Nanthilde KAMARA
Les 7 plus grosses erreurs que fait un humanitaire dans la gestion des données
Updated: Feb 1, 2021
Vous savez tous maintenant que J'ADORE l'innovation et les technologies car je pense vraiment et sincèrement qu'elles apportent une grande valeur ajoutée à nos interventions sur le terrain…
si elles sont bien utilisées et que les risques et menaces sont bien identifiés et atténués.
Oui, chaque nouvelle approche ou outil (même non technologique) comporte des risques que vous devez gérer pour “ne pas nuire”.
Les informations et les données sont essentielles à notre travail: elles nous permettent d'évaluer le contexte et les besoins les plus urgents, de répondre rapidement et à grande échelle, de suivre les résultats et l'impact de nos interventions.
Avec le développement des nouvelles technologies et leur utilisation dans le secteur humanitaire, nous générons quotidiennement une grande quantité d'informations et de données. Nous sommes parfois même dépassés par le volume de données à gérer!
Mais générer et gérer une telle quantité d'informations entraînent des risques, certains risques sont encore méconnus ou largement sous-estimés sur le terrain.
Je travaille dans les systèmes d'information et de gestion de données depuis plus de 7 ans. J'ai compris au fur et à mesure les risques liés à cette activité et c'est pourquoi je partage avec vous mes inquiétudes mais aussi les bonnes pratiques pour devenir un(e) champion(ne) des «données responsables».
Qu'est-ce que les données responsables?
C’est un nouveau concept: cela signifie que nous partageons une responsabilité commune de répondre aux défis sociaux, juridiques, éthiques et de confidentialité liés à l'utilisation des données dans notre travail.
Je partage avec vous les 7 plus grosses erreurs que vous ne devez PAS faire sur le terrain lorsque vous manipulez des données.
Erreur n ° 1: données numériques = pas de risques

• Combien d'entre vous savent que les données que vous gérez peuvent créer des risques et quels types de risques?
• Combien de fois avez-vous entendu «qu’est-ce que vous voulez dire par RISQUES avec les données que je traite»?
• Qui serait intéressé par les listes de bénéficiaires avec leurs informations personnelles et leurs numéros de téléphone?
• Qui utiliserait les données de vos enquêtes de suivi post-distribution, la liste de tous les villages que vous avez identifiés comme détruits ou les coordonnées GPS des centres de santé ou des écoles que vous avez collectées?
J'analysais les données de suivi post-distribution d'une intervention sur le terrain: plusieurs questions sur la protection ont été incluses : "lors de votre passage sur le site de distribution, avez-vous vécu une insécurité ou des menaces?", "Vous a-t-on demandé des faveurs pour recevoir une aide alimentaire et si oui, de qui (ONG, dirigeants, etc.)?"
J'ai découvert que plusieurs répondants avaient répondu oui à l'une de ces questions. La base de données incluait leurs informations personnelles : ces répondants étaient traçables et pouvaient être retrouvés si la base de données était accessible à tous.
Dans cet exemple, je ne pouvais pas partager ma base de données brute avec tout le monde et j'ai dû en restreindre l'accès.
Un autre exemple est relatif aux listes de vos bénéficiaires: par essence, ces listes sont sensibles car elles fournissent des informations sur "qui a reçu, où, quoi et quand". Imaginez un groupe armé ou un politicien faisant pression ou demandant de l'argent à tous les bénéficiaires de votre programme?
Imaginez si l’objectif de votre programme est d’aider les survivants de violences basées sur le genre. L’auteur a accès aux informations du ou de la survivante lui permettant de le ou la menacer ou pire.
Vous collectez les coordonnées GPS d'écoles ou de centres de santé avec des téléphones portables - entre de mauvaises mains, ces coordonnées pourraient être utilisées pour cibler et attaquer ces infrastructures.

Il est encore difficile de déterminer tous les risques associés aux données numériques et nous sommes toujours confrontés à un manque de preuves et de littérature concernant la gestion des données.
Mais sachez que le risque peut être très élevé! Les cyberattaques et la «cyber-insécurité» avec des intentions malveillantes sont omniprésentes et elles ont considérablement augmenté ces dernières années, notamment l'année dernière avec le COVID19.
Le secteur humanitaire n’est pas épargné! Dans certains contextes, la communauté humanitaire a dû renforcer ses pratiques de protection des données après avoir été confrontée à des cyberattaques sophistiquées de la part de groupes armés.
Je partage quelques conseils et questions clés à vous poser sur les risques lorsque vous collectez et gérez des données:
• Les risques sont liés à votre contexte, non seulement aux pays, mais aussi aux communautés, aux populations et à des périodes. Si vous travaillez avec des communautés vulnérables ou marginalisées, pensez-vous que certains groupes de personnes pourraient être motivés pour acquérir vos données et dans quelle mesure en sont-ils capables?
• Évaluer les risques d'accès non autorisé ou important ou de fuite de toute donnée stockée: quel serait l'impact sur les personnes en cas d'accès ou de publication malveillante? Quels seraient les risques si vous combinez vos données avec d'autres ensembles de données?
Erreur n ° 2: Vous ne protégez pas vos données (pourquoi faire?)

Vous avez l'habitude d'exporter toutes vos données sur feuille Excel et de les partager largement et elles sont même accessibles à tous vos collègues sur la plateforme en ligne: listes de bénéficiaires, résultats de votre évaluation de vulnérabilité ou enquête de suivi.
Eh bien, je fais référence à l'erreur n ° 1, oui, les données entraînent des RISQUES, alors PROTÉGEZ vos données.
Vérifiez auprès de votre responsable informatique si vous n'avez pas de politique de sécurité et de protection des données.
Quand je dis "protégez vos données", cela signifie sécuriser et restreindre l'accès:
• Identifiez les données sensibles dans votre contexte: numéros de téléphone, noms, groupe ethnique, parti politique, sexe, données de santé etc.
• Restreindre l'accès: Identifiez qui peut avoir accès aux données brutes, à la base de données révisée ou aux résultats: dans mon cas, nous n'étions que 3 personnes à avoir accès à la base de données brute et elles étaient protégées par un mot de passe et cryptées.
• Anonymisez votre base de données si vous souhaitez la partager, supprimez toutes les données sensibles et partagez-la via une plateforme sécurisée (filezilla par exemple). Idéalement, cryptez le fichier lorsque vous le partagez. Rapprochez-vous de votre ITC préféré.
• Accès sécurisé: conservez une copie de votre base de données brute avec mot de passe, chiffrée et ne la partagez pas. Vérifiez que votre base de données est stockée sur des serveurs sécurisés ou des périphériques de stockage cloud sécurisés
Erreur n ° 3: Vos bases de données sont éparpillées un peu partout entre votre ordinateur portable, vos disques durs et le cloud

Vous n’avez jamais été le meilleur pour classer tous vos dossiers et tous les rapports que vous recevez chaque jour - ne vous inquiétez pas, c’est la même chose pour moi!
MAIS, en ce qui concerne les données, j'ai une classification de dossiers pour sauvegarder toutes les données (voir la capture d'écran).
ET pour vérifier ce que deviendront vos données et comment elles seront stockées:
• Cataloguez et suivez toutes les informations personnelles ou sensibles capturées tout au long du projet
• Créez un PLAN pour la destruction à mi-parcours et post-projet des données personnelles ou sensibles (un simple tableau suffit)
• Stockez hors ligne de manière sécurisée des données sensibles
• Vérifiez vos disques durs, du stockage de fichiers dans le cloud, des clés USB, des boîtes de réception de courrier électronique et d'autres sources courantes de fuites de données.
Erreur n ° 4: Vous utilisez les données que vous collectez comme vous le souhaitez

Combien de fois vous a-t-on demandé de partager les listes de bénéficiaires avec un autre partenaire pour des activités de programmation ou de suivi conjointes? Ou vous êtes invité à partager votre base de données brute?
Entre nous, vous l'avez fait ou pas ??
Mais êtes-vous propriétaire des données que vous collectez? Pouvez-vous tout faire avec eux?
• Des règlementations existent! Vérifiez d'abord s'il existe une réglementation sur la protection des données dans votre pays. Je partage l'exemple de l'Union Africaine et de l'UE, l'une des plus restrictives au monde.
• Et oui, je confirme: il faut avoir une stratégie de gestion des données.
Votre stratégie n'a pas besoin d'être compliquée ni longue à lire. Une simple matrice sur une feuille Excel avec des réponses aux questions ci-dessous est un bon début:
1. qui décide quoi faire des données: votre responsable, vous, le ministère?
2. qui est autorisé à accéder ou à utiliser les données
3. et où les données peuvent (ou doivent) être stockées?
4. envisagez-vous de supprimer des données, lesquelles et quand?
• L'étape suivante consiste à demander systématiquement le consentement éclairé des personnes auprès desquelles vous collectez des données. Pourquoi?
Vous devez être transparent avec les personnes dont les données sont collectées en expliquant comment votre initiative utilisera et protégera leurs données.
Vous devez obtenir un consentement éclairé avant toute collecte de données:
Il est essentiel de s'assurer que les participants comprennent pourquoi leurs données sont collectées, comment les données sont utilisées et partagées, et comment les participants peuvent accéder ou modifier les données collectées - et qu'ils ont la possibilité de refuser de participer.
Les participants doivent être informés et comprendre pleinement les risques liés au partage de leurs données.
Les formulaires de consentement doivent être rédigés dans la langue locale et facilement compréhensibles par les personnes dont les données sont collectées.
Voici ci-dessous un exemple que vous devez inclure dans tous vos questionnaires:
«Consentement éclairé
Veuillez lire le formulaire de consentement suivant avant de commencer l'entrevue:
<Montrez votre badge d'identification>
Je m'appelle <nom> et je travaille avec <organisation partenaire> et <organisation partenaire>, qui sont les organisations qui ont récemment fourni une assistance. Je suis ici pour collecter des informations sur la manière dont la distribution a eu lieu et si le <admissibilité> était approprié. Cela nous permettra d'ajuster nos opérations et de mieux servir les personnes dans le besoin.
Votre participation à cet entretien n'est pas obligatoire et vous pouvez décider de vous désinscrire. Si vous choisissez de participer, vous pouvez choisir de ne pas répondre à certaines questions. Si vous ne comprenez aucune des questions, veuillez le dire et je vous l'expliquerai. Vous pouvez me poser des questions à tout moment pendant l'entretien. Veuillez noter que votre décision de participer à l'entretien ne garantira ni n'affectera votre participation aux futures activités de l '<organisation partenaire>.
Les informations que vous nous fournissez seront utilisées par <organisation partenaire> et <spécifiez quels partenaires auront accès aux données, par ex. Agences des Nations Unies, ONG, gouvernement, autre>.
Après l'entretien, si vous souhaitez corriger ou supprimer les informations que vous fournissez aujourd'hui, veuillez contacter <mail ou hotline>.
Avez-vous des questions? Puis-je commencer l'entrevue? »
Et puis ajoutez cette partie:
«Veuillez demander à la personne interrogée qui répond aux questions de signer la déclaration de consentement éclairé (ci-dessous).
"Je comprends parfaitement les informations qui m'ont été fournies concernant l'utilisation et la divulgation de mes données personnelles par <organisation partenaire> et les autres partenaires mentionnés et j'y donne mon consentement"
Si la personne interrogée est incapable ou refuse de signer, veuillez expliquer pourquoi dans la section des commentaires à la fin de ce formulaire, et demandez à la personne interrogée de lire (ou de répéter en cas d'analphabétisme) la déclaration de consentement éclairé ci-dessus.
Erreur n ° 5: vous partagez les données que vous collectez comme vous le souhaitez avec d'autres partenaires

Les politiques de protection des données ne sont pas toujours faciles à comprendre ou pratiques à mettre en œuvre sur le terrain.
Au contraire, elles peuvent être parfois contre-productives car elles vous empêchent de partager des données (l'approche « NO-WAY ») ou elles ne vous donnent pas d'outils pratiques pour partager des données en toute sécurité.
Mais il arrive souvent que vous DEVEZ partager certaines données avec d’autres organisations, c’est ce que nous appelons la coordination.
Par exemple, comment pouvez-vous assurer des synergies ou une continuité entre les programmes de plusieurs organisations si vous ne pouvez pas partager les listes de bénéficiaires?
Comment pouvez-vous mener des activités de monitoring avec des tierces parties si vous ne pouvez pas partager les listes de bénéficiaires?
Si vous avez besoin de partager les données avec des partenaires externes, vous devez inclure cette partie sur le consentement éclairé: «vos données peuvent être partagées avec les partenaires de votre organisation et le gouvernement à des fins xx".
Pensez à signer des accords de partage de données avec tous les partenaires: renseignez-vous auprès de votre responsable, de vos collègues de votre bureau régional ou de votre siège.
Erreur n ° 6: Vous collectez autant de données que possible, elles pourraient être utiles un jour

Les données responsables, c'est collecter les données dont vous avez vraiment besoin pour informer votre programme, pas plus!
Si vous voulez collecter des données:
• Exploitez d'abord les données secondaires !! Vous n'avez pas forcément besoin de collecter des données si elles sont déjà disponibles: cette étape est généralement oubliée
• Ne collectez des données personnelles que pour un usage spécifique et justifié: soyez clair avec l'objectif de votre enquête ou exercice de collecte de données avant de concevoir votre questionnaire
• Minimisez la collecte de données – évitez d’organiser 7 rounds de collecte de données auprès des mêmes bénéficiaires
• Minimisez la collecte d’informations personnelles identifiables (ou PII) comme les noms, le numéro de la pièce d’identité (passeport, carte d’identité nationale), le numéro de sécurité sociale, le numéro de compte bancaire, l’adresse e-mail, les numéros de téléphone et j’ajouterais des coordonnées GPS
• Partagez les ressources et planifiez des exercices de collecte de données multi-organisations: je l'ai fait plusieurs fois et vous pourriez être surpris de l'enthousiasme et de l'intérêt des organisations à participer à une évaluation conjointe: c’est plus de travail de coordination mais vous économisez de l'argent, vous pouvez réaliser un exercice à grande échelle dans un temps limité et vos résultats sont davantage partagés et utilisés.
Erreur n ° 7: vos données sont simplement techniques et neutres

Oui, vos données peuvent être biaisées par votre origine culturelle ou le mandat de votre organisation!
Les gaps dans les données ou les analyses peuvent conduire à une programmation erronée ou incomplète qui ne répond pas à tous les besoins ou aux besoins de certaines populations.
Les données sur le genre sont un très bon exemple: si vous manquez de données ou si vous n'analysez pas vos données en tenant compte du sexe, de l'âge ou des handicaps en regardant par exemple l'accès et l'utilisation du téléphone mobile, vous prenez le risque d'augmenter le fossé numérique et les exclure de l’accès aux services de base et au soutien.
N'oubliez pas que les personnes auprès desquelles nous collectons des données sont vulnérables et ont généralement moins de pouvoir que les enquêteurs ou le personnel des ONG: elles peuvent hésiter ou même refuser de donner des données sur des sujets sensibles.
• Concevez et révisez les questionnaires par différentes personnes, hommes, femmes, vieux et jeunes, experts techniques et informateurs clés de la communauté pour obtenir des points de vue divers et «déniaiser» votre système de collecte de données
• Réfléchissez et préparez à l'avance votre plan d'analyse et assurez-vous de prendre en compte les différents facteurs influençant les résultats (homme / femme, catégories d'âge, taille du ménage, handicap, statut des PDI / réfugiés / migrants, etc.)
Enfin, si vous pensez vraiment que la responsabilité et la protection des données ne sont pas un si gros problème, je partage avec vous un excellent document d'OCHA et cet excellent article du Guardian «Une mauvaise protection des données pourrait mettre des vies en danger».
Vous pouvez également trouver plus de références de principes numériques et de données responsables si vous souhaitez creuser cette question:
A bon entendeur!
Le post "Les 7 plus grosses erreurs que fait un humanitaire dans la gestion des données" est apparu en premier sur # Future4Change
#digitalhumanitariancommunity #responsibledata #principles4digitaldev #donodigitalharm #future4change #cyberinsecurity