Dernière mise à jour : Février 2025
Ce document détaille le processus et les résultats de l'Évaluation de l'Impact sur la Protection des Données (DPIA) de Loop. Il suit le processus et le modèle établis par les lignes directrices de l'Information Commissioner's Office, conformément aux directives européennes sur les DPIA.
La plateforme en ligne indépendante de Loop réinvente la responsabilité dans l'aide humanitaire et le développement en permettant aux communautés de donner librement et en toute sécurité leur avis sur les services qu'elles reçoivent.
Notre objectif chez Loop est de garantir que les personnes puissent partager leurs opinions et leurs expériences sur tout sujet important pour elles. Cela peut inclure des remerciements, une question, une demande de soutien, une préoccupation ou des questions sensibles telles que des rapports d'exploitation sexuelle, d'abus, de protection des enfants, de violence basée sur le genre, de fraude ou de corruption. Loop a investi massivement dans un système permettant de canaliser ces retours sensibles hors de la plateforme publique et de les traiter de manière sécurisée et confidentielle.
Loop est accessible à tous : en ligne, par SMS, WhatsApp, Messenger ou par la technologie de Réponse Vocale Interactive (IVRR) en langues locales, offrant ainsi un canal totalement sécurisé et anonyme pour signaler des retours sensibles, gérés de manière confidentielle. Il est donc essentiel que les processus et systèmes de Loop adhèrent aux plus hauts niveaux de protection des données pour garantir la sécurité des personnes.
Notre priorité est de s'assurer que les gens puissent partager leurs opinions et expériences de manière sécurisée, ouverte et transparente, afin de promouvoir un changement social positif à l'échelle individuelle, communautaire et mondiale.
La sécurité des données, la confiance et la protection sont au cœur de la plateforme Loop, ce qui permet d'ajouter de la valeur à d'autres. L'analyse de l'impact sur la protection des données est donc intégrée dans tout ce que Loop fait, plutôt qu'un projet ponctuel ou un processus isolé. Ce DPIA de Loop est un document vivant, mis à jour au fur et à mesure que nous évaluons l'impact et mettons en œuvre de nouvelles fonctionnalités.
Ce DPIA concerne la plateforme Loop, les retours ouverts et sensibles, incluant tout retour reçu sur la plateforme ouverte Loop et la page de statistiques, de n'importe quel pays, via n'importe quel canal et dans n'importe quelle langue. Il inclut également tout retour sensible reçu par n'importe quel canal, dans n'importe quelle langue, et envoyé aux Responsables des Feedbacks Sensibles pour référence et traitement.
Ce DPIA est un document public en open source, conformément à nos politiques et approches ouvertes, et est disponible sur le site Web de Loop, avec nos Codes de Conduite, notre Politique de confidentialité et d'autres informations organisationnelles. Il est en open source car la sécurité des données est importante pour les individus choisissant d'utiliser Loop et pour les organisations souhaitant utiliser Loop pour interagir, apprendre et répondre plus efficacement aux populations locales, tout en accédant aux données ouvertes en toute confiance.
L'impact de la protection des données et les risques associés sont des éléments essentiels et continus dans la conception et le développement de la plateforme Loop, ainsi que de toutes les fonctionnalités, qu’elles soient existantes ou nouvelles. Bien que le produit soit déjà fonctionnel et que l'infrastructure principale soit déjà en place, nous documentons le processus, les conclusions et les actions d'atténuation déjà mises en œuvre, et nous continuerons à les évaluer, les ajuster et à les améliorer de manière continue, à chaque ajout de fonctionnalités, pays et retours d’expérience des utilisateurs, de nos partenaires et des principales parties prenantes.
La protection des données ne concerne pas seulement le matériel et les logiciels, mais également les politiques, les comportements, la culture et la communication. Vos retours sont donc les bienvenus pour améliorer ce document, nos méthodes de protection des données et la plateforme elle-même. Merci de partager tout retour avec gabriella@talktoloop.org pour nous aider à offrir le service le plus sécurisé possible.
Loop recueille des données et des retours via notre plateforme, de la part de tout utilisateur, où qu'il soit dans le monde. Nous fonctionnons selon un modèle de franchise caritative où des organisations nationales demandent à être les hôtes de Loop dans un pays donné. Nous travaillons ensuite ensemble en partenariat pour construire les produits appropriés - langues, méthodes d'entrée, etc. - en fonction des besoins et du contexte du pays.
Les retours sont étiquetés par des modérateurs, comme par exemple les organisations qui pourraient être en mesure de répondre aux retours pour offrir de l'aide ou du soutien. Chaque retour est étiqueté en fonction du type de retour (par l'auteur ou le modérateur) et du domaine thématique par le modérateur, afin de faciliter l'analyse des retours au niveau global. L'auteur est invité à classer son retour comme "sensible" ou non. Les modérateurs peuvent également ajouter une étiquette "sensible", mais ils ne peuvent pas supprimer cette étiquette si elle a été définie ainsi par l'auteur du retour.
Le schéma ci-dessous montre le flux d'informations entre les deux principaux acteurs (les personnes touchées par des crises et les organisations sur lesquelles elles font des retours) ainsi que les informations utilisées. Les données plus détaillées sont ensuite décrites dans la figure ci-dessous :
Figure 1 : Carte du flux de données de Loop
Les informations issues des retours soumis qui ne sont PAS marquées comme sensibles, sont publiées sur la plateforme ouverte de Loop, et une notification est envoyée à toutes les personnes qui interagissent avec le contenu à chaque fois qu'il y a une nouvelle interaction sur ce fil de retour.
Les retours sensibles sont quant à eux envoyés aux responsables des retours sensibles et toutes les données sont supprimées de la plateforme ouverte Loop et de la page des modérateurs. Seuls les responsables des retours sensibles formés par Loop, le CEO et un membre de l'équipe technique peuvent accéder à l'outil de gestion des retours sensibles hébergé sur Airtable. Cet outil est adapté aux besoins de Loop et est conforme au RGPD.
Les utilisateurs peuvent uniquement se contacter entre eux via la plateforme Loop, de manière similaire à Twitter ou Instagram. Cependant, chaque interaction passe d'abord par un processus de modération humaine (contrairement à Twitter ou Facebook) et rien n'est publié sur la plateforme publique de Loop tant que les critères de Loop ne sont pas respectés. Ceux-ci incluent :
Nos politiques et processus incluent une mesure selon laquelle si des personnes partagent trop d'informations pouvant les mettre en danger, les modérateurs peuvent soit retirer des étiquettes (qui sont ensuite supprimées de notre base de données), soit rejeter le retour et demander à l'auteur de le soumettre à nouveau conformément aux protocoles de la plateforme, garantissant un espace sécurisé et modéré pour tous les utilisateurs.
Nos modérateurs peuvent modifier certains aspects d'un retour, comme masquer des numéros de téléphone ou des noms de famille pour des raisons de sécurité. Le retour original reste dans la base de données Loop, mais n'est pas accessible au public. Des étiquettes indiquant que le post a été expurgé apparaissent sur la plateforme. Il existe des directives strictes sur ce qui peut ou ne peut pas être expurgé, en plaçant l'intégrité des retours et la sécurité au cœur de toutes les décisions.
Les seules données qu'un auteur doit partager pour soumettre un retour sur Loop sont le retour lui-même, composé de 8 caractères ou plus. Il est également possible de partager des détails supplémentaires sur le retour et/ou l'auteur. Ces informations sont toutes optionnelles et sont listées dans la section suivante. Cette politique de « consentement explicite » est notre façon de minimiser la collecte de données personnelles, en donnant aux utilisateurs un contrôle total sur les données qu'ils souhaitent partager ou non. Une personne (au sein ou en dehors d'une organisation) qui soumet une réponse n’a également besoin que d' écrire 8 caractères ou plus et peut inclure ou non ses coordonnées de réponse.
Nous avons choisi de ne demander que les données minimales (groupes d'âge, genre, handicap selon les définitions du Groupe de Washington). Bien que des organisations aient demandé à Loop de collecter des données supplémentaires telles que le statut juridique, la race, l'origine ethnique, nous ne collectons ces informations que si elles sont volontairement incluses dans le texte soumis.
Nous ne conserverons les enregistrements vocaux que pour la durée minimale requise afin de pouvoir répondre à toute question concernant les retours soumis via IVRR. Pour l'instant, cette durée est fixée à 6 semaines, mais nous espérons la réduire à deux semaines lorsque nos systèmes seront bien affinés et testés.
Connaître le pays dans lequel se trouvent les auteurs nous aide à comprendre le contexte de chaque retour, à étiqueter plus facilement les organisations pertinentes susceptibles de répondre et de fournir un meilleur soutien. Nous détectons automatiquement le pays d'un auteur en utilisant l'adresse IP de l'appareil, et l'auteur a également la possibilité de l'inclure. Il doit donner son consentement pour qu'elle soit incluse. L'adresse peut également être modifiée.
Loop utilise la localisation approximative pour encourager les organisations proches de l'auteur à répondre aux retours et à fournir un soutien. En fonction de la localisation entrée, nous utilisons l'API Google Places pour identifier le village/la ville la plus proche, puis contacter l'organisation locale pour l'informer du retour et l'inviter à y répondre.
Les informations sur les localisations précises ne sont ni stockées ni partagées. Nous ne conservons pas de géolocalisation ; nous utilisons plutôt la géolocalisation de l'utilisateur au moment de l'interaction pour un géocodage que nous arrondissons au moins au niveau de la ville pour éviter l'identification des utilisateurs. Cela signifie que seules des localisations approximatives seront affichées à côté des retours si l'auteur choisit de les entrer.
Le fait que les utilisateurs marquent une organisation dans un retour permet à Loop d'encourager les organisations à répondre, et ainsi de boucler la boucle des retours, incitant à de nouveaux retours. Une organisation enregistrée qui est marquée est automatiquement notifiée du retour. Une organisation non enregistrée qui est marquée recevra quant à elle un email du modérateur l'invitant à rejoindre la plateforme et à répondre au retour.
Cela permet à Loop de montrer qui écoute et répond aux retours.
Les auteurs peuvent identifier les organisations auxquelles ils souhaitent adresser le retour, et Loop ou toute autre personne peut marquer ou suggérer d'autres organisations susceptibles d'être intéressées par ou capables de répondre au retour.
Ces données permettent aux organisations de voir qui est écouté et de mieux comprendre qui n'est pas en mesure de partager sa voix, ses expériences et ses retours. Cela permet de mieux cibler les activités pour écouter les voix marginalisées.
Cela permet de rendre les interactions plus personnelles ou d'identifier des retours communs d'un même auteur. Les auteurs peuvent choisir de partager leur nom complet, d'utiliser un pseudonyme ou de rester anonymes. Si un nom est partagé, il est affiché à côté du retour.
Les modérateurs peuvent expurger certains aspects du nom si cela met l'auteur en danger (par exemple, supprimer le nom de famille). Cela est évalué différemment selon chaque contexte, avec les directives appropriées au niveau du pays.
Les noms du personnel ou des organisations sont saisis par les individus eux-mêmes et ne sont stockés que dans Airtable. Cela permet aux organisations d'être notifiées si elles sont marquées dans un retour. Cela reste optionnel.
Seuls le propriétaire des données et le responsable du traitement des données ont accès à ces noms.
Le fait de fournir un numéro de téléphone est important pour que les réponses aux retours puissent atteindre les auteurs et que la boucle des retours soit bouclée. Cela élimine l'aspect extractif de certains mécanismes de retour.
Si un auteur partage son numéro de téléphone et consent à être contacté, nous le notifierons lorsqu'une réponse est donnée.
Les numéros de téléphone sont stockés sur la base de données chiffrée et séparée de Loop, et ne sont accessibles à aucun utilisateur ou modérateur. Seuls le propriétaire des données et le responsable du traitement des données peuvent les voir.
Les numéros ne sont jamais publiés en ligne, et nous ne partagerons jamais de numéros de téléphone issus des retours publics avec qui que ce soit. Les autres utilisateurs peuvent uniquement contacter un auteur via la plateforme Loop.
Si un retour est sensible, les responsables des retours sensibles peuvent voir les numéros une fois qu'ils sont envoyés sur Airtable. Toutes les données sont supprimées de la plateforme des modérateurs Loop. Les auteurs sont interrogés pour savoir s'il est sûr de les contacter. Leur réponse apparaît dans Airtable.
Si un auteur inclut son numéro de téléphone dans le texte principal de son retour, le modérateur peut « détacher » l'information ou expurger le numéro avant de publier le retour. Le retour original est enregistré dans le système mais n'est pas visible du public.
Les numéros de téléphone liés à un retour sensible envoyé sur Airtable ne sont visibles que sur cette plateforme, et seuls les responsables des retours sensibles y ont accès.
Les numéros de téléphone des organisations sont saisis par les individus eux-mêmes et ne sont stockés que sur Airtable. Cela permet aux organisations d'être notifiées si elles sont marquées dans un retour. Les organisations peuvent partager leur adresse email au lieu d'un numéro de téléphone. Cela reste optionnel.
Seuls le propriétaire des données et le responsable du traitement des données ont accès à ces numéros de téléphone.
De même, fournir une adresse email est important pour que la boucle des retours soit bouclée et que les auteurs puissent participer aux discussions en cours. Cela élimine l'aspect extractif de certains mécanismes de retour.
Si une adresse email est fournie, l'auteur sera notifié des réponses. Il peut se désabonner de ces notifications à tout moment. L'adresse email n'est pas publiée en ligne, et Loop ne partage jamais l'adresse email avec quiconque. Les gens peuvent uniquement contacter un auteur via la plateforme Loop.
Les adresses email des organisations sont saisies par les individus eux-mêmes et ne sont stockées que sur Airtable. Cela permet aux organisations d'être notifiées si elles sont marquées dans un retour. Seuls le propriétaire des données et le responsable du traitement des données ont accès à ces adresses email.
Les personnes ayant une condition physique ou mentale sont souvent traitées différemment. Si nous en avons connaissance, nous pouvons essayer de trouver une organisation spécialisée qui pourra mieux répondre à leurs besoins. Nous affichons également ces données sur notre page de statistiques à partir des étiquettes placées par l'auteur ou les modérateurs. Les données utilisées sur notre page de statistiques aident les personnes et les organisations à comprendre qui utilise Loop et quels sont leurs besoins et expériences spécifiques. Cela permet aux organisations de cibler plus précisément ces populations moins entendues afin de mieux répondre à leurs besoins.
Nous suivons les définitions approuvées par le Groupe de Washington sur les Statistiques du Handicap pour les noms d'étiquettes, et nous demandons si quelqu'un s'identifie comme ayant un handicap. Si l'auteur choisit de le divulguer, les étiquettes qu'il choisit sont ajoutées à son retour. Cela inclut :
Les personnes de genres différents sont souvent traitées différemment et nécessitent des types de soutien différents. Si nous sommes au courant de cela, nous pouvons essayer de trouver une organisation qui pourra mieux répondre à leurs besoins. Nous affichons un aperçu des données relatives au genre sur notre page de statistiques à partir des étiquettes ajoutées par les auteurs ou les modérateurs. Les options incluent:
Les personnes d'âges différents sont souvent traitées différemment. Si nous sommes au courant de cela, nous pouvons essayer de trouver une organisation qui pourra mieux répondre à leurs besoins. Nous affichons un aperçu des données relatives à l'âge sur notre page de statistiques à partir des étiquettes ajoutées par les auteurs ou les modérateurs. Les options incluent les tranches d'âge suivantes :
Les retours provenant d'enfants de moins de 14 ans sont traités comme sensibles et retirés de la plateforme ouverte. Les modérateurs les étiquettent comme "sensibles" et les renvoient aux responsables des retours sensibles.
Le service de téléchargement de données de Loop permet aux utilisateurs d'exporter des données de retours ouvertes au format CSV, facilitant ainsi une analyse détaillée et la création de rapports personnalisés. Il inclut l'extraction automatique de données via une API pour une intégration fluide avec les systèmes existants, offrant un accès en temps réel aux données de retour. Les données téléchargeables sont une réplique des informations sur la plateforme ouverte, à l'exception des informations sensibles et des informations personnelles identifiables (PII). Ce service améliore la gestion des données pour un engagement communautaire plus efficace.
La Directrice Générale de Loop est la propriétaire des données. Elle rend compte au Conseil d'administration tous les deux mois, ce qui inclut la présentation des risques de gestion des données, qui sont stockés dans le Registre des risques de Loop. Ce registre inclut des risques liés à la protection des données, à la réputation, aux partenariats, et autres.
Le Registre des risques de Loop est un tableau accessible à tout le personnel de Loop pour y contribuer et y faire des commentaires. Il est révisé tous les six mois.
Loop a également recruté un conseiller en technologie pour le conseil consultatif de Loop afin de fournir des avis secondaires et des conseils de manière continue.
Les modérateurs de Loop et les responsables de pays sont employés contractuellement par les organisations hôtes dans chaque pays.
Les responsables des retours sensibles de Loop et le responsable de l'expérience utilisateur et de l'assurance qualité sont employés directement par Loop.
Tout le personnel, consultants et partenaires signent les politiques et le code de conduite de Loop, qui incluent des exigences de confidentialité. Ils suivent également des formations sur la protection et la gestion des données, qui couvrent les politiques de gestion des données de Loop.
L'équipe senior de la plateforme de Loop est composée de la Directrice Générale (propriétaire des données), du responsable du traitement des données et du responsable technologique de Loop. Cette équipe est responsable de la gestion et de la prise de décision concernant la sécurité des données, leur stockage et leur accès.
Loop apprend en permanence et vise à adopter une approche de confidentialité dès la conception. Pour maintenir la sécurité de la plateforme, nous effectuons des revues de maintenance de sécurité mensuelles et des audits internes. Pour chaque nouvelle fonctionnalité, nous réalisons des audits externes pour vérifier et identifier toute vulnérabilité potentielle qui n'a pas déjà été identifiée par les concepteurs et les développeurs. Cela inclut des tests continus de pénétration.
Il existe un code de conduite que tout le personnel de Loop doit signer, contenant des dispositions sur la confidentialité et la gestion des données. Nous discutons de la confidentialité avec tous les responsables des retours sensibles qui ont un accès supplémentaire aux données, en particulier aux retours sensibles. Tous les responsables des retours sensibles ont suivi une formation de haut niveau et sont des professionnels dans le domaine de la gestion de cas, de la protection, etc.
Tous les modérateurs et responsables des retours sensibles, ainsi que les consultants qui ont signé un accord de non-divulgation et de confidentialité, disposent d'adresses email talktoloop.org et n'ont accès qu'à la documentation partagée de Loop via cette adresse email. Les modérateurs ne doivent utiliser les emails talktoloop.org que pour échanger des informations sur les retours sensibles. Cela fait partie du processus d'intégration et est révisé lors des sessions de formation sur la protection des données.
Nous stockons toutes les données mentionnées ci-dessus dans la base de données de Loop, hébergée sur AWS à Francfort, en Allemagne (dans l'Union européenne). Nos méthodes de stockage sont conformes aux directives du RGPD. L'infrastructure AWS offre des niveaux de sécurité via leur infrastructure. De plus, nous utilisons le chiffrement au niveau de la base de données comme mesure supplémentaire de sécurité des données.
Comme mentionné, nous stockons et gérons les données de retours sensibles sur Airtable, qui est conforme au RGPD.
Nous chiffrons toutes les données que nous stockons ; personne d'autre que l'équipe Senior de la plateforme ne peut accéder aux informations. Les numéros de téléphone et les emails ne peuvent être consultés que par l'équipe Senior de la plateforme et, si nécessaire, par les responsables des retours sensibles désignés pour traiter les retours sensibles et orienter vers les services appropriés.
Nous utilisons les services suivants pour héberger les données et les fichiers permettant à Loop de fonctionner :
AWS traite les données de Loop à Francfort, en Allemagne. Le traitement des données inclut la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation, l'utilisation, la mise à disposition, l'effacement ou la destruction de données personnelles. Pour plus d'informations, consultez le site de l'UE. L'avis de confidentialité d'AWS est parmi les meilleurs et les plus transparents examinés. Ils affirment, en ce qui concerne le contenu, que les clients sont pleinement propriétaires de leur propre contenu. AWS n'accède jamais à notre contenu sans consentement et ne tire pas d'informations à partir de celui-ci. Nous restons également le contrôleur des données pour notre contenu. Tous les services utilisés par Loop avec AWS sont conformes à la norme ISO 27018:2019.
Nous utilisons ce service pour envoyer des mails d'activation de compte afin que les utilisateurs puissent définir un mot de passe pour leur compte Loop. En savoir plus sur la protec
tion des données d'Amazon Simple Email Service.
Pour d'autres communications par email, nous utilisons la plateforme marketing de Brevo, une suite CRM. Brevo est conforme au RGPD. Leur politique de confidentialité précise qu'ils ne partagent pas les données ou les contacts en dehors des situations légales où ils n'ont pas d'autre choix.
TalktoLoop.org utilise des traceurs, y compris des cookies. Loop n'utilise que des traceurs directement gérés par nous et qui sont strictement nécessaires pour faire fonctionner la plateforme. Nous n'autorisons aucun traceur tiers, afin que les annonceurs et les systèmes analytiques ne suivent pas les données de Loop.
La politique de confidentialité d'Airtable est claire et détaillée. Nous avons opté pour ne pas participer à la publicité et à la collecte de données par Google. Airtable supprime activement les informations personnelles appartenant à des enfants. Nous utilisons une base de données Airtable adaptée aux besoins de Loop pour le traitement des retours sensibles. Nous utilisons également une base de données Airtable pour recueillir les adresses email des organisations souhaitant être informées par Loop des nouveaux retours. Nous stockons les noms, emails et numéros de téléphone des personnes consentantes. Toutes les données Airtable ne sont accessibles qu'à un personnel spécifique de Loop, via une authentification à deux facteurs. Le processus de connexion sera amélioré dans les futures mises à jour.
Cloudflare a une très bonne réputation pour protéger les entreprises et les organisations contre les attaques. Leur politique de confidentialité est très claire sur le fait qu'ils le font sans compromettre les données. Nous utilisons Cloudflare comme sécurité supplémentaire pour protéger la plateforme contre les attaques par déni de service distribué (DDoS). Cela apporte de nombreuses fonctionnalités de sécurité supplémentaires.
Nous avons limité nos activités avec Microsoft en raison de leur manque de transparence et de la nature fragmentée du partage d'informations pertinentes concernant le partage ou le traitement des données.
Nous limitons notre utilisation de Google à Google Workspace pour les emails internes et le stockage de fichiers partagés internes entre le personnel de Loop. Nous gérons les comptes Loop ici pour garantir que l'accès des employés aux fichiers et services de Loop est géré à partir d'un emplacement centralisé unique.
Les adresses email et les numéros de téléphone sont stockés :
Cela est utilisé par le système pour notifier automatiquement les utilisateurs lorsqu'un retour est publié/rejeté ou lorsqu'une réponse à un retour publié est reçue et publiée. Seuls le propriétaire des données et le responsable du traitement des données de Loop ont accès à ces informations.
Nous stockons les emails, numéros de téléphone et noms, si les utilisateurs choisissent et consentent à les partager, afin de créer des comptes Loop pour les utilisateurs. Seuls le propriétaire des données et le responsable du traitement des données ont accès à ces informations.
Seuls les responsables des retours sensibles de Loop, le propriétaire des données et le responsable du traitement des données ont accès à ces informations.
Pour une sécurité supplémentaire, nous avons activé l'authentification à deux facteurs pour AWS et Airtable.
Si une demande de partage de données est formulée, cela ne se fait qu'avec le consentement éclairé de l'auteur et de toutes les personnes concernées. Le consentement éclairé est une exigence pour le référencement de retours sensibles. Il est demandé de manière privée (pas sur la plateforme Open Loop) en utilisant tout moyen de contact qui a été partagé avec nous (email, téléphone, SMS). Si nous n'obtenons pas de réponse de l'auteur, nous ne partageons pas les informations demandées, sauf si nous évaluons un risque potentiel, auquel cas une évaluation des risques est réalisée individuellement par un responsable des retours sensibles en collaboration avec la Directrice Générale de Loop.
Nous utilisons cet accord de partage de données lorsque nous partageons des données avec des organisations partenaires.
Les modérateurs sont des personnes nationales qui peuvent identifier les nuances culturelles et sociales locales. Loop est hébergé dans une infrastructure nationale afin de s'appuyer sur les réseaux d'acteurs locaux ayant des connaissances et des contacts pour soutenir le déploiement et la cartographie des référencements de Loop.
Si un individu déclare qu'il s'enregistre en tant qu'employé d'une organisation, nous examinons les informations partagées, les informations sur le web et au sein de nos réseaux pour authentifier que l'adresse email/personne est associée à cette organisation. Nous pouvons également envoyer un email à l'individu en demandant une preuve. Ce n'est pas un processus infaillible, car de nombreux employés de petites organisations locales n'ont pas d'emails professionnels et leur organisation n'a pas de site web, mais fonctionne via une page Facebook.
Nous organisons des réunions mensuelles pour les modérateurs au sein des équipes nationales afin d'apprendre les uns des autres, de former aux nouvelles améliorations technologiques et de garantir un standard élevé et cohérent de modération.
Nous pouvons retirer des publications pour être à nouveau modérées ou rejetées si un problème est signalé ou si de nouvelles informations émergent à tout moment.
Nous améliorons et mettons constamment à jour la plateforme, en fonction des apprentissages et des améliorations technologiques. Par exemple, nous avons mis en place un moyen de retirer des informations, en fonction des facteurs de risque par pays, pour garantir qu'aucune PII ne soit publiée. La technologie identifie si trop de publications proviennent d'une seule adresse IP et la bloque. Les modérateurs rejettent les soumissions répétitives ou les schémas étranges de publication de retours et les rejettent lorsque cela est approprié, en expliquant pourquoi.
Quiconque peut nous demander de supprimer, modifier, re-taguer ou supprimer complètement toute information qu'il a partagé. Cela est effectué par des modérateurs sans poser de questions, puis envoyé au propriétaire des données pour traiter les demandes de mise à jour des données.
Quiconque peut également nous demander de retirer une publication qu'il n'a pas écrite s'il estime qu'elle ne respecte pas les directives de la communauté, les protocoles des modérateurs ou pourrait causer du tort d'une autre manière. Ces demandes seront envoyées à un responsable des retours sensibles pour révision et mise en œuvre ou rejet avec une raison basée sur le contexte de chaque cas individuel. Les points de vue de l'auteur et des acteurs en faisant la demande, entre autres, seront prises en compte. À la suite de telles demandes, nous examinerons nos politiques et les améliorerons si nécessaire.
Loop affichera les retours des utilisateurs et les données qui y sont associées (horodatages et étiquettes) aussi longtemps que Loop existera. Cela est dû au fait que les données qualitatives longitudinales sont importantes pour observer les tendances au fil du temps et les changements dans ce que les populations locales ont choisi de partager. Cela peut aider à informer ce qui fonctionne, ce qui est financé et ce qui nécessite un financement et une attention supplémentaires. Nous supprimons les numéros de téléphone et les emails lorsqu'ils ne seront plus nécessaires pour fournir des services à l'auteur (par exemple, lorsque le cas est cloturé).
Si Loop cesse d'exister et ne paie plus pour les services d’Amazon Web Services pour héberger la plateforme, nous pourrions exporter ou télécharger les données pour les stocker en toute sécurité aussi longtemps que cela est légalement requis, puis les supprimer définitivement.
Loop a identifié trois groupes clés d'intervenants :
Loop a consulté des personnes affectées par des crises en Somalie, aux Philippines, en Zambie et en Pologne pour les Ukrainiens. Pour chacune de ces populations, nous avons fait appel à des facilitateurs externes par le biais d'organisations technologiques nationales ou avons utilisé notre propre personnel local pour gérer des sessions de retour d'expérience dans la ou les langues locales.
À l'avenir, nous adopterons toujours ce modèle d'écoute des voix et expériences locales provenant d'un large éventail de la société à travers des processus gérés localement et en toute sécurité.
Nous avons également reçu des contributions quatre fois par an de la part du Conseil d'administration de Loop, composé de membres issus de communautés touchées et investis dans le succès de Loop, représentant par exemple : le Yémen, le Zimbabwe, l'Ouganda, la Syrie, la Palestine et les Philippines.
Dans chaque pays, nous avons consulté et représenté :
Nous avons également cherché à obtenir des informations auprès des personnes touchées par :
Ces retours ont ensuite informé notre prototypage et notre approche de la conception de Loop. Nous sommes retournés dans certaines communautés pour des rondes de retours supplémentaires sur la conception finale de Loop. Cela incluait toujours (mais n'était pas exclusif à) des personnes souhaitant signaler des retours ouverts ainsi que des retours sensibles, c'est-à-dire des populations vulnérables ou marginalisées.
En ce qui concerne la protection des données, nous avons constaté une préoccupation généralisée concernant les risques d'identification par des ONG ou des prestataires de services en cas de conséquences négatives pour elles (être retirées de la liste, abus, etc.). De plus, il y avait des inquiétudes que certains membres de la communauté puissent connaître leurs informations, ce qui pourrait avoir un impact négatif sur elles.
Nous avons construit l'approche d'anonymat et l'option d'adhésion (plutôt qu'une option de retrait) pour le partage des données en réponse à ces préoccupations. Cela peut entraîner moins d'informations démographiques, mais cela place les besoins de l'utilisateur en priorité.
Nous avons également renforcé cette approche en recrutant des modérateurs nationaux, qui examinent tout le contenu avant sa publication sur la plateforme Open Loop, afin de gérer les risques que l'auteur pourrait ne pas identifier lui-même. Ils peuvent masquer certains contenus (numéro de téléphone, nom de famille par exemple) ou le rejeter et le renvoyer à l'auteur avec une explication du motif du rejet. Cela a également renforcé la nécessité de maintenir des modérateurs humains locaux et de ne pas passer complètement à l'IA pour la modération.
La possibilité de donner un retour de manière anonyme a reçu l'accueil le plus positif dans chaque pays, pour tous les types de personnes.
Loop a fait appel à un groupe d'experts tiers, composé de personnes ayant des problèmes d'accessibilité, pour auditer l'utilisation et l'accessibilité de son site web et de sa plateforme. Notre accessibilité a été auditée selon la conformité à la norme WCAG 2.1 AA, pour plus de détails, voir l'Initiative pour l'accessibilité Web.
La conformité WCAG 2.1 AA est utile pour les personnes ayant besoin d'une technologie supplémentaire pour les aider à interagir avec l'espace numérique en ligne. Loop prend également en compte l'accessibilité pour les personnes qui ont des difficultés à accéder à la technologie en raison de l'illettrisme, du fait de devoir emprunter un téléphone, de ne pas avoir accès à des smartphones ou du manque de ressources nécessaires pour se doter de la technologie d'assistance. Il n'existe actuellement aucune norme pour cela, mais Loop en fait une priorité dans son développement.
Nous avons développé une technologie de Réponse et de Réponse Vocale Interactive (IVRR) pour permettre aux personnes qui ne sont pas à l'aise de s'exprimer par SMS ou par écrit.
Nous prévoyons aussi d'intégrer des systèmes de synthèse vocale avec un bouton "Lire pour moi" afin d'accroître l'accessibilité du service pour les personnes non lettrées, non familiarisées avec le numérique ou ayant un accès limité à la technologie pour d'autres raisons, notamment en raison d'un handicap.
Dans le cadre de notre processus de conception, nous consultons largement et fréquemment le personnel à divers niveaux (gouvernance, juridique, communication, gestion de projet, rédacteurs de propositions de financement, gestion des risques, technologie, innovation, gestion des opérations, etc.) des organisations suivantes, y compris :
Nous avons mené des consultations avec ces acteurs aux Philippines, en Indonésie, en Zambie, en Somalie et en Pologne, ainsi qu'en Ouganda, au Yémen, au Paraguay, et au niveau régional (Asie, Afrique de l'Ouest, Afrique de l'Est, Moyen-Orient, Pacifique) et des sièges d'organisations à l'échelle mondiale. Nous avons également recruté des personnes clés au sein du Conseil consultatif de Loop, qui occupent des postes pertinents dans le secteur humanitaire: Ces membres partagent leurs réflexions et opinions avec nous, et sont invités trois fois par an à participer aux réunions du Conseil consultatif.
Nous avons constaté une préoccupation généralisée concernant le risque de plaintes ou d'allégations contre les organisations et des questions sur la véracité des auteurs de retours. Par conséquent, nous avons habilité les modérateurs à rejeter certains retours et avons rédigé les Directives de la communauté et les Protocoles des modérateurs de Loop pour garantir un espace sécurisé. Ces documents sont ouverts aux suggestions et nous invitons à donner des retours sur ces documents afin de renforcer la confiance et de les améliorer.
Nous avons également mis en place un processus spécifique pour les retours d'information sensibles où les données sont retirées de la plateforme pour les allégations ou les retours qui pourraient nuire à un individu ou à une organisation. Ce risque est soigneusement évalué au cas par cas par les modérateurs de Loop et les responsables des retours sensibles. Toutes les données sont envoyées et archivées sur Airtable.
Un risque identifié était que les acteurs locaux soient tenus pour seuls responsables de problèmes qui impliquent en réalité toute une chaîne de décisions et un processus d'allocation budgétaire impliquant plusieurs acteurs. Pour éviter cela, nous avons remplacé le système de notation par étoiles par des filtres de type de retour d'information. Cette approche permet de faire ressortir des tendances générales sur le sentiment des utilisateurs et le modèle de retours à travers différents groupes démographiques sans pointer de responsabilité.
De plus, nous suivons les taux de réponse : les organisations répondent-elles et, si oui, dans quel délai ? Sont-elles en mesure de répondre et quelle est la qualité de leurs réponses ? Cela donne à l'organisation une chance équitable de réponse, d'explication et de protection de sa réputation.
De nombreux acteurs souhaitent mesurer l'impact et démontrer la valeur de la prise en compte des retours. Nous avons intégré un suivi statistique permettant d'afficher le nombre de réponses (provenant d'individus ou d'organisations) reçues et le délai de réponse. Cela renforce les recherches qui démontrent qu'il ne s'agit pas de la quantité de retours négatifs reçus qui compte le plus, mais ce qui est le plus important c’est de savoir si vous répondez, à quelle vitesse vous répondez et comment vous répondez.
À court terme, nous prévoyons de pouvoir taguer les réponses en fonction de leur "impact", par exemple des informations ont-elles été fournies, une référence a-t-elle été faite, etc. Ces tags apparaîtront sur la page d'analyse statistique, offrant ainsi un aperçu quantifiable de l'impact des réponses.
À plus long terme, nous aimerions également utiliser la plateforme pour suivre ce que l'auteur original a pensé du retour et son opinion sur l'impact du partage de son retour. Mais comment assurer un système fiable et non manipulable reste à déterminer.
Nous avons également conçu un système pour inciter à fournir des retours même si vous ne recevez pas de réponse directe à votre retour de la part de l'organisation taguée, en affichant le nombre de vues, en permettant les réponses tout utilisateur et en ayant un système de vote.
Bailleurs de fonds et autres acteurs spécialisés souhaitant utiliser les données ouvertes de la plateforme dans leur travail et leurs processus de décision
Nous avons échangé avec plusieurs parties prenantes:
Ce groupe de parties prenantes a exprimé un fort intérêt pour l'accessibilité au processus de filtrage et la possibilité de voir en toute sécurité à la fois les données qualitatives et quantitatives pour aider à informer l'analyse et étendre l'impact potentiel des données disponibles. Cela a mis en évidence un souhait d'accéder aux données des retours sensibles et d'être informé des problèmes signalés.
Il est intéressant de noter que les bailleurs de fonds souhaitent être informés des feedbacks sensibles, et les grandes organisations veulent mieux connaître leurs partenaires locaux en aval. Toutefois, elles ne pensent pas que Loop devrait informer ou partager des informations concernant leurs propres données et rapports sensibles. Elles ont déclaré qu’elles assument la responsabilité de gérer les communications avec les bailleurs de fonds en amont de manière sécurisée et conformément aux exigences légales et celles de leurs bailleurs de fonds. Cela a été longuement discuté avec divers acteurs clés, y compris des bailleurs de fonds, de grandes ONG, de petites ONG et d'autres.
Il a finalement été conclu que la confidentialité des allégations et la déclaration de retours sensibles n'étaient pas considérées comme la responsabilité de Loop en tant que plateforme neutre et de confiance, et que les données agrégées sur la page des statistiques de la plateforme montreraient des tendances par type d'organisation (pas par organisation individuelle) sur lesquelles quiconque pourrait agir, mais n'auraient pas d'impact sur une seule organisation. Nous avons eu de nombreuses itérations sur la façon de classifier ces données et sur qui élèverait des préoccupations si elles n'étaient pas traitées. Le flux de responsabilité a été conçu pour aider à résoudre cela et inciter à une gestion responsable des rapports, mais cela reste à tester.
Loop entend continuer d'apprendre, de consulter et d'améliorer de manière continue ses approches grâce aux contributions d'un large éventail d'utilisateurs et en particulier lors de moments clés, comme lors d'ajout de nouvelles fonctionnalités ou d'expansion vers de nouveaux pays, etc.
Nous avons engagé le professeur Mick Grierson, responsable de la recherche au Creative Computing Institute de l'Université des Arts de Londres, et son équipe pour examiner la sécurité des données de notre plateforme. Voici ses recommandations finales en date du 22 mars 2022:
« Nous avons effectué une batterie de tests, y compris plusieurs scanners différents, sur les systèmes de Loop et avons examiné le code à la recherche de vulnérabilités potentielles. Cela a pris quelques jours.
Nous sommes confiants que nos tests n'ont trouvé aucune vulnérabilité significative. Nos scans système ont rapporté plusieurs problèmes où il pourrait y avoir des risques potentiels, mais après vérification manuelle, presque tous semblent de faible risques ou relèvent de simples recommandations. Nous n'avons pas pu pénétrer l'application ni la déstabiliser de manière significative.
La principale amélioration en matière de sécurité que je recommanderais concerne le fait que, par moments, les informations d'identification des développeurs sont codées en dur dans le code source. A une occasion, le nom d'utilisateur 'admin' est apparu dans l'un des fichiers source, et il serait préférable que l'équipe évite de coder en dur, d'utiliser des noms d'utilisateur par défaut, et vérifie à nouveau qu'ils ne laissent pas de traces avec leurs clés API, etc. »
Mick et son équipe ont effectué une analyse de sécurité basée sur la procédure de sensibilisation aux dix principaux standards de l'Open Web Application Security Project® (OWASP), avec une enquête supplémentaire sur les serveurs et l'infrastructure. Cette procédure priorise les dix principaux problèmes de sécurité indiqués par OWASP comme suit : contrôle d'accès, échec cryptographique, injection, sécurité de conception, mauvaise configuration, composants, authentification, intégrité logicielle et des données, échec de journalisation et détournement de requêtes côté serveur. Ils ont mis en œuvre :
Ils ont vérifié et recoupé ces résultats à l'aide d'outils de sécurité Insider. Enfin, ils ont effectué des tests interactifs du code source en cours d'exécution à l'aide de Burp Suite. Leur scan de service a révélé que le système est correctement déployé et dispose des protocoles de sécurité nécessaires. Aucun système n'a été compromis lors de cette enquête.
Depuis cette analyse, nous avons effectué un audit de sécurité AWS et continuerons à examiner et à apporter des améliorations.
Le cadre juridique global régissant notre traitement des données personnelles est le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la Directive 95/46/CE, ainsi que les règlements connexes.
D'autres législations potentiellement importantes qui informent également les politiques de gestion des données de Loop incluent la Loi sur les abus informatiques de 1990 et la Loi sur la liberté d'information de 2004. Ces lois antérieures éclairent le RGPD et, par conséquent, l'Analyse d'Impact sur la Protection des Données (DPIA).
Le responsable du traitement des données personnelles est Loop - une association caritative, légalement enregistrée sous le nom de Ourloop Stichting (RSIN 861193660), qui dispose également d'une Détermination d'Équivalence en tant qu'association publique américaine 501c(3). Loop est enregistré au Hague Humanity Hub, Fluwelen Burgwal 58, 2511 CJ à La Haye. Toute question, préoccupation ou violation doit être adressée à Alex Ross, le PDG et la personne responsable.
Toute préoccupation non résolue peut être signalée à l'Autorité néerlandaise de protection des données (Dutch DPA) - Boîte aux lettres 93374, La Haye, Pays Bas.
Loop a réalisé une évaluation légale en Zambie, car elle a jugé nécessaire de le faire en raison de nouvelles lois qui étaient en cours d'adoption par le gouvernement. Celles-ci ont depuis été annulées, mais à l'époque, nous avons engagé un avocat pour évaluer nos risques et notre exposition à ces lois potentielles en Zambie.
Nous continuerons à surveiller les nouvelles législations au niveau national, régional et mondial et à effectuer d'autres évaluations spécialisées si nécessaire.
Les lois nationales peuvent obliger Loop à divulguer des données personnelles à la demande des autorités publiques dans certaines circonstances. Si cela se produit, Loop informera l'auteur et ne révélera que les données qu'il a choisi de partager. Ces dispositions sont précisées dans la Politique de confidentialité.
Loop dispose d'un ensemble de politiques complètes, y compris :
Cela inclut et est renforcé par nos Directives et Protocoles communautaires. Tout le personnel de Loop et le personnel des partenaires qui ont reçu un accès à la plateforme de modération Loop ont reçu une formation sur la politique de données, qui met fortement l'accent sur l'importance de la confidentialité. Ils ont tous également signé les Codes de conduite de Loop et bénéficient régulièrement d'une formation sur la protection.
Nos responsables du retour d'information sensible et notre responsable de l'expérience utilisateur et de l'assurance qualité surveillent en permanence le retour d'information des pays avec lesquels ils collaborent et utilisent cela pour améliorer les étiquettes et concevoir des formations afin d'atténuer d'éventuels risques. Les politiques sont mises à jour régulièrement en fonction des enseignements tirés.
Notre responsable de l'expérience utilisateur et de l'assurance qualité en charge de la qualité et la cohérence des sites Loop (site web et plateforme) et de la conformité des publications sur le site ouvert. Ce responsable a signé les mêmes Codes de conduite que le reste du personnel de Loop. Tout problème découlant de cette surveillance peut être traité directement, mais les modérateurs discutent des tendances ou des décisions complexes lors d’une réunion mensuelle, où ils s’accordent sur les actions à prendre et ajustent les protocoles de modération en conséquence.
Conformément aux politiques et aux législations concernant la protection des données, les personnes qui ont partagé leurs données personnelles avec Loop (sujets de données) ont le droit d'accéder à leurs données personnelles que nous traitons à leur sujet. Quiconque peut écrire à Loop à l'adresse gabriella@talktoloop.org pour demander l'accès ou la modification des données personnelles que nous avons enregistrées les concernant.
Nous avons également une adresse e-mail de sauvegarde au besoin. De plus, la plateforme de signalement Loop peut être utilisée à cet effet.
Nous partagerons les données personnelles des personnes (uniquement les données les concernant, qu'elles nous ont fournies elles-mêmes) dans un format structuré, couramment utilisé et lisible par machine (portabilité des données).
Si les personnes utilisant Loop consentent à partager leurs données et changent d'avis, elles ont le droit de révoquer leur consentement à tout moment après avoir prouvé leur identité (le droit à l'oubli).
Le « consentement éclairé » plutôt qu’un simple consentement est extrêmement important. C’est pourquoi la Politique de confidentialité de Loop est disponible, traduite et des affiches sont imprimées et partagées.
La Politique de confidentialité explique la gestion des données à quatre niveaux différents :
Loop étant une organisation indépendante et ne fournissant pas de services opérationnels, nous avons supprimé toutes pressions possibles liées au type de retour que les utilisateurs pourraient choisir de soumettre. Les gens peuvent donner leur retour quand ils le souhaitent et d'où ils le souhaitent. Cet aspect du design a été perçu très positivement, puisque cela garantit que les gens ne se sentent pas sous pression pour dire certaines choses devant certaines personnes.
Le consentement éclairé est communiqué dans toutes les langues sur la plateforme. Elle est renforcée par la manière dont Loop est présenté aux utilisateurs et par le processus de retour d'information qui permet aux utilisateurs d’avoir le choix de donner un retour sans le publier en ligne.
Nous suivons les Lignes directrices sur la protection des enfants en ligne et si un enfant décide de donner son retour mais à moins de 14 ans, nous traiterons le retour comme un retour sensible même s'il n'est pas sensible. Nos modérateurs prennent en compte l'âge de l'auteur du retour lors de l'évaluation des facteurs de risque locaux pertinents.
Nous incluons dans nos processus de suivi et d'évaluation une analyse de la compréhension du processus de consentement par les utilisateurs, et nous recherchons des conseils sur la manière de mieux le communiquer.
Nous examinons également d'autres sites et la façon dont ils demandent le consentement en ligne pour améliorer le nôtre.
Loop ne partage pas les informations de contact personnelles avec qui que ce soit, sans le consentement de l'auteur, sauf pour ce qui est sur la plateforme ouverte. Nous demandons le consentement éclairé des auteurs pour partager leurs informations personnelles avec des contacts spécifiques vérifiés.