Mercredi le 24 juillet 2024 : Paradigm Initiative (PIN), une organisation non gouvernementale panafricaine qui défend les droits et l’inclusion numériques, a saisi la justice dans le cadre d’un litige d’intérêt public à la suite d’une récente violation de données au Nigeria, au cours de laquelle des données personnelles ont été vendues pour 100 nairas.
L’organisation, par l’intermédiaire du cabinet d’avocats Vindich Legal Law Firm, a déposé une plainte auprès de la Federal High Court of Nigeria in the Abuja Judicial Division Holden at Abuja contre neuf défendeurs, demandant une série de déclarations et d’ordonnances.
Dans cette affaire, la Commission nationale de gestion de l’identité (NIMC) a été désignée comme premier défendeur, suivie par la Banque centrale du Nigeria (CBN), le Nigeria Inter-Bank Settlement Systems PLC (NIBSS), le Service d’immigration du Nigeria (NIS), le Service fédéral des impôts (FIRS), la Federal Road Safety Corp (FRSC), la Commission électorale nationale indépendante (INEC), la Commission nigériane de protection des données (NDPC) et le procureur général de la Fédération.
Paradigm Initiative (PIN) déclare que le 16 mars 2024, un organe d’information et de journalisme en ligne – Foundation of Investigative Journalism – a publié un article sur sa plateforme « fij.ng “ sous le titre ” Alerte : XpressVerify, un site web privé, a accès aux données des Nigérians enregistrés et en tire de l’argent ».
À la suite de la débâcle de XpressVerify.com.ng, et dans le but d’éviter que de telles violations ne se reproduisent, PIN a mené des recherches plus approfondies sur les violations de données de cette nature, ce qui a permis à l’organisation de découvrir un autre acteur appelé « AnyVerify.com.ng », qui opère dans l’espace numérique du web au Nigeria depuis novembre 2023.
Les recherches menées par PIN ont montré que AnyVerify.com.ng est un site web impliqué dans la distribution commerciale de données personnelles et privées de Nigérians. Sur la page web, un menu déroulant affiche les services de données fournis par le site. Il s’agit notamment du numéro d’identité national (NIN), du numéro de vérification bancaire (BVN), d’un NIN virtuel, du permis de conduire, du passeport international, des coordonnées de l’entreprise, du numéro d’identification fiscale (TIN) et du numéro de téléphone.
Les données personnelles susmentionnées sont vendues par le site web pour la somme de N100 (cent nairas seulement). PIN a également découvert que le site web avait été visité 567 990 fois en février 2024 et 118 360 fois en avril 2024 par des particuliers, ce qui prouve qu’il s’agissait d’une opération en cours et que le site web était actif.
Paradigm Initiative demande une décision ordonnant une enquête complète et la publication du rapport d’enquête concernant la violation de données personnelles occasionnée par la fuite de données vers AnyVerify.com.ng et ses clients par les défendeurs dans un délai d’un mois à compter de la décision du tribunal.
L’organisation demande instamment au tribunal d’ordonner aux défendeurs de cesser/arrêter le traitement des données et les opérations avec les entités publiques et privées en attendant la publication d’un rapport d’enquête sur cette forme de violation de données personnelles, d’un rapport sur les actions correctives entreprises et les mesures de sécurité mises en œuvre pour sauvegarder les données personnelles, ainsi que pour traiter et prévenir toute récidive.
PIN souhaite également que le tribunal émette des ordres ordonnant au NIMC, conjointement avec le NDPC, de fournir une restitution sous forme de compensation (à déterminer par le tribunal) aux personnes concernées qui ont été affectées par la fuite de leurs données personnelles à AnyVerify.com.ng et à ses clients. Cette démarche s’appuie sur les plaintes déposées par les personnes concernées auprès de la Commission nigériane de protection des données (NDPC).
En plus des ordonnances susmentionnées, Paradigm Initiative demande également au tribunal de rendre une ordonnance exigeant une enquête et la publication d’un rapport par les défendeurs dans un délai d’un mois à compter de la décision sur d’autres fuites de données et violations de données personnelles possibles, ainsi que sur les acteurs qui se cachent derrière les sites Web qui effectuent actuellement des transactions et génèrent des profits grâce à la vente de données personnelles de Nigérians, qu’ils soient ou non titulaires d’une licence.
Dans les documents du procès, PIN déclare qu’à la suite de cette découverte, et en raison du manque d’information sur le sujet de la part des défendeurs dans l’affaire, elle a envoyé des avis de pré-action informant les défendeurs de la question, et les a mis au courant de leurs responsabilités par rapport aux obligations du 4 juin 2024. Cependant, PIN n’a reçu qu’une réponse de la part de la Commission de protection des données du Nigeria.
Paradigm Initiative ajoute que, bien qu’elle ait reçu de la commission l’assurance d’une diligence raisonnable et d’une accréditation appropriée en ce qui concerne l’examen et l’enquête sur les agents agréés et les responsables du traitement des données, à la suite d’une réunion tenue entre les deux parties le 10 juin 2024, les autres défendeurs n’ont pas répondu, faisant preuve d’indifférence à l’égard de la sécurité des données à caractère personnel des Nigérians en leur possession.
« La responsabilité est la marque de la démocratie. Le plaignant estime que les agences gouvernementales sont chargées de représenter, protéger et sauvegarder les intérêts du public, c’est-à-dire des masses qu’elles servent en tant que fonctionnaires », déclare PIN dans ses documents de procédure.
Paradigm Initiative soutient qu’à la suite de la violation, les données privées des Nigérians ne sont pas en sécurité chez les défendeurs et qu’ils ne peuvent pas protéger les données privées des Nigérians, ce qui va à l’encontre de l’objectif initial de soumettre les données pour l’identification individuelle en premier lieu.
………Fin……
À propos de PIN
Paradigm Initiative (PIN) connecte les jeunes Africains mal desservis aux opportunités numériques et assure la protection de leurs droits. Nous avons travaillé dans des communautés à travers le Nigeria depuis 2007 et à travers l’Afrique depuis 2017, en construisant une expérience, une confiance communautaire et une culture organisationnelle qui nous positionne comme une organisation à but non lucratif de premier plan dans les TIC pour le développement et les droits numériques sur le continent.
Dans nos bureaux régionaux au Cameroun, au Kenya, au Nigeria, au Sénégal, en Zambie, au Zimbabwe et au-delà, nous avons eu un impact sur plus de 150 000 jeunes avec des moyens de subsistance améliorés grâce à nos programmes d’inclusion numérique et de droits numériques. Nos programmes comprennent Life Skills. TIC. Préparation financière. Entrepreneuriat (LIFE), un atelier de préparation numérique pour les filles, et le programme « Life at School Club ».
Nous avons également créé des plateformes en ligne qui éduquent et servent d’espaces sûrs pour signaler les violations des droits numériques. Ces supports, sous forme de rapports, de courts-métrages et de plateformes éducatives en ligne, comprennent Ayeta, Londa et Ripoti.