On poursuit la publication des guides consacrés à la protection de la vie privée édité par l’ALA. Selon moi, ce troisième volume est un des plus importants de la série. Il aborde la question de la confidentialité en dehors du prisme du numérique. On associe souvent la protection de la vie privée et des données personnelles aux risques de surveillance et de pistage en ligne. Or, ce n’est qu’un volet des actions que nous pouvons mener pour protéger le droit à la vie privée des usagers. Il ne faut pas négliger la partie déconnectée de la confidentialité. Nos organisations et le fonctionnement de nos bibliothèques compromettent souvent ce droit. C’est en cela que ce troisième guide est important. Il nous invite à repenser nos espaces, nos procédures et notre façon de collecter des données personnelles d’usagers. Bien que ce guide soit réalisé par nos confrères américains, qui ne sont pas soumis au RGPD, on retrouve des principes-clés du règlement qui encadre l’utilisation des données personnelles. Je pense notamment au principe de minimisation des données collectées et de ne recueillir que ce qui est strictement nécessaire à une finalité (slide 9). Le guide fait également référence à des textes spécifiques aux bibliothèques américaines (slide 10). Cependant, nous pouvons avoir des textes équivalents en France (la Charte Bib’Lib de l’ABF). Enfin, le grand intérêt de guide est qu’il s’adresse à l’ensemble des bibliothécaires. Il n’implique aucune compétence numérique particulière. Tout le monde peut s’en emparer et tenter de rendre la bibliothèque plus confidentielle.
Je poursuis la traduction des guides relatifs à la vie privée réalisés par l’American Library Association. Le premier guide était consacré aux gestes et techniques de bases à acquérir avant de pouvoir aborder ce sujet auprès des usagers ou de ses collègues. Ce deuxième volume fournit donc des conseils et des astuces pour réussir à discuter de la vie privée auprès des usagers. Si parler de protection de la vie privée est plus facile, cela reste toutefois un sujet minimisé. J’espère que ce guide sera utile à celles et ceux qui souhaitent faire entrer la protection de la vie privée et des données personnelles dans leur quotidien professionnel.
L’ALA a récemment publié une mise à jour de ses guides relatifs à la protection de la vie privée. Je trouve cette initiative particulièrement formidable et utile. L’ALA joue ici pleinement son rôle d’association professionnelle en abordant des notions indispensables et en aidant les professionnels à mesurer les enjeux de la protection de la vie privée. L’objectif de l’ALA est de pouvoir donner des billes aux bibliothécaires américains qui souhaitent se former. Le premier guide est consacré aux bases de la sécurité numérique. En effet, si on n’est pas sensibilisé et formé, cela semble difficile de pouvoir accompagner les usagers à reprendre le contrôle sur leurs données personnelles. Chaque guide, clair et concis, est disponible en PDF ou dans une version en ligne. Ces ressources sont diffusées sous licence Creative Commons BY-NC-ND. Aussi, j’ai pris la liberté offerte par ces licences de faire une version française du premier guide consacré aux bases. Vous pouvez le télécharger ci-dessous. L’ALA a produit 6 autres guides (comment parler de la protection de la vie privée, intégrer la notion de vie privée dans les espaces de la bibliothèque, cycle de vie des données personnelles des usagers…). Si vous souhaitez que j’en fasse également des adaptations en français, n’hésitez pas à l’indiquer en commentaires.
Hasard malheureux du calendrier, nous venons de célébrer le 20eme hommage aux victimes des attentats du 11 septembre et en France un mouvement de contestation du pass sanitaire s’inscrit dans la durée. Les deux éléments semblent a priori n’avoir aucun lien. Pourtant, ils sont liés par une question importante : le développement d’une société de contrôle. En effet, le 11/09 s’est traduit par le vote en 4ème vitesse du Patriot Act qui a été une véritable chape de plomb sur les libertés des américains et l’effondrement du droit à la vie privée.
A l’occasion des 20 ans, nombreux sont les articles qui retracent les ravages provoqués par cette loi en matière de vie privée. Tous les moyens ont été mis en œuvre pour lutter contre la menace terroriste. Si cette loi s’est traduite par une extension du domaine de la surveillance et d’un pouvoir accru accordé aux agences de renseignement, elle s’est manifestée également par un accroissement du contrôle y compris dans le quotidien des individus.
« Parmi les nombreuses dispositions du Patriot Act – qui vont de l’extension des pouvoirs de surveillance de la police à obligation de donner son adresse quand on achète des médicaments contre le rhume en vente libre (…) »
Le lien entre les attentats et le pass sanitaire semble un peu plus évident. Mais il y a également un autre lien qui m’intéresse, c’est la réaction des bibliothécaires US face à cette loi et la situation des bibliothèques en France face au pass sanitaire.
Que les choses soient claires, je ne suis pas favorable au pass sanitaire et je trouve que son application est profondément illogique (BU, BNF, Bpi VS bibliothèques territoriales). Comme certains collègues en lutte le dénoncent, ce pass sanitaire exclut une partie des usagers. La prochaine application du pass pour les enfants de 12 ans pose également la question du rapport à la culture de cette classe d’âge. Les plus précaires et notamment les migrants ou les SDF seront encore les plus exclus. Empêcher l’accès à la culture et à l’information interroge sur les chemins qu’emprunte une société.
Mais j’ai également pu lire que certains bibliothécaires refusaient de contrôler les usagers en dénonçant une forme de flicage. Et je ne peux qu’être d’accord avec ce raisonnement. Avec le pass sanitaire, on ne peut plus bénéficier de l’anonymat qu’offre un lieu qui est par nature ouvert à tous. Mais pourquoi sommes-nous arrivés à cette situation ? Où était la profession quand des débats houleux sur la protection de la vie privée a eu lieu en 2018 ? Je ne veux pas jeter la pierre – pas complètement – mais si aujourd’hui on contrôle l’accès à la bibliothèque, c’est parce que depuis des années on tolère voire adhère à des mesures de contrôle et de surveillance dans nos établissements. Ça dérange combien de bibliothécaires de collecter les noms et prénoms des usagers pour accéder à un ordinateur ? Quelle est la finalité de cette collecte de données ? Sur quel fondement juridique cette pratique s’appuie-t-elle ? A quel point la lutte contre le terrorisme et la prévention des actes terroristes nous a accoutumé à contrôler ce que font les usagers sur les ordinateurs ?
Avec le pass sanitaire, certains bibliothécaires refusent de contrôler les usagers par principe. En revanche collecter le nom et le prénom dans des tableaux Excel pour donner accès à un ordinateur, ça passe crème depuis des années…#bibliothèqueshttps://t.co/NLrxSEcJgtpic.twitter.com/VYMpn1WEty
Si nous en sommes arrivés là, c’est parce que les digues se sont effritées au fil de ans, au grès des lois sécuritaires de circonstances votées à la hâte. Au-delà de ce grignotage régulier de notre droit à la vie privée, nous avons également accepté d’être des auxiliaires et acteurs de l’extension du domaine de la surveillance. A ce propos, je vous invite à lire le livre La société de vigilance de Vanessa Codaccioni qui analyse les mécanismes à l’œuvre depuis une vingtaine d’années qui ont fait des nous des acteurs de cette société de vigilance. Si la lutte anti-terroriste a fait de nous une menace potentielle à observer, le discours politique et les dispositions prises ont aussi fait de chaque citoyen le surveillant de l’autre. (On retrouve cette logique avec le pass sanitaire où le pouvoir de contrôle est délégué à d’autres corps non régaliens). Je ne sais pas s’il est trop tard mais une chose est certaine, c’est que notre participation au combat contre une société techno-sécuritaire est en retard. Et je pense qu’il faut s’inspirer de nos collègues américains et de leur expérience pour tenter d’agir collectivement. Mais nous pouvons aussi compter sur le fait que « nous vivons en démocratie. Nous avons le droit à liberté d’expression et celui de faire entendre nos voix ».
Après 20 ans de Patriot Act et d'hégémonie du capitalisme de #surveillance, il n'est pas trop tard pour défendre le droit à la vie privée parce que "nous vivons en démocratie. Nous avons le droit à liberté d'expression et celui de faire entendre nos voix"https://t.co/dD6WnsniWQpic.twitter.com/vJyeaT8iHZ
Je vous invite à lire ci-dessous un article dont j’ai retranscrit des passages qui revient sur la façon dont les bibliothécaires américains ont réagi face au Patriot Act. Cela permet d’interroger notre pratique et notre positionnement collectif dans ce contexte compliqué.
***
« Dans les 7 semaines qui ont suivi les attaques terroristes qui ont frappé le World Trade Center et le Pentagone en 2001, le Président Bush a signé la loi du Patriot Act et les bibliothécaires étaient sous le choc.
« Au début, je pense qu’il y a eu beaucoup de panique » déclare Wanda Mae Huffaker, bibliothécaire à Salt Lake County. « Nous étions tous inquiets que le FBI débarque et de ce qui allait se passer. Nous ne savions ni comment ni quoi faire. Nous étions tous inquiets qu’ils débarquent et réquisitionnent les ordinateurs. Et si on disait quelque chose, nous aurions été arrêtés. »
Parmi les nombreuses dispositions du Patriot Act – qui vont de l’extension des pouvoirs de surveillance de la police à obligation de donner son adresse quand on achète des médicaments contre le rhume en vente libre – il y en a deux qui ont concernées directement les bibliothèques.
L’une autorisait le FBI à accéder aux dossiers des usagers que l’agence jugeait pertinente pour vérifier quels livres ces personnes avaient empruntés ou quels sites web elles avaient consultés. La seconde impose le silence aux bibliothécaires et le risque d’être condamné à 5 ans de prison.
Le bâillon n’a pas tenu longtemps. En 2005, un groupe de bibliothécaires, connu sous le nom des Connecticut Four, a contesté la loi devant les tribunaux, et le gouvernement a abandonné en 2006 la disposition qui interdisait aux bibliothécaires de parler d’éventuelles réquisitions et des lettres de sécurité nationale (NSL).
« Nous avons toujours défendu la vie privée. C’est ce que nous avons fait », rappelle Huffaker. « Ce que les gens lisent reste privé, ce qu’ils recherchent en ligne aussi. Tout d’un coup, quelqu’un nous contraignait à renoncer à ce principe ».
Et cela n’a pas pris longtemps – quelques années d’après Huffaker, pour que les bibliothèques trouvent une solution à ce problème en modifiant leur fonctionnement pour ne plus collecter autant de données personnelles qu’auparavant.
La règle appliquée aujourd’hui est celle du « le moins, c’est le mieux » (tiens, coucou le RGPD est le principe de minimisation des données collectées, nda). « C’est inutile de collecter des tas de données dont nous n’avons pas besoin et qui pourrait compromettre la vie privée des usagers en cas de fuite de données. »
Avant le Patriot Act, une bibliothèque conservait toutes les données de prêt d’un usager mais seul ce dernier pouvait y avoir accès. Jusqu’à l’instauration du Patriot Act qui a donné cet accès au FBI également.
Désormais, à la bibliothèque d’Orem ainsi que dans beaucoup d’autres, l’établissement conserve les données de prêt d’un usager jusqu’à ce qu’un autre usager retourne le même document emprunté. (Pour remonter à l’usager précédent en cas de document endommagé ou s’il y a des pénalité de retard). Après les données sont effacées.
Quand les usagers utilisent les ordinateurs de la bibliothèque, la plupart des établissements ont un système simple: « Dès que l’usager se déconnecte, les données sont effacées ». « Le FBI peut venir et saisir les ordinateurs, les données seront effacées. Ils ne trouveront rien ». (En France, la sauvegarde des données de connexion est imposée par la loi et le Conseil d’Etat a récemment rendu une décision rappelant la conformité de cette règle de droit avec le droit européen
Un responsable des bibliothèques de Salt Lake City explique que leurs « ordinateurs effacent l’historique de recherche » et ils « ne le conservent que si l’usager donne son consentement ».
Le respect de la vie privée est essentiel pour les bibliothécaires rappelle Huffaker qui pense que ce principe devrait être important pour tout le monde.
« Il y a des personnes qui disent que ce n’est pas important. Plus personne ne s’intéresse à la vie privée. » La bibliothécaire répond « Ok, dans ce cas pourquoi avec-vous des rideaux aux fenêtres ? »
D’après une autre bibliothécaire, devenir des chevaliers de la la protection de la vie privée a amélioré la réputation des bibliothécaires en montrant une autre image de rat de bibliothèques.
Enfin, les bibliothécaires interrogés évoquent le décalage qu’il peut y avoir avec la jeune génération de professionnels qui a grandi sous le Patriot Act et l’accoutumance à la surveillance que cela a pu engendrer chez certains.Et de citer l’exemple d’une situation où la police est entrée dans la bibliothèque pour regarder les images de la vidéosurveillance et que des bibliothécaires plus jeunes leur remette sur simple demande. « Nous devons leur dire « Attends, attends. Laisse-moi te rappeler comment nous faisons avec les mandats. Ce n’est pas que je n’aime pas les forces de l’ordre mais il y a des procédures à respecter. Nous devons aussi protéger les droits ».
Les bibliothèques ont accumulé depuis des années une dette technique en se concentrant sur la fourniture de ressources et de contenus numériques dissimulés derrière des remparts technologiques.
Pendant des années, on s’est concentré à faire la promotion de plateformes qui sont inutilisables, constituées d’obstacles qui ont de quoi dissuader les usagers. DRM, mots de passe multiples, plugins spécifiques à installer sur sa machine, exclusion des machines sous Linux…
On a passé du temps à produire des tutos, des guides, à faire de l’accompagnement, des portes ouvertes, des démos… pour que les usagers réussissent à utiliser ces plateformes. Tout ce temps consacré à faire du service après-vente nous a empêché de mettre nos forces ailleurs. Les semaines, les mois, les années sont passées et nous nous sommes habitués aux obstacles et à l’expérience utilisateur dégradée en se disant que de toute façon on ne pouvait pas concurrencer les plateformes commerciales. Pendant qu’une minorité dénonçait les menottes numériques, les accès à jetons et les licences limitées dans le temps, les usagers ont développé leur pratiques culturelles numériques en dehors des bibliothèques. Les usages liés à la SVOD sont clairement installés et vont continuer à se développer. Nous payons aujourd’hui notre dette technique.
Ecopons avec notre SEO
Comme on pouvait s’y attendre, la crise du Covid a provoqué une accélération des usages numériques. Le baromètre du numérique 2021 indique que 92 % de la population se connecte à internet, soit 4 points de plus que l’an dernier. Cette évolution concerne notamment les seniors et les personnes peu ou pas diplômées (85 % → 91 % pour les personnes niveau BEPC et 55 → 66 % pour les non diplômés). Avons-nous enregistré une hausse aussi significative du nombre d’adhérents ou de l’utilisation des ressources numériques qu’on paye à prix d’or? Alors même que nous étions le seul équipement culturel ouvert pendant la crise sanitaire ! Nous payons notre dette technique.
Nous disposons du recul et de l’expérience pour faire le bilan. Je pense que nous avons arrêté de défendre l’intérêt général (les plus à l’aise avec le numérique de nos usagers arriveront à utiliser ces plateformes) et avons accepté de proposer un simulacre d’expérience de ressources numériques. Pendant que nous avons consacré notre énergie à montrer que nos plateformes de streaming sont incroyables, nous avons oublié de nous concentrer sur le fonctionnement du web et du principe même du référencement.
Avec nos usines à gaz, nous avons oublié de nous intéresser au parcours de navigation qui permet à un internaute de tomber sur une ressource. Nous ne nous sommes pas préoccupés de notre SEO.
Ce terme défini l’ensemble des techniques mises en œuvre pour améliorer la position d’un site web sur les pages de résultats des moteurs de recherche (SERP)
Mettons-nous un instant dans la peau d’un usager qui recherche des films en streaming gratuit. Une requête qui a été fréquemment utilisée pendant le premier confinement.
Google Trends révèle l’importance des recherches de films en streaming pendant le premier confinement
En saisissant les mots-clés « film streaming gratuit » on s’aperçoit que les bibliothèques et leurs ressources numériques font partie du darkweb…Pas un site de médiathèque ni d’un prestataire de médiathèque ne remonte dans les résultats de recherche.
Aucun site de bibliothèque
Même si on rajoute « légal »….
CQFD. Nous sommes invisibles. A notre décharge, nous ne sommes pas entièrement responsables de cette situation mais en sommes complices. Nous avons fait confiance aux fournisseurs de plateformes, nous avons découvert des nouvelles façons d’acquérir et de proposer ces ressources dématérialisées, nous avons cru que l’abonnement à une ressource numérique suffisait à faire entrer la bibliothèque dans l’ère du 2.0. Mais nous avons été pris au piège et nous payons aujourd’hui notre dette technique. La médiation numérique appuyée sur une activité de production de contenus encadrée par des règles de l’écriture web et du référencement naturel aurait pu changer la donne.
Sommes-nous indispensables ?
J’ai déjà eu l’occasion d’exprimer mon point de vue sur l’indispensabilité des bibliothèques. C’est d’ailleurs le thème du prochain congrès de l’ABF. Cette question rhétorique est une coquetterie bibliocentrée. Il est peu probable que la conclusion de cette grand-messe réponde par la négative. Mais je pense que notre crise identitaire nous conduit à nous poser de mauvaises questions ou à prendre de mauvaises décisions. L’année de crise sanitaire a accentué cette perte de sens.
Consacrer un temps fort professionnel sur un concours de toilettes me paraît totalement déconnecté des préoccupations de la majorité de la population. En particulier pendant une période où nous avons été en contact avec les usagers qu’à travers le click and collect. Je ne vais pas me faire des amis mais j’ai l’habitude et les commentaires en-dessous de l’article sont ouverts.
C’est très sympa d’écrire sur les murs des toilettes mais si on veut défendre l’inclusion, peut-être qu’il faudrait faire un concours des sites de bibliothèques RGAA réellement accessibles ? Ou faire un concours des bibliothèques qui promeuvent la gratuité ? Ou un concours qui dénoncent les amendes en cas de retard des documents ? Ou bien encore des bibliothèques qui demandent des cartes d’identité et des justificatifs longs comme le bras pour s’inscrire ? Ou encore le palmarès des initiatives envers les publics non-francophones ? Au vu des attaques régulières contre les migrants, ce serait peut-être bien de se positionner en faveur de cette partie de la population parce que la diffusion des connaissances et le droit à l’accès à l’information ne connaissent pas de frontière.
Sans vouloir défendre mes marottes (mais un peu quand même) le dernier baromètre du numérique indique que les internautes sont préoccupés par la protection des données personnelles. (1/3 des internautes) Quand est-ce qu’on décide collectivement de s’emparer de cette problématique ? Pourquoi y-a-til un silence radio des associations professionnelles quand le gouvernement annonce un dispositif de surveillance de masse ? Sauf si on considère que la construction du citoyen peut se faire sous l’oeil d’un Etat panoptique, je ne comprends pas que la profession ne se mobilise pas sur ces sujets.
La vie privée et les données personnelles semble préoccuper les internautes
Les bibliothécaires américains commencent à s’interroger sur le futur des collections de DVD au regard du développement des usages liés à la SVOD. Allons-nous continuer à regarder le train passer et à faire comme l’industrie musicale et le développement du mp3 au tournant des années 2000 ? Il ne tient qu’à nous de nous emparer des problématiques de notre temps pour retrouver du sens dans notre action et montrer à la population que nous sommes utiles et peut-être indispensables.
Si vous êtes dans une petite structure ou pour une raison quelconque vous ne disposez de solution de gestion du parc informatique destiné aux usagers, vous êtes certainement contraints de passer sur chaque machine pour nettoyer et supprimer les fichiers enregistrés par le public. Cette opération est fastidieuse et chronophage. Sachez qu’un simple script peut vous faciliter la vie ! C’est ce que nous allons voir dans cet article.
Un script pour réinitialiser une session Windows
L’avantage de l’informatique est qu’elle permet d’automatiser un certain nombre de tâches. C’est exactement ce qu’on va lui demander de faire avec ce script. Un script est un ensemble de commandes qui permet d’exécuter des tâches sur l’ordinateur qui se présente sous la forme d’un fichier. On peut exécuter ce fichier à la volée en cliquant dessus ou bien en utilisant l’utilitaire de Windows « Planificateur de tâches » pour programmer son exécution.
Conditions d’usage
Ce fichier est supposé nettoyer la session (la même session pour tous les utilisateurs) utilisée par le public qui a tendance à enregistrer tout et n’importe quoi sur l’ordinateur. On peut régulièrement retrouver des avis d’impôts, des attestations de la CAF ou un document de Pôle Emploi dans les différents dossiers de l’ordinateur. Plutôt moyen terme de confidentialité et respect de la vie privée des usagers.
Fonctionnement du script
@echo off // empêcher que les commandes s’affichent à l’écran
del /F C:\Users\%USERNAME%\Desktop\*.* /Q // del supprime les fichiers en lecture seule (/F) sans avoir à confirmer la suppression du fichier (/Q)
cd C:\Users\%USERNAME%\Desktop\
xcopy "C:\Users\%USERNAME%\Desktop\*.lnk" "C:\script\Bureau lnk\" /H /Q // Crée une copie des raccourcis du bureau
del /F C:\Users\%USERNAME%\Pictures\*.* /Q //Supprime le contenu du dossier Images sans demander de confirmation
del /F C:\Users\%USERNAME%\Videos\*.* /Q //Supprime le contenu du dossier Vidéos sans demander de confirmation
del /F C:\Users\%USERNAME%\Music\*.* /Q //Supprime le contenu du dossier Musique sans demander de confirmation
del /F C:\Users\%USERNAME%\Downloads\*.* /Q //Supprime le contenu du dossier Téléchargements sans demander de confirmation
del /F C:\Users\%USERNAME%\Documents\*.* /Q //Supprime le contenu du dossier Documents sans demander de confirmation
del /F C:\Users\%USERNAME%\AppData\Local\Mozilla\Firefox\Profiles\ogrgq3kr.default-release\cache2\entries\*.* /Q
del /F C:\Users\%USERNAME%\AppData\Local\Mozilla\Firefox\Profiles\ogrgq3kr.default-release\OfflineCache\*.* /Q //Réinitialise Firefox
rmdir /S "C:\Users\%USERNAME%\Downloads" /Q //Supprime le répertoire (rmdir)Téléchargements
md C:\Users\%USERNAME%\Downloads //Recrée (md) le répertoire Téléchargements
rmdir /S "C:\Users\%USERNAME%\Pictures" /Q //Supprime le répertoire Images
md C:\Users\%USERNAME%\Pictures //Recrée le répertoire Images
rmdir /S "C:\Users\%USERNAME%\Videos" /Q //Supprime le répertoire Vidéos
md C:\Users\%USERNAME%\Videos //Recrée le répertoire Vidéos
rmdir /S "C:\Users\%USERNAME%\Music" /Q //Supprime le répertoire Musique
md C:\Users\%USERNAME%\Music //Recrée le répertoire Musique
rmdir /S "C:\Users\%USERNAME%\Desktop" /Q //Supprime le répertoire Bureau
md C:\Users\%USERNAME%\Desktop //Recrée le répertoire Bureau
rmdir /S "C:\Users\%USERNAME%\Documents" /Q //Supprime le répertoire Documents
md C:\Users\%USERNAME%\Documents //Recrée le répertoire Documents
rmdir /S "C:\Users\%USERNAME%\Mes Videos" /Q //Supprime le répertoire Mes Vidéos
md C:\Users\%USERNAME%\Mes" "Videos //Recrée le répertoire Mes vidéos (notez la syntaxe du repértoire)
rmdir /S "C:\Users\%USERNAME%\AppData\Local\Temp" /Q //Supprime le répertoire Temporaire « Temp »
md C:\Users\%USERNAME%\AppData\Local\Temp //Recrée le répertoire Temporaire
rmdir /S "C:\Users\%USERNAME%\AppData\Roaming\Mozilla" /Q //Supprime le dossier local de Firefox (avec toutes les configurations éventuelles...)
rmdir /S "C:\Users\%USERNAME%\AppData\Local\Google\Chrome" /Q //Supprime le dossier local Chrome (historique, cookies, identifiants enregistrés...)
rd /s /q %systemdrive%\$Recycle.bin // Supprime définitivement les contenus de la Corbeille
xcopy "C:\script\Bureau lnk\*.lnk" "C:\Users\%USERNAME%\Desktop" /H /Q //Colle les raccourcis sauvegardés précédemment
Ce script n’est peut-être pas idéal et peut certainement faire l’objet d’une amélioration. Cependant, il répond au besoin et supprime les éléments présents dans les répertoires indiqués. En fonction de la configuration de la machine sur laquelle il s’exécutera, vous devrez peut-être adapter le fichier notamment en modifiant les chemins des répertoires ou leur nom.
Limites et inconvénients
Comme je l’ai indiqué plus haut, cette solution n’est pas parfaite. En l’état actuel, le script réinitialise le navigateur Firefox ou Chrome. Par conséquent, si vous aviez défini des paramètres spécifiques (protection contre le pistage, suppression des cookies à la fermeture, extensions…), ils seront effacés. Le navigateur est entièrement réinitialisé. Par conséquent, l’historique, les cookies, les identifiants enregistrés sont également supprimés. L’un dans l’autre, cela réduit les risques en matière de confidentialité si un usager prend l’ordinateur après un autre.
Une alternative consisterait à générer un profil avec des paramètres strictes avec l’outil https://ffprofile.com/. Puis ensuite de définir ce profil par défaut via le gestionnaire de profile de Firefox about:profiles. Je n’ai pas pris le temps de tester cette hypothèse. Si vous l’avez fait, n’hésitez pas à utiliser les commentaires !
la session sur laquelle doit s’exécuter le script ;
le déclencheur : l’ouverture de la session ;
action : démarrer un programme. Dans le champ Programme/Script, indiquer le chemin où se trouve le script. Libre à vous de choisir le répertoire où le stocker
paramètres : décocher la case « Arrêter la tâche si elle s’effectue plus de… »
Nous avons parfois tendance à conserver des données sur les usagers « au cas où ». Il faut bannir ce réflexe et ne collecter que des données strictement nécessaires déterminé par des finalités précises. Mai cette obligation du RGPD n’est pas toujours respectée pour le moment. Le prétexte qui est parfois utilisé est celui des statistiques. Effectivement, nous avons besoin de réaliser des stats pour évaluer la portée de nos actions ou pour remplir l’enquête annuelle du Service du Livre et de la Lecture.
Afin de limiter les risques de fuites ou de conservation injustifiée, on peut dé-identifier les données de nos usagers. En effet, on s’en moque de savoir que Mr Tartempion ou Mme Michu a participé à la rencontre d’auteur du mois dernier. On peut donc supprimer le nom de ces usagers. Je vous propose donc un petit memo pratique qui consiste à transformer des données brutes en données dé-identifiées.
Catégorie de données
Données brutes
Données de-identifiées
Date de naissance
10/05/1981
40 ans
Adresse
3 rue de la République Amiens
80090
Adresse IP (site web / ressources numériques)
192.168.93.49
192.168.XX.XX
Inscription
Mr Tartempion, 59 ans, 2 rue des Alouettes, 99 999 Ville City
Homme, 55 – 64 ans, Quartier Butte-Verte
Dé-identifier des données d’usagers
Ce principe de dé-identification des données s’applique surtout pour les animations et les événements sur inscriptions organisées par la bibliothèque. Mais une fois l’événement terminé, il n’y a plus de raison de conserver les données des participants. Si on a besoin de conserver des données à des fins statistiques, on pratique la dé-identification. Par ailleurs, en cas de fuite de la base de données constituée à cette occasion, les assaillants disposeraient de peu de données utiles. Mais rappelez-vous, même anonymisées, les données peuvent permettre de ré-identifier une personne.
Je poursuis ma semaine consacrée à la vie privée en bibliothèque avec ce troisième article (le #1 et le #2). Aujourd’hui, je souhaite vous rappeler ou vous faire prendre conscience qu’on manipule beaucoup de données personnelles de nos usagers.
A partir d’une situation fictive, je vais vous montrer qu’on peut disposer d’un volume d’informations digne de la NSA. Que ce soit lors d’atelier ou d’accompagnement dans la réalisation de démarches administratives, la manipulation de données personnelles d’usagers est fréquente. Ils nous les fournissent volontiers parce qu’ils nous font confiance. Ne trahissons pas cette confiance en faisant n’importe quoi de ces données. (N’hésitez pas à agrandir l’image ci-dessous pour mieux voir).
On nous vend souvent le mythe de l’anonymisation des données personnelles. C’est juste un blanc-seing pour pouvoir utiliser nos données afin de pouvoir nous tracker dans les moindres recoins du cyberespace. En recoupant quelques données non identifiantes, on peut ré-identifier un individus. Je vous invite à tester l’Observatoire de l’anonymat pour vous en rendre compte. Il faut savoir que les datas broker, les courtiers de données, peuvent disposer jusqu’à 1500 informations différentes sur les individus.
Pour conclure, moins on collecte de données moins on s’expose à une fuite importante de données. N’utilisons que les données strictement nécessaires et assurons-nous des mesures de sécurité prises pour garantir la protection des données des usagers : intégrité, authenticité et confidentialité. Cela est également valable pour les prestataires avec lesquels nous travaillons !
Comme je l’expliquais dans cet article, à l’occasion de la privacy week portée par nos confrères américains, j’ai décidé de participer à ma façon à cet événement en publiquant pendant une semaine des articles autour de la vie privée.
Le billet du jour est un mini-quiz pour évaluer vos connaissances sur le RGPD. Plutôt que de faire un article ennuyeux et rébarbatif, je voulais proposer quelque chose de léger parce que l’humour permet aussi de faire de la pédagogie. Alors amusez-vous ! Mais si vous avez une mauvaise note au quiz, j’appelle la CNIL !
Chaque année les bibliothécaires américains organisent un temps fort consacré à la protection de la vie privée. La privacy week est l’occasion de rappeler que les bibliothèques ont un rôle un jouer dans cette bataille pour reprendre le contrôle sur nos données personnelles. En effet, les bibliothèques font partie des lieux culturels les plus fréquentés. Cette année de Covid a renforcé cette tendance car les bibliothèques ont été les seuls lieux ouverts.
Puis, au regard de leur mission et des outils qu’elles sont amenées à utiliser, les bibliothèques ont une légitimité à accompagner les citoyens et les sensibiliser aux enjeux du numérique.
Enfin, le rôle croissant du numérique dans la société et la place de plus en plus incontournable des géants de la tech nécessitent de développer un esprit critique et de réfléchir aux conséquences sur nos libertés mais aussi sur le fonctionnement de notre démocratie. La polémique autour de Cambridge Analytica et le rôle de Facebook en sont un exemple. L’ingérence Russe dans les élections américaines, les cyberattaques diligentées par la Chine ou la Corée du Nord ont des conséquences sur la vie politique et notre futur.
Si l’on part du principe que les bibliothèques participent à la construction du citoyen et doivent aider les usagers à se forger un esprit critique, il est de notre devoir de montrer ce qu’impliquent d’utiliser les outils des GAFAM ou de leurs homologues asiatiques. On ne peut pas laisser seules ces entreprises se positionner comme les défenseurs de la vie privée. Le droit à la vie privée en ligne ne peut pas reposer sur Apple et son dispositif de blocage du tracking publicitaire ou Google et son enfumage autour de la fin des cookies tiers.
Ce combat a peut-être une portée moins grande en France. Nous n’avons pas un événement national qui met l’accent sur la protection des données personnelles portées par des associations. Il y a bien évidemment des actions qui ont été organisées comme le FDLN ou JDLN mais cela reste des initiatives portées par des individus localement. Alors même qu’une part importante de la population se déclare sensible aux questions relatives à la vie privée, les représentants des associations professionnelles n’ont pas fait de ce sujet un axe fort de leur mandat. Ce n’est pas un reproche, c’est un constat. (Je tiens à le préciser pour éviter d’être accusé comme le râleur de service).
Ce n’est pas toujours évident de défendre ces sujets dans son établissement. Défendre la vie privée et le contrôle sur nos données personnelles, c’est défendre le chiffrement ou des outils destinés à préserver notre anonymat. Dans le contexte actuel, on peut être rapidement assimilé à un terroriste potentiel ou un pédocriminel. Ce n’est évidemment pas simple en ce moment de défendre des outils qui protègent notre intimité. Pourtant, ces outils sont indispensables pour garantir une société libre et démocratique.
L’année de Covid nous a prouvé que le chiffrement ou la protection des données personnelles sont fondamentaux pour chacun d’entre nous.
Avec le télétravail, combien d’entreprises ou de services de l’administration ont déployés des VPN pour organiser le télétravail et garantir la sécurité informatique du service et l’intégrité des données échangées ? Cela ne semble choquer personne d’utiliser le chiffrement dans ce cas.
Les périodes de confinement ont été une période particulièrement faste pour le commerce en ligne. Accepterions-nous de saisir nos coordonnées bancaires sans la moindre garantie de sécurité ? Le chiffrement est la solution pour nous permettre d’utiliser nos cartes bancaires en ligne.
La crise sanitaire a entraîné le développement des applications de contact tracing qui impliquent l’utilisation de données de santé considérées comme des données sensibles. Accepterions-nous que les données relatives à notre état de santé transitent en clair entre nos téléphones et les serveurs de Tous AntiCovid ?
Pendant un moment, l’idée du vote électronique a été mis sur la table dans la perspective des prochaines élections présidentielles. Accepterions-nous d’utiliser des machines à vote qui ne garantirait pas la confidentialité du suffrage ?
Le chiffrement est définitivement indispensable. Le remettre en cause au nom de la sécurité ou au nom de la lutte contre le terrorisme est une perspective redoutable pour l’équilibre démocratique de notre société. Il ne peut pas y avoir d’un côté un chiffrement fort pour des services commerciaux et de l’autre un chiffrement faible pour les réseaux sociaux ou les messageries chiffrées. Certes, ces outils sont utilisés à des fins criminelles. Mais fragiliser des outils qui garantissent la liberté d’expression indispensable dans une société libre, c’est renoncer aux droits fondamentaux qui la soutiennent.
Comment faire en tant que bibliothécaires ?
Les statuts de la fonction publique peuvent paraître incompatibles avec ces sujets. Mais on peut y prendre part de diverses façons :
Privilégier des outils libres comme Jitsi ou BigBlueButton pour les visios ;
Utiliser des moteurs de recherche alternatifs à Google et les configurer par défaut sur les ordinateurs publics ;
Privilégier les logiciels libres à installer sur ces machines ;
Animer des ateliers sur les données personnelles ;
Montrer comment l’authentification en deux étapes fonctionne ;
Comment créer un mot de passe et pourquoi il ne faut pas utiliser deux fois le même ;
Réapprendre nos habitudes numériques personnelles en privilégiant des alternatives respectueuses de la vie privée ;
Faire de la pédagogie sur ces sujets ;
…
A l’occasion de cette semaine consacrée à la vie privée, je publierai pendant 7 jours un article pour présenter une ressource, un service ou une action qui parlticipe à la défense de a vie privée et de nos données personnelles.
Si vous souhaitez partager un outil ou une expérience, n’hésitez pas à utiliser les commentaires !
L’Association américaine des bibliothèques a adopté une résolution fin janvier contre l’utilisation de logiciel de reconnaissance faciale dans la continuité de la « Library Bill of rights » et d’autres textes portés par l’ALA qui promeuvent le respect de la vie privée des usagers des bibliothèques.
Les bibliothécaires américains soulignent que le droit et le respect de la vie privée sont indispensables pour garantir la liberté intellectuelle. Les bibliothèques doivent défendre ces valeurs et sensibiliser les publics à la protection de la vie privée mais surtout protéger les données personnelles des usagers. L’ALA rappelle que les usagers doivent pouvoir utiliser les services de la bibliothèque sans craindre une intrusion dans leur vie privée. Le risque que pourrait introduire ce genre de technologies serait de rompre la confiance des usagers et les dissuader de venir utiliser les services de la bibliothèque.
S’appuyant sur des études démontrant les dérives dont est capable la reconnaissance faciale et la menace qu’elle fait planer en sacrifiant la notion même de consentement libre et éclairé, l’ALA estime que cette technologie de contrôle crée des conditions propices à une surveillance non autorisée des usagers.
L’absence de cadre juridique au niveau fédéral, l’utilisation répandue par les autorités et le manque de transparence des logiciels protégés par des droits de propriété intellectuels justifient également le rejet de la reconnaissance faciale par les bibliothécaires américains. Quelle confiance peut-on accorder à une boîte noire qui ne permet pas de savoir comment elle fonctionne ?
Par ailleurs, cette technologie fait l’objet de biais cognitifs qui traduisent les représentations et les préjugés des développeurs derrière les algorithmes utilisés dans les logiciels de reconnaissance faciale. Cela produit des discriminations notamment à l’égard des minorités qui sont plus victimes d’erreurs d’identification. Au nom de l’antiracisme, de l’équité, de la diversité et de l’inclusion, l’ALA rejette la reconnaissance faciale.
Parce que la reconnaissance faciale porte atteinte à la vie privée des usagers mais aussi à celles des bibliothécaires qui devraient se soumettre à l’utilisation de leurs données biométriques, l’ALA s’oppose à cette technologie sécuritaire. Elle invite les professionnels mais aussi leurs partenaires à défendre cette position et sensibiliser les usagers, les élus ou encore le législateur sur les risques que fait planer la reconnaissance faciale sur la vie privée et les discriminations qu’elle produit. En l’absence d’étude qui démontrerait l’efficacité de ce dispositif panoptique, elle invite à cesser d’utiliser les logiciels de reconnaissance faciale et réclame un moratoire sur l’utilisation de logiciel de reconnaissance faciale dans les bibliothèques.
Aujourd’hui c’est la journée européenne de la protection des données personnelles. Chaque 28 janvier l’accent est mis sur ce sujet et vous lirez beaucoup de choses sur le tracking en ligne, sur la façon de s’en prémunir et sur les nombreux outils qui existent. Parfois ce sera peut-être redondant mais la pédagogie est l’art de la répétition. Je profite de cette journée symbolique pour apporter ma pierre à l’édifice. Mais je ne parlerai pas d’outils pour protéger nos données personnelles. Je voudrais essayer de tordre le coup à certains préjugés et faire comprendre que la protection de nos données personnelles n’est pas une marotte de geeks. C’est un enjeu particulièrement crucial à l’heure où nos données de santé, nos opinions politiques ou religieuses, nos relations dépendent des technologies numériques.
Je n’ai rien à cacher
C’est la réponse la plus répandue et la plus simple quand on parle de protection de la vie privée. Cet argument sous-entend que si on cherche à protéger notre vie privée, c’est pour dissimuler un méfait ou un acte délictueux. Ce raisonnement est la conséquence de plusieurs années de matraquage sécuritaire et de tentatives fructueuses de nous faire consentir collectivement à la multiplication des lois anti-terroristes ainsi qu’à un état d’urgence permanent. Il n’est plus nécessaire de crier à l’orwellisation de la société et au développement de ses dispositifs de contrôle. Nous sommes à l’épilogue du roman 1984. Au moment où Winston Smith finit par aimer Big Brother et adhérer volontairement à cette servitude volontaire.
Or, il est faux de dire qu’on n’a rien à cacher. Edward Snowden avait sorti cette punchline « Dire que l’on se fiche du droit à la vie privée sous prétexte que l’on a rien à cacher serait comme déclarer que l’on se fiche du droit à la liberté d’expression sous prétexte que l’on a rien à dire ». Elle n’a pas pris une ride mais elle est incomplète. Nous avons tous des idées, des désirs, des fantasmes que nous ne souhaitons pas partager. Cela peut aller de la chanson coupable qu’on n’assume pas publiquement à l’opinion politique qu’on n’ose pas exprimer devant ses collègues par crainte de sanction ou de représailles. Ce ne sont pas des choses répréhensibles mais une partie de soi ou de son identité qu’on ne souhaite pas divulguer pour tout un tas de raisons qui nous regardent. Et si vous n’avez rien à cacher, pas de jardin secret à protéger, ouvrez-nous les portes de vos boîtes mails, de vos réseaux sociaux. Montrez-nous les photos qui sont stockées dans vos téléphones ou les DM que vous avez envoyés. Sans parler de contenus à caractère sexuel, vous ne souhaitez peut-être pas qu’on sache de quel sobriquet votre conjoint-e vous affuble. Et tout cela est légitime car c’est vouloir préserver votre intimité. Pour y parvenir, cela nécessite de refuser de jouer le jeu de la logique sécuritaire et des règles dangereuses qui promettent plus de sécurité au nom de la liberté.
Le chiffrement, l’arme des voyous et des pédocriminels
La cryptographie permet de chiffrer un message au moyen d’un algorithme de chiffrement. Son objectif vise à garantir la confidentialité, l’intégrité et l’authenticité d’un message. Défendre ces principes ne fait pas de vous un criminel.
Les pouvoirs publics et les représentants politiques tentent régulièrement de réduire la portée du chiffrement des moyens de communications. L’argument invoqué est de pouvoir permettre d’identifier des criminels souvent terroristes ou les échanges de contenus pédopornographiques. Bien évidemment qu’il faut lutter contre ces crimes mais ce n’est probablement pas en déployant des portes dérobées dans les protocoles de chiffrement que les autorités mettront un terme à cette cybercriminalité. On apprend régulièrement que des plateformes de ventes d’armes, de drogues et de tout ce qui peut faire fantasmer la presse à sensation ont été démantelées. Ces espaces du fameux « dark oueb » disposent pourtant d’un niveau de protection essayer d’échapper au radar des forces de l’ordre. Malgré toutes ces dispositions, les autorités parviennent à les faire fermer. Le problème n’est donc pas le chiffrement des moyens de communications qui permettent à la grande majorité des utilisateurs de protéger leur intimité mais plutôt le manque de moyens attribués aux autorités pour pouvoir enquêter et démanteler ces réseaux. Affaiblir le chiffrement, c’est accepter que nos données de santé transitent à la merci de tous et puissent être interceptées et lues par n’importe qui. Récemment en Finlande, des cybercriminels ont voulu faire chanter des patients qui suivaient une psychothérapie. Certes aucune solution n’est infaillible mais le chiffrement des données réduit l’exposition à ce genre de menaces. Affaiblir le chiffrement, c’est accepter d’acheter des produits en ligne en risquant de se faire dérober ses informations bancaires. Affaiblir le chiffrement, c’est se rendre complice de l’espionnage industriel et de la levée du secret commercial et industriel considéré comme un principe sacro-saint de la société capitaliste.
On mesure bien que le chiffrement est devenu central et indispensable. Souhaiter l’affaiblir dans un domaine, c’est s’exposer à diminuer son efficacité ailleurs. D’autant plus que les criminels ne manquent pas d’imagination et de ressources pour se protéger. « Des gens réellement mal intentionnés avec un peu de bagage technologique, ne seraient pas inquiétés par une telle loi. Rien n’empêche d’utiliser un chiffrement bonus sur un logiciel e2e. »
Les données biométriques
Quand on parle de données personnelles, on pense souvent aux traces qu’on laisse (in)volontairement derrière nous sur le web ou aux informations extorquées par des conditions générales d’utilisation léonines. Mais une autre catégorie de données personnelles est de plus en plus exposée avec l’utilisation des assistants vocaux ou des dispositifs de reconnaissance d’empreintes sur les smartphones. Nos données biométriques sont de plus en plus utilisées pour pouvoir accéder à des services ou authentifier un accès. Le recours à l’empreinte digitale pour déverrouiller son téléphone est une fonctionnalité rapide et pratique qui évite l’oubli de mot de passe. Mais c’est également le revers de la médaille, on ne peut pas changer son empreinte digitale. A l’inverse, en cas de fuites ou d’attaques, le mot de passe pour accéder à un service ou à un compte peut être changé. Sans compter que le vol d’empreintes biométriques n’est pas si compliqué que cela. En effet, une photographie de vos doigts peut suffire à récupérer votre empreinte digital. Le confort des ces nouvelles fonctionnalités qu’on retrouve dans nos objets du quotidien ne doit pas nous faire oublier qu’elles comportent des risques dont les conséquences en matière d’usurpation d’identité peuvent être très dangereuses.
Avec le développement de dispositifs de contrôle comme la reconnaissance faciale, c’est l’utilisation même de notre visage que nous ne contrôlons plus. La multiplication de la vidéosurveillance, supposée lutter contre la criminalité, représente une entrave à la libre circulation puisque nos déplacements et notre attitude sont scrutés à chaque coin de rue. Mais désormais les réseaux de caméras sont couplés à des algorithmes de reconnaissance faciale. A partir de notre façon de marcher ou de notre comportement, on va essayer de déduire et anticiper nos actions. Mais comment l’algorithme peut-il traduire le stress d’arriver en retard à un entretien d’embauche ? La conséquence de cette surveillance est de chercher à se conformer à une norme sociale pour éviter d’apparaître comme un signal faible. C’est toujours l’argument sécuritaire qui justifie le déploiement de cet arsenal panoptique. En brandissant la menace d’un attentat les pouvoirs publics produisent une accoutumance aux technologies sécuritaires. La fuite en avant technologique motivée par des ambitions sécuritaires ne doit pas se faire au détriment de nos libertés, de notre vie privée et de nos données personnelles.
J’ouvre l’année 2021 avec un billet d’humeur en lien avec la polémique autour de WhatsApp et de la bascule qui est en train de s’opérer au profit de l’application Signal.
Cela fait des années que j’utilise mes petits bras musclés pour sensibiliser à la protection des données personnelles et aider les personnes qui le souhaitent à passer le cap pour apprendre à utiliser des outils qui aident à protéger notre intimité. Bien évidemment, je ne suis pas le seul et d’autres le font avec plus de force et de succès que moi. Qu’ils en soient remerciés.
Les révélations de Snowden en 2013 ont provoqué un électrochoc au sein de l’opinion public en rendant concret ce qu’on savait tous plus ou moins. Les Etats pratiquent la surveillance de leur population depuis des années. Ces révélations ont choqué mais ne se sont pas traduites par un changement en profondeur des pratiques. Les GAFAMs ne se sont jamais aussi bien portés qu’au cours de ces dernières années, il suffit de constater le niveau de capitalisation boursière des ces entreprises. Presque 8 ans après les révélations du lanceur d’alerte, autant d’années d’actions d’associations de défense des libertés numériques, une cohorte de lois liberticides votées au grès des circonstances et du contexte terroriste, il aura fallu attendre une banale modification des Conditions Générales d’Utilisation de WhatsApp et un tweet de l’homme actuellement le plus riche du monde pour que la prise de conscience que notre vie privée est précieuse se traduise en actes.
L’application Signal apparaît dans le top des classements des applis téléchargées dans certains pays. Après avoir passé une année 2020 désastreuse en matière de protection de la vie privée reléguée à l’arrière-plan en raison du confinement, du télétravail et de l’utilisation massive d’outils de visio peu respectueux de nos données personnelles, c’est probablement la première bonne nouvelle de l’année 2021. Nous avons de quoi nous réjouir que des personnes décident de changer de crémerie. La force des GAFAMs et leur capacité à nous enfermer dans leurs prisons dorées reposent sur l’effet de réseau. Pendant très longtemps ce phénomène nous a contraint à rester dans écosystèmes toxiques dont le modèle économique est construit sur celui du capitalisme de surveillance. Tout simplement parce que notre réseau social est présent sur Facebook ou WhatsApp. Etre prêt à se déconnecter de ses proches, de ses amis et des personnes avec lesquelles on est prêt à partager d’une façon ou d’une autre notre intimité, demande une force de conviction que tout le monde n’a pas. Et c’est d’ailleurs à ce moment précis que l’argument imbécile « De toute façon, je n’ai rien à cacher » intervient et termine de convaincre une majorité de personnes de continuer à utiliser les services des GAFAMs.
Or les choses sont en train de changer depuis cette semaine. Je suis sûr que comme moi, vous avez fait l’expérience autour de vous de gens qui se sont mis à vous en parler, à vous dire qu’ils avaient installé Signal. Vous vous retrouvez désormais à discuter avec une partie de vos contacts sur cette appli. Et c’est très bien !
Mais ! Parce qu’il y a toujours un mais. Au lieu de prendre le temps de se réjouir de cette situation et d’apprécier que les efforts de sensibilisation fournis depuis des années commencent à payer, il y a des personnes qui sont malheureusement dans la critique en disant que c’est bien mais pas suffisant. Parmi les critiques, on peut retrouver :
les maximalistes : Ceux-là critiquent le fait que les personnes utilisent désormais Signal mais continuent aussi à se servir de Google, du navigateur Chrome, de Gmail ou d’Outlook…. ;
les juristes : l’organisation qui est derrière Signal est américaine et par extension soumise au Cloud Act ;
les techos : Signal repose sur une architecture centralisée ;
les techos bis : Signal nécessite de fournir son numéro de téléphone pour fonctionner ;
les cryptos : Ok Signal intègre le chiffrement de bout-en-bout mais laisse des traces avec les métadonnées…
Evidemment qu’aucune solution n’est parfaite. Si vous tenez à protéger intégralement votre vie privée, n’utilisez aucun service connecté à Internet ! Si vous n’êtes pas prêt à vivre comme un ermite, vous pouvez déjà vous rassurer avec les éléments suivants :
L’application Signal est gérée par une fondation à but non lucrative. Elle n’aura pas à céder à la pression des actionnaires qui chercheraient à optimiser les coûts et obtenir une rentabilité et un taux de croissance à deux chiffres;
L’intégralité de l’application est open source et par conséquent auditable. La transparence assumée est la seule garantie qu’il n’y a pas de porte dérobée ou de cochonneries qui trahirait le message et la confiance affichés par Signal ;
Le protocole de chiffrement utilisé par Signal est réputé pour être robuste. (Cet argument ne sera peut-être plus valable d’ici 2, 5 ou 10 ans. Si ça se trouve, la NSA ou une autre agence de renseignement a déjà identifié une faille et est en train d’exploiter cette vulnérabilité dans son coin. Mais c’est le principe d’une faille 0-day, on ne sait pas qu’elle existe tant qu’elle n’a pas été divulguée) ;
C’est une application qui est recommandée par Snowden, mais ça c’est pas nouveau ;-).
Comme le revendique une célèbre association, la route est longue mais la voie est libre. C’est important qu’il y ait une avant-garde éclairée qui pointe les lacunes ou les limites de tel outil mais elle doit veiller à ne pas se couper des masses qui décident de changer ses pratiques pour continuer à être audible et éviter de rester dans un entre-soi élitiste. Imaginez le degré de « disruption » que cela représente pour la plupart de passer de WhatsApp à Signal. Imaginez la force, la patience, l’énergie que ça va demander à beaucoup de gens d’expliquer à tonton Roger ou tata Suzanne comment fonctionne Signal et qui leur diront « Mais c’est pareil que l’autre, pourquoi changer ?! »
Alors oui, la situation n’est pas totalement parfaite. Mais c’est un changement mineur dont on peut se féliciter et espérer qu’il en produise d’autres. La protection de la vie privée en ligne nécessite d’apprendre à apprendre. Il va falloir abandonner des habitudes et des outils qui sont devenus notre quotidien au fil des années. Au-delà de la question des pratiques, il faut aussi se poser collectivement le coût de la vie privée. L’évolution commerciale du web nous a fait croire que les services pouvaient être gratuits et cette illusion est fortement responsable de la situation dans laquelle on se trouve actuellement. Notre intimité et notre vie privée ont un coût. Sommes-nous à prêts à le payer ?
L’été est propice à la découverte, à des tests ou à des choses que je n’ai pas le temps de faire le reste de l’année. Entre deux vagues de chaleur et un changement de masque pour se protéger du Covid, j’ai souhaité comprendre et voir comment fonctionnait l’application qu’on allait bientôt fournir aux usagers de la médiathèque dans laquelle je travaille. Attaché au respect de leur vie privée et à la protection de leurs données personnelles, je me suis dit qu’une appli peut être un véritable piège dans ce domaine. Cette idée m’est venue après la lecture du blog Pixel de tracking que je vous invite à lire si vous vous intéressez à la problématique du tracking et des données personnelles.
Télécharger l’appli
L’application Ma Bibli est disponible pour iOS et Android. C’est cette dernière version que j’ai testée. Premier réflexe, lire les autorisations que l’appli demande disponibles sur le Play Store. L’appli dispose des autorisations suivantes :
Mobile
read phone status and identity
Lieu
approximate location (network-based)
precise location (GPS and network-based)
Caméra
take pictures and videos
Stockage
read the contents of your USB storage
modify or delete the contents of your USB storage
Micro
record audio
ID de l’appareil et informations relatives aux appels
read phone status and identity
Photos/Contenus multimédias/Fichiers
read the contents of your USB storage
modify or delete the contents of your USB storage
Autre
receive data from Internet
prevent device from sleeping
control flashlight
view network connections
run at startup
full network access
change your audio settings
control vibration
Qu’en dit Exodus Privacy ?
Hmm… 18 permissions indiquées sur le Play Store, on passe à 28. Le fichier AndroidManifest.xml indique bien 28 permissions.
Les pisteurs repérés par Exodus Privacy sont Google Firebase et Google AdMob. Un petit tour sur le site de ce dernier a de quoi soulever quelques interrogations :
Vous consacrez beaucoup d’énergie à vos applis. AdMob vous permet de les monétiser facilement grâce à des annonces diffusées dans l’application, des informations clés exploitables, et des outils performants et faciles à utiliser qui les améliorent.
https://admob.google.com/intl/fr/home/
Regardons sous le capot avec Charles Proxy
Charles Proxy est un outil qui permet d’analyser le trafic HTTP et HTTPS entre un appareil et Internet. Cela inclut également les requêtes, les réponses et les en-têtes HTTP.
Afin de limiter les risques de sécurité les applications intègrent de plus en plus des dispositifs pour éviter que des attaquants ne captent le trafic et ne parviennent à exploiter des failles de sécurité sur les serveurs contactés par l’application. Un de ces dispositif est le SSL spinning.
Le principe est le suivant : l’application n’accepte de se connecter et d’échanger qu’au serveur ayant un certificat spécifique
N’ayant pas voulu contourner cette mesure dans le cadre de mon test, les observations que je peux faire sur Ma Bibli sont donc à relativiser car elles ne traduisent pas une analyse profonde et exhaustive de l’appli. Toutefois, on peut reconnaître le soin pris par le prestataire pour protéger l’appli.
Au lancement de l’application Ma Bibli, plusieurs communications avec des services tiers s’exécutent. L’appli sollicite des services de Google et évidemment ceux du prestataire :
Maps.googleapis.com > permet de géolocaliser l’utilisateur et de lui indiquer une liste de bibliothèques disponibles en fonction de sa position géographique.
L’appli communique avec les serveurs du prestataire où sont stockés les contenus de l’appli. (C’est ce qui apparaît barré. J’ai volontairement caché les urls qui renvoient vers les serveurs du prestataire.)
J’ai également identifié une requête vers https://people-pa.googleapis.com que je ne connais pas. En lisant la documentation consacrée à cette API fournie par Google, j’en déduis que c’est une API qui permet d’accéder à la liste des contacts une fois qu’un utilisateur authentifié à donner son accord.
En se connectant à son compte adhérent
Une fois qu’on s’authentifie sur l’appli en saisissant son login et son mot de passe, des requêtes sont exécutées mais qui sont tout à fait légitimes. Il s’agit d’une requête vers le SIGB, comme quand un usager se connecte à son compte depuis le site de la bibliothèque. Une autre est effectuée vers l’outil d’analyse de l’audience de l’appli. Il s’agit en l’occurrence de Google Analytics. Enfin, une autre requête est exécutée vers une autre API de Google intitulée Safe Browsing Api https://developers.google.com/safe-browsing/v4/ Cette API est fournie pour se prémunir contre le phishing ou les malwares.
Puisque l’appli mobile est une reproduction du site web, on retrouve aussi des requêtes vers des services nécessaires à la fourniture des couvertures des documents. Dans le cadre de mon test, j’ai donc constaté une requête vers une API mise à disposition par les fournisseurs ORB, GAM Annecy, Amazon. ou encore CVS. Cependant, j’ai repéré une requête vers images.amazon.com que je n’arrive pas à expliquer. En analysant plus en détails, je constate qu’il s’agit d’une image d’un pixel (1×1) communément appelé pixel espion.
Un pixel espion (aussi appelé pixel 1×1 ou balise pixel, en anglais tracking pixel) est un graphique mesurant 1x1px. Ce graphique est téléchargé pendant qu’un utilisateur visite un site Web ou ouvre un e-mail. Il est utilisé pour suivre les activités d’un utilisateur sur le Web. Un pixel espion peut aussi être utilisé par les annonceurs pour acquérir des données statistiques pour le marketing digital, l’analyse web ou le marketing e-mail. Ces informations peuvent être aussi utilisées à des fins plus spécifiques notamment via l’analyse des logfiles ou encore à pour des actions de retargeting.
https://fr.ryte.com/wiki/Pixel_espion
Pour conclure, les conditions générales d’utilisation de l’application sont fidèles à ce qu’elles déclarent. Il n’y a pas d’usages illégitimes effectués par l’application. J’ai toutefois une réserve sur la présence d’une requête vers stats.g.doubleclick.net. Pour pouvoir en savoir plus et connaître précisément le contenu de la requête, il faudrait procéder à de la rétro-ingénierie pour décompiler l’application et voir ce qu’elle a sous le capot. L’application n’étant pas open source, la licence n’autorise certainement pas ce procédé. Enfin, Exodus Privacy recense deux traqueurs : Google Firebase (matérialisé par la requête app-measurement.com dans la capture d’écran) et ADMob, cependant je n’ai pas vu de requêtes confirmant la présence de ce dernier.
Le site Choose Privacy Every Day animé par des bibliothécaires américains a récemment publié un billet VIRTUAL PROGRAMMING AND PATRON PRIVACY. Cet article invite les bibliothécaires à se poser les bonnes questions avant de proposer des services en ligne aux usagers. Au cours du confinement, nous avons recommandé beaucoup de contenus en ligne à nos usagers. Mais avons-nous pris suffisamment au sérieux la question de l’utilisation de leurs données personnelles ? J’ai publié un thread sur Twitter que je partage ici en guise d’archivage. En effet, l’espérance de vie d’un tweet est relativement courte.
Le Secrétaire d’Etat au numérique Cédric O a publié ce week-end un article sur la plateforme Medium dans lequel il revient sur l’application StopCovid et ses prétendus bénéfices. Mensonger et contradictoire, son texte n’est qu’une manoeuvre supplémentaire qui vise à favoriser l’acceptabilité sociale de cette application de contact tracing.
Opérationnelle ou pas ?
Alors qu’Olivier Véran, le ministre de la Santé, a annoncé, suite au conseil des ministres extraordinaire qui s’est réuni vendredi 1er Mai, que l’application StopCovid ne sera pas disponible
« Au 11 mai, non, il n’y aura pas d’application StopCovid disponible dans notre pays et le premier ministre a été très clair, : si ce type d’application devait voir le jour, il y aurait un débat spécifique au Parlement, rien n’a changé de ce point de vue là.«
Cédric O n’a pas dû être informé de cette décision car dans son article il explique que l’application StopCovid sera disponible et testée dans le semaine du 11 mai :
« celle-ci devrait pouvoir entrer en test en conditions réelles la semaine du 11 mai »
Jusqu’à la présentation du plan de déconfinement présenté le 28 avril par le Premier Ministre, on nous répétait à longueur d’interviews et d’articles que pour fonctionner, StopCovid devait être installée par au moins 60% de la population.
« Pour que l’application soit utile, mieux vaut qu’elle soit installée par beaucoup de monde, pointe également l’étude de Science. « Nous estimons que près de 60% de la population aurait besoin d’utiliser l’application pour qu’elle ait un impact significatif », détaille à franceinfo Christophe Fraser, co-auteur de l’étude. »
Très bon gymnaste, Cédric 0 effectue une pirouette et nous explique aujourd’hui que l’application n’a pas besoin d’être installée par une partie significative de la population pour fonctionner. Seuls quelques pourcents de la population suffisent à pouvoir limiter la propagation du virus.
« de telles application trouvent leur utilité dès les premiers pourcents de diffusions, notamment au sein des ville »
Cédric O a passé le mois d’avril a expliqué que cette application reposait sur le volontariat et qu’il n’y aurait aucune obligation à installer cette application :
« L’application ne serait utilisée que sur la base du volontariat et pourra être « désinstallée à tout moment », assure Cédric O. »
Pourtant, une forte pression sociale s’exerce pour inciter la population à installer l’application sur leur téléphone. Plus qu’une pression, Cédric O pratique même l’art de la culpabilité et du chantage en expliquant qu’il n’y a que deux possibilités :
« Le choix est donc très simple : tant que l’immunité collective n’est pas atteinte (ce qui est un horizon lointain), l’alternative se résume ainsi :
1. Tout faire pour couper les « départs de feu » le plus rapidement possible, y compris en utilisant des outils numériques comme StopCovid, dans des conditions très encadrées et proportionnées (et dans un contexte où l’ensemble des pays européens prévoient de déployer de tels outils) ;
2. Refuser ces outils pour des raisons philosophiques, mais dans ce cas accepter un risque significatif de malades et de morts supplémentaires.
Le Secrétaire d’Etat au numérique explique noir sur blanc que si vous refusez d’installer cette application pour des raisons philosophiques, vous aurez des morts sur votre conscience. Cette culpabilité et cette tentative d’exercer une pression morale pour contraindre les individus à installer cette application contrevient au principe même d’un consentement libre et éclairé qui était au coeur de la discussion jusqu’à présent.
Et de rajouter plus loin :
« Le projet StopCovid n’a rien d’obligatoire : il repose sur une installation volontaire, librement consentie. J’ai eu l’occasion, lors d’une interview récente au JDD, de rappeler que, par exemple, un employeur obligeant ses salariés à installer l’application pourrait être passible de poursuite pénales. »
Et un ministre d’Etat qui culpabilise la population qui refuse d’installer cette application pour des raisons philosophiques, dans quelle catégorie cela rentre-t-il ?
Enfin, quand il explique plus loin que « Ces périodes de crise, nous le savons, sont toujours des périodes de danger pour les libertés publiques« , il est parfaitement légitime de vouloir refuser pour des raisons philosophiques des mesures de contrôle.
Tracing ou tracking
Cédric O se défend de faire la promotion d’une application de tracking ou de surveillance. Il va même jusqu’à dire que :
« L’application ne demande absolument aucune donnée personnelle à l’utilisateur : ni le nom, ni l’adresse, ni même le numéro de téléphone mobile. «
Les promesses n’engagent que ceux qui y croient. Tant qu’aucun accès au code source de l’application ne sera garantie, StopCovid sera une boîte noire opaque qui empêchera de vérifier si les propos du Secrétaire d’Etat sont vrais ou pas. En outre, plusieurs éléments nous permettent d’en douter. Orange développe de son côté une application de contact tracing qui sème une confusion. Est-ce une initiative privée ou bien pour le compte de l’Etat ?
1/ Alors que personne n'a rien demandé, Stéphane Richard a annoncé la semaine dernière avoir développé une application de contact tracing avec cinq autres industriels français.
Aujourd'hui, aucun détail de cette app n'est public. Ils ne donnent pas d'infos? Allons en chercher! pic.twitter.com/XizTWct4AE
D’après les quelques éléments dont on dispose, tout porte à croire que StopCovid aura accès à des données personnelles de l’utilisateur. En effet, comme le démontre @fs0c131y dans ce thread, votre téléphone est associé à un identifiant :
Enfin, le Secrétaire d’Etat ajoute une que cette appli n’est pas un « un blanc-seing donné au gouvernement — ni du reste à aucun acteur privé ni public. » Pour nous rassurer et montrer que des gardes-fous sont mis en place pour préserver nos libertés, il n’hésite pas à invoquer les avis du CNnum ou la CNIL qui ont donné leur feu vert.
« En un mot, StopCovid apporte autant de garanties que possible afin de protéger la liberté et la vie privée. C’est cette analyse qui a conduit la Commission Nationale Informatique et Libertés, son équivalent européen et le Conseil National du Numérique, dans la situation exceptionnelle que nous vivons, à estimer son usage proportionné tout en demandant des garanties. »
Malgré quelques réserves, ces organismes ont effectivement donné leur accord. Mais Cédric O oublie d’évoquer dans sa tribune la Direction Interministérielle du Numérique (DINUM) qui a été écartée du pilotage de l’application StopCovid à cause des critiques qu’elle a formulées sur le choix d’un protocole centralisé et sur les risques de voir des acteurs privés (Orange, Capgemini, Thalès…) développer des applications de contact tracing « sans pouvoir accéder au code ».
« Architecture de l’oppression »
Cédric O cherche à nous rassurer en expliquant que cette appli n’est pas l’occasion pour l’Etat de faire entrer le loup dans la bergerie :
« Le projet StopCovid n’est pas un pied dans la porte. Tout y est temporaire : les données sont effacées au bout de quelques jours et l’application elle-même n’a pas vocation à être utilisée au-delà de la période épidémique. »
Comme cela a déjà été rappelé au cours du confinement, on assiste à une fuite en avant technologique sécuritaire. Les Etats se sont emparés de dispositifs de contrôle pour tenter de réduire la propagation du virus. Israël a fait le choix d’utiliser sur l’ensemble de sa population des moyens de surveillance destinés à la lutte contre le terrorisme. Fort heureusement, le pays est revenu sur sa décision. A Hong-Kong, le gouvernement a fait le choix de recourir à des bracelets électroniques. Autrement dit, les autorités ont fait le choix d’utiliser des méthodes réservées à l’univers carcéral et appliqués généralement aux personnes en libertés conditionnelles ou sous contrôle judiciare.
Quand Cédric O explique que ce n’est pas un pied dans la porte, il est légitime de douter de sa parole. Est-ce que la police va arrêter d’utiliser des drones quand la situation sera redevenue à la normale ? Est-ce qu’on va limiter le recours à la vidéosurveillance couplée à de la reconnaissance faciale pour essayer de repérer les individus qui présentent des comportements suspects ? A-t-on la moindre idée de la durée de vie du virus ? Comme l’a expliqué justement Edward Snowden, on peut largement en douter :
« Croyez-vous vraiment que lorsque la première vague, la deuxième vague, la 16e vague du coronavirus seront depuis longtemps oubliées, ces moyens mis en œuvre ne seront pas conservés ? Que les données récoltées ne seront pas conservées ? Quelle que soit la façon dont elles sont utilisées aujourd’hui, ce qui est construit en ce moment, c’est l’architecture de l’oppression. »
Pour favoriser l’acceptabilité sociale de StopCovid, Cédric O souhaite mettre en avant l’universalité de cette mesure en invoquant l’Europe :
« Le projet d’application StopCovid est un projet européen, travaillé en coordination avec nos homologues allemands, belges, britanniques, espagnols, italiens… et bien sûr la Commission européenne, dont le travail de coordination est extrêmement précieux. »
Si effectivement plusieurs payas européens se sont associés pour développer un protocole commun, très rapidement des désaccords se sont exprimés. Il y a pour le moment deux camps : les partisans d’un protocole centralisé défendu notamment par la France, l’Italie et puis les défenseurs d’un protocole décentralisé comme l’Allemagne ou la Suisse. L’Allemagne était même favorable à un protocole centralisé avant de faire volte-face et de s’orienter vers le développement d’une application dont le protocole s’appuie sur une décentralisation. La Belgique a, quant à elle, renoncé à recourir à ce genre de dispositifs et privilégie les moyens humains pour lutter contre l’épidémie.
Distiller l’accoutumance aux menottes numériques
Pour être sûr que le lecteur soit convaincu de l’intérêt et de la nécessité d’utiliser l’application StopCovid, Cédric O n’hésite pas à dire que « les tests, les masques et les gestes barrières sont indispensables mais qu’ils ne suffisent pas ». Et d’invoquer la parole scientifique en s’appuyant sur une tribune d’une soixantaine de chercheurs parue dans Le Monde qui explique que le traçage numérique est indispensable pour combattre l’épidémie. Avec cet argument d’autorité, il vise à nous infantiliser et nous placer dans une position où nous devons écouter le personnel scientifique dont l’autorité ne peut être contestée. Il y a aussi un neurobiologiste qui a fait la promotion de la nicotine comme rempart au coronavirus et dont on sait qu’il a déjà été financé par l’industrie du tabac. L’arguement scientifique est donc à géométrie variable.
Il poursuit sa propagande en invoquant d’autres figures d’autorité comme le Conseil Scientifique, le Comité Nationale d’Ethique du numérique ou encore l’Académie de Médecine :
« C’est ce même constat qui est à l’origine de l’avis du Conseil Scientifique appelant à « l’utilisation d’outils numériques [en complément d’équipes mobiles] pour un traçage efficace des contacts.
C’est ce même constat qui a conduit le Comité National Pilote d’Ethique du Numérique à « insister sans délai sur l’importance que représente la mise en place d’une application de suivi numérique de contacts dont le contrôle souverain puisse être garanti aux citoyens français, voire européens, dès lors qu’il aura été statué sur ses qualités éthiques ».
Malheureusement, le discours dystopique de Cédric O ne s’arrête pas et prend soin de prendre en compte une critique qui a été adressée aux applications de contact tracing : comment faire pour les personnes qui n’ont pas de smartphone ou qui ne sont pas dans la capacité de télécharger une application ou activer le Bluetooth. La réponse du Secrétaire d’Etat au numérique est simple et orwelienne :
Pour ceux ne possédant pas de smartphone, une partie de l’équipe est dédié à essayer de trouver une autre solution — par exemple, un boitier ou un bracelet qui permettraient de se passer des téléphones.
Mais rassurons-nous, ce n’est pas la technique du pied dans la porte. A quand la généralisation du bracelet électronique pour empêcher d’accéder à une manifestation, un rassemblement de soutien ou toute action indispensable à la vie démocratique d’un pays ?
La tribune de Cédric O est à mon sens un mauvais coup de communication visant à essayer de sauver les meubles tout en présentant StopCovid comme un rouage essentiel de la machine de guerre que l’Etat doit déployer pour lutter contre le Covid-19. Nous ne savons pas encore quelle sera l’issue définitive de cette application. Mais ce qui est sûr, c’est que nous n’avons pas fini de parler de mesures de contrôle et de dispositifs de fichage pour gérer l’épidémie. L’acte II de l’état d’urgence sanitaire débute prochainement et la menace sur les libertés plane toujours.
Un mois qu’on entend parler de l’application de contact tracing StopCovid. Un mois qu’on essaye de comprendre comment va fonctionner cette application et savoir si elle sera obligatoire ou pas. Un mois que partisans du projet et défenseurs des libertés numériques débattent et défendent leur point de vue à coup de tribunes et articles interposés. Un mois qu’on attend de savoir à quelle sauce on va être mangé et si l’application StopCovid fera partie du plan de déconfinement. La réponse est tombée cet après-midi dans l’hémicycle : l’application n’est pas prête.
Depuis le début du confinement, j’alimente un thread sur le coronavirus et les moyens technologiques mis en oeuvre par les Etats pour y faire face.
Intéressant article qui montre que les Palantir, Clearview AI et autres GAFAM mettent leurs technologies de surveillance au profit de la lutte contre l’épidémie de #COVID19 ac des risques en matière de vie privée et pr les libertés.#privacy#surveillancehttps://t.co/XEdimhTfGk
Si on s’intéresse un peu à la question des données personnelles et à la vie privée cela a de quoi donner le vertige. Plutôt que d’écrire un énième article sur les dispositifs de surveillance qui ont déjà été très bien analysés par d’autres, je me suis prêté à un jeu différent. A partir de tout ce matériau, j’ai écrit une nouvelle qui s’inspire de la réalité mais qui s’inscrit dans un univers dystopique. Cette nouvelle est une histoire dont vous êtes le héros. Ce sera à vous de choisir ! Chaque lien que vous découvrirez dans l’histoire est cliquable. Ma veille m’a permis de documenter cette nouvelle et de la sourcer. N’hésitez pas à cliquer dessus pour en savoir plus. J’ai réalisé cette histoire avec le logiciel Twine qui permet d’écrire des histoires interactives. Vous pouvez décider d’emprunter une voie de l’histoire mais vous pouvez revenir en arrière à tout moment en cliquant sur les flèches situées sur la gauche du récit. L’histoire comporte différents arcs narratifs, vous pourrez passer à côté de certains éléments en fonction de vos choix. Si jamais vous souhaitez découvrir une fin alternative, vous n’avez qu’à choisir une autre possibilité disponible.
Pour découvrir, StopCovid : l’histoire dont vous êtes la victime, c’est par ici ! Toute ressemblance avec des personnages réels, des faits ou des situations n’est ni fortuite ni involontaire.
Le confinement dû à la crise sanitaire que nous traversons actuellement rend difficile la protection de la vie privée en ligne pour la majorité des confinés.
La vie privée, victime collatérale du Covid-19
La lutte contre la propagation du coronavirus se traduit par un éventail de mesures qui portent plus ou moins leur fruit jusqu’à présent. Mais une chose est sûre, nos libertés individuelles et notre vie privée ont fait les frais de cette épidémie. Depuis le début du confinement, j’alimente un thread sur Twitter dans lequel j’épingle les articles de presse qui abordent la question des outils numériques utilisés contre la propagation du virus.
"Ce nouveau mode de régulation sociale par algorithme n’est acceptable qu’au prix de 2 conditions : l’algorithme est transparent et connu de tous, et il a été mis en place, discuté et délibéré par ceux qui le subiront ou en bénéficieront"#surveillancehttps://t.co/PQmX3vL3UL
La série d’articles consacrés à l’utilisation des moyens de surveillance et cette fuite en avant technologique sont le témoin que notre vie privée sera une des victimes supplémentaires du coronavirus. Le recours à la reconnaissance faciale, la géolocalisation, les drones ou des applis de contrôle du confinement risquent de nous habituer à ces outils et nous faire accepter que les pouvoirs publics y recourent en dehors de la lutte contre le terrorisme une fois que la situation sera revenue à la normale. Nous nous conformons progressivement aux exigences sociales induites par ces technologies.
Le télétravail, un poison pour nos données personnelles
Avec le confinement, celles et ceux qui en ont la possibilité ont recours au télétravail. Certaines professions s’y prêtent plus que d’autres. Pour les bibliothécaires, le confinement nous a contraint à nous mettre au télétravail dans des conditions difficiles. Nous n’avons pas la culture du travail à distance et le confinement aggrave la fracture numérique qui peut exister dans les équipes. Certains collègues, peu à l’aise avec le numérique, se retrouvent seuls à devoir utiliser des outils qu’ils ne connaissent pas ou mal. Les plus motivés d’entre-eux essaieront peut-être de trouver par eux-mêmes ou solliciter l’aide de leurs collègues. Mais une autre partie abandonnera face à cette situation d’échec pour laquelle ils n’ont pas été préparés.
Pour limiter les dégâts, en ce qui concerne mon expérience, cela s’est traduit par le recours à des outils qui fonctionnent le plus simplement possible et qui ne souffrent pas de problème de connexion. Autrement dit, nous avons accru notre dépendances aux services des GAFAM pour pouvoir travailler collectivement à distance. La surcharge de travailleurs en télétravail a rendu les alternatives libres rapidement inutilisables. A défaut de pouvoir utiliser un outil comme Etherpad, nous utilisons donc un Google doc. Malheureusement, les logiciels libres n’ont pas la puissance de feu des outils des GAFAM, ce n’est en aucun cas un reproche. Que les choses soient claires, je n’accable pas les développeurs qui consacrent toute leur énergie à développer ces outils parfois sur leur temps libre ou seul dans leur coin. Je suis même très reconnaissant. J’évoque juste mon expérience professionnelle dans le contexte du confinement et comment cette situation porte atteinte à mes valeurs éthiques du numérique.
On pourrait m’objecter qu’il est possible de déployer des instances de ces logiciels collaboratifs. C’est tout à fait vrai mais c’est une option qui n’est pas accessible à tous. Certes il y a de la documentation à foison qui explique comment installer une instance de Jitsi ou un pad mais les compétences d’administration système ne se limitent pas à une l’installation hasardeuse. Les questions relatives à la maintenance ou à la sécurité ne s’improvisent pas. Comment faire pour comprendre un fichier de logs ? En conséquence, si on n’est pas un geek barbu, l’accès à des outils respectueux de la vie privée en temps de confinement n’est pas un luxe que tout le monde peut se permettre. De même, tout le monde ne peut pas s’offrir un abonnement Premium à des outils qui disposent d’une politique de confidentialité digne de ce nom. La bataille pour le droit au respect de la vie privée en ligne est intrinsèquement liée à des questions sociales. Enfin, combien d’entre-nous utilisons notre propre matériel pendant le télétravail ? Nous nous mettons en danger en prenant le risque de compromettre des données produites dans le cadre de notre activité professionnelle mais aussi des données présentes sur notre machine.
Cette situation de crise sanitaire rend plus inintelligible le discours de promotion des logiciels libres ou des alternatives respectueuses de la vie privée. En temps normal, ce n’est déjà pas simple de faire entendre ce discours. Ô combien j’essaie pourtant dès que l’occasion se présente. L’effet de réseaux qui s’applique à Facebook et qui rend difficile la bascule vers des réseaux sociaux respectueux de la vie privée de leurs utilisateurs est démultiplié avec le confinement.
J’utilise Signal régulièrement mais avec peu de personnes de mon entourage parce que la majorité a l’habitude d’utiliser WhatsApp, le SMS ou d’autres outils qui présentent plus de risques pour notre vie privée. En temps de confinement où le besoin de lien social et d’échanges s’exprime avec encore plus de vigueur, c’est encore plus difficile d’inciter son entourage à basculer vers des outils plus safe. Non pas que l’argument de la vie privée ne les intéresse pas mais parce que les usages sont tellement installés qu’ils sont difficiles à faire évoluer. Avec le confinement, cette tendance se renforce encore un peu plus.
L’usage de la visioconférence, à des fins professionnelles ou personnelles, explose en raison du confinement. La question de l’outil est crucial. Une fois encore, nous sommes condamnés à recourir à des Skype, des Zoom, des Facebook Messenger, des Hangouts qui exposent et mettent en péril notre intimité numérique. Le refus de recourir à ces outils en ces temps de confinement peut conduire à une marginalisation et à un isolement parce que la plupart des gens souhaitent disposer d’outils opérationnels le plus rapidement possible. Ce désir conduit à utiliser les outils qui compromettent notre vie privée et nos données personnelles. Ceci est également la preuve que mes données personnelles n’existent qu’au travers de ma relation avec un tiers. « La vie privée a cessé d’être un droit individuel pour devenir une négociation collective » et cela n’a jamais été aussi juste.
L’ALA vient de mettre à jour son fameux Bill of rights. Ce document constitue un mantra pour les bibliothécaires américains avec une dimension éthique très forte. Il s’agit d’un document qui définit les principes de bases qui doivent guider le fonctionnement d’une bibliothèque. Ce document a été adopté en 1939 pour la première fois et a régulièrement été amendé. L’association vient d’apporter un amendement relatif à la vie privée qui dit ceci :
« Toute personne, indépendamment de son origine, de son âge, de ses antécédents, de ses opinions, dispose d’un droit à la vie privée et à la confidentialité quand elle utilise les services de la bibliothèque. Les bibliothèques devraient défendre, éduquer et protéger la vie privée des gens, en sécurisant toutes les données d’utilisation des bibliothèques, y compris les renseignements personnels identifiables. »
Cet amendement n’est pas qu’une simple déclaration d’intention. Comme le rappelle un des contributeurs de ce nouvel article, les bibliothécaires du pays vont pouvoir s’appuyer sur ce document de référence pour mettre à jour localement leur politique de confidentialité ainsi que leur pratique professionnelle favorisant la protection des données personnelles des usagers.
« D’un bout à l’autre du territoire, les bibliothécaires disposent désormais du soutien nécessaire pour protéger et défendre le droit à la vie privée de leurs usagers ».
A travers cet amendement, l’ALA envoie un signal fort à la profession. Toutefois, on manquera pas de noter une certaine contradiction de la part de l’ALA qui a récemment annoncé un partenariat avec Google. C’est facile de les attaquer là-dessus mais cette contradiction peut se justifier par des raisons très pragmatiques : prendre l’argent pour pouvoir mener des actions et sensibiliser à la question de l’intimité numérique. Ce reproche est d’ailleurs fait à d’autres organisations comme Mozilla qui peut continuer à mener des actions et développer des projets grâce au mécénat de Google. Retenir cette contradiction reviendrait à gommer toutes les autres initiatives que l’ALA peut conduire qui participent à une prise de conscience au sein de la profession. Ce serait aussi réduire et discréditer les actions menées localement par des bibliothécaires qui prennent leur bâton de pèlerin pour tenter de sensibiliser les usagers à la problématique de la vie privée.
On ne sauvera pas le monde
J’ai eu le plaisir d’intervenir cette semaine dans le cadre d’une journée professionnelle organisée conjointement par l’agence de coopération des métiers du livre en Normandie et la médiathèque départementale de l’Eure sur les données personnelles et les bibliothèques. Les échanges avec le public ont fait ressortir le constat que nous sommes prêts à agir en tant que professionnels mais notre action est plus proche du colibri que d’un raz-de-marée qui transforme en profondeur les usages. Ce constat est juste mais tout simplement parce que nous n’en avons pas la capacité. Ce combat collectif nécessite d’impliquer différents acteurs et notamment les pouvoirs publics. L’Etat organise et fournit une instruction à tous pour que chacun soit en capacité de lire, écrire, compter. (Bien évidemment, c’est la théorie et la réalité démontre que ce n’est pas le cas). Les pouvoirs publics mettent en place, par exemple, des dispositifs de sensibilisation aux dangers de la route avec l’éducation routière. Certes ces dispositifs sont incomplets mais sont portés par des politiques publiques qui offrent une visibilité à ces thématiques. Or pour l’intimité numérique, nous souffrons d’un manque de volonté de la part des pouvoirs publics. Bien au contraire, nous assistons actuellement à un processus de dé-tricotage des libertés individuelles et du respect des conditions nécessaires à notre intimité numérique. La récente loi anti-casseurs ou les récentes révélations sur les écoutes téléphoniques de manifestants rappelant la grande époque de la Stasi montrent que notre intimité est bafouée. Nous, professionnels des l’information, ne pouvons pas inverser cette tendance. Cependant, je suis convaincu que nous pouvons semer des graines qui porteront peut-être leurs fruits. Au regard de nos missions qui consistent à fournir un accès libre, neutre et équitable à l’information, à faire circuler les connaissances et favoriser l’acquisition de savoirs qui participent à l’équilibre d’une société démocratique où chacun a sa place, nous avons tout intérêt à mener des actions visant à faire prendre conscience de l’importance de l’intimité numérique. L’intimité, numérique ou non d’ailleurs, c’est ce qu’on décide de partager ou non avec des personnes ou des groupes définis. On voit bien qu’actuellement entre les GAFAM et la surveillance des agences de renseignements ce droit nous est ôté. L’intimité est la barrière qui nous permet de penser. Une société constituée de citoyens qui ne peuvent plus penser est une société déviante. Or les bibliothèques n’ont pas de place dans une société déviante. Alors prenons conscience collectivement et professionnellement de la nécessité de protéger les données personnelles de nos usagers pour continuer à donner du sens à notre métier.
Bonus
Dans le cadre du festival des libertés numériques organisés par les bibliothécaires de Rennes, j’ai animé un atelier pour les ados dans la médiathèque où je travaille. Je mets quelques ressources à disposition si jamais vous souhaitez vous en inspirer pour organiser ce genre d’événement. Cet atelier s’est déroulé sous la forme d’un parcours avec des minis ateliers que je présente ci-dessous, les participants peuvent naviguer d’un atelier à l’autre dans le sens qu’ils souhaitent.
Pour commencer, je me suis appuyé sur l’exposition Data Detox réalisée par l’EPFL Les premiers panneaux de l’expo ont constitué le point dé départ de l’atelier. Cela me semble intéressant pour définir le contexte et faire écho aux préjugés qu’ils peuvent avoir (« je n’ai rien à cacher »).
Puis ensuite un des ateliers abordait la question de la géolocalisation. Après avoir pris connaissance de la façon dont notre téléphone trahit notre position géographique, je leur ai fait un petit test avec l’application Google maps. L’objectif est de leur montrer comment cette appli collecte nos déplacements sans que nous en ayons conscience parce qu’elle est configurée par défaut de cette façon. La réaction des participants a été unanime : ils étaient tous en PLS. Pour ne pas les laisser dans leur torpeur, je les ai invités à désactiver le tracking de maps et à télécharger l’application OSMand+.
Une autre activité portait sur les demandes d’autorisations des applications. L’objectif de cet atelier consiste à faire prendre conscience que certaines applications sont très intrusives et demandent des autorisations d’accès sur le téléphone qui ne sont pas légitimes. A partir d’une tablette mis à disposition, le participant installe un certain nombre d’applications sur l’appareil. Ensuite, il installe l’application Exodus Privacy pour voir les trackeurs et les demandes d’autorisations abusives des applications précédemment téléchargées. Téléchargez le support de cet atelier : Des applis un peu trop curieuses
Une des activités portaient sur le tracking publicitaire lié à la navigation sur le web. L’objectif est de leur faire prendre conscience de ce qu’est le tracking et comment il se manifeste. Pour cet atelier, je me suis appuyé sur l’extension Lightbeam (ou Kimetrak) de Firefox pour révéler tous les trackers qu’il peut y avoir quand on navigue sur un site. Les réactions des participants étaient assez chouettes. Certains ont eu l’idée d’aller visiter le site qu’ils utilisent au collège pour leurs devoirs et la correspondance avec leurs profs. Ils n’ont pas été déçus du résultat ! Téléchargez le support de cet atelier : Le tracking.
Ensuite un des ateliers proposés concernait la question des métadonnées. L’objectif consiste à leur montrer en quoi les métadonnées compromettent notre intimité numérique et portent atteinte à notre vie privée sans avoir besoin d’accéder aux contenus. Cet atelier se décompose en deux temps : un questionnaire puis une vidéo pour tout comprendre sur les métadonnées. Je me suis servi de cette vidéo du journal Le Monde qui a été réalisée au moment du vote sur la loi renseignement. Cet atelier était accompagné d’un second sur les métadonnées associées aux photos (EXIF) afin de montrer comment une photo peut révéler des informations sur nous. Télécharger le support de cet atelier : Les métadonnées
Un des ateliers portait sur le chiffrement et plus précisément sur le chiffrement de données dans des espaces de stockage en ligne type Google Drive, DropBox ou OneDrive à partir du logiciel Cryptomator. (On peut utiliser également CryFS si on est sous un environnement Linux ou MacOS). Il est commun d’utiliser ce genre de service en ligne quand on dispose d’un compte gmail ou hotmail. Cette solution peut être utilisée si on n’est pas prêt à se lancer dans des solutions d’auto-hébergement qui peuvent être effrayantes quand on ne connaît pas. Grâce à Cryptomator, on peut déposer des fichiers dans son Drive sans que Google puisse accéder au contenu des documents. Télécharger le support de cet atelier : Chiffrez vos données dans le cloud
Un dernier atelier abordait la question du DNS. En effet les serveurs DNS compromettent notre intimité dans la mesure où le fournisseur du serveur DNS sait sur quels sites nous allons. Je vous invite à lire cet article de Korben pour comprendre rapidement de quoi il s’agit (ainsi que le livre Cyberstructure de Stéphane Bortzmeyer publié chez C&F éditions). Généralement, les serveurs DNS configurés par défaut sont ceux de Google (8.8.8.8 et 8.8.4.4). L’objectif de cet atelier était de modifier le DNS d’une connexion wifi à partir d’une tablette mise à disposition. Télécharger le support de cet atelier :Changer le DNS
Enfin, un ordinateur était accessible avec l’édition spéciale des Incollables réalisée en partenariat avec la CNIL pour tester les connaissances des ados et de ce qu’ils ont retenu après être passés sur les différents ateliers. J’avais mis en place également un atelier sur les conditions générales d’utilisation à partir de l’extension TOS;Dr. Mais ce n’était pas satisfaisant parce qu’elle est en anglais et n’indique pas systématiquement clairement le contenu des CGU des plateformes. Globalement, cet atelier est plutôt positif et assez intéressant à mener. Il permet d’aborder les questions des données personnelles en évitant l’écueil du cours magistral qui peut devenir assez ennuyeux pour des ados. Si vous avez des questions, n’hésitez pas à passer les commentaires !
Connexion
