiques de comportements courants mais inacceptables (commentaires sexistes, etc.).
  • Instructions pour le signalement avec information de contact.
  • Informations sur la façon dont il doit être appliqué.
  • Une distinction claire entre un comportement inacceptable (qui peut être signalé en fonction des instructions en la matière, et qui peut avoir de graves conséquences pour qui en a été l’auteur·rice) et les règles pour la communauté, telles que la résolution générale de conflits.

Les codes de conduite dépourvus de l'un de ces éléments tendent à ne pas avoir les effets escomptés.

Téléchargez le modèle de code de conduite.

Autres générateurs et modèles de codes de conduite :

Procédures opératoires standards pour les opérateurs et opératrices des CASNSC

Il est important qu’un CASNSC ait des procédures opératoires standards, qui définissent par exemple la façon dont les opérateurs et opératrices doivent répondre aux demandes, communiquer avec les bénéficiaires, veiller à la confidentialité et effectuer les dérivations, mais aussi pour s’assurer qu’ils et elles savent comment se comporter dans des situations de tensions et comment faire face au stress.

Au fil du temps, nous avons mis au point plusieurs bonnes pratiques. En commençant par se préoccuper du bien-être de ceux et celles qui nous contactent mais aussi de celui de l’équipe. Nous savons toutes et tous que ce peut être exténuant, mais nous avons besoin d’être bien dans nos têtes pour mieux accompagner les autres.

Tecnoresistencias (Haché, 2021).

Pour en savoir plus