Le USA Cloud act et les problèmes d’intégrité et de confidentialité des données des Québécois

Déjà, avec le USA Patriot Act, plusieurs gestionnaires qui ont à cœur la confidentialité des données personnelles et encore plus stratégiquement, la protection des secrets industriels et d’affaires choisissaient d’héberger les serveurs des organisations et entreprises au Canada, afin de limiter les ponctions extérieures à ces mêmes données. Mais avec le Clarifying Lawful Overseas Use of Data Act, mieux connu sous le nom de USA Cloud Act, les questions deviennent plus troublantes. Il a été largement documenté que nos lois de protection des données personnelles ne nous protègent pas de l’intrusion possible et effective du gouvernement américain. C’était d’ailleurs l’un des points que j’avais mis de l’avant dans le Plan numérique du Parti Québécois, lors de la dernière élection. J’y parlais de souveraineté numérique.

Doter le Québec de ses propres « fermes » de serveurs gouvernementaux, afin d’assurer sa pleine souveraineté en matière de données publiques gouvernementales.

À l’heure actuelle, il est impossible pour le gouvernement du Québec de garantir que les données sensibles des Québécois (information fiscale, de santé et autres) sont hébergées en infonuagique sur des serveurs québécois, ou selon les standards des lois québécoises.

Quelle est la controverse du Cloud Act?

(Traduit librement de ServerCloudCanada) Les autorités américaines peuvent désormais, grâce au Cloud Act, obtenir un subpoena obligeant les entreprises d’infonuagique américaines, à dévoiler aux autorités les données qu’ils requièrent. Cela s’applique à tous fournisseurs d’infonuagique américain qu’ils soient en sol américain ou dans d’autres juridictions comme disons, le Canada. Ainsi, le gouvernement américain s’arroge le droit d’accaparer des données dans des juridictions étrangères même si ces requêtes peuvent contrevenir aux lois de ces autres juridictions.

On peut donc en comprendre que même si les serveurs d’infonuagiques sont en sol canadien, ça n’aura aucune importance sur la protection des données qui sont hébergées chez des fournisseurs d’origines américaines. Qui plus est, il est même possible que les gouvernements et les propriétaires des données qui seront saisies par le gouvernement américain ne soient pas informés de ladite saisie comme le laisse entendre un article de The Verge, citant de nombreuses organisations de protection de la vie privée américaines.

A number of nonprofit groups oppose the bill on privacy grounds, including the American Civil Liberties Union, Electronic Frontier Foundation, Amnesty International, and the Open Technology Institute. The harshest criticism focuses on the new powers granted to the attorney general, who can enter into agreements with foreign countries unilaterally. Those agreements could potentially circumvent the protections of US courts. The act also wouldn’t require users or local governments to be notified when a data request is made, making meaningful oversight significantly harder.

Nonobstant cette nouvelle loi américaine, j’avais déjà fait état de la coercition de certains services de sécurité américains envers des entreprises d’hébergement canadiens dans mon billet Le chantage des services secrets américains pour contraindre les entreprises canadiennes à coopérer. Nos données sont donc de plus en plus en danger d’être scrutées, sans notre accord et c’est pourquoi il m’apparait judicieux, que les gouvernements du Québec et du Canada se dotent de leurs propres serveurs de données afin de protéger les données sensibles des Québécois et des Canadiens. C’est d’ailleurs le récent article L’identité des acheteurs de pot à risque L’adresse IP des Québécois qui consultent le site web de la SQDC passe par la Californie qui m’a mis la puce à l’oreille.

Vous pourriez aussi aimer

Les données personnelles des Québécois sont-elles déjà scrutées par les Américains

Le chantage des services secrets américains pour contraindre les entreprises canadiennes à coopérer https://www.michelleblanc.com/2013/06/14/primeur-le-chantage-des-services-secrets-americains-pour-contraindre-les-entreprises-canadiennes-a-cooperer/

Classdojo, vie privée et dangers potentiels de cet outil

Je n’avais jamais entendu parler de ClassDojo avant de recevoir le téléphone d’un parent (qui s’adonne aussi à être développeur) qui voulait savoir ce que je pensais de cet outil et des questions de vie privée qui y sont associées. Je l’ai informé de mon ignorance à propos de cette application et l’ai invité à m’envoyer un courriel avec plus de détails (ce courriel est en fin de billet). Entretemps, j’ai partagé ce statut sur mes présences sociales.

 

Un parent me téléphone, inquiet pour la vie privée de son enfant de 9 ans, dont le professeur use abondamment de l’application Classdojo.com. Vous en pensez quoi ?

 

Les réponses que j’ai reçues sont majoritairement favorables mais je demeure perplexe quant à l’outil et son utilisation. D’ailleurs, en discutant de ça avec mon amour, elle me dit que lors de sa dernière visite chez le dentiste, la technicienne lui en dit le plus grand bien et qu’elle était ravie d’avoir des nouvelles de sa fille de 7 ans aux heures, grâce à l’application. Déjà il y avait un certain malaise. Mais c’est en lisant certaines critiques que le malaise devient encore plus grand. Certains parents me disent être enchantés de pouvoir communiquer directement avec le professeur et ils n’y voient que du positif. Alors déjà je me demande pourquoi ne pouvaient-ils pas communiquer avec le professeur avant cette application ? Est-ce que le numérique viendrait suppléer à une communication déficiente ? Par ailleurs, cette application sert aussi à classer les comportements en positif et négatif. Est-ce que les professeurs ont désormais intégré le principe du Ratemyteacher ou du Ratemydoctor qui semblaient pourtant avoir été tant décrié? Ou sont-ils finalement capables d’apprécier le « classement » des comportements et appréciation des élèves tout en refusant le même type de système pour eux-mêmes (les paramètres notation publiques ou privées semblent être à la prérogative des professeurs)? Quant à moi, après une visite sur le site, mon inquiétude réside vraiment du côté des questions de la vie privée et de celles des enfants en bas âge de surcroit.

 

Vie Privée

 

L’application ClassDojo a bien une politique de vie privée, mais elle est strictement en anglais. On y dit que les professeurs doivent recevoir le consentement parental, qu’ils ont de nombreux sceaux certifiant la sécurité de l’application et qu’ils sont conformes à la RGPD européenne. Par contre, je n’ai pas trouvé comment ils s’assurent du consentement parental des parents eux-mêmes et je me questionne à savoir ce que peut bien penser le commissaire à la vie privée du Canada de ce genre d’application?

 

Modèle d’affaires

 

Le modèle d’affaires de CalssDojo en est un de freemium. C’est à dire que vous avez un éventail de fonctionnalités gratuitement en utilisant le site, mais si vous voulez élargir les fonctionnalités de l’application, cela devient payant. Un peu comme le fait Linkedin par exemple. Or, nous savons déjà depuis un bout, que si c’est gratuit, c’est que vous êtes le produit. D’ailleurs certains commentateurs dans mes médias sociaux sont  rapides à rappeler que les parents partagent déjà les photos de leurs enfants dans Facebook, alors pourquoi en faire tout un plat avec Classdojo? D’abord peut-être parce que ce n’est pas tous les parents qui font cela et que s’ils le font, c’est leur propre décision. D’ailleurs moi-même j’ai partagé les photos de petit-fils sur mon Facebook, mais je l’ai fait avec l’accord de ses parents, personne ne connait son nom de famille ou la ville dans laquelle il a grandi et j’ai maintenant cessé de le faire puisqu’en grandissant, il devient reconnaissable et que je me dois maintenant de maintenir sa vie privée.

 

Les critiques

 

De nombreuses critiques de cette application sont maintenant disponible sur le Web. Sur Wikipedia on peut lire :

 

In 2017, The London School of Economics, Parenting for a Digital Future , published a series of ethical, legal and mental health concerns related to the rapid growth of ClassDojo’s use in the classroom. In the article, Faculty of Social Sciences at the University of Stirling, Ben Williamson and Alasdair Rutherford, write about the possible conflict that the ClassDojo Company could encounter as a private for-profit company collecting and storing sensitive student behavior data. They ask if parents are being fully informed about what the ClassDojo Company intends to do with the collected student data [38]. Likewise, Williamson and Rutherford warn of a scenario where the ClassDojo Company could be sold for the data it collects and stores[38].

Williamson and Rutherford also explore the possible negative impact ClassDojo could impose on the classroom environment where they claim ClassDojo essentially acts as a classroom social media application where students face constant competition for teacher awarded ClassDojo behavior points[38]. They question whether the classroom time teachers spend on data input could potentially reduce critical face-to-face interaction between teachers and students[38]. They also warn of the possible negative impact the application can have on children’s mental health potentially creating a distressed classroom climate where student behavior is individualized to dojo points discounting larger social and environmental influences on behavior[38].

Williamson and Rutherford write that they believe when considering the serious concerns of student data protection and mental health, it is time for teachers and parents to have a transparent conversation regarding use of ClassDojo in the classroom [38].

 

Et je vous suggère de lire aussi le billet 6 reasons to reject ClassDojo

 

Voici le courriel du parent qui m’a informé de cette application:

 

Bonsoir Mme Blanc!

Merci d’avoir prit quelques minutes de votre temps pour m’écouter! J’ai vu que vous aviez publié sur Facebook à ce sujet, et j’aimerais d’abord apporté quelques précisions. À l’école de mon fiston, aucune permission ne nous a été demandé pour inscrire mon fils sur ClassDojo. Également, nous avions refusé l’an dernier que notre fils soit prit en photo, et que celles-ci puissent être utilisé par l’école. Nous avons refusé également cette année cette permission. Ça ne semble pas arrêter le prof de mon fils à notre connaissance. D’ailleurs, lorsque questionné à ce sujet, il m’a dit que je devais lui prouver qu’il ne pouvait pas ce servir de cet outil. J’ai été insulté de me faire dire ça, puisque je sais qu’une administration publique doit pouvoir justifier ses actions, et non l’inverse.

Voici ce que j’ai trouvé qui peut aller contre l’utilisation de ClassDojo. D’abord, le ministère de l’Éducation a une politique sur la protection des renseignements personnels à l’école. Je considère que tout ce qui concerne mon fils est un renseignement personnel. L’utilisation de ClassDojo par le prof est selon ses dires pour des communications avec les parents, des points pour bonne conduite, et bien sûr des photos dans la classe. Cela contreviendrait aux points 2.2 (necessité) et 2.3 (usage justifié) à la page 10 du document SEC_protect-renseign-perso.pdf en pièce-jointe. Deuxièmement, avec l’aide d’un autre parent, j’ai trouvé l’article 70.1 dans la loi sur l’accès à l’information (en pièce-jointe). Brièvement, il ne permet pas à un organisme public de confier à un tier à l’extérieur du Québec des informations personnels si les dits renseignements ne bénéficieront pas de la même protection que celles prévue par la loi. Selon ce que j’en sais, la protection serait moindre sur ClassDojo, et donc ne passerait pas le test de cet article. Ce sont les 2 principaux arguments que je compte utilisé vis-à-vis du professeur et de l’école.

Je compte envoyer mon courriel d’ici la fin de la semaine au professeur et à la direction. Il est bien dans mon intention de mettre un terme à l’utilisation de cet outil. J’apprécie énormément de vouloir prendre un peu de votre temps pour regarder ce dossier.

En terminant, j’espère ne pas vous avoir paru trop maladroit au téléphone. Ce n’est pas tous les jours qu’on peut discuter directement avec une personne médiatique qu’on admire.

Je vous remercie, et bonne fin de soirée!

 

LA PROTECTION DES RENSEIGNEMENTS PERSONNELS À L’ÉCOLE

LOI SUR L’ACCÈS AUX DOCUMENTS DES ORGANISMES PUBLICS ET SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS

Expedia et son ouverture à la diversité (conférence)

conference de Michelle Blanc chez Expedia
Il y a quelques mois je reçois un téléphone d’un gestionnaire d’Expedia pour faire une conférence aux employés des départements d’ingénieries des quatre coins de la planète via leur intranet sécurisé. Ma surprise est venue de la requête de ce gestionnaire (Philippe Deschenes, que je connais depuis plusieurs années puisqu’on a déjà siégé ensemble sur le comité aviseur de MCETECH). Il me demandait de parler de diversité, de l’apport des trans en technologie, de ma transition, de comment les embuches que j’ai pu rencontrer m’ont aidé à innover et de sexisme. J’étais enchantée de pouvoir parler aux employés de cette prestigieuse entreprise, mais surtout, de tenter d’exprimer comment d’être différente, au lieu d’être un poids, pouvait plutôt être un atout. Voici donc le PPT de ma conférence et MERCI à Expedia d’avoir une ouverture si évidente à la diversité, qu’elle soit culturelle, raciale, sexuelle ou de genre.


MAJ

Dans le cadre de la Journée Internationale des Femmes 2018, du 8 mars prochain, Desjardins Lab, m’invite à prononcer cette même conférence, cette fois-ci en Français, pour le bénéfice de leurs employés et des gens intéressés à l’innovation, aux enjeux LGBTQ2 ou aux droits de femmes. Vous pourrez assiter à cette conférence en vous inscrivant sur Eventbrite

Elle a eu à faire des choix très difficiles dans sa vie, dont celui de changer de sexe. Elle était déjà une personnalité médiatique connue et son changement de sexe s’est fait sous le regard des médias québécois. Elle a beaucoup perdu, mais a gagné encore plus.

Comment ses expériences personnelles l’ont inspirée à innover, à donner et à s’adapter à des événements particulièrement stressants? Comment recevoir des menaces de mort lui a permis de développer une expertise en cybercriminalité? Pourquoi y a-t-il tant de trans en technologie et dans l’armée? Qu’est-ce que d’être une femme en technologie et comment cela a-t-il un impact sur le design? Comment gérer et se réinventer tout en vivant le sexisme? Et pourquoi, à sa mort, elle sera fière d’avoir osé parler ouvertement de sa transition?

Voilà quelques-unes des questions auxquelles elle répondra dans sa conférence.


Les justiciers maléfiques du Web sont souvent des gens bin ordinaires

Nous avons souvent l’impression que les trolls et autres harceleurs du Web sont des gens anonymes et pas de vie qui n’ont de plaisir qu’à tourmenter les autres. La réalité est plus complexe, virale et malheureusement trop commune.

Ces dernières semaines, j’ai été témoin et impliquée dans certains dossiers de harcèlement en ligne, touchant des individus et entreprises. J’ai aussi pris connaissance d’un reportage de CBS Sunday Morning : Internet shaming, when mob justice goes virtual que je vous conseille fortement de consulter.

Pour vous expliquer ce qu’est l’humiliation publique sur Internet, je vous partage cette photo qui a fait plusieurs fois le tour du monde.

mère indigne du Web

Plusieurs gens que je connais et que je respecte ont partagé cette photo avec des épithètes, commentaires et menaces hors proportion. Pourtant, personne de mes amis ne connaît cette personne (dont le visage a été caché pour ne pas aggraver encore la situation). Ils ont jugés et retransmis cette photo sans avoir le contexte de celle-ci et ont jugés la dame de la photo sans la connaitre ou savoir ce qu’elle faisait réellement sur son téléphone intelligent. Cette personne est maintenant reconnue mondialement comme étant l’exemple même de la mauvaise mère obnubilée par son petit moi et la technologie. Pourtant, peut-être est-elle en train de texter à son mari pour savoir où il est ? Peut-être vient-elle de recevoir un texto auquel elle doit répondre ? Peut-être cherche-t-elle une info importante pour son enfant ? Nous n’en savons strictement rien. Mais cette pauvre dame a été néanmoins trainée dans la boue à la grandeur de la planète et devra vivre avec les répercussions psychologiques et autres, pour le reste de sa vie.

Plus près de moi, j’ai été impliquée dans divers dossiers clients qui ont vécu des crises similaires. Il s’agit d’entreprises dont un client ou des activistes n’aimant pas certaines positions de l’organisation, sont allés en ligne avec des récriminations. Ces statuts ont été partagés des dizaines de milliers de fois, la cote Google MyBusiness de ces gens a été indument baissée massivement et dans les commentaires, plusieurs menaces ont été aperçues sans que le « client/activiste soi-disant insatisfait » n’efface ces menaces et qu’il efface les commentaires qui ne « bitchaient » pas les cibles qu’il avait identifiées. Les internautes ont partagé et commenté massivement ces statuts sans se demander s’il y avait une vérité derrière les avances qui avaient été publiées.

Ces dossiers sont dans les mains de la justice aux niveaux criminel et civil et les entrepreneurs/victimes vivent encore et  vivront longtemps les retombées négatives de toute ces histoires. D’ailleurs un autre de mes clients, entrepreneurs à succès avec des dizaines de milliers de dollars de vente par an, a lui aussi partagé l’un de ces statuts incriminants. Je me demandais quelle aurait été sa réaction si sa propre entreprise avait été la cible d’une telle cabale de médisance. Je me demande aussi si chacune des personnes qui a jugé et condamné sans avoir l’autre version des entrepreneurs ciblés, avait eux aussi vécu telle aventure, comment ils se sentiraient aujourd’hui?

J’ai l’intuition que l’humiliation publique internet suit la même logique que celle de la psychologie des foules durant les manifestations. Si quelqu’un lance une brique dans une vitrine il se dépersonnalise et a l’impression que ce n’est pas lui, mais plutôt la foule qui a tiré cette brique. Comme on peut le lire dans Wikipedia :

Si l’on raisonne au niveau de l’individu, l’individu en foule acquiert trois caractères que l’on ne trouve que dans l’état de foule :

·       l’irresponsabilité. Du fait du nombre, un individu en foule peut ressentir un sentiment de « puissance invincible » et voir ses inhibitions s’effondrer. Il pourra accomplir des actions qu’il n’aurait jamais accomplies seul (par exemple, piller un magasin de façon non préméditée) : « le sentiment de responsabilité… disparaît entièrement. » Ceci vaut surtout pour les foules anonymes et hétérogènes, où l’individu, noyé dans la masse, est difficile (voire impossible) à retrouver par la suite.
·       La « contagion ». Ce que d’autres auteurs, comme David Hume, ont désigné sous le terme de sympathie et thématisé dans les relations inter-individuelles prend ici une ampleur beaucoup plus grande : une même passion agitera tous les membres de la foule avec une grande violence.
·       La suggestibilité. L’individu faisant partie de la foule voit sa conscience s’évanouir, au même titre que celle d’un hypnotisé. Il n’a plus d’opinions, ni de passions qui lui soient propres. Cela explique que des foules puissent prendre des décisions allant à l’encontre des intérêts de leurs membres, comme les Conventionnels qui lèvent leur propre immunité (ce qui leur permettra de s’envoyer les uns les autres à l’échafaud).

Dans tous les cas, il serait certainement judicieux que chacun prenne quelques instants pour regarder son propre nombril et se demande en quoi il participe à cette tendance extrêmement destructive qu’est le harcèlement collectif, la justice internet ou encore l’humiliation publique internet…

Vous pourriez aussi aimer:
Les médias sociaux sont-ils responsables d’un climat de haine sociale?

MAJ
Comme quoi je ne suis pas si pire avec mes analyses 🙂 Voici la version de la maman sur la photo
Mom Shuts Down Cyber Bullies After Man Posts Picture Of Her & Baby On Facebook

touchee

Les PDG et les menaces numériques et risques informatiques

J’ai eu la chance de collaborer à la recherche et la rédaction d’une série d’excellents articles de mon ami et client Benoît Grenier (et de sa firme Parminc). Ces articles portent sur certaines des menaces les plus importantes qui pèsent sur les entreprises et leur PDG. Que ce soit les types de menaces informatiques, les conséquences de celle-ci, l’aveuglement volontaire de certains dirigeants, le manque de communication entre les parties prenantes ou même les faiblesses que certains fournisseurs de services-conseils en cybersécurité, ces articles illustrent éloquemment comment amorcer une réflexion en profondeur de ce qui pourrait permettre une croissance continue des entreprises, ou sa perte pure et simple. Je vous suggère fortement d’en prendre connaissance…

Les CEO et l’angle mort des cybercrimes

Les CEO et les cybercrimes, les solutions

Le CEO et les risques informatiques ou pourquoi se doter d’un CRO (Chief Risk Officer)?

 

MERCI à
https://parminc.com/
http://ginasavoie.com/
http://www.benoit-grenier.com/
http://www.csircorp.com/
http://nam-hoang.com/