RESSOURCES POUR LES DOCUMENTALISTES
Considérations clés pour la prise de décision relative aux outils de documentation
Cette section est conçue pour aider les documentalistes sur les droits de l’homme à prendre des décisions concernant les outils informatiques.
Les points clés ci-dessous résultent des conclusions de notre étude. En tant que tels, ils ne constituent pas une liste de vérification exhaustive, mais plutôt un point de départ pour les documentalistes désireux d’intégrer les outils informatiques dans leur travail.
Questions préliminaires
Les questions ci-dessous s’appuient sur notre liste initiale de critères de sélection des outils sur lesquels nous nous sommes concentrés pour notre étude. Pour trouver des réponses, il peut être utile de consulter le site de l’outil et, si possible, de prendre contact directement avec le développeur.
- L’outil a-t-il été conçu spécialement pour répondre aux besoins des documentalistes de la société civile travaillant dans le domaine des droits de l’homme ou de la justice sociale ?
- Son modèle économique est-il non opportuniste (en ce sens que les modèles économiques sous-jacents ne sont pas monétisés par la prédation des données ou en contraignant les organisations à payer des frais permanents et prohibitifs)
- A-t-il été développé avec les contributions et les retours des documentalistes eux-mêmes ?
- Est-il gratuit et libre? (c’est-à-dire : quelqu’un peut-il télécharger le code et mettre en place sa propre instance ? Quelqu’un peut-il auditer le code pour voir dans quelle mesure la sécurité a été implémentée ?)
Comprendre les réponses à ces questions permet de commencer le processus d’évaluation de l’adéquation entre l’outil et les besoins, la capacité et les valeurs de votre organisation
Concevoir un système pour gérer votre processus complet
La plupart des enquêteurs et documentalistes de la société civile sur les violations des droits de l’homme s’appuient sur une sélection d’outils différents dans leur processus de travail, mais ceux-ci ne fonctionnent pas toujours bien ensemble. À ce titre, il peut être utile de réfléchir aux outils utilisés par rapport aux autres outils de votre environnement de travail.
Il existe deux méthodes principales par lesquelles vos données peuvent passer d’un outil à l’autre : par une interopérabilité intégrée ou par une procédure d’importation/exportation.
Interopérabilité
Certains outils sont conçus pour fonctionner avec certains autres (parfois, les développeurs d’outils collaborent également à ce sujet). Il peut donc être intéressant de rechercher des groupes d’outils qui fonctionnent bien ensemble. Consultez le tableau des outils pour voir quelques exemples.
Options d’import et d’export
Les options d’import et d’export jouent un rôle essentiel lorsqu’on doit transférer des informations d’un outil à l’autre, ou recevoir des informations de sources particulières, ou encore partager des résultats (par exemple, des rapports au format PDF).
Lorsque vous étudiez les options, tenez compte du fait que l’importation et l’exportation de données peuvent ajouter une étape manuelle supplémentaire à votre processus et qu’elles ont leurs propres répercussions sur la sécurité.
Questions non techniques, néanmoins importantes
Outre les considérations techniques, les considérations « non techniques » suivantes s’avèrent parfois cruciales avant d’adopter un outil spécifique.
- Avez-vous défini vos objectifs de documentation aussi clairement que possible ? Ceux-ci conditionneront, entre autres, le type d’informations collectées en premier lieu, et la manière dont elles seront analysées.
- Votre organisation a-t-elle la capacité d’instaurer et de maintenir des procédures et des systèmes fiables pour l’utilisation des outils choisis ? Ces éléments sont essentiels. Pour en savoir plus consultez les résultats de l’étude sur la documentation des droits de l’homme.
Sécurité : fonctionnalités et éléments de réflexion
La documentation sur les droits de l’homme peut constituer un travail sensible et risqué, mais ces risques varient largement en fonction du contexte. Ainsi, il n’existe pas un ensemble unique de risques auxquels tous les outils de documentation sur les droits de l’homme sont conçus pour répondre.
Lorsque vous évaluez la pertinence d’un outil pour votre travail, vous devez évaluer les risques spécifiques encourus au regard des capacités et des limites de l’outil que vous envisagez et de ceux qui l’utiliseront.
Vous trouverez ci-dessous quelques éléments clés à examiner. (Pour des exemples d’outils qui incluent les fonctionnalités mentionnées, consultez le tableau des outils).
Protéger les enquêteurs — Fonctionnalités
De nombreux enquêteurs utilisent leur téléphone pour collecter des preuves, mais sont confrontés à des scénarios où ils peuvent être arrêtés par une autorité ou un agresseur (parfois, ce sont les mêmes) et voir leur téléphone fouillé.
Certaines applications mobiles de collecte ci-dessus offrent des fonctionnalités pour ce scénario, notamment :
- La possibilité de remplacer l’icône et le nom de l’application sur votre téléphone par quelque chose de plus inoffensif, comme l’icône d’une calculatrice.
- Un bouton unique d’arrêt instantané de l’application, et sa suppression automatique de la liste des « applications récemment utilisées » du téléphone.
- La suppression facile et rapide de l’application et des médias recueillis, à partir de l’application elle-même. Cela peut être utile si, par exemple, un enquêteur voit qu’il est sur le point d’être arrêté.
Masquer l’identité — fonctionnalités
Certaines applications permettent aux utilisateurs de charger des données dans un dossier ou serveur partagé anonymement, afin de protéger leur identité dans le cas où les données seraient compromises au niveau de la gestion ou du lieu de stockage.
Différents types de chiffrement
Le chiffrement est une stratégie clé pour limiter les risques d’accès, d’altération, de vol ou de suppression des preuves par des parties non autorisées. Le chiffrement peut être appliqué de différentes manières :
- Chiffrement des données dans l’outil. Certaines applications de collecte, par exemple, permettent de prendre des images et des vidéos à l’aide de l’application, où elles sont automatiquement chiffrées. Cela limite le risque d’accès ou de manipulation des données en cas de vol ou de violation de l’appareil.
- S’assurer que les données circulent par une connexion sécurisée (par exemple, via TLS/SSL). Les données peuvent être amenées à circuler, par exemple, d’une application de collecte à un serveur sécurisé attitré (où elles sont gérées ou archivées), ou des données circulant entre le navigateur et un site ou une application Internet. Une connexion sécurisée réduit le risque d’accès ou de violation des données en transit et constitue généralement une pratique standard pour tout outil qui accorde une grande importance à la protection des données.
- Chiffrement de bout en bout. Cette méthode va un peu plus loin en matière de sécurité, et chiffre les données d’un appareil ou d’un système à un autre, du début à la fin. Ce type de chiffrement s’utilise aujourd’hui dans quelques applications de messagerie sécurisée largement répandues (Signal par exemple). Il a également été utilisé par certains outils de documentation bien connus dans le passé – comme Martus, désactivé en 2018 après 15 ans d’existence.
Ce document, proposé par l’Electronic Frontier Foundation (EFF) montre les principales différences entre le chiffrement de la couche de transport (par exemple, TLS/SSL) et le chiffrement de bout en bout.
Options d’hébergement
Certains outils présentent plusieurs d’option d’hébergement (où et comment ces outils sont hébergés).
- Hébergement en propre. Pour certains outils, les organisations ont la possibilité de les mettre en place sur leurs propres serveurs. Cela permet un contrôle total des données, mais requiert également un certain niveau de connaissances et de compétences techniques.
- Instances hébergées. De nombreux développeurs d’outils dans le domaine de notre étude proposent des instances hébergées de leur outil -en d’autres termes, les données d’une organisation sont accueillies sur des serveurs maintenus par le développeur de l’outil, ou par un partenaire hébergeur de confiance.
Les développeurs d’outils disposeront dans ce cas de différents niveaux de contrôle et d’accès.
- Hébergements dans plusieurs pays. Certains développeurs d’outils ou partenaires hébergeurs proposent un hébergement dans différents pays. Les décisions prises dans ce cas pourront tenir compte des autorités ayant potentiellement accès aux données.
Mots de passe et authentification à deux facteurs
Les mots de passe jouent un rôle important dans tout système sécurisé, mais ils peuvent être mis en œuvre de différentes manières.
- Applications mobiles : Généralement, les applications mobiles ne nécessitent pas que l’utilisateur saisisse un mot de passe supplémentaire après avoir déverrouillé son téléphone, toutefois certaines applications peuvent en exiger un pour renforcer la sécurité.
- Outils Internet: Pour les logiciels sur le Web, une protection supplémentaire peut être ajoutée grâce à l’authentification à deux facteurs (A2F), laquelle garantit la sécurité des données au cas où votre mot de passe serait compromis.
Pour plus d’explications sur l’A2F et son fonctionnement, consultez ce guide de Electronic Frontier Foundation.
Autorisations d’accès et suivi
- De nombreux outils proposent différents niveaux d’autorisations d’accès. Réduire au minimum le nombre de personnes dans une organisation ayant accès aux données les plus sensibles de votre système peut être une stratégie de sécurité efficace.
- Les journaux d’activité peuvent permettre à une organisation de suivre qui a consulté quoi.
Audits de sécurité
Les audits de sécurité impliquent que des experts externes vérifient régulièrement la sécurité du code d’un outil. Si le code d’un outil est libre, les organisations souhaitant adopter l’outil peuvent également faire réaliser elles-mêmes un audit de sécurité indépendant.
À noter que les audits de sécurité peuvent être complexes et coûteux. Un soutien supplémentaire peut être nécessaire pour mettre en place des audits de sécurité, en particulier pour les organisations dont les compétences techniques sont limitées.
Des fonctionnalités pour faciliter la vérification et la chaîne de contrôle
Les photos et les vidéos étant de plus en plus faciles à manipuler, la vérification des preuves est un enjeu permanent pour les documentalistes. Pour que les preuves soient recevables dans un contexte judiciaire, justifier la traçabilité des preuves est essentiel.
Les outils de documentation peuvent renforcer l’historique de la conservation de plusieurs manières, notamment par des procédures de sécurité, des registres (conservant une liste des accès ou des modifications et de leurs auteurs) et l’ajout automatique de métadonnées importantes au moment de la saisie.
Des fonctionnalités permettant d’ajouter manuellement des métadonnées peuvent aussi être utiles.
Les métadonnées ajoutées automatiquement peuvent inclure :
- des informations sur le fichier — y compris un hachage chiffré, utilisable pour déterminer si un fichier a été modifié.
- le matériel sur lequel la photo ou la vidéo a été réalisée (fabricant, matériel, identifiant du matériel, taille de l’écran, etc.)
- les conditions dans lesquelles la photo ou la vidéo a été prise (position GPS, informations sur les antennes relais, réseaux wifi et signaux Bluetooth à proximité, date, heure, etc.).
Soulignons toutefois que l’historique de la conservation et la possibilité de vérifier les preuves peuvent dépendre tout autant — sinon plus — des politiques et des pratiques relatives à la gestion des données que des caractéristiques technologiques.