En 2024, ICoCA s’est associée à ICT4Peace pour soutenir l’élaboration du tout premier Kit d’outils pour une utilisation responsable des technologies dans le secteur de la sécurité privée. Ce Kit identifie les principaux défis posés par le développement des nouvelles technologies dans ce secteur et propose des recommandations pratiques à l’intention des entreprises afin de mieux gérer les risques qui en découlent.
À l’occasion de la publication du Kit, ICoCA a organisé un atelier consultatif réunissant des experts le 26 mars 2025, afin d’examiner plus en profondeur la manière dont la technologie transforme l’industrie de la sécurité privée, et d’analyser comment les cadres réglementaires et de gouvernance doivent être adaptés et développés en conséquence.
Le présent rapport propose une synthèse des discussions menées autour de quatre grandes questions abordées lors de l’atelier :
Bien qu’il soit difficile de déterminer des catégories clairement définies de technologies éthiques/légales versus non éthiques/illégales, la manière dont les entreprises de sécurité privée (ESP) utilisent ces technologies dépend en fin de compte du niveau de risque qu’elles sont prêtes à prendre. Il existe des domaines spécifiques où l’utilisation de la technologie par une ESP peut être considérée comme illégale ou contraire à l’éthique, par exemple lorsqu’il s’agit de collecter des renseignements visant des individus spécifiques tels que des journalistes ou des leaders de l’opposition. Puisque les instruments juridiques internationaux reconnaissent depuis longtemps le droit à la vie privée comme un droit humain fondamental, l’utilisation responsable des technologies à l’ère numérique implique une sensibilité accrue aux questions de collecte et de protection des données, notamment en raison du fait que ces pratiques ciblent souvent de manière disproportionnée les communautés vulnérables. Les effets en cascade sur les droits humains peuvent aller bien au-delà des seuls risques liés à la vie privée.
Les gouvernements devraient réfléchir au type de cadres réglementaires et juridiques nécessaires pour garantir des pratiques responsables de collecte, de gestion et de protection des données par les acteurs du secteur de la sécurité privée, qu’il s’agisse des ESP traditionnelles ou des entreprises technologiques. L’efficacité des mécanismes de responsabilité existants pour les entreprises fournissant des services de surveillance doit faire l’objet d’une évaluation rigoureuse. Il est possible que ces entreprises ne soient pas pleinement conscientes des obligations et des risques associés à la fourniture de ces types de services.
Il n’appartient pas uniquement aux entreprises de clarifier les exigences en matière de conformité et de diligence raisonnable en matière de droits humains auxquelles elles doivent se conformer, mais aussi aux gouvernements et aux institutions compétentes de formuler des lignes directrices qui contextualisent et intègrent clairement les nouvelles technologies et outils numériques dans les cadres actuels régissant la fourniture de services de sécurité privée.
Il est nécessaire d’étendre les procédures de gestion et de protection des données au-delà du Règlement général sur la protection des données (RGPD) de l’Union européenne — l’un des cadres réglementaires les plus complets à ce jour — afin de faciliter également l’intégration des nouveaux acteurs qui composent désormais le marché de la sécurité privée dans les mécanismes de surveillance.
Des lignes directrices plus inclusives et exhaustives sont indispensables non seulement parce qu’elles permettent d’établir des mécanismes efficaces de conformité et de responsabilité, mais aussi parce qu’elles constituent une source essentielle d’orientation pour les ESP opérant dans des environnements complexes et difficiles. Ces dernières peuvent rencontrer des difficultés à se rapprocher des autorités dans des zones dépourvues de tout code juridique exécutoire, ce qui les rend plus sensibles aux questions de DIH et des droits humains.
En reconnaissant que l’industrie de la sécurité privée offre des opportunités d’emploi importantes dans des pays à faible niveau socio-économique, le remplacement du personnel humain par des drones ou d’autres types de technologies expose les ESP au risque de perdre leur « licence sociale » pour opérer, c’est-à-dire la légitimité qu’elles ont acquise au fil des années en employant des locaux et en interagissant avec leurs communautés. Une manière pour les ESP de gérer ces intérêts conflictuels pourrait être de se proposer comme médiateurs : au lieu de prendre parti en faveur de leurs clients ou des communautés locales qui fournissent la majorité de leur main-d’œuvre, les ESP peuvent utiliser leurs valeurs de responsabilité sociétale pour réduire le risque – ou du moins désamorcer – les conflits sociaux, en proposant des solutions de compromis capables de trouver un équilibre entre l’exploitation plus importante des outils technologiques tout en garantissant des opportunités d’emploi.
Le rôle des ESP opérant dans des environnements complexes soumis à des opérations humanitaires évolue en raison de la technologie. Les activités vont désormais du déminage traditionnel, la surveillance humaine et la protection rapprochée à de nouveaux domaines liés à la technologie impliquant la collecte et le traitement des données. La complexité augmente pour cartographier l’ensemble des parties prenantes avec lesquelles les ESP travaillent et les risques qu’ils prennent en collectant, manipulant et stockant des données sensibles dans des contextes hautement volatils. Étant donné le rôle multidimensionnel et en constante évolution des ESP dans le domaine humanitaire, il existe des défis dans la co-conception des processus avec d’autres acteurs opérant dans ce type de contexte à haut risque, en particulier les organisations de la société civile.
L’impact des services de sécurité basés sur la technologie sur le droit à la vie privée des individus nécessite une attention particulière. Face à la prolifération des acteurs exposés à la gestion d’informations sensibles telles que les données biométriques et susceptibles d’entraîner des violations de la vie privée et des droits humains, il est essentiel d’identifier et de promouvoir des pratiques responsables de gestion des données. Les atteintes à la vie privée peuvent souvent constituer une porte d’entrée à des violations plus larges des droits humains, y compris dans des cas extrêmes comme les exécutions extrajudiciaires — qui représentent évidemment une violation du droit à la vie — lesquelles nécessitent que des violations de la vie privée aient eu lieu au préalable, allant de pratiques de surveillance non divulguées à la conservation de données sensibles.
La dépendance croissante du secteur public aux services de sécurité numériques fournis par le secteur privé soulève des questions sérieuses quant à l’érosion de la souveraineté étatique. Outre les avantages liés aux capacités de recherche et d’investissement du secteur et aux technologies les plus récentes, le recours aux services des ESP implique aussi que les gouvernements n’ont pas un contrôle total sur la manière dont les données utilisées et/ou collectées par ces technologies sont gérées conformément au DIH et aux dispositions relatives aux droits humains. Les ESP et les entreprises technologiques peuvent acquérir d’importants volumes de données civiles issues d’interactions en ligne via des sites web, plateformes de réseaux sociaux, jeux vidéo, etc., à des prix très bas.
Les instruments existants en matière de droits humains peuvent toujours s’appliquer aux nouvelles technologies et services. De petites modifications du Code international de conduite (le Code) pourraient déjà constituer un bon pas pour répondre aux nouveaux défis caractérisant l’ère numérique de la sécurité privée. Toute adaptation des cadres réglementaires actuels doit cependant être conceptualisée, mise en œuvre et communiquée avec clarté et précision. Compte tenu de l’ambiguïté des normes du travail dans les pays les plus pauvres et du manque de rôles clairement désignés entre les exigences de conformité du secteur privé et les régimes réglementaires de l’État, de nouvelles solutions réglementaires doivent être formulées en prenant en compte explicitement à la fois le secteur public et le secteur privé, en attribuant à chacun des responsabilités claires et des exigences de diligence raisonnable.
Les technologies peuvent être considérées comme de nouveaux types de « moyens et méthodes » par lesquels les services de sécurité sont fournis, puisque l’objectif d’un service de sécurité rendu par des moyens technologiques reste similaire à celui d’un service rendu par des moyens traditionnels. Par conséquent, les deux types de services devraient être traités de manière égale en vertu de la loi ou du statut applicable. Regrouper les technologies pertinentes en tant que « moyens et méthodes » de façon ni trop spécifique ni trop générale demeure néanmoins un défi. Il est essentiel de cartographier les menaces les plus pertinentes alimentant la demande pour les services de sécurité technologiques, puis d’identifier quel type de technologies les ESP et les entreprises technologiques fournissent pour y répondre. Cela pourrait constituer un moyen de trouver un équilibre entre une réglementation fondée sur des principes — qui s’appuie sur des principes généraux, formulés de manière large, établissant des standards auxquels les entreprises réglementées doivent se conformer, tout en laissant place à l’interprétation — et une réglementation fondée sur des règles — qui repose sur des règles détaillées et prescriptives, beaucoup plus strictes.
Identifier des moyens d’adapter le Code aux nouveaux types de services numériques désormais fournis tant par les ESP que par les entreprises technologiques est essentiel. De même, les réglementations existantes n’incluent pas des termes comme « vie privée », « protection des données » ou « cybersécurité », car elles ont été rédigées en tenant principalement compte des attaques physiques et des opérations militaires. La définition actuelle des services de sécurité dans le Code risque d’être trop étroite à deux égards : premièrement, elle ne contient pas de références explicites aux services liés à la technologie comme les développeurs d’applications, les fournisseurs de services cloud et autres ; deuxièmement, en se concentrant uniquement sur « l’usage » d’un service spécifique, qu’il soit technologique ou non, le Code exclut de facto une grande partie du cycle de vie du développement des produits technologiques. Il en résulte que toute pratique de collecte ou de gestion de données effectuée avant la mise sur le marché du produit est bien plus exposée à des violations du DIH et des droits humains. Il convient également d’examiner attentivement si les services de cybersécurité et les risques associés pour les droits humains et le DIH sont suffisamment distincts pour justifier une approche spécifique. Qu’il s’agisse d’une révision complète du Code ou d’une approche plus légère consistant à intégrer des termes technologiques explicites et précis dans les articles existants, la mise à jour des indicateurs de conformité du Code apportera davantage de clarté sur les exigences de conformité relatives aux services technologiques sans nécessiter la révision intégrale du Code.
L’efficacité stratégique de « poursuivre » directement les entreprises technologiques en modifiant le Code et en les « forçant » à entrer dans son cadre mérite réflexion. Les Membres et Affiliés d’ICoCA souhaitent démontrer à leurs clients qu’ils respectent des cadres assurant une gestion sécurisée des données et la conformité aux droits humains. Mais actualiser et réviser le Code pour suivre le rythme des évolutions technologiques pose des défis considérables. Le rythme rapide des changements technologiques rend la mise à jour du Code extrêmement difficile. La véritable question consiste à identifier les domaines prioritaires, ceux qui sont insuffisamment couverts, ceux qui le sont excessivement, ainsi que les défis pour lesquels les ESP cherchent des solutions.
Il sera nécessaire de développer des stratégies de sensibilisation à destination des entreprises technologiques nouvellement présentes sur le marché de la sécurité privée. Le potentiel d’ICoCA pour établir un dialogue avec ces entreprises et élargir les discussions sur les nouvelles technologies doit être évalué. Il sera également essentiel de mettre en place des mécanismes clairs d’engagement non seulement avec les entreprises technologiques, mais aussi avec les plateformes multipartites et les organisations de la société civile actives dans ce domaine.
ICoCA devrait viser à diversifier davantage ses partenariats, en s’engageant notamment avec des organisations de la société civile et des structures représentant des coalitions en réseau, telles que le Global Network Initiative (GNI) ou le Heartland Initiative. Cela permettrait à ICoCA d’élargir son modèle de gouvernance et d’y inclure un éventail plus large d’acteurs.
Il est nécessaire d’accroître et de mieux communiquer les enjeux pour les entreprises en matière de conformité avec les réglementations relatives aux technologies utilisées et/ou fournies. Les risques en termes de réputation et de sécurité associés aux technologies ne sont pas encore perçus aussi fortement que d’autres types d’incidents liés à l’éthique classique de la responsabilité d’entreprise. Le développement d’études de cas, diffusées via la carte des cas d’ICoCA, permettrait de mieux illustrer les risques et les bonnes pratiques liés à l’utilisation des technologies dans le secteur de la sécurité privée, et de traduire les lignes directrices de Kit à outils en recommandations pratiques fondées sur des preuves. Ce processus pourrait également servir de mécanisme de retour d’information pour maintenir le Kit à outils à jour et pertinent.
Les défis posés par les technologies dans le secteur de la sécurité privée sont multidimensionnels et impliquent des acteurs issus de l’ensemble du spectre de la gouvernance – qu’ils soient internationaux, nationaux, privés ou publics. Toute stratégie visant à renforcer la responsabilité en matière de DIH et de droits humains dans ce domaine doit donc reposer sur un cadre de « gouvernance co-réglementaire », fondé sur la « participation significative des acteurs étatiques, économiques et de la société civile » (David Kaye, Rapporteur spécial des Nations Unies sur la liberté d’opinion et d’expression).
ICoCA s’engage à adopter une stratégie actualisée, conçue comme un plan d’action collaboratif et multipartite. À travers cette stratégie, ICoCA vise à : (i) élargir sa plateforme et l’adapter à tous les nouveaux acteurs introduits dans le secteur par l’émergence des technologies ; (ii) promouvoir et soutenir la mise en œuvre de le Kit à outils afin d’accompagner les prestataires de sécurité dans leur conformité aux droits humains, au DIH et aux dispositions du Code ; (iii) envisager une révision du Code afin de contribuer à l’élaboration d’un cadre réglementaire et de gouvernance global, que la communauté internationale pourrait utiliser comme référence pour étendre les principes de conduite éthique des affaires au domaine de la sécurité privée à l’ère numérique.