On poursuit la publication des guides consacrés à la protection de la vie privée édité par l’ALA. Selon moi, ce troisième volume est un des plus importants de la série. Il aborde la question de la confidentialité en dehors du prisme du numérique. On associe souvent la protection de la vie privée et des données personnelles aux risques de surveillance et de pistage en ligne. Or, ce n’est qu’un volet des actions que nous pouvons mener pour protéger le droit à la vie privée des usagers. Il ne faut pas négliger la partie déconnectée de la confidentialité. Nos organisations et le fonctionnement de nos bibliothèques compromettent souvent ce droit. C’est en cela que ce troisième guide est important. Il nous invite à repenser nos espaces, nos procédures et notre façon de collecter des données personnelles d’usagers. Bien que ce guide soit réalisé par nos confrères américains, qui ne sont pas soumis au RGPD, on retrouve des principes-clés du règlement qui encadre l’utilisation des données personnelles. Je pense notamment au principe de minimisation des données collectées et de ne recueillir que ce qui est strictement nécessaire à une finalité (slide 9). Le guide fait également référence à des textes spécifiques aux bibliothèques américaines (slide 10). Cependant, nous pouvons avoir des textes équivalents en France (la Charte Bib’Lib de l’ABF). Enfin, le grand intérêt de guide est qu’il s’adresse à l’ensemble des bibliothécaires. Il n’implique aucune compétence numérique particulière. Tout le monde peut s’en emparer et tenter de rendre la bibliothèque plus confidentielle.

Je poursuis la traduction des guides relatifs à la vie privée réalisés par l’American Library Association. Le premier guide était consacré aux gestes et techniques de bases à acquérir avant de pouvoir aborder ce sujet auprès des usagers ou de ses collègues. Ce deuxième volume fournit donc des conseils et des astuces pour réussir à discuter de la vie privée auprès des usagers. Si parler de protection de la vie privée est plus facile, cela reste toutefois un sujet minimisé. J’espère que ce guide sera utile à celles et ceux qui souhaitent faire entrer la protection de la vie privée et des données personnelles dans leur quotidien professionnel.

L’ALA a récemment publié une mise à jour de ses guides relatifs à la protection de la vie privée. Je trouve cette initiative particulièrement formidable et utile. L’ALA joue ici pleinement son rôle d’association professionnelle en abordant des notions indispensables et en aidant les professionnels à mesurer les enjeux de la protection de la vie privée. L’objectif de l’ALA est de pouvoir donner des billes aux bibliothécaires américains qui souhaitent se former. Le premier guide est consacré aux bases de la sécurité numérique. En effet, si on n’est pas sensibilisé et formé, cela semble difficile de pouvoir accompagner les usagers à reprendre le contrôle sur leurs données personnelles. Chaque guide, clair et concis, est disponible en PDF ou dans une version en ligne. Ces ressources sont diffusées sous licence Creative Commons BY-NC-ND. Aussi, j’ai pris la liberté  offerte par ces licences de faire une version française du premier guide consacré aux bases. Vous pouvez le télécharger ci-dessous. L’ALA a produit 6 autres guides (comment parler de la protection de la vie privée, intégrer la notion de vie privée dans les espaces de la bibliothèque, cycle de vie des données personnelles des usagers…). Si vous souhaitez que j’en fasse également des adaptations en français, n’hésitez pas à l’indiquer en commentaires.

Le deuxième guide : Comment parler de la vie privée est disponible ici.

Dernier article de l’année 2021 consacré à un service que j’ai découvert récemment et qui fait écho à un sujet particulièrement important à mes yeux : la confidentialité et la protection de la vie privée des usagers en bibliothèques. Il s’agit de LibraryVPN, un fournisseur de VPN pour les bibliothèques.

UN VPN pourquoi faire ?

Pour rappel, un VPN n’est pas infaillible et ne rend pas anonyme, il chiffre les données qui transitent entre votre appareil et les services en ligne que vous visitez. Dès lors, votre FAI n’a pas accès aux sites que vous visitez. Cependant, en utilisant un VPN vous décidez de confier votre navigation à la boîte qui édite le VPN que vous utilisez. Cela pose donc la question de la confiance que vous accordez à un intermédiaire. A ce propos, je vous invite à lire cet article sur l’utilité d’un VPN, contre quoi il protège et sa capacité à faire revenir l’être aimé.

Comme l’explique la page « à propos » du service, LibraryVPN est un VPN libre et open source dont le but est de permettre aux bibliothèques d’héberger un VPN pour les usagers de l’établissement. L’objectif est clairement de garantir la confidentialité des données des usagers, protéger leur droit à la vie privée et en particulier pour les publics qui ne peuvent pas s’offrir ce genre de service.

Comment ça marche ?

Les usagers de la bibliothèque téléchargent le client sur leur appareil (Windows, Mac ou Linux) et se connectent avec leur numéro de carte de bibliothèque pour faire passer leur connexion à travers le réseau privé virtuel. Ils peuvent utiliser le VPN dès qu’ils sont connectés à un wifi public ou pour se protéger des regards indiscrets de leur FAI.

Quelle confiance peut-on accorder à ce service ?

La question de la confiance dans les outils conçus pour protéger la vie privée est cruciale. La protection des données personnelles est devenu un argument commercial lucratif. En ce qui concerne LibraryVPN, on peut accorder sa confiance à l’équipe qui est en charge derrière. D’une part, le logiciel est libre et open source. Cela signifie qu’il peut être ausculté pour voir comment il fonctionne et s’il ne contient pas de porte dérobée ou un bout de code malveillant. Plus particulièrement, le service repose sur le protocole OpenVPN réputé pour sa robustesse (!= infaillible). D’autre part, le projet est actuellement conduit par l’équipe de LEAP ainsi que celles qui gèrent les systèmes d’informations des bibliothèques de Lebanon et de Wetchester. Pour rappel, la bibliothèque de Lebanon avait tué le game en hébergeant un noeud de sortie Tor. Enfin, LibraryVPN s’appuie sur la technologie utilisée par des activistes et des organisations comme Riseup qui propose des outils pour respecter la vie privée et la confidentialité des échanges de leurs utilisateurs. Autrement dit, on peut accorder une certaine confiance à ce service.

Est-ce le rôle d’une bibliothèque ?

La FAQ de LibraryVPN explique de façon limpide pourquoi les bibliothèques sont légitimes à proposer ce service.

LibraryVPN réunit deux idées qui principes qui sont largement partagés aujourd’hui dans les bibliothèques : les bibliothèques doivent s’efforcer de protéger la vie privée de leurs usagers et elles hébergent des services en ligne.

Les bibliothèques s’efforcent depuis des années à protéger la vie privée des usagers. Les bibliothèques parlent parfois de la « la liberté de lire » mais ce principe va au-delà des livres physiques. Nous tenons à ce que les gens puissent exercer leur liberté intellectuelle quand ils accèdent à de l’information, peu importe la forme qu’elle prend. Nous savons que la surveillance peut entraver la liberté intellectuelle, c’est pourquoi nous travaillons à protéger la vie privée de nos clients. Cela fait partie des valeurs de l’American Library Association

https://libraryvpn.org/faq/

LibraryVPN est une belle initiative qui mérite d’être saluée et partagée. Je ne sais pas si elle atteindra ses objectifs et parviendra à s’étendre largement aux bibliothèques américaines. Néanmoins, c’est une pierre de plus à l’édifice que les bibliothécaires américaines construisent pour être un rempart à la surveillance.

Belles fêtes de fin d’année à toutes et tous. Portez-vous bien et prenons soin les uns des autres.

L’Association américaine des bibliothèques a adopté une résolution fin janvier contre l’utilisation de logiciel de reconnaissance faciale dans la continuité de la « Library Bill of rights » et d’autres textes portés par l’ALA qui promeuvent le respect de la vie privée des usagers des bibliothèques.

Les bibliothécaires américains soulignent que le droit et le respect de la vie privée sont indispensables pour garantir la liberté intellectuelle. Les bibliothèques doivent défendre ces valeurs et sensibiliser les publics à la protection de la vie privée mais surtout protéger les données personnelles des usagers. L’ALA rappelle que les usagers doivent pouvoir utiliser les services de la bibliothèque sans craindre une intrusion dans leur vie privée. Le risque que pourrait introduire ce genre de technologies serait de rompre la confiance des usagers et les dissuader de venir utiliser les services de la bibliothèque.

S’appuyant sur des études démontrant les dérives dont est capable la reconnaissance faciale et la menace qu’elle fait planer en sacrifiant la notion même de consentement libre et éclairé, l’ALA estime que cette technologie de contrôle crée des conditions propices à une surveillance non autorisée des usagers.

L’absence de cadre juridique au niveau fédéral, l’utilisation répandue par les autorités et le manque de transparence des logiciels protégés par des droits de propriété intellectuels justifient également le rejet de la reconnaissance faciale par les bibliothécaires américains. Quelle confiance peut-on accorder à une boîte noire qui ne permet pas de savoir comment elle fonctionne ?

Par ailleurs, cette technologie fait l’objet de biais cognitifs qui traduisent les représentations et les préjugés des développeurs derrière les algorithmes utilisés dans les logiciels de reconnaissance faciale. Cela produit des discriminations notamment à l’égard des minorités qui sont plus victimes d’erreurs d’identification. Au nom de l’antiracisme, de l’équité, de la diversité et de l’inclusion, l’ALA rejette la reconnaissance faciale.

Parce que la reconnaissance faciale porte atteinte à la vie privée des usagers mais aussi à celles des bibliothécaires qui devraient se soumettre à l’utilisation de leurs données biométriques, l’ALA s’oppose à cette technologie sécuritaire. Elle invite les professionnels mais aussi leurs partenaires à défendre cette position et sensibiliser les usagers, les élus ou encore le législateur sur les risques que fait planer la reconnaissance faciale sur la vie privée et les discriminations qu’elle produit. En l’absence d’étude qui démontrerait l’efficacité de ce dispositif panoptique, elle invite à cesser d’utiliser les logiciels de reconnaissance faciale et réclame un moratoire sur l’utilisation de logiciel de reconnaissance faciale dans les bibliothèques.

Source : ALA

L’ALA vient de mettre à jour son fameux Bill of rights. Ce document constitue un mantra pour les bibliothécaires américains avec une dimension éthique très forte. Il s’agit d’un document qui définit les principes de bases qui doivent guider le fonctionnement d’une bibliothèque. Ce document a été adopté en 1939 pour la première fois et a régulièrement été amendé. L’association vient d’apporter un amendement relatif à la vie privée qui dit ceci :

« Toute personne, indépendamment de son origine, de son âge, de ses antécédents, de ses opinions, dispose d’un droit à la vie privée et à la confidentialité quand elle utilise les services de la bibliothèque. Les bibliothèques devraient défendre, éduquer et protéger la vie privée des gens, en sécurisant toutes les données d’utilisation des bibliothèques, y compris les renseignements personnels identifiables. »

Cet amendement n’est pas qu’une simple déclaration d’intention. Comme le rappelle un des contributeurs de ce nouvel article, les bibliothécaires du pays vont pouvoir s’appuyer sur ce document de référence pour mettre à jour localement leur politique de confidentialité ainsi que leur pratique professionnelle favorisant la protection des données personnelles des usagers.

« D’un bout à l’autre du territoire, les bibliothécaires disposent désormais du soutien nécessaire pour protéger et défendre le droit à la vie privée de leurs usagers ».

A travers cet amendement, l’ALA envoie un signal fort à la profession. Toutefois, on manquera pas de noter une certaine contradiction de la part de l’ALA qui a récemment annoncé un partenariat avec Google. C’est facile de les attaquer là-dessus mais cette contradiction peut se justifier par des raisons très pragmatiques : prendre l’argent pour pouvoir mener des actions et sensibiliser à la question de l’intimité numérique. Ce reproche est d’ailleurs fait à d’autres organisations comme Mozilla qui peut continuer à mener des actions et développer des projets grâce au mécénat de Google. Retenir cette contradiction reviendrait à gommer toutes les autres initiatives que l’ALA peut conduire qui participent à une prise de conscience au sein de la profession. Ce serait aussi réduire et discréditer les actions menées localement par des bibliothécaires qui prennent leur bâton de pèlerin pour tenter de sensibiliser les usagers à la problématique de la vie privée.

On ne sauvera pas le monde

J’ai eu le plaisir d’intervenir cette semaine dans le cadre d’une journée professionnelle organisée conjointement par l’agence de coopération des métiers du livre en Normandie et la médiathèque départementale de l’Eure sur les données personnelles et les bibliothèques. Les échanges avec le public ont fait ressortir le constat que nous sommes prêts à agir en tant que professionnels mais notre action est plus proche du colibri que d’un raz-de-marée qui transforme en profondeur les usages. Ce constat est juste mais tout simplement parce que nous n’en avons pas la capacité. Ce combat collectif nécessite d’impliquer différents acteurs et notamment les pouvoirs publics. L’Etat organise et fournit une instruction à tous pour que chacun soit en capacité de lire, écrire, compter. (Bien évidemment, c’est la théorie et la réalité démontre que ce n’est pas le cas). Les pouvoirs publics mettent en place, par exemple, des dispositifs de sensibilisation aux dangers de la route avec l’éducation routière. Certes ces dispositifs sont incomplets mais sont portés par des politiques publiques qui offrent une visibilité à ces thématiques. Or pour l’intimité numérique, nous souffrons d’un manque de volonté de la part des pouvoirs publics. Bien au contraire, nous assistons actuellement à un processus de dé-tricotage des libertés individuelles et du respect des conditions nécessaires à notre intimité numérique. La récente loi anti-casseurs ou les récentes révélations sur les écoutes téléphoniques de manifestants rappelant la grande époque de la Stasi montrent que notre intimité est bafouée. Nous, professionnels des l’information, ne pouvons pas inverser cette tendance. Cependant, je suis convaincu que nous pouvons semer des graines qui porteront peut-être leurs fruits. Au regard de nos missions qui consistent à fournir un accès libre, neutre et équitable à l’information, à faire circuler les connaissances et favoriser l’acquisition de savoirs qui participent à l’équilibre d’une société démocratique où chacun a sa place, nous avons tout intérêt à mener des actions visant à faire prendre conscience de l’importance de l’intimité numérique. L’intimité, numérique ou non d’ailleurs, c’est ce qu’on décide de partager ou non avec des personnes ou des groupes définis. On voit bien qu’actuellement entre les GAFAM et la surveillance des agences de renseignements ce droit nous est ôté. L’intimité est la barrière qui nous permet de penser. Une société constituée de citoyens qui ne peuvent plus penser est une société déviante. Or les bibliothèques n’ont pas de place dans une société déviante. Alors prenons conscience collectivement et professionnellement de la nécessité de protéger les données personnelles de nos usagers pour continuer à donner du sens à notre métier.

Bonus

Dans le cadre du festival des libertés numériques organisés par les bibliothécaires de Rennes, j’ai animé un atelier pour les ados dans la médiathèque où je travaille. Je mets quelques ressources à disposition si jamais vous souhaitez vous en inspirer pour organiser ce genre d’événement. Cet atelier s’est déroulé sous la forme d’un parcours avec des minis ateliers que je présente ci-dessous, les participants peuvent naviguer d’un atelier à l’autre dans le sens qu’ils souhaitent.

Pour commencer, je me suis appuyé sur l’exposition Data Detox réalisée par l’EPFL Les premiers panneaux de l’expo ont constitué le point dé départ de l’atelier. Cela me semble intéressant pour définir le contexte et faire écho aux préjugés qu’ils peuvent avoir (« je n’ai rien à cacher »).

Puis ensuite un des ateliers abordait la question de la géolocalisation. Après avoir pris connaissance de la façon dont notre téléphone trahit notre position géographique, je leur ai fait un petit test avec l’application Google maps. L’objectif est de leur montrer comment cette appli collecte nos déplacements sans que nous en ayons conscience parce qu’elle est configurée par défaut de cette façon. La réaction des participants a été unanime : ils étaient tous en PLS. Pour ne pas les laisser dans leur torpeur, je les ai invités à désactiver le tracking de maps et à télécharger l’application OSMand+.

Une autre activité portait sur les demandes d’autorisations des applications. L’objectif de cet atelier consiste à faire prendre conscience que certaines applications sont très intrusives et demandent des autorisations d’accès sur le téléphone qui ne sont pas légitimes. A partir d’une tablette mis à disposition, le participant installe un certain nombre d’applications sur l’appareil. Ensuite, il installe l’application Exodus Privacy pour voir les trackeurs et les demandes d’autorisations abusives des applications précédemment téléchargées. Téléchargez le support de cet atelier : Des applis un peu trop curieuses

Une des activités portaient sur le tracking publicitaire lié à la navigation sur le web. L’objectif est de leur faire prendre conscience de ce qu’est le tracking et comment il se manifeste. Pour cet atelier, je me suis appuyé sur l’extension Lightbeam (ou Kimetrak) de Firefox pour révéler tous les trackers qu’il peut y avoir quand on navigue sur un site. Les réactions des participants étaient assez chouettes. Certains ont eu l’idée d’aller visiter le site qu’ils utilisent au collège pour leurs devoirs et la correspondance avec leurs profs. Ils n’ont pas été déçus du résultat ! Téléchargez le support de cet atelier : Le tracking.

Ensuite un des ateliers proposés concernait la question des métadonnées. L’objectif consiste à leur montrer en quoi les métadonnées compromettent notre intimité numérique et portent atteinte à notre vie privée sans avoir besoin d’accéder aux contenus. Cet atelier se décompose en deux temps : un questionnaire puis une vidéo pour tout comprendre sur les métadonnées. Je me suis servi de cette vidéo du journal Le Monde qui a été réalisée au moment du vote sur la loi renseignement. Cet atelier était accompagné d’un second sur les métadonnées associées aux photos (EXIF) afin de montrer comment une photo peut révéler des informations sur nous. Télécharger le support de cet atelier : Les métadonnées

Un des ateliers portait sur le chiffrement et plus précisément sur le chiffrement de données dans des espaces de stockage en ligne type Google Drive, DropBox ou OneDrive à partir du logiciel Cryptomator. (On peut utiliser également CryFS si on est sous un environnement Linux ou MacOS). Il est commun d’utiliser ce genre de service en ligne quand on dispose d’un compte gmail ou hotmail. Cette solution peut être utilisée si on n’est pas prêt à se lancer dans des solutions d’auto-hébergement qui peuvent être effrayantes quand on ne connaît pas. Grâce à Cryptomator, on peut déposer des fichiers dans son Drive sans que Google puisse accéder au contenu des documents. Télécharger le support de cet atelier : Chiffrez vos données dans le cloud

Un dernier atelier abordait la question du DNS. En effet les serveurs DNS compromettent notre intimité dans la mesure où le fournisseur du serveur DNS sait sur quels sites nous allons. Je vous invite à lire cet article de Korben pour comprendre rapidement de quoi il s’agit (ainsi que le livre Cyberstructure de Stéphane Bortzmeyer publié chez C&F éditions). Généralement, les serveurs DNS configurés par défaut sont ceux de Google (8.8.8.8 et 8.8.4.4). L’objectif de cet atelier était de modifier le DNS d’une connexion wifi à partir d’une tablette mise à disposition. Télécharger le support de cet atelier :Changer le DNS

Enfin, un ordinateur était accessible avec l’édition spéciale des Incollables réalisée en partenariat avec la CNIL pour tester les connaissances des ados et de ce qu’ils ont retenu après être passés sur les différents ateliers. J’avais mis en place également un atelier sur les conditions générales d’utilisation à partir de l’extension TOS;Dr. Mais ce n’était pas satisfaisant parce qu’elle est en anglais et n’indique pas systématiquement clairement le contenu des CGU des plateformes. Globalement, cet atelier est plutôt positif et assez intéressant à mener. Il permet d’aborder les questions des données personnelles en évitant l’écueil du cours magistral qui peut devenir assez ennuyeux pour des ados. Si vous avez des questions, n’hésitez pas à passer les commentaires !

L’article L’American Library Association rappelle la nécessité de défendre la vie privée des usagers est apparu en premier sur Biblio Numericus.

Mener une veille sur le numérique et les bibliothèques permet de découvrir des projets intéressants, d’apprendre de l’expérience des autres, se maintenir dans une dynamique d’évolution. Mais c’est aussi l’occasion de dénicher des infos qu’on aurait préféré ne pas découvrir. C’est le cas de celle qui suit et qui tombe LE jour qui ne fallait pas.

Le lundi de cette semaine n’est pas comme tous les autres lundi (il n’est pas au soleil non plus…). Lundi 28 janvier est la journée internationale de la protection de la vie privée. A cette occasion, vous avez peut-être vu passer un paquet d’articles sur le sujet. Nous apprenions la semaine dernière que la CNIL avait prononcé une sanction de 50 millions d’euros contre Google pour son manque de transparence sur le fonctionnement de la publicité et le recueil du consentement des utilisateurs. Ce lundi, nous apprenons que Google étend un peu plus sa domination et son souhait de devenir un acteur incontournable de la lutte contre la fracture numérique. La firme de Mountain View vient d’annoncer qu’elle finançait l’association des bibliothèques américaines à hauteur de 1 million de dollars pour soutenir la formation à la littératie numérique. Ainsi, l’ALA pourra redistribuer l’argent aux bibliothèques du territoire américain pour qu’elles puissent mettre en oeuvres des actions ou des ressources pour acquérir des compétences numériques.

Ce programme n’a bien évidemment rien de philanthropique. Google a des actionnaires à satisfaire et les actions de ce type ne vise qu’un objectif : conquérir de nouvelles parts de marché. En mettant en place ce programme, Google, par l’intermédiaire des bibliothèques, conquiert de nouveaux clients. En effet, les outils et les ressources mises à disposition pour former au numérique sont ceux conçus par Google. L’entreprise a adopté la même stratégie que Microsoft dans le milieu de l’éducation. En nouant des partenariats avec le Ministère, Microsoft s’assure une clientèle captive droguée à ses produits dès l’école. De même, Google propose des ressources pour former au courrier électronique (Gmail), à utiliser des espaces de stockage en ligne (Google Drive), au blogging (Blogger)…Une fois que les apprenants seront en situation d’autonomie, ils continueront à utiliser les outils avec lesquels ils se sont formés. Ainsi, Google pourra collecter les données personnelles de nouveaux utilisateurs et ainsi renforcer son modèle économique en pouvant revendre à des annonceurs des profils d’utilisateur pour la publicité ciblée.

Par ailleurs, ce programme soulève un second problème qui concerne plutôt la dimension « digital labor ». En effet, en fournissant des services et des outils gratuitement aux bibliothécaires et aux personnes en situation d’apprentissage, ces derniers vont pouvoir les éprouver et les améliorer en les utilisant. A titre d’exemple, on peut citer les outils de visite virtuelle. Google propose ce service pour pouvoir créer une visite virtuelle de son établissement ou pour gérer des collections :

Contrôlez, gérez et accédez à vos ressources numériques et métadonnées grâce à notre support avancé de gestion des collections. Il offre un espace d’hébergement de contenu pratiquement illimité, une technologie avancée de publication et de traitement d’images, ainsi que des outils de recherche et de filtrage sophistiqués.

Dès lors, les données stockées vont pouvoir alimenter les bases de données de Google sans que celui-ci n’ait eu besoin de numériser ou d’effectuer un enrichissement des métadonnées. Les professionnels de la culture l’ont fait pour lui. C’est un exemple concret du digital labor cher à Antonio Casilli.

L’entreprise fournit une myriade d’outils gratuits pour obtenir des mesures d’audience, pour améliorer sa présence en ligne, pour accroître son audience et favoriser l’engagement de sa communauté. C’est une terrible stratégie qui lui permet de collecter encore plus de données sur les personnes qui fréquentent les établissements culturels. En utilisant ces outils, nous livrons de la matière première à Google qui réussira à la transformer en devise.

Enfin, Google conclut son communiqué en disant ceci « nous espérons vous voir à la bibliothèque ». Cela ne tient qu’à nous professionnels des bibliothèques de ne pas nous laisser séduire par le chant des sirènes. Ne laissons pas Google devenir la béquille des politiques publiques.

L’article Faire entrer le loup dans les bibliothèques est apparu en premier sur Biblio Numericus.