Lagos, Nigeria, le 20 juin 2024 : Paradigm Initiative a découvert que plusieurs sites web non autorisés affirment avoir accès à des données personnelles et financières sensibles de citoyens nigérians pour une somme aussi modique que 100 nairas. Cette situation inquiétante constitue une violation majeure des droits fondamentaux à la vie privée, une violation des droits à la confidentialité des données et pose des risques significatifs pour les individus et l’économie nationale.

Le 16 mars 2024, un média en ligne, Fij.ng, a publié sur sa plateforme un article intitulé “ALERTE : XpressVerify, un site web privé, a accès aux données des Nigérians enregistrés et gagne de l’argent grâce à ces données”. Dans cette publication, le média présentait une enquête sur un site web dont l’adresse était www.XpressVerify.com.ng, qui avait accès aux données personnelles de citoyens nigérians et les commercialisait à des fins lucratives. Bien que le site ait été rapidement fermé, Paradigm Initiative cherche actuellement à obtenir une réparation juridique au nom des citoyens nigérians. 

À la suite de l’incident XpressVerify, des recherches plus approfondies ont été menées et il a été découvert qu’un autre acteur, appelé AnyVerify.com.ng, opère dans l’espace numérique du Nigeria depuis novembre 2023.

D’après nos recherches, AnyVerify.com.ng est un site web spécialisé dans la distribution commerciale de données personnelles et privées de Nigérians. Sur sa page web, on peut observer un menu déroulant affichant les myriades de services de données que le site web propose. Il s’agit de données personnelles telles que le numéro d’identité national (NIN), le numéro de vérification bancaire (BVN), un NIN virtuel, le permis de conduire, le passeport international, les coordonnées de l’entreprise, le numéro d’identification fiscale (TIN), la carte d’électeur permanente (PVC) et les numéros de téléphone. Toutes ces données sont vendues par ce site web à toute personne intéressée pour la somme de N100.00 (cent nairas seulement) pour chaque demande de données. Ce site web a été visité cinq cent soixante-sept mille, neuf cent quatre-vingt-dix (567 990) fois en février 2024 et cent quatre-vingt-huit mille, trois cent soixante (188 360) fois en avril 2024. 

En raison des graves conséquences pour des millions de Nigérians, nous avons, par l’intermédiaire de nos partenaires juridiques, Vindich Legal, adressé une notification préalable aux agences gouvernementales suivantes : National Identity Management Commission (NIMC), Nigeria Data Protection Commission (NDPC), Nigeria Immigration Service (NIS), Federal Inland Revenue Service (FIRS), Central Bank of Nigeria (CBN), Independent National Electoral Commission (INEC), Federal Road Safety Corps (FRSC) et le bureau de l’Attorney General of the Federation (AGF).

Les préoccupations principales :

1. Violation du droit à la vie privée : L’accès non autorisé à des données personnelles est une atteinte flagrante à la vie privée des citoyens nigérians. La diffusion de ces informations peut conduire à l’usurpation d’identité, à la fraude financière et à d’autres activités malveillantes, y compris le fait que les propriétaires des données soient la cible de cambrioleurs, de kidnappeurs ou de terroristes qui achètent des données comprenant les adresses des domiciles.
2. L’impact économique : La disponibilité en ligne de données financières sensibles peut compromettre la stabilité du système bancaire nigérian. Les transactions frauduleuses et l’usurpation d’identité peuvent éroder la confiance du public dans les institutions financières, ce qui pourrait conduire à une crise financière. Cette situation est exacerbée par les découvertes de pertes énormes subies par les institutions financières au Nigeria en raison de la manipulation numérique.
3. La sécurité nationale : La violation des informations relatives au permis de conduire et d’autres données personnelles peut compromettre la sécurité nationale. Ces informations peuvent être exploitées par des éléments criminels pour des activités illégales, ce qui constitue une menace pour la sûreté et la sécurité de la nation.
4. Les implications juridiques et éthiques : L’existence de ces sites web met en évidence des lacunes importantes dans les mesures de protection des données et de cybersécurité dans le pays. Elle souligne le besoin urgent de lois robustes en matière de protection des données et de mécanismes d’application rigoureux pour sauvegarder les données des citoyens.

La réponse du gouvernement :

Le gouvernement nigérian est prié de prendre des mesures immédiates et décisives pour s’attaquer à ce problème critique. Il s’agit notamment de

• Mener une enquête approfondie pour identifier ces activités illégales en ligne.
• Renforcer les mesures de cybersécurité pour éviter de nouvelles violations de données.
• Mettre en œuvre la loi nigériane sur la protection des données, renforcer la Commission nigériane de protection des données (NDPC) et garantir l’indépendance de la NDPC, afin d’assurer le respect de la vie privée et la sécurité des informations détenues par les citoyens.
• Sensibiliser le public aux risques associés aux violations de données et fournir des conseils sur la manière dont les individus peuvent se protéger. 

Demande de redressement judiciaire :

• Une déclaration que l’accès non autorisé aux données des citoyens nigérians par AnyVerify.com.ng et la commercialisation de ces données violent les dispositions de l’article 37 de la Constitution de la République fédérale du Nigeria 1999 (CFRN). 

• Une déclaration que, en vertu des sections 30 et 39 du Nigeria Data Protection Act (NDPA) 2023, toutes les agences gouvernementales concernées ont le devoir de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité et l’intégrité des données personnelles sensibles des citoyens. 

• Une ordonnance du tribunal exigeant une enquête complète et la publication du rapport d’enquête concernant la violation de données personnelles occasionnée par la fuite de données vers AnyVerify.com.ng et ses clients par la Commission nationale de gestion de l’identité (NIMC).

• Une ordonnance du tribunal obligeant toutes les agences gouvernementales concernées à communiquer au public des informations officielles concernant les activités de leurs agents et de leurs sous-licenciés. 

• Une ordonnance du tribunal obligeant les agences gouvernementales concernées à fournir une restitution sous forme de compensation aux personnes concernées qui ont été affectées par la fuite de données. 

Appel à l’action :

Nous appelons toutes les parties prenantes, y compris les agences gouvernementales, les institutions financières, le secteur privé, les médias, les chercheurs et les organisations de la société civile, à collaborer pour résoudre cette crise de la confidentialité des données. La protection des informations personnelles des citoyens nigérians est primordiale et des efforts collectifs sont nécessaires pour rétablir la confiance et garantir la sécurité de l’infrastructure de données de notre pays. Les Nigérians ont fait beaucoup de sacrifices et ont confié leurs données personnelles au gouvernement en échange d’un contrat social qui inclut la sécurité. Il serait donc ironique de laisser toutes ces données entre les mains de mauvais acteurs tels que les kidnappeurs, les cambrioleurs et les terroristes.

À propos de PIN

Paradigm Initiative (PIN) connecte les jeunes Africains mal desservis avec des opportunités numériques et assure la protection de leurs droits. Nous avons travaillé dans des communautés à travers le Nigéria depuis 2007 et à travers l’Afrique depuis 2017, en acquérant de l’expérience, la confiance de la communauté et une culture organisationnelle qui nous positionne comme une organisation à but non lucratif de premier plan dans le domaine des TIC pour le développement et des droits numériques sur le continent.

Dans nos bureaux régionaux du Cameroun, du Kenya, du Nigeria, du Sénégal, de la Zambie, du Zimbabwe et d’ailleurs, nous avons aidé plus de 150 000 jeunes à améliorer leurs moyens de subsistance grâce à nos programmes d’inclusion numérique et de droits numériques. Nos programmes comprennent Life Skills. TIC. Préparation financière. Entrepreneuriat (LIFE), un atelier de préparation numérique pour les filles, et le programme Life at School Club.

Nous avons également créé des plateformes en ligne qui éduquent et servent d’espaces sûrs pour signaler les violations des droits numériques. Ces supports, sous forme de rapports, de courts métrages et de plateformes éducatives en ligne, comprennent Ayeta, Londa et Ripoti.