Au Myanmar, le les enregistrements téléphoniques des militants pro-démocratie les relient comme des suspects sur un panneau de liège. Lorsque bon nombre de ces militants ont fui la répression militaire et se sont cachés après le coup d’État de février 2021, ils pensaient que les pistes d’appels téléphoniques, cartographiant leur association avec des membres de leur famille et des collègues étaient en sécurité sur des réseaux échappant au contrôle de l’armée. Maintenant, ils prétendent que les données sont en péril.
Comme toutes les entreprises de télécommunications, les quatre principaux opérateurs du Myanmar conservent un enregistrement des métadonnées des appels téléphoniques, des informations sur qui appelle qui, quand et pendant combien de temps. Le militant pro-démocratie Kyaw (nom d’emprunt), ne s’est pas beaucoup inquiété de ses métadonnées même lorsque le coup d’État a choqué le pays. L’activiste, qui a demandé que son vrai nom ne soit pas publié parce qu’il a peur d’être arrêté par l’armée, pensait que ses données personnelles étaient en sécurité car il utilisait une carte SIM fabriquée par Telenor, une multinationale dont le siège est en Norvège, un pays où il liés à la démocratie et aux droits de l’homme.
Mais en juillet, ce sentiment de sécurité a été anéanti lorsque Telenor, la deuxième plus grande entreprise de télécommunications du pays, a annoncé qu’elle quitterait le Myanmar, vendant 100 % de l’entreprise à M1, un groupe d’investissement libanais. Pendant les sept mois suivants, l’entreprise a tenté d’échapper à la détérioration de la situation sécuritaire du Myanmar et à la pression militaire pour installer des équipements de surveillance dans ses réseaux. Mais alors que Telenor rejoint d’autres sociétés internationales qui se précipitent vers la sortie, la nouvelle de son départ a semé la panique parmi les militants des droits de l’homme comme Kyaw, qui craignent que leurs données ne se retrouvent entre les mains de l’armée à la suite de la vente.
Les militants se bousculent pour empêcher que cela se produise. Plus de 470 groupes de la société civile du Myanmar ont déposé une plainte contre la vente de Telenor en juillet. Le même mois, Kyaw a écrit une lettre demandant à l’entreprise de supprimer ses données personnelles – une demande à laquelle il pensait que Telenor devrait se conformer car la Norvège se conforme à la loi européenne sur la confidentialité GDPR. Mais la réponse de Telenor, vue par WIRED, a déclaré que le RGPD « ne s’applique généralement pas à Telenor Myanmar », frustrant Kyaw. « Nous les payons, tout comme les citoyens de l’UE, mais le traitement est très différent », dit-il. « L’inquiétude est que si le régime prend le contrôle de ces données, il sera en mesure d’extirper les réseaux », explique Joseph Wilde-Ramsing, chercheur principal à SOMO, un groupe néerlandais qui enquête sur l’éthique des multinationales et aide Kyaw avec son cas. « S’ils trouvent une personne et qu’ils découvrent le numéro, ils peuvent voir avec qui ce numéro a été en contact et ils peuvent retrouver les membres de la famille et les contacts du réseau et les autres militants et utiliser ces informations pour cibler les gens. »
Cette semaine, Kyaw essaie une nouvelle approche. Le 8 février, il a déposé une plainte légale – dans laquelle son vrai nom est expurgé – faisant valoir que les activités de Telenor au Myanmar sont soumises au RGPD en tant que filiale d’une société norvégienne. La plainte, déposée auprès de l’autorité norvégienne de protection des données, met en lumière comment le géant des télécoms s’est retrouvé coincé entre vouloir quitter le Myanmar le plus rapidement possible et sa responsabilité envers les utilisateurs qui pensent que l’armée pourrait utiliser ses données pour les retrouver.
« Nous comprenons que Telenor veut partir », déclare Ketil Sellæg Ramberg, associé du cabinet d’avocats SANDS à Oslo qui travaille sur l’affaire. « Notre préoccupation est qu’ils quittent le pays sans protéger les données des 18 à 19 millions de clients. » Ramberg affirme que la plainte est une tentative d’inciter l’autorité norvégienne des données à intervenir et à prouver que le groupe dont le siège est norvégien contrôle le traitement des données au Myanmar, une affirmation que Telenor nie. « Aucune des données n’est traitée en Norvège ou dans l’UE et le RGPD ne s’applique pas au traitement des données clients de Telenor Myanmar », a déclaré le porte-parole de Telenor, David Fidjeland.