vigilance face au cyberespionnage
Chaque année, le 28 janvier, les institutions étatiques chargées de la protection des données personnelles célèbrent la Journée mondiale de la protection des données personnelles (Data Privacy Day). L’occasion de dresser un bilan.
Ancien officier supérieur de la Gendarmerie Royale et enseignant à l’Ecole de guerre économique.
Qu’on se le dise, cette année plus que les autres, un effort supplémentaire doit être réalisé pour protéger les données à caractère personnel et surtout sensibiliser nos citoyens mais surtout nos responsables politiques et businessmen du danger de l’espionnage à l’ère du «tout numérique». A l’occasion de la célébration de la Journée mondiale de la protection des données, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) a organisé des événements et des manifestations visant à renforcer la culture de la protection de la vie privée et des données personnelles.
Anniversaire critique qui coïncide avec un scandale
Le moins que l’on puisse dire, c’est que cette date anniversaire arrive dans un contexte où la menace qui pèse sur la sécurité des données personnelles n’a jamais été aussi critique. L’affaire de la fuite de données personnelles collectées par l’entreprise TLS Contact auprès des demandeurs marocains de visas Schengen qui est venue défrayer la chronique en ce début d’année 2023 n’en est qu’à ses premiers balbutiements. Mais ce qui est d’ores et déjà avéré, c’est que TLS a été prise la main dans le sac par la CNDP, alors qu’elle était en train de transmettre illégalement des enregistrements vidéo recueillis à l’intérieur des locaux des différents bureaux de cette agence spécialisée dans la collecte des demandes de visas au profit des services consulaires de plusieurs pays européens : France, Allemagne, Italie, Royaume-Uni et Belgique. A la base, la vidéosurveillance à l’intérieur des locaux d’une entreprise sert à se prémunir contre les vols, les actes de violence ou encore les incivilités, de plus en plus présentes dans les sociétés de notre temps. Mais elle permet aussi de fournir des preuves pour confondre des délinquants quand des actes répréhensibles par la loi ont été commis. Et c’est pour cette raison que la loi permet de conserver des enregistrements pour une durée n’excédant pas 3 mois, afin de pouvoir identifier des individus après la constatation de crimes ou de délits à l’intérieur des locaux soumis à la vidéosurveillance. Mais en aucun cas, une entreprise privée ou un établissement public ne peut disposer indéfiniment de ces données pour quelque raison que ce soit.
Fuite de données, pour quel intérêt ?
Dans le cas de TLS, la CNDP a fait le constat que ces données sont transmises par envoi régulier (toutes les 5 minutes) à deux institutions gouvernementales basées à l’étranger, sans plus de précisions. Les espions sont à nos portes, mais ils ont été pris en flagrant délit ! Sans présager de l’identité probable des deux gouvernements qui sont derrière cet acte d’espionnage, il est certain que 2 pays européens, considérés comme partenaires du Maroc, utilisent le canal de TLS pour se constituer une base de données sur les citoyens marocains demandeurs de visas en Europe. Rien n’empêche par ailleurs TLS, qui s’est rendu coupable de fuite délibérée d’enregistrements vidéo, de transmettre d’autres données personnelles collectées auprès des demandeurs de visa : relevés des comptes bancaires, destinations des voyages ou déplacements professionnels durant les 3 années précédant la demande de visa (aéroports ou ports d’entrée et de sortie), futurs lieux d’hébergement, motifs des voyages, numéros de portable, adresses mails, liens familiaux, et surtout, données sur les entreprises ou biens immobiliers appartenant aux demandeurs de visa (communiqués de manière ingénue par les demandeurs de visa en gage de solvabilité). Et ce qui rend ces données encore plus pertinentes, c’est qu’elles concernent une partie de l’élite marocaine. En raison des conditions rigoureuses pour pouvoir obtenir un visa, les heureux bénéficiaires de ce précieux sésame font partie de la classe sociale aisée et privilégiée marocaine. Ainsi, TLS et en back-office les services de renseignements étrangers – car c’est bien d’eux qu’il s’agit – ont assurément réussi à rassembler une base de données considérable ces dernières années sur tout ce que compte le Maroc comme personnalités politiques et hommes d’affaires : ministres, responsables de partis, élus, hauts cadres de l’administration publique, dirigeants d’entreprise, entrepreneurs, médecins, consultants, etc. On pourrait se demander naïvement quel serait l’intérêt de ces institutions gouvernementales de rassembler de telles informations privées de personnalités marocaines…
Guerre d’influence et d’information
Les militaires disent que «c’est en temps de paix qu’on prépare la guerre». Mais la guerre, nous y sommes déjà ! Une guerre politique, diplomatique et informationnelle contre notre voisin de l’Est. Ainsi qu’une guerre d’influence et une guerre économique contre des partenaires/compétiteurs européens, avec lesquels nous avons certes des intérêts stratégiques communs, comme avec la France et l’Espagne, mais contre lesquels nous sommes en concurrence permanente pour gagner des marchés en Afrique de l’Ouest et au Sahel et pour asseoir notre influence dans cette région qui attise toutes les convoitises des grandes puissances européennes et mondiales. Les pays européens, mais aussi toutes les autres destinations prisées par la classe supérieure marocaine comme les USA, le Canada, ainsi que les pays du Golfe, ont tout à gagner à constituer une base de données personnelles sur l’élite marocaine qui pourra être partagée avec leurs entreprises nationales pour avoir un avantage concurrentiel ou leur permettre de remporter des appels d’offres internationaux.
Face à cette menace qui est devenue réalité, quel est le niveau d’éducation et de sensibilisation des responsables politiques et businessmen marocains ? A voir les usages des voyageurs marocains dans les aéroports internationaux et le manque de précaution dans la protection de leurs affaires personnelles (pièces d’identité, documents de travail, smartphone, PC), il semblerait qu’une majorité n’a aucune idée du risque de fuite de données personnelles ou de documents sensibles. Car ce qu’il faut savoir, c’est que les services de renseignements étrangers ont des yeux et des oreilles partout. Et surtout dans les lieux incontournables par lesquels transitent tous les acteurs économiques et responsables politiques : aéroports, gares ferroviaires, hôtels d’affaires, palais des congrès, lieux réservés pour les séminaires et forums, salons et foires internationales… Mais aussi dans des lieux moins officiels, plus privés, où officiels et autres dirigeants d’entreprise pensent se reposer et se détendre à l’abri des regards : restaurants, bars, chambres d’hôtels, spas, salons de massage, casinos… Une prise de conscience de tous les acteurs politiques et économiques sur ces risques est salutaire afin de se prémunir contre les attaques qui visent les données à caractère personnel. Et la CNDP ne peut à elle seule sensibiliser ni protéger toutes les personnes physiques ni les entreprises contre ces menaces, qui doivent mettre les moyens pour former leurs collaborateurs et déployer des politiques de sécurité de l’information au sein de leur organisation.